Recycler na pendrive

[Madzikk]

Witam, niestety na moim pendrivie wkradl sie wirus, ktory zatrul mi jeden folder w folderze mam dosc wazne pliki i chcialabym go odzyskac. Ponizej przesylam zalaczniki skanow

Extras.Txt

UsbFix Listing 1 MADZIK.txt

Addition.txt

FRST.txt

gmerMadzik.txt

OTL.Txt

[picasso]

W kwestii owego "zatrutego" folderu: folder jest jedynie ukryty (widać go po odznaczeniu w Opcjach folderów opcji "Ukryj chronione pliki systemu operacyjnego"). Folder należy odkryć.

Odrębna sprawa to sam system, w którym są szczątki adware (m.in. aartemis).

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: attrib -s -h F:\wszystko
CMD: rd /s /q F:\RECYCLER
C:\Users\Magda\AppData\Roaming\Babylon
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {1B9F830A-21E7-4BDC-9D9F-2C706DFAA41D} URL =
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.youwillfind.info/?l=1&q={searchTerms}&pid=512&r=2013/04/24&hid=2032089653&lg=EN&cc=PL
SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689 URL =
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385380379&from=obw&uid=ST500LT012-9WS142_W0V0KX3WXXXXW0V0KX3W&q={searchTerms}
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={BAE85896-BEC9-4799-AC7A-7860576FB0A3}&mid=4e45cac9aeb34fc39d46f8fcd981273d-c10b2142ba203899408fa1ba0056bb9de8e7a6d7&lang=pl&ds=xn011&pr=sa&d=2012-11-21 00:08:58&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.youwillfind.info/?l=1&q={searchTerms}&pid=512&r=2013/04/24&hid=2032089653&lg=EN&cc=PL
CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Magda\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-11-25]
Task: {74FC160F-DC59-4543-B46D-5EE8073B5D19} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{7CD4AD87-B7A6-4883-9D51-54C167EE758D}.exe
Task: {8294A0BE-6943-45F5-8F16-0982440CBC50} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{F600AFDD-DD13-4F4A-8E08-24FEE890E465}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{F600AFDD-DD13-4F4A-8E08-24FEE890E465}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{7CD4AD87-B7A6-4883-9D51-54C167EE758D}.exe
HKLM-x32\...\Run: [vProt] - C:\Program Files (x86)\AVG Secure Search\vprot.exe [2486296 2014-01-09] ()
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKCU\...\Run: [ALLUpdate] - "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Odinstaluj zbędny pasek AVG Security Toolbar.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowe logi: FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

.

[Madzikk]

Ok, dziekuje, w zalacznikach nowe logi

FRST.txt

Fixlog.txt

AdwCleanerS0.txt

UsbFix Listing 2 MADZIK.txt

[picasso]

Folder F:\wszystko został pomyślnie odkryty, reszta zadań także wykonana. Możemy kończyć:

 

1. Preferencje Google Chrome wyglądają na świeżo uszkodzone. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

 

2. Odinstaluj USBFix, przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.

[Madzikk]

Dziękuje Picasso co do google chrome czy ten reset jest potrzebny? Moja praca glownie opiera sie na przegladarce po resecie usuna mi sie bardzo wazne zakladki i hasla ;/ no i jeszcze jedno pytanie, czy te wszystkie logi moge juz pousuwac czy jakis mam zostawic?

[picasso]

co do google chrome czy ten reset jest potrzebny? Moja praca glownie opiera sie na przegladarce po resecie usuna mi sie bardzo wazne zakladki i hasla ;/

Reset Google Chrome nie narusza zakładek i haseł. Opis funkcji: KLIK.

 

 

czy te wszystkie logi moge juz pousuwac czy jakis mam zostawic?

Logi w temacie mają zostać. Jeśli mówisz o dysku, to podany wcześniej punkt 2 powinien usunąć większość logów, a resztę wykończ ręcznie z dysku.

 

 

.