Zniknęły mi foldery z dysku zewnętrznego!

[kouzi]

Witam,

 

Sprawa wygląda następująco. Podłączyłem swój dysk zewnętrzny do szkolnego komputera w celu pokazania wykładowcy projektu wideo a jak to już ze szkolnymi komputerami bywa są często "molestowane" przez różnego rodzaju ludzi i szybciej brudzą się różnego rodzaju wirusami. W każdym razie wróciłem do domu i mój Kaspersky wykrył jakiegoś robala automatycznie go usuwając wynikiem czego wszystkie foldery na dysku zniknęły. Wszystkie pliki, które nie były w folderach pozostały natomiast foldery rozpłynęły się.Pocieszające jest to że wchodząc na właściwości dysku pokazuje że jest pełny czyli wszystkie dane gdzieś tam są ale gdzie i jak je odzyskać? Zainfekowany dysk to dysk K:/ Dołączam plik UsbFix. Pomocy!

UsbFix Listing 1 KOUZI-PC.txt

[picasso]

Proszę również o standardowe obowiązkowe tu raporty z OTL, bo musi być sprawdzone czy dysk przypadkiem nie zainfekował całego systemu.

 

 

wynikiem czego wszystkie foldery na dysku zniknęły. Wszystkie pliki, które nie były w folderach pozostały natomiast foldery rozpłynęły się.Pocieszające jest to że wchodząc na właściwości dysku pokazuje że jest pełny czyli wszystkie dane gdzieś tam są ale gdzie i jak je odzyskać?

Dane są po prostu ukryte przez atrybuty HS ("ukryty systemowy"). Nie widzisz ich, bo nie masz włączonej opcji pokazującej wszystkie pliki: w eksploratorze Windows > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukryj chronione pliki systemu operacyjnego. To pozwoli ujrzeć dane, ale nie zmieni ich stanu (nadal będą ukryte). Trwałym zdejmowaniem atrybutów zajmę się po uzyskaniu kompletu danych.

 

 

 

.

[kouzi]

Ok, dodałem wszystkie potrzebne raporty. Z góry dziękuję ponieważ są tam wszystkie najważniejsze projekty nad którymi teraz pracuję.

OTL.Txt

Extras.Txt

UsbFix Listing 3 KOUZI-PC.txt

[picasso]

System też był zainfekowany, ale wpisy infekcji są już "not found":

 

O4 - HKU\S-1-5-21-477062522-2252508840-1286365240-1000..\Run: [Host-process Windows (Rundll32.exe)] c:\users\kouzi\appdata\roaming\csrss.exe File not found

F3:64bit: - HKU\S-1-5-21-477062522-2252508840-1286365240-1000 WinNT: Load - (C:\Users\Kouzi\LOCALS~1\Temp\ccavwcmo.scr) - File not found

F3 - HKU\S-1-5-21-477062522-2252508840-1286365240-1000 WinNT: Load - (C:\Users\Kouzi\LOCALS~1\Temp\ccavwcmo.scr) - File not found

 

Usuwanie:

 

1. Pobierz narzędzie FRST.

 

2. Otwórz Notatnik i wklej w nim:

 

Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Reg: reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Host-process Windows (Rundll32.exe)" /f
C:\Users\Kouzi\AppData\Roaming\System32
C:\Users\Kouzi\AppData\Roaming\Mozilla\Firefox\Profiles\zrswvla7.default\searchplugins\daemon-search.xml
G:\autorun.inf
CMD: attrib /d /s -s -h K:\*
CMD: rd /s /q K:\$RECYCLE.BIN
CMD: rd /s /q K:\RECYCLER
CMD: rd /s /q G:\$RECYCLE.BIN
CMD: rd /s /q G:\RECYCLER

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Zrób nowe logi: FRST + USBFix z opcji Listing. Dołącz plik fixlog.txt.

 

 

 

.

[kouzi]

Ok, zrobiłem tak jak napisałaś i wszystko wydaje się wróciło do normy także kłaniam się do ziemi! Zrobiłem nowe logi z FRST i Listing z USBFix, które dołączam w załączniku wraz z fixlog.txt no i pytanie. Czy mój komputer jest już czysty czy muszę coś jeszcze zrobić? Pozdrawiam serdecznie!

Addition.txt

Fixlog.txt

FRST.txt

UsbFix Listing 4 KOUZI-PC.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Drobna poprawka na wpisy puste. Zrób w Notatniku nowy plik fixlist.txt o zawartości:

 

SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
BHO-x32: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Kouzi\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
FF Plugin-x32: @divx.com/DivX Player Plugin,version=1.0.0 - C:\Program Files (x86)\DivX\DivX Player\npDivxPlayerPlugin.dll No File
Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File
Task: {F0EBADC7-9587-4ABE-B695-608F8B95477F} - System32\Tasks\{E12F51D8-8AD4-481F-B28F-E94430CFA018} => C:\Program Files (x86)\Skype\Phone\Skype.exe No File
S1 Aspi32; No ImagePath
S3 gHidPnp; System32\Drivers\gHidPnp.Sys [x]
S3 gMouUsb; system32\DRIVERS\gMouUsb.sys [x]
S3 netr28ux; system32\DRIVERS\netr28ux.sys [x]
C:\Windows\SysWow64\drivers\aspi32.sys

 

Uruchom FRST i klik w Fix. Przedstaw wynikowy plik fixlog.txt, a po tym:

 

2. Porządki po narzędziach: odinstaluj USBFix, przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstalowane programy:

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224)

Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224)

Adobe Reader 8.3.1 (x32 Version: 8.3.1)

Adobe Shockwave Player 11 (x32 Version: 11)

Akamai NetSession Interface (HKCU)

Akamai NetSession Interface Service (x32)

Gadu-Gadu 10 (x32)

Java™ 6 Update 23 (x32 Version: 6.0.230)

Microsoft Office Professional Edition 2003 (x32 Version: 11.0.8173.0)

 

Akamai możesz odinstalować (zbędny downloader), a reszta do aktualizacji: KLIK / KLIK.

 

 

 

.

[kouzi]

Przedstawiam wynikowy plik fixlog.txt

Fixlog.txt

[picasso]

Zadanie pomyślnie wykonane. Końcowe zalecenia już zadałam. Temat rozwiązany, zamykam.