Pendrive - Nie można odnaleźć określonego modułu

[cossack05]

Witam,

 

po otworzeniu pendrive wyskakuje mi błąd: "Wystąpił problem podczas uruchamiania pliku PWVSUARGASMHNMPFNIX.ini Nie można odnaleźć określonego modułu."

 

Najprawdopodobniej uruchomiłem jakąś infekcje. Prosiłbym o pomoc, gdyż na pendravie znajdują się bardzo ważne pliki i chciałbym je odzyskać.

 

Dołączam log z USBFix: USBFix.txt

 

Z góry dziękuje za pomoc.

 

 

[picasso]

Proszę nie omijać zasad działu i dostarczyć pozostałe obowiązkowe raporty: KLIK.

[cossack05]

Bardzo przepraszam za niedopatrzenie, przesyłam resztę raportów:

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

System nie jest zainfekowany, do wykonania będą tylko drobne działania poboczne. Natomiast pendrive owszem musi zostać wyczyszczony z infekcji i jej skutków. Infekcja ukryła dane wg tego sposobu: KLIK. Różnica tu jest taka, że prawdopodobnie zamiast spacji jest jakiś dziwny znaczek, niestety raporty USBFix są kodowane w ANSI (utrata specjalnych znaków) i widać tylko pytajnik:

 

[28/01/2015 - 11:13:14 | SHD] - F:\?

 

Akcje do przeprowadzenia:

 

1. Odinstaluj stare wersje i zbędniki: Adobe AIR, AVG Security Toolbar, Bing Bar, Gadu-Gadu 10, Java 7 Update 10 (64-bit), Java 7 Update 60, Java™ 6 Update 20.

 

2. Zakładam, że pendrive nadal jest widziany pod literą F:. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {28D771DF-6B36-4839-9F98-04A23CF99F61} - System32\Tasks\{3FE46AD6-082F-4572-80E0-4A7E4D19687F} => pcalua.exe -a C:\Users\toshiba\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall
Task: {330D66F3-936D-48B8-9867-99EC313E7C44} - System32\Tasks\{BC9BEEE6-AF0C-49A1-AA31-0F90AE61753F} => pcalua.exe -a F:\autorun.exe -d F:\
Task: {4BD7D116-00A4-4DCD-9C54-4EFC7FEA68CF} - System32\Tasks\{DB01F20B-E555-4F79-8365-5E50E1142908} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{C43C1415-3DFC-4089-9A32-0BECF28A6046}\setup.exe" -c -runfromtemp -l0x0409
Task: {7844019F-79E5-43D5-A771-410065F2B71F} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{684A7197-5460-42A7-AE8F-7B01259CB62E}.exeFacebookUpdate.exe [2014-01-29] (Facebook Inc.)
Task: {B524F9AF-C696-4E2C-AB29-D9E47B34E743} - System32\Tasks\{9808A9DA-FBE8-4808-A624-E73C509FA2D9} => pcalua.exe -a "C:\Users\toshiba\Desktop\Star Wars\Patch\SWKotOR1_03.exe" -d "C:\Users\toshiba\Desktop\Star Wars\Patch"
Task: {C7AD5925-5888-4702-8C9E-7E48AA8AB53A} - System32\Tasks\{DCC92792-038F-4DE9-B1F3-29D997389E87} => pcalua.exe -a C:\Users\toshiba\Downloads\GameRangerSetup.exe -d C:\Users\toshiba\Downloads
Task: {D630D5C7-1260-4C3A-8594-5636820B836B} - System32\Tasks\{36176734-9DAB-48CC-A132-7C5EC8FE2D6C} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar
Task: {D7F436C4-7EB9-4ACC-94AC-039E820BB26D} - System32\Tasks\{8E8C7734-E8AE-4CC6-8650-500BB5884BAC} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -c -runfromtemp -l0x0015 -removeonly
Task: {DB72DEEF-9B2D-4C83-9DFB-9C074FDE0A87} - System32\Tasks\{CAD1DA82-0183-483F-BA33-9F8BD8276CF1} => pcalua.exe -a "D:\Half-life 2\Uninstal.exe"
Task: {EDCF4946-66CE-4AC1-AD07-C306397AC1E2} - System32\Tasks\{8C4EC318-9327-4C70-A604-B0CE343BEEF9} => pcalua.exe -a "C:\Program Files (x86)\Steam\steam.exe" -c steam://uninstall/63710
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{684A7197-5460-42A7-AE8F-7B01259CB62E}.exe 
SearchScopes: HKLM-x32 -> {2D0E38F0-F23F-46B4-A210-2017517BD604} URL = http://startsear.ch/?aff=2&src=sp&cf=a1ee511e-109f-11e2-a882-e89a8f88a207&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> DefaultScope {12FDD30F-A064-4728-9F04-05CEB76D9437} URL =
SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> {12FDD30F-A064-4728-9F04-05CEB76D9437} URL =
SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> {2D0E38F0-F23F-46B4-A210-2017517BD604} URL = http://startsear.ch/?aff=2&src=sp&cf=a1ee511e-109f-11e2-a882-e89a8f88a207&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={FDCF3197-A20D-4FFF-A27D-1E0E6EBFED2C}&mid=773c128781014667bf7b0dcc5728d928-8d264eee1c6075b7c76ab539c471f296508062e7&lang=pl&ds=ik011&pr=&d=2012-09-25 18:15:51&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [Not Found]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml
FF user.js: detected! => C:\Users\toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\vvdaavdv.default\user.js
C:\Program Files (x86)\GUT49AC.tmp
C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\TEMP
C:\Users\toshiba\Downloads\Niepotwierdzony*.crdownload
F:\OLIFKA (4GB).lnk
F:\desktop.ini
F:\autorun.inf
F:\Thumbs.db
CMD: attrib /d /s -r -s -h F:\*
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Jeśli wsystko pójdzie dobrze, na urządzeniu powinien zostać odkryty folder o nazwie dziwnego znaku. Tam są dane. Przenieś je z tego folderu poziom wyżej, a ten dziwny folder usuń przez SHIFT+DEL (omija Kosz), o ile da się to zrobić.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

[cossack05]

Bardzo dziękuje za pomoc, udało się odzyskać pliki.

Fixlog.txt

FRST.txt

USBFix.txt

[picasso]

Tylko zapytam: jaką nazwę rzeczywistą miał ten folder infekcji na pendrive, w którym były ukryte dane? Czy to był jakiś "chiński krzaczek" czy coś innego? Wszystko wykonane, z wyjątkiem deinstalacji paska AVG - ona się nie do końca udała i nadal są pewne komponenty zarejestrowane. Czy był problem z prawidłową deinstalacją, skoro użyłeś "AVG Remover"?

 

Poprawki. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\18.3.0\ViProtocol.dll (AVG Secure Search)
FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.3.0\\npsitesafety.dll No File
FF Plugin: @java.com/DTPlugin,version=10.10.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File
FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll No File
S2 vToolbarUpdater18.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.3.0\ToolbarUpdater.exe [X]
HKLM-x32\...\Run: [vProt] => "C:\Program Files (x86)\AVG Secure Search\vprot.exe"
CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s "C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\18.3.0\ViProtocol.dll"
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Program Files (x86)\Java
CMD: del /q C:\Users\toshiba\Downloads\kdyosz36.exe
CMD: del /q C:\Users\toshiba\Downloads\ow13t6zd.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[cossack05]

Otóz zainfekowany folder w ogóle nie miał nazwy.Jeżeli chodzi o AVG, były pewne problemy z deinstalacją. Robiłem wszystko według instrukcji, która pokazywała się w przeglądarce, jednak wciąż nie mogłem usunąć tego programu. Musiałem użyć AVG Remover, z tym że ponownie z deinstalacją poszło coś nie tak.

 

Fixlog.txt 

[picasso]

Ostatnie zadanie wykonane. Kończymy:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[cossack05]

Wszystko wykonane, z tym że na pendrive znajduje się folder "System Volume Information". Czy mam usunąć ten folder?

 

 

[picasso]

Foldery "System Volume Information" od Przywracania systemu są przez system tworzone na wszystkich dostępnych dyskach, w tym także i na pendrive. Folderu z pendrive raczej nie dasz rady usunąć w prosty sposób, a po usunięciu każdorazowe podpięcie pod Windows i tak będzie go tworzyć.