Niemożność otworzenia zawartości pendrive'a

[Pascal92]

Witam, mój problem przedstawia się tak jak w tytule tematu - po podłączeniu pendrive'a nie mogę odczytać jego zawartości. Zauważyłem, że po kliknięciu ikonki Dysk wymienny, ukazuje mi się kolejna ikonka (skrót) Removable Disk (1GB) - w razie czego pendrive ma 512MB. Po kliknięciu owego skrótu, pokazuje się błąd o następującej treści:

 

Wystąpił problem podczas uruchamiania pliku 0~TT.001

Nie można odnaleźć określonego modułu.

 

Wykonałem logi z narzędzi OTL i GMER z podłączonym pendrivem, które zamieszczam w załączniku. Podczas skanu GMERem kilkukrotnie ukazały się błędy o treści:

 

W stacji nie ma dysku. Włóż dysk do stacji \Device\Harddisk1\DR1.

 

Po wielokrotnym kliknięciu przyciku Kontynuuj, GMER wracał do skanowania. Cyferki przy DR się zmieniały, na pewno pamiętam DR1, DR2, DR3. Zamieszczam informację o tym błędzie na wszelki wypadek.

 

Gdyby potrzebne było coś jeszcze, proszę o informację.

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Poproszę jeszcze o log z USBFix z opcji Listing zrobiony przy podpiętym pendrive.

 

 

po podłączeniu pendrive'a nie mogę odczytać jego zawartości. Zauważyłem, że po kliknięciu ikonki Dysk wymienny, ukazuje mi się kolejna ikonka (skrót) Removable Disk (1GB) - w razie czego pendrive ma 512MB. Po kliknięciu owego skrótu, pokazuje się błąd o następującej treści

Nie próbuj uruchamiać tego skrótu, to fałszywka, która ma za zadanie uruchomić infekcję. Tu tylko przypadkowo infekcja jest już zdekompletowana i zgłasza się błąd, ale gdyby tak nie było, zainfekowałbyś system. Ten skrót to nie są Twoje dane i ich w żadnym wypadku nie otworzy, to pułapka. Nie widzisz po prostu wszystkiego na urządzeniu, bo nie masz odznaczonej w opcjach folderów funkcji Ukryj chronione pliki systemu operacyjnego. Po jej odznaczeniu na pendrive ujawni się dodatkowy utworzony przez infekcję folder "bez nazwy". Tam infekcja umieściła wszystkie Twoje dane.

 

 

Podczas skanu GMERem kilkukrotnie ukazały się błędy o treści:

 

W stacji nie ma dysku. Włóż dysk do stacji \Device\Harddisk1\DR1.

 

Po wielokrotnym kliknięciu przyciku Kontynuuj, GMER wracał do skanowania. Cyferki przy DR się zmieniały, na pewno pamiętam DR1, DR2, DR3.

GMER prawdopodobnie notuje martwe wpisy odłączonych urządzeń USB.

 

 

 

.

[Pascal92]

Załączam żądany log.

UsbFix.txt

[picasso]

NA URZĄDZENIU:

 

1. W eksploratorze Windows > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukryj chronione pliki systemu operacyjnego.

 

2. Wejdź na urządzenie K. Przez SHIFT+DEL skasuj te dwa pliki:

 

K:\desktop.ini

K:\Removable Disk (1GB).lnk

 

Wejdź do folderu "bez nazwy" i przenieść wszystkie dane poziom wyżej, a folder przez SHIFT+DEL skasuj.

 

3. Zrób nowy log USBFix z opcji Listing.

 

 

PO STRONIE SYSTEMU:

 

Doczyść sobie adware i szczątki McAfee:

 

1. Na początek poprawne deinstalacje adware:

- Przez Panel sterowania odinstaluj vShare.tv plugin 1.3. Tak, ta wtyczka video śmieci w systemie.

- Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\General\AppData\Local\Temp*.html
C:\Users\General\AppData\Roaming\systweak
 
:OTL
IE - HKU\S-1-5-21-19964824-3385152606-3962457232-1001\..\SearchScopes\{CF2C10C9-3781-493C-9EAE-EE10B7F3679B}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8DA274A8-0903-45B0-8548-DA494016C87B&apn_sauid=25E53E1D-14A6-460E-8DB7-A9D143C89E23
O3 - HKU\S-1-5-21-19964824-3385152606-3962457232-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-19964824-3385152606-3962457232-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-19964824-3385152606-3962457232-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-19964824-3385152606-3962457232-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - HKLM\..Trusted Domains: //about.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //Exclude.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //LanguageSelection.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //Message.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //MyAgttryCmd.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //MyAgttryNag.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //MyNotification.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //NOCLessUpdate.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //quarantine.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //ScanNow.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //strings.vbs/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //Template.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //Update.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: //VirFound.htm/ ([]myui in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafee.com ([*] http in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafee.com ([*] https in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafeeasap.com ([betavscan] http in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafeeasap.com ([betavscan] https in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafeeasap.com ([vs] http in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafeeasap.com ([vs] https in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafeeasap.com ([www] http in Trusted sites)
O15 - HKLM\..Trusted Domains: mcafeeasap.com ([www] https in Trusted sites)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
DRV - [2009/05/16 04:15:14 | 000,055,336 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\windows\System32\drivers\mfetdik.sys -- (mfetdik)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{044A7A37-0FFC-4FBC-AD93-6D8ED378FE31}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{044A7A37-0FFC-4FBC-AD93-6D8ED378FE31}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zresetuj plik HOSTS narzędziem Fix-it do postaci domyślnej Windows 7: KB972034

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Pascal92]

Wszystkie czynności wykonałem, w załączniku daję żądane logi + log z wykonanego skryptu (na wszelki wypadek).

UsbFix2.txt

OTLskrypt.txt

AdwCleaner.txt

OTL2.txt

[picasso]

Wszystko zrobione. Mam osobistą prośbę spoza zakresu infekcji, proszę o log z FRST, gdyż potrzebuję sprawdzić czy pewien błąd z listowaniem rozszerzeń Hewlett-Packard został naprawiony, a Ty masz takie rozszerzenia w Firefox. Po podaniu tego loga podam Ci kroki końcowe.

 

 

.

[Pascal92]

Proszę bardzo.

FRST.txt

Addition.txt

[picasso]

Dzięki. Wszystko gra, rozszerzenia Hewlett-Packard są listowane poprawnie. No to kończymy:

 

1. Minimalne poprawki. Otwórz Notatnik i wklej w nim:

 

Task: {67C80BA3-0BF9-461B-843C-BE76D3966B7C} - System32\Tasks\{A58E977E-7765-4DDB-85FD-A8031328D601} => C:\Gry\Ubisoft\Prince of Persia T2T\PrinceOfPersia.exe No File
Task: {F1BBBBBF-E24C-4102-A02E-8E281CE44AF9} - System32\Tasks\{53FBC31C-4AF5-49B4-850F-AA057C60DB5E} => C:\Gry\Ubisoft\Prince of Persia T2T\amir.exe No File
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks /v {AEB6717E-7E19-11d0-97EE-00C04FD91972} /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
K:\desktop.ini

 

Plik zapisz pod nazwą fixlist.txt i ułóż obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. Następnie:

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na koniec zaktualizuj te programy:

 

==================== Installed Programs =======================
 

Adobe Reader X (10.1.7) - Polish (Version: 10.1.7)

Adobe Shockwave Player 11.5 (Version: 11.5.7.609)

Gadu-Gadu 7.7

Skype™ 5.10 (Version: 5.10.116)

 

Gadu-Gadu 7.7 to wyliczam, bo jest stare, źle obsługuje własną sieć (brak obsługi najnowszych cech protokołu GG), jest słabo zabezpieczone. Jeśli szukasz chudej alternatywy z dobrą obsługą Gadu, to proponuję darmowy WTW: KLIK.

 

 

 

.

[Pascal92]

Programy zaktualizuję, tymczasem załączam ostatni log.

Fixlog.txt

[picasso]

Akcja wykonana pomyślnie. Temat rozwiązany. Zamykam.