Dysk zewnętrzny - skróty zamiast folderów2

[lobuz09]

Cześć, mam problem jak w temacie.

 

Pendrive był podłączony do komputera na uczelni. Po powrocie do domu widziałem na nim tylko skróty do plików i folderów.

Mój system to Windows 7 64bity.

 

(a pro po skanów, wszystkie oprócz usbfix wykonywałem przy odłączonym pendrive - prawidłowo?).

 

Będę wdzięczny za przejrzenie skanów i pomocną dłoń w rozwiązaniu problemu.

Addition.txt

FRST.txt

UsbFix Listing 1 RZEZNIK.txt

Extras.Txt

GMER.txt

OTL.Txt

[Anonim8]

Jak robiłeś skan USBfix to zainfekowany pendrak był podpiety?

[lobuz09]

Jak robiłeś skan USBfix to zainfekowany pendrak był podpiety?

 

Tak.

[Anonim8]

Tak widzi partycje OTL

 

Drive C: | 98.99 Gb Total Space | 11.55 Gb Free Space | 11.66% Space Free | Partition Type: NTFS
Drive D: | 35.00 Gb Total Space | 14.44 Gb Free Space | 41.25% Space Free | Partition Type: NTFS
Drive E: | 59.56 Gb Total Space | 33.53 Gb Free Space | 56.29% Space Free | Partition Type: NTFS
Drive F: | 39.82 Gb Total Space | 8.36 Gb Free Space | 20.99% Space Free | Partition Type: NTFS
Drive G: | 40.04 Gb Total Space | 28.28 Gb Free Space | 70.64% Space Free | Partition Type: NTFS
Drive K: | 3.72 Gb Total Space | 3.33 Gb Free Space | 89.59% Space Free | Partition Type: FAT32

 

 

a tak widzi USBfix

 

C:\ (%systemdrive%) -> Fixed drive # 99 Gb (12 Mb free - 12%) [system] # NTFS
D:\ -> Fixed drive # 35 Gb (14 Mb free - 41%) [DATA] # NTFS
E:\ -> Fixed drive # 60 Gb (34 Mb free - 56%) [] # NTFS
F:\ -> Fixed drive # 40 Gb (8 Mb free - 21%) [FILMY] # NTFS
G:\ -> Fixed drive # 40 Gb (28 Mb free - 71%) [GRY] # NTFS
H:\ -> CD-ROM
I:\ -> CD-ROM
J:\ -> CD-ROM

 

 

To ja sie pytam gdzie ten pendrak?
 

[lobuz09]

Rzeczywiście, coś skopałem, wybacz

 

Oto nowy log z USBfix:

 

UsbFix Listing 2 RZEZNIK.txt

[Anonim8]

Czekaj, za kilkanaście minut sprawdze log i dam instrukcje.

 

 

Pendrak ma byc podłączony. Uruchom OTL i w oknie Dodatkowe opcje skanowania skrypt wklej

 

:OTL
O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)

:Files
RECYCLER /alldrives
K:\*.lnk
attrib /d /s -s -h K:\* /C
netsh firewall reset /C

:Commands
[emptytemp]

 

 

Kliknij w Wykonaj skrypt.

 

 

2. Po usuwaniu dajesz nowy skan z OTL i USBfix.

[lobuz09]

Wykonałem skrypt, oto skany:

 

 

 

UsbFix Listing 3 RZEZNIK.txt

OTL2.Txt

[jessica]

Uzgodniłam z @Belfegor, że chwilowo ja przejmę Twój temat.

 

Po pierwsze:

w logu USBFix widać, że pliki mają atrybut S.H. (ukryty, Systemowy) - czy sam dałeś im te atrybuty?

 

Po drugie:

w logu USBFix widać, że niektóre pliki mają dziwny początek nazwy oraz do rozszerzenia jest dodany przyrostek X , i takie pliki mają wszystkie jednakowy rozmiar: 165 np:

[03/08/2012 - 16:08:02 | SH | 165]     K:\~$auswertung geschwindigkeit.xlsx

 

To Twój pomysł?

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
IE - HKU\S-1-5-21-3066218492-791253382-2608533103-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
[2010-12-01 20:51:18 | 000,000,000 | ---D | M] (vShare) -- C:\Users\miko\AppData\Roaming\mozilla\Firefox\Profiles\evfm15an.default\extensions\vshare@toolbar
[2012-04-02 22:22:01 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Users\miko\AppData\Roaming\mozilla\Firefox\Profiles\m4ixjbug.default\extensions\ffxtlbra@softonic.com
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3 - HKU\S-1-5-21-3066218492-791253382-2608533103-1000\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
O3 - HKU\S-1-5-21-3066218492-791253382-2608533103-1000\..\Toolbar\WebBrowser: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-3066218492-791253382-2608533103-1000..\Run: [iTunesHelper] wscript.exe //B "C:\Users\miko\AppData\Local\Temp\iTunesHelper.vbe" File not found
O4 - HKLM..\RunOnce: []  File not found
O4 - Startup: C:\Users\miko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.45.2)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.45.2)
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
[2013-11-04 16:57:38 | 069,558,262 | -HS- | M] () -- C:\Users\miko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe

:Files
iTunesHelper.vbe  /alldrives
attrib /d /s -s -h K:\* /C
attrib -s -h K:\~$auswertung 2.xlsx
attrib -s -h K:\skf1078.JPG
attrib -s -h K:\do organizacji ruchu rondo.dwg
attrib -s -h K:\~$auswertung uberkopf 3 Tage.xlsx
attrib -s -h K:\kontakty.xlsx
attrib -s -h K:\~$auswertung geschwindigkeit.xlsx
attrib -s -h K:\~$prezentacja Michał Łobacz obrona1.pptx
attrib -s -h K:\Nierówności pionowe toru, metody pomiaru i dopuszczalne.pptx
attrib -s -h K:\~$Nierówności pionowe toru, metody pomiaru i dopuszczalne.pptx

:Reg
[-HKEY_USERS\S-1-5-21-3066218492-791253382-2608533103-1000\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Zrób nowy log z USBFix, z opcji LISTING.

 

jessi

[lobuz09]

Dzięki jessica za przejęcie tematu.

 

Nie, nie nadawałem plikom tych atrybutów. Jedyne co nachodzi mi na myśl odnośnie plików ukrytych i systemowych to to, że włączyłem w opcjach folderów wyświetlanie właśnie ukrytych i systemowych folderów.

 

Wydaje mi się, że rozszerzenie xlsx automatycznie zostało utworzone, gdy pracowałem na excellu 2007.

Dziwny przedrostek może ma związek z tym, iż wtedy pliki w wordzie i excellu robiłem po niemiecku (ale w polskiej wersji programu)?

 

Wykonałem dwa razy skrypt w OTL, bo za pierwszym razem miałem odłączony pendrive..  mam nadzieję, że nie utrudniłem tym mocno

 

Oto logi: 

 

 

bez pendrive.txt

z pendrivem.txt

OTL3.Txt

UsbFix Listing 4 RZEZNIK.txt

[jessica]

Teraz wszystkie obiekty na penie są widoczne, więc z ich nazw usuń te dziwne ~$

 

Potem:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
G:\*.lnk

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z USBFix.

Zaznacz w nim te obiekty, które są Twoje i masz do nich dobry dostęp.

Nie zaznaczaj obiektów, które wprawdzie mają nazwy podobne do Twoch, ale ich zawartość nie jest Twoja.

 

jessi

[lobuz09]

Wykonałem skrypt.

 

A pro po zaznaczania obiektów.. nie wiem czy do końca rozumiem. Na pendrive oprócz folderów i plików, do których mam dostęp, są skróty (ilość: 21) z roszerzeniem *.lnk

I to do nich nie mam dostępu. Po próbie otwarcia dostaję komunikat:  System Windows nie może odnaleźć pliku "iTunesHelper.vbe". Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie.".

UsbFix 23_55.txt

raport 23_55.txt

[jessica]

Pomyliłam literkę pendrive'a, więc powtórka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
K:\*.lnk

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z USBFix.

 

K:\auswertung uberkopf 3 Tage.xlsx
K:\auswertung geschwindigkeit.xlsx
K:\Nierówności pionowe toru, metody pomiaru i dopuszczalne.pptx
K:\Nierówności pionowe toru, metody pomiaru i dopuszczalne (2).pptx

Sprawdź te pogrubione, czy zawartość ich jest Twoja. Mają identyczny rozmiar: 165.

 

jessi

[lobuz09]

Tych pogrubionych plików nie mogę odpalić - wyskakuje błąd w excellu. Dotyczy to również pliku K:\auswertung 2.xlsx i K:\Auswertung.xlsx

Wklejam oba logi:

UsbFix Listing 7 RZEZNIK.txt

raport 22.11.txt

[jessica]

w nazwach tych plików zmień rozszerzenie *.xlsx na *.xls

potem spróbuj je otworzyć, i sprawdzić, co zawierają

i czy nie są one duplikatami innych Twoich plików, o podobnej nazwie

 

jessi

[lobuz09]

w nazwach tych plików zmień rozszerzenie *.xlsx na *.xls

potem spróbuj je otworzyć, i sprawdzić, co zawierają

i czy nie są one duplikatami innych Twoich plików, o podobnej nazwie

 

jessi

Zmieniłem rozszerzenia.

Po tej operacji pliki można otworzyć, ale zawierają głupstwa (pojedyncze wyrazy nie mające związku z pierwotną zawartością).

 

Natomiast nie zależy mi na tych plikach - mam je oryginalne na komputerze - mogę śmiało je usunąć.

[jessica]

[01/08/2012 - 17:08:18 | A | 165]     K:\auswertung 2.xlsx

[19/07/2012 - 11:57:54 | A | 165]     K:\Auswertung.xlsx

[03/08/2012 - 16:02:54 | A | 165]     K:\auswertung uberkopf 3 Tage.xlsx

[03/08/2012 - 16:08:02 | A | 165]     K:\auswertung geschwindigkeit.xlsx

[12/03/2012 - 23:00:36 | N | 11275]     K:\kontakty.xlsx

[07/11/2013 - 20:13:26 | N | 908340]     K:\Nierówności pionowe toru, metody pomiaru i dopuszczalne.pptx

[09/11/2013 - 11:28:12 | A | 165]     K:\Nierówności pionowe toru, metody pomiaru i dopuszczalne (2).pptx

[20/11/2013 - 20:30:34 | N | 54830]     K:\Wzór formularza uproszczony.docx

[10/09/2012 - 14:41:28 | A | 165]     K:\prezentacja Michał Łobacz obrona1.pptx

To pewnie tak samo jest ze wszystkimi powyższymi plikami, bo mają do rozszerzeń dodane na końcu "x", zarówno pliki Excela, jak i Worda, jak i Power Pointa.

Jeśli masz dobre kopie ich wszystkich na dysku, to te wszystkie uszkodzone pliki po prostu usuń.

 

jessi

[lobuz09]

To pewnie tak samo jest ze wszystkimi powyższymi plikami, bo mają do rozszerzeń dodane na końcu "x", zarówno pliki Excela, jak i Worda, jak i Power Pointa.

Jeśli masz dobre kopie ich wszystkich na dysku, to te wszystkie uszkodzone pliki po prostu usuń.

 

jessi

 

Tak zrobiłem, usunąłem te pliki.

 

Jeśli to już wszystko, to bardzo dziękuję za pomoc Zarówno Tobie, jak i Belfegorowi.

 

Tylko o co tu właściwie chodziło? To był jakiś wirus na pendrive, czy po prostu system zapisu się zepsuł lub coś w tym stylu?

[jessica]

To była infekcja pendrivowa.

Natomiast te zaszyfrowane pliki to chyba jakaś nowość, bo z taką wersją tej infekcji pendrivowej do tej pory się nie zetknęłam.

Do tej pory infekcja tylko wstawiała skróty, ukrywając jednocześnie foldery o nazwach takich samych, jak skróty.

Ale infekcja ta nie zaszyfrowywała pojedyńczych plików.

U Ciebie było inaczej.

Dobrze, że miałeś kopie tych plików, bo trudno byłoby znaleźć odpowiedni deszyfrator plików.

 

jessi

[lobuz09]

To była infekcja pendrivowa.

Natomiast te zaszyfrowane pliki to chyba jakaś nowość, bo z taką wersją tej infekcji pendrivowej do tej pory się nie zetknęłam.

Do tej pory infekcja tylko wstawiała skróty, ukrywając jednocześnie foldery o nazwach takich samych, jak skróty.

Ale infekcja ta nie zaszyfrowywała pojedyńczych plików.

U Ciebie było inaczej.

Dobrze, że miałeś kopie tych plików, bo trudno byłoby znaleźć odpowiedni deszyfrator plików.

 

jessi

 

Dzięki raz jeszcze za pomoc.