fareN Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Witam forumowiczów, forumowiczki.Mam problem ze swoim PENDRIVE. Po wejściu w dysk widać jedynie skrót Removable drive, nie da się w niego wejść, ani w żaden normalny sposób odczytać danych. Trochę poszukałem, znalazłem poradnik, wpisałem kilka komend w wierszu poleceń, po czym skopiowałem dane i sformatowałem pendrive, jednak to nie pomogło. Dalej robi się to samo. Jestem zielony i nie bardzo wiem co mam zrobić, dlatego liczę na waszą pomoc. Wstawiam obowiązkowe logi + usbfix. Pozdrawiam Addition.txt FRST.txt GMER.txt Shortcut.txt UsbFix_Report.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Poproszę o inny log z USBFix - z opcji Listing. Gdy go otrzymam, zajmę się usuwaniem omawianej infekcji oraz adware (kupa szkodliwych sterowników). Odnośnik do komentarza
fareN Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Dodałem. UsbFix Listing 1 BARTEK-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 A jaki powód wgrywania systemu od nowa? Poza tym, problem stanu pendrive, który notabene jest sprawny jako urządzenie, jest podrzędny w stosunku do tego co się dzieje w systemie - na pendrive nie ma nic szczególnego (skrót infekcji i ukryty folder "bez nazwy" w którym są dane). Opis tego zjawiska: KLIK. To czynna infekcja w systemie ma negatywny wpływ obecnie (a nie pendrive, tam są tylko skutki), m.in. zamulenie i blokada programów zabezpieczających, dodatkowo sterowniki adware są mocno inwazyjne, ich pobyt skutkuje problemami sieciowymi oraz konfliktami z innymi (np. na forum notowane błędy sterowników grafiki czy nawet BSOD). Akcje do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {255a824a-3cde-4dee-9785-284605606456}Gw; C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw.sys [43200 2014-10-28] (StdLib) R1 {71841b04-1cf8-4575-bb09-affe4c54c593}Gw; C:\Windows\System32\drivers\{71841b04-1cf8-4575-bb09-affe4c54c593}Gw.sys [43152 2015-03-16] (StdLib) R1 {b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw; C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw.sys [43152 2014-10-25] (StdLib) R1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw.sys [43152 2014-10-24] (StdLib) R1 {fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw; C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw.sys [43200 2014-10-31] (StdLib) R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] R2 MaintainerSvc1.20.7247763; C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b\maintainer.exe [128232 2015-07-13] () R2 VSSS; C:\Users\Bartek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [100135104 2015-06-23] (Microsoft Corporation) [File not signed] HKLM\...\RunOnce: [] => [X] HKU\S-1-5-21-3193886611-3762004184-2434545920-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\mscrzoj.exe Task: {84655EDB-A879-4D42-A5CD-7E38AA16DC35} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {FAEABC3B-9CD4-4DF9-84B4-B0C9DB948128} - System32\Tasks\{057538BB-3AA7-4662-BE43-EBFDDB1FA145} => Firefox.exe http://ui.skype.com/ui/0/7.1.59.105/pl/abandoninstall?page=tsProgressBar Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files\*.exe C:\ProgramData\mscrzoj.exe C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b C:\Users\Bartek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw.sys C:\Windows\System32\drivers\{71841b04-1cf8-4575-bb09-affe4c54c593}Gw.sys C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw.sys C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw.sys C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw.sys H:\Removable Drive (16GB).lnk CMD: attrib /d /s -s -h H:\* CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Po akcji wejdź na pendrive. Powinien być widoczny folder "bez nazwy" - to do niego infekcja przesunęła wszystkie dane. Przenieś je poziom wyżej, a folder przez SHIFT+DEL (omija Kosz) skasuj. 3. Infekcja wyłączyła Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla dysku C. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. Wypowiedz się jak działa system, gdyż po w/w usuwaniu powinien znacznie przyśpieszyć, powinna się też poprawić łączność sieciowa. Odnośnik do komentarza
fareN Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Dodałem nowe logi. Ciężko mi mówić o poprawie w działaniu systemu po kilku minutach pracy. Póki co nie ma zauważalnych zmian, jednak na pewno rozwiązało to problem związany z pendrive. Nie było pliku "bez nazwy", bo pendrive był pusty, ale gdy wrzuciłem tam plik, już nie zamieniał się w skrót removable drive. Fixlog.txt FRST.txt UsbFix Listing 2 BARTEK-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Ciężko mi mówić o poprawie w działaniu systemu po kilku minutach pracy. Póki co nie ma zauważalnych zmian Sprecyzuj jakie problemy konkretnie w systemie są, że przymierzasz się do reinstalacji. Nie było pliku "bez nazwy", bo pendrive był pusty, ale gdy wrzuciłem tam plik, już nie zamieniał się w skrót removable drive. Fix FRST usunął wprawdzie infekcję z systemu, ale nic nie wykonał na pendrive, bo nie znalazł w ogóle dysku "H:". Czy pendrive na pewno był podpięty podczas akcji? A folder "bez nazwy" utworzony przez infekcję cały czas na pendrive jest tylko go nie widzisz: [13/07/2015 - 14:05:22 | SHD] - H:\ Fix FRST miał go odkryć. To się nie wykonało. Włącz pokazywanie ukrytych systemowych plików: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odptaszkuj Ukryj chronione pliki systemu operacyjnego. Po tej akcji zaległy krok: Powinien być widoczny folder "bez nazwy" - to do niego infekcja przesunęła wszystkie dane. Przenieś je poziom wyżej, a folder przez SHIFT+DEL (omija Kosz) skasuj. Odnośnik do komentarza
fareN Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Wydaję mi się, że nie wyjmowałem pendrive. A co do zaległego kroku to zrobione Przymierzałem się do reinstalacji, z powodu ogólnego spowolnienia działania systemu, po formacie to zawsze wszystko chodzi szybciej Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Wydaję mi się, że nie wyjmowałem pendrive. Możliwe, że na Twoim systemie w Trybie awaryjnym pendrive przestał być widoczny. Zależy to od rodzaju hardware, na niektórych konfiguracjach pendrive jest dostępny w takim trybie, na innych zaś nie. Przymierzałem się do reinstalacji, z powodu ogólnego spowolnienia działania systemu, po formacie to zawsze wszystko chodzi szybciej Czy na pewno obecnie są widoczne problemy? Dużo dziadostwa usunęłam za pomocą FRST. Jeśli jednak nadal "muli", to przed stawianiem systemu na nowo upewnij się, że nie ma tu wpływu ESET, bo po stawianiu systemu na nowo + ESET może się okazać, że zmian brak. Oprogramowanie zabezpieczające to typowy podejrzany w takich przypadkach. Testowo go odinstaluj i sprawdź rezultaty. Odnośnik do komentarza
fareN Opublikowano 15 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2015 Cóż, póki co nie będę wgrywał systemu na nowo Dziękuję serdecznie za pomoc Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2015 Zgłoś Udostępnij Opublikowano 15 Lipca 2015 Adware było usuwane, jeszcze dla pewności uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Strzelczanin Opublikowano 10 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2015 Droga @picasso jaka infekcja powoduję że używasz polecenia CMD: netsh advfirewall reset Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się