Prawdopodobny wirus Recycler

[firec]

Dzień dobry,

 

tydzień temu podczas korzystania z zawartości dysku zewnętrznego H: folder z którego korzystałem stał się niedostępny. System zgłaszał brak takiej lokalizacji. Folder po prostu stał się niewidzialny, ale miejsce nadal było zajęte (kilkadziesiąt GB - łatwo zauważyć). Nie udało się go znaleźć wyszukiwarką ani poprzez wpisanie ścieżki dostępu "z palca". Wyświetlenie ukrytych pilków i ukrytych plików systemowych nie pomogło.

 

Użyłem programu do odzyskiwania danych, który wyświetlił ten folder i jego zawartość dodając opis "pliki nie usunięte". za jego pomocą udało mi się skopiować większość potrzebnych mi plików.

 

Po zbootowaniu komputera z dysku Ubuntu zagniniony folder się nie pokazał, ale widoczny stał się sporych rozmiarów folder RECYCLER obok zwykłego $RECYCLE.BIN.

 

Po zmianie parametrów wszystkich plików na dysku H: wszystkie foldery znów są widoczne i dostępne. Ponieważ najprawdopodbniejsza wydaje się infekcja recyclerem - prosiłbym o pomoc w wyczyszczeniu komputera.

 

Prawdopodbnym źródłem infekcji był inny, współdzielony komputer do którego dzień przed pojawieniem się objawów został podłączony komputer. Po pojawieniu sie objawów na moim dysku do mojego komputera podpinany był niestety aparat fotograficzny, pendrive oraz telefon Nokia E52. Prosiłbym o informację jak się upewnić, że te sprzęty nie złapały infekcji.

 

EDIT: wykorzystywany obecnie na komputerze BitDefender milczy.

OTL.Txt

Extras.Txt

rapgmer.txt

[picasso]

W raportach nie ma żadnych oznak infekcji. Raporty te są bezużyteczne pod kątem skanu zawartości dysków innych niż systemowy, brak danych o tym co jest na dysku H. Widzę, że już używałeś USBFix (i na dodatek immunizowałeś wszystkie dyski), to podaj log USBFix z opcji Listing.

 

Wyświetlenie ukrytych pilków i ukrytych plików systemowych nie pomogło.
Użyłem programu do odzyskiwania danych, który wyświetlił ten folder i jego zawartość dodając opis "pliki nie usunięte". za jego pomocą udało mi się skopiować większość potrzebnych mi plików.
Po zbootowaniu komputera z dysku Ubuntu zagniniony folder się nie pokazał, ale widoczny stał się sporych rozmiarów folder RECYCLER obok zwykłego $RECYCLE.BIN.

 
Coś mi się tu nie zgadza. To wszystko co opisujesz wygląda jak brak odznaczonej opcji "Ukryj chronione pliki systemu opewracyjnego" lub opcja ta nie działała prawidłowo. Ubuntu jest zbędny, by widzieć takie foldery jak Kosze (RECYCLER i $RECYCLE.BIN).  $RECYCLE.BIN to kosz tworzony przez systemy Vista i nowsze, RECYCLER to kosz tworzony przez XP. Inna sprawa co jest w koszach, bo mogą to być kosze prawidłowe lub kosze dorobione przez infekcję.
 
 
.

[firec]

W załączeniu jedyny plik Listing z usbfixa jaki posiadam. Mam jeszcze użyć obu programów na dysku H i podać loga?

 

Pragnę powtórzyć, że odznaczyłem opcję ukrywania chronionych plików i nadal nie widać było folderów.

UsbFix Listing 1 IWONA-PC.txt

[picasso]

To log zrobiony relatywnie dawno temu (26 kwiecień), proszę o log zrobiony teraz.

 

 

Pragnę powtórzyć, że odznaczyłem opcję ukrywania chronionych plików i nadal nie widać było folderów.

 

Jak mówiłam: "lub opcja ta nie działała prawidłowo". Wszystkie objawy wskazują na obecność atrybutów HS (ukryty systemowy) a nie żadne wysmakowane ukrywanie danych.

 

 

 

.

[firec]

Załączam.

UsbFix Listing 2 IWONA-PC.txt

[picasso]

Te Kosze mają następujące atrybuty:

 

[06/04/2013 - 20:48:41 | D ] H:\$RECYCLE.BIN 

[10/11/2012 - 13:37:34 | SHD ]  H:\RECYCLER

 

$RECYCLE.BIN jest całkowicie odkryty (brak atrybutów HS), co jest nieprawidłowe, bo taki folder ma być ukryty. RECYCLER za to ukryty (atrybuty HS). Wykrywa go bez trudu USBFix, czyli folder powinien być widzialny po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego", a dostęp spod Ubuntu kompletnie zbędny. Tak więc: widzisz ten folder po odznaczeniu opcji? Jeśli nie, funkcja nie działa u Ciebie poprawnie. Dodaj mi skan sprawdzający relatywne wpisy rejestru. Uruchom SystemLook i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden /s
 
:dir
H:\RECYCLER /s

 

Klik w Look.

 

 

 

.

[firec]

Po odznaczeniu opcji "ukryj..." recycler jest widoczny (i zapewne tak było od początku). O ubuntu pisałem tylko, ponieważ uznalem gdy problem pojawił się oryginalnie, że podgląd na niewindowsowskim systemie pomoże mi samodzielnie naświetlić sprawę.

 

Załączam log z SL

SystemLook.txt

[picasso]

Zawartość tego folderu wygląda na klasyczny kosz utworzony na urządzeniu przez system XP (jeśli podpinano pendrive do starszego Windows i coś kasowano z dysku). W środku są tradycyjne katalogi SID kont, a w nich skasowane pliki graficzne JPG datowane na lata 2011/2012.

 

Ja tu nie widzę żadnej infekcji. Oba te kosze $RECYCLE.BIN + RECYCLER po prostu przez SHIFT+DEL skasuj z urządzenia. Dla porządku.

 

 

.

[firec]

Czyli cokolwiek spowodowało zmianę atrybutów folderu, ktory zniknął, zostało już skasowane/naprawione przez USBfixa i mogę spać spokojnie?

[picasso]

Nie ma tu żadnych danych co robił USBFix, jeśli uruchomiłeś go w trybie usuwania przed założeniem tematu. Nie wiadomo czy USBFix ma w ogóle cokolwiek wspólnego z leczeniem, może go wcale nie było, bo nie było z czego. Jedyne co tu jest dostępne, to obecny dir urządzenia, który nie wykazuje żadnych jawnych obiektów infekcji.

 

 

.