Ikony zamiast folderów

[blackwhitedead]

Witam,

Mam problem podobny jak w temacie https://www.fixitpc.pl/topic/5676-foldery-na-dysku-zewnetrznym-jako-skroty-nie-do-otwarcia/

z tym że Recycler rozniósł się już na cały komputer, a samodzielne próby pozbycia się tego przynosiły efekt tylko na chwilę.

Ikony pojawiły się zamiast folderów na dysku zewnętrznym. Każde ponowne uruchomienie komputera powoduje że kolejne nowe foldery również się ukrywają (bez możliwości wyłączenia opcji Ukryty) i powstaje kolejny skrót.

Chciałabym się pozbyć tego z całego komputera.

Bardzo proszę was o pomoc!

[picasso]

blackwhitedead, zasady działu: KLIK. Bez raportów nic tu nie zdziałam. Proszę dostarczyć logi: obowiązkowy OTL, dodatkowo także USBFix z opcji Listing stworzony przy podpiętym dysku zewnętrznym.

 

 

 

.

[blackwhitedead]

Komunikaty nie pojawiały się żadne, błędy żadne, Nod nie wykrył wirusa.
Podejrzewam że problem nastąpił podczas instalacji Cisco PT z niezbyt znanego mi źródła..
Problem dotyczy głownie tego że zamiast folderów na dysku zewnętrznym mam skróty, a foldery się ukryły i nie mam możliwośći wyłączenie opcji Ukryty.
Starałam się pozbyć problemu poprzez OTL kasująć Recycler, oraz kasująć System Volume Information katalagów (z dysków C,D,F), których wcześniej nie było. Pomogło, to tylko na chwilkę. Problem musi tkwić gdzieś głębiej i nie jestem w stanie sobie z tym poradzić.

Logi z UsbFix  poniżej, z OTL jeszcze się tworzą..

USBFix.txt

[picasso]

Czekam na raport z OTL. Logi proszę dołączaj poprzez załączniki forum a nie wklejając je wprost w poście.

 

Starałam się pozbyć problemu poprzez OTL kasująć Recycler, oraz kasująć System Volume Information katalagów (z dysków C,D,F), których wcześniej nie było. Pomogło, to tylko na chwilkę. Problem musi tkwić gdzieś głębiej i nie jestem w stanie sobie z tym poradzić.

 

Nie próbuj usuwać katalogów "System Volume Information". Te katalogi mają być i zawsze były tylko ich nie widziałaś, bo nie miałaś włączonej opcji pokazującej ten rodzaj ukrytych (Ukrywaj chronione pliki systemu operacyjnego). One należą do Przywracania systemu, a czyści się je w zupełnie inny sposób: KLIK. Na razie to Cię nie interesuje.

 

 

.

[blackwhitedead]

W końcu OTL skończył..

 

załączam też 2gi OTL z zaznaczoną opcją Rejestr - skan dodatkowy (której zapomniałam włączyć przy 1 OTL)

Extras.Txt

OTL.Txt

[picasso]

System nie jest zainfekowany, skutki infekcji są tylko na dysku F (foldery ukryte przez atrybuty HS = "chroniony obiekt systemu operacyjnego"). Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
attrib /d /s -s -h F:\* /C
 
:OTL
O4 - HKLM..\RunOnce: [] File not found
O15 - HKU\S-1-5-21-1935655697-1757981266-725345543-1004\..Trusted Domains: mks.com.pl ([]https in Zaufane witryny)
O15 - HKU\S-1-5-21-1935655697-1757981266-725345543-1004\..Trusted Domains: mks.com.pl ([www] http in Zaufane witryny)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] -- D:\xampp\apache\bin\httpd.exe -- (Apache2.2)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\npf.sys -- (NPF)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu F:\_OTL powstanie log z wynikami usuwania.

 

2. Zresetuj plik HOSTS do postaci domyślnej XP narzędziem Fix-it: KLIK.

 

3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[blackwhitedead]

dziękuję, za chwilkę to zrobię i załączę.

co mogło być przyczyną tej infekcji?

 

Załączam pliczki.

06102013_190349.txt

OTL.Txt

USBFix.txt

[picasso]

blackwhitedead, ale dlaczego usunęłaś wszystkie poprzednie logi?! Tak się nie robi, przywracam usunięte pliki. Przecież to na ich podstawie były robione instrukcje i moje wypowiedzi są bez sensu bez tych danych. Na dodatek nie można porównać danych, a pewne dane nadal będą wykorzystywane w instrukcjach. Proszę nie usuwaj logów z tematu, nawet jeśli zostanie ukończony.

 

Co do zadania, tylko część wykonana, ale nie ta właściwa partia. Skrypt OTL niby przetwarzał komendę odkrywania:

 

========== FILES ==========

F:\cmd.bat deleted successfully.

F:\cmd.txt deleted successfully.

 

... ale wg najnowszego USBFix brak zmian, wszystko nadal ukryte. Ponowne podejście:

 

1. Start > Uruchom > cmd, wklej tę komendę i ENTER:

 

attrib /d /s -s -h F:\*

 

2. Zrób nowy log USBFix z opcji Listing.

 

 

.

[blackwhitedead]

Przepraszam, nie wiedziałam że to jeszcze potrzebne.

Co do zadania to tak, wszystko BYŁO ukryte a skróty wciąż się POJAWIAŁY.

 

w trakcie robienia

1. Start > Uruchom > cmd

attrib /d /s -s -h F:\*

 

wyskakiwały komunikaty ze pliki (pojedyncze pliki, typu jakaś piosenka, zdjęcie z dysku F:\) są uszkodzone

w konsoli również pojawiały się komunikaty o błędach ale nie zdążyłam zrobić print scr.

 

Katalogi wróciły do trybu widocznego

Folder ukryty Recycler nadal istnieje

i folder plików Recycler nadal istnieje ale już jako widoczny katalog.

 

Obawiam się że przy ponownym uruchomieniu systemu może znów zrobić się to samo..

USBFix.txt

[picasso]

Folder ukryty Recycler nadal istnieje

 

i folder plików Recycler nadal istnieje ale już jako widoczny katalog.

 

Tak, one nadal są, bo to katalogi Koszy:

 

################## | Listing |
 
[10/06/2013 - 16:44:23 | SHD ]     C:\RECYCLER
[10/06/2013 - 16:44:29 | SHD ]     D:\RECYCLER
[10/06/2013 - 19:11:04 | SHD ]     F:\RECYCLER

 

Na każdym dysku jest tworzony przez system katalog RECYCLER, to prawdziwy folder Kosza, to co na Pulpicie to tylko wirtualny skrót. Dla świętego spokoju skasuj wszystkie foldery RECYCLER, ale one i tak powstaną na nowo, gdy tylko zostanie podjęta akcja usuwania jakiegoś pliku na danym dysku.

 

 

Obawiam się że przy ponownym uruchomieniu systemu może znów zrobić się to samo..

 

Nie ma podstaw, by tak twierdzić. Dla świętego spokoju zresetuj system i sprawdź sytuację.

 

 

 

.

[blackwhitedead]

SUPER! Wszystko jest juz jak być powinno.

Naprawdę dziękuję Ci za pomoc! :)

[picasso]

Czynności końcowe:

 

1. Usuń narzędzia: odinstaluj USBFix, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Mozilla Firefox 16.0 (x86 pl)" = Mozilla Firefox 16.0 (x86 pl)

"Opera 12.14.1738" = Opera 12.14
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_168.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.

[blackwhitedead]

Załączam nowe UsbFix, OTL, Extras, oraz GMER

 

Załączam też Screana gdzie widoczne jest że po ingerencjach infekcji

zaczął się pojawiać pliczek desktop w wielu folderach. (?)

 

Załączam także wiruski które znalazł Kingsoft (Nod nic nie znajdywał (Nod32 wer.Fix))

Dodam że antywirus wczoraj wykrywał to oto Trojanki,

dziś natomiast nie wynajdywał nic, do puki nie zrobilam skanowania na żądanie,

nagle odkrył, ze wszystkie pliki ze szkoły .exe (programiki c++) to trojany..

Czy to wina nowego antywirusa, że co chwilę podnosi alarm z trojanami,

czy faktycznie mam chory dysk?

 

Przed chwilą też znalazł Trojana w uroczym jak zawsze folderze Recycler..

Może coś jeszcze znajdzie..

 

 

----------

Aha, no i przede wszystkim dodam, że dziś foldery są folderami, nie ukrywały się i ich skróty się nie pojawiały.

OTL popr.Txt

Extras popr.Txt

UsbFix.txt

gmer c.txt

[picasso]

Wystarczy tylko log GMER ze skanu dysku C, reszta nie podaje dodatkowych ważnych informacji (usuwam). W żadnych raportach nie notuję jawnej infekcji. Komentując szerzej:
 
1. Do tego co mówiłam na PW na temat regeneracji infekcji: GMER nie był sprawdzony, a tu jednak wychodzi na to, że był ukryty wpis metodą rootkit. Świadczy o tym obrazek numer 2 z KingSoft pokazujący uruchamianie w starcie wpisu Qaocos: KLIK. Obecny skan GMER nie pokazuje nic ukrytego, tak więc czy antywirus nadal wykrywa w kluczu Run coś? Jeśli nie, to wygląda na to, że usunął to na dobre, zwłaszcza, że foldery nie zmieniły swojego stanu.
 
2. Reszta detekcji:
 

Przed chwilą też znalazł Trojana w uroczym jak zawsze folderze Recycler..
Może coś jeszcze znajdzie..

 
Czy kasowałaś foldery RECYCLER wg zadanej instrukcji w poście #11? Jeśli nie, to je skasuj teraz przez SHIFT+DEL.
 

dziś natomiast nie wynajdywał nic, do puki nie zrobilam skanowania na żądanie,
nagle odkrył, ze wszystkie pliki ze szkoły .exe (programiki c++) to trojany..
Czy to wina nowego antywirusa, że co chwilę podnosi alarm z trojanami,
czy faktycznie mam chory dysk?

 
Sądzę, że to fałszywe alarmy. Podobnie fałszywym alarmem zdaje się być ten z ostatniego obrazka KingSoft wskazujący otcsercb.sys w driver.cab (oba to pliki systemowe).

3. Pliki desktop.ini:
 

Załączam też Screana gdzie widoczne jest że po ingerencjach infekcji
zaczął się pojawiać pliczek desktop w wielu folderach. (?)

 
Pliki desktop.ini są naturalną częścią systemu, przede wszystkim są w katalogach rodzaju Moje dokumenty / Menu Start i podobne. Ich rolą jest przypisywanie określonej nazwy i ikony danemu folderowi. Pliki te są z natury ukryte (atrybuty HS = ukryty systemowy) i przy domyślnej konfiguracji systemu nie powinnaś ich nawet widzieć. Widać je dopiero po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego. To co jest jednak nienormalne tu na obrazku, to stan ikony pliku (nie jest "blada") poświadczający, że pliki przestały być ukryte (utraciły atrybuty HS). Pliki należy ukryć. Na razie z obrazka wiem o dwóch w Menu start, w związku z tym adresuję wszystkie desktop.ini w Menu Start:
 
Start > Uruchom > cmd i po kolei wklej te komendy (po każdej ENTER):
 
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Komunikacja\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Narzędzia systemowe\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Rozrywka\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Ułatwienia dostępu\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Gry\desktop.ini"
attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia administracyjne\desktop.ini"
attrib +S +H "C:\Documents and Settings\Konto\Menu Start\desktop.ini"
attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\desktop.ini"
attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Akcesoria\desktop.ini"
attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Autostart\desktop.ini"
attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Akcesoria\Rozrywka\desktop.ini"
attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Akcesoria\Ułatwienia dostępu\desktop.ini"

(pod "Konto" podstaw nazwę właściwą)
 
Podaj mi gdzie jeszcze widzisz pliki desktop.ini, które nie są ukryte (oceniając po ikonie).

 
 
.

[blackwhitedead]

1. W chwili obecnej nie znajdywał już zadnego klucza Run
 

2. Tak, kasowałam, Folder plików Recycler ma swoje humorki, i czasem pokazuje się jako widoczny folder, którego nie da się skasować, czasem wg go nie ma, tak jak teraz. Natomiast przy kazdym podłaczeniu dysku do komputera pojawia się znow komunikat z antywirusa.
 

 

Sądzę, że to fałszywe alarmy. Podobnie fałszywym alarmem zdaje się być ten z ostatniego obrazka KingSoft wskazujący otcsercb.sys w driver.cab (oba to pliki systemowe)

 

jeżeli antywirus skasował te pliki czy to ma jakiś szkodliwy skutek na system?

3. Pliki desktop.ini tylko chyba w menu były. dzięki zmianie atrybutów zniknęły.

Co z folderem "System Volume Information"? od zmieniana atrybutów teraz ten folder nie chce się ukryć mimo iż zaznaczam opcję Ukryj.

Też mam zmienić mu atrybuty?

 

[picasso]

Tak, kasowałam, Folder plików Recycler ma swoje humorki, i czasem pokazuje się jako widoczny folder, którego nie da się skasować, czasem wg go nie ma, tak jak teraz. Natomiast przy kazdym podłaczeniu dysku do komputera pojawia się znow komunikat z antywirusa.

 

Mnie się wydaje, że tu występuje takie zjawisko: folder F:\RECYCLER w ogóle nie został skasowany, a pozornie "znika" z widoku, bo przestawia się opcja Ukryj chronione pliki systemu operacyjnego (skan OTL odznacza tę opcję w ramach pomocy dla prowadzących pomoc, by użytkownik widział wszystkie pliki wdrażając instrukcje + Sprzątanie w OTL z powrotem opcję zaznacza). Prawdopodobnie folder jest zablokowany przez uprawnienia, dlatego ani ręcznie, ani skanerem nie da się załatwić go na dobre. Podaj mi precyzyjny skan co jest we wszystkich folderach RECYCLER. Uruchom SystemLook i do okna wklej:

 

:dir
C:\RECYCLER /s
D:\RECYCLER /s
F:\RECYCLER /s

 

Klik w Look. Przedstaw wynikowy skan.

 

 

Co z folderem "System Volume Information"? od zmieniana atrybutów teraz ten folder nie chce się ukryć mimo iż zaznaczam opcję Ukryj.

 

Start > Uruchom > cmd, wklej komendę i ENTER:

 

attrib +S +H "F:\System Volume Information"

 

 

jeżeli antywirus skasował te pliki czy to ma jakiś szkodliwy skutek na system?

 

Katastrofy nie ma.

 

 

.

[blackwhitedead]

wynikowy skan.

 

SystemLook.txt

[picasso]

C:\RECYCLER i D:\RECYCLER są w porządku, F:\RECYCLER wymaga działań. Upewnij się, że masz włączoną opcję pokazywania specjalnych ukrytych (Mój komputer > Narzędzia > Opcje folderów > Widok > opcja Ukryj chronione pliki systemu operacyjnego w stanie odznaczonym), by móc ocenić efektywność akcji. Następnie:

 

Start > Uruchom > cmd i wklej te komendy:

 

cacls F:\RECYCLER /E /G Wszyscy:F

cacls F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 /E /G Wszyscy:F

cacls F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx /E /G Wszyscy:F

rd /s /q F:\RECYCLER

 

Potwierdź, że F:\RECYCLER zniknął. Jak mówiłam, to Kosz urządzenia i jego regeneracja w późniejszym czasie w sytuacji, gdy zostanie podjęta jakakolwiek próba usuwania pliku z dysku F do Kosza (a nie przez SHIFT+DEL, które omija Kosz), uzasadniona.

 

 

.

[blackwhitedead]

Nadal jest. Wyświetla się odmowa dostępu.

SystemLook.txt

[picasso]

Ciężko mi potwierdzić czy zniknoł, bo jak wspominałam go nie widać (opcja Ukryj chronione pliki systemu operacyjnego w stanie odznaczonym oraz Pokaż ukryte pliki foldery).

 

Ale przecież przy odznaczonej opcji Ukryj chronione pliki systemu operacyjnego powinnaś widzieć ten folder (podobnie jak pozostałe RECYCLER oraz System Volume Information na wszystkich dyskach)... To ta opcja steruje widzialnością takich folderów. Nie widzisz? Jeżeli skan z SystemLook jest na pewno zrobiony po komendach, to nie wykazuje zmian: folder nadal na dysku i ma nieodpowiednią zawartość. Inna metoda:

 

1. Uruchom GrantPerms i w oknie wklej:

 

F:\RECYCLER
F:\RECYCLER\S-1-5-21-1935655697-1757981266-725345543-1004
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

 

Klik w Unlock.

 

2. Start > Uruchom > cmd, wklej i ENTER:

 

rd /s /q F:\RECYCLER

 

3. Podaj skan SystemLook na warunek:

 

:dir

F:\RECYCLER /s

 

.

[blackwhitedead]

NIE MA!!! : ))

 

a co do tego że go nie widziałam, to naprawdę go nie widziałam. Jak wspominałam wcześniej folder miał swoje humorki i raz był widoczny raz nie (mimo odznaczonej opcji Ukryj chronione pliki systemu operacyjnego). Teraz dopiero przy którejś probie się pojawił i udało się go usunąć, a wcześniej była odmowa dostępu. Co to za dziadostwo..

 

SystemLook.txt

[picasso]

Problem rozwiązany. Wykonaj końcowe zalecenia podane w moim wcześniejszym poście numer #12. Funkcja Sprzątanie w OTL z powrotem przestawi opcje Widoku (ukryte przestaną być widziane), ale to możesz samodzielnie ustawić jak Ci pasuje w Opcjach folderów.

[blackwhitedead]

Bardzo dziękuję za pomoc! Póki co wszystko działa jak należy i mam nadzieję że już tak zostanie

Pozdrawiam serdecznie!  : )