Ellesime Opublikowano 9 Października 2015 Zgłoś Udostępnij Opublikowano 9 Października 2015 Witam. Temat na forum już wystąpił ale poruszam go ponieważ ze względu na inny sprzęt będę musiał podjąć inne kroki. Po podłączeniu pendrive'a do komputera stacjonarnego darmowy program AVG wykrył szereg wirusów które automatycznie kazałem wyleczyć. Po tej operacji pliki na pendriv'ie stały się niewidoczne (nawet po włączeniu opcji pokazywania ukrytych plików i folderów) na obecnym systemie Windows 7 64-bit SP1. Komputer i pendrive po skanowaniu na obecność wirusów nie pokazują żadnych infekcji, co ciekawe sprawdzając zawartość pendrive'a z obecnymi lecz ukrytymi plikami na drugim komputerze z systemem Windows XP 32-bit ukrytą zawartość moich ważnych danych można swobodnie przeglądać i uruchamiać po włączeniu opcji pokazywania ukrytych plików i folderów.Przepraszam za błędy i niedociągnięcia przy stosowaniu zasad forum, pierwszy raz korzystam i uprzejmie proszę o pomoc zwłaszcza z przywróceniem pierwotnych właściwości plików na pendriv'ie, które stały się ukryte bez możliwości odznaczenia tej opcji w ich właściwościach. Serdecznie pozdrawiam. Addition.txt FRST.txt Gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Października 2015 Zgłoś Udostępnij Opublikowano 9 Października 2015 Poproszę także o log z USBFix z opcji Listing zrobiony przy podpiętym pendrive. Odnośnik do komentarza
Ellesime Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Nie jestem pewien czy poprawnie wygenerowałem logi z usbfix po jednorazowym omyłkowo kliknięciu opcji "research", pogram również zaproponował darmową pomoc ze strony innej niż nasza z której korzystam i oczywiście odmówiłem1 plik sam się pokazał obok uruchomionego programu, drugi natomiast wygenerowany w scieżce c:/usbfix/log pokazuje więc oba ..ciężki poranek i nie doczytałem dokładnie więc poprawiam i dodaje raport z listing UsbFix_Report.txt UsbFix Scan 1 SERWER.txt UsbFix Listing 1 SERWER.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Ogądany tu system nie jest zainfekowany. Pendrive musiał być podpinany do innego zainfekowanego systemu. Dane zostały ukryte przez infekcję za pomocą atrybutów "HS" = "ukryty systemowy". Różnica w widoczności zawartości pendrive spod dwóch systemów wynika zapewne z nietożsamej konfiguracji na tych systemach: Opcje folderów > Widok > Pokaż ukryte pliki i foldery (ma być zaznaczone) + Ukryj chronione pliki systemu operacyjnego (ma być odznaczone). Operacja leczenia sprowadza się więc tu do odkrycia danych na pendrive. Akcja: 1. Zakładam, że pendrive jest nadal podpięty i widoczny pod literą F. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: attrib /d /s -s -h F:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f S3 gdrv; \??\C:\Windows\gdrv.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobnostka w Google Chrome. Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt. Skan FRST z tego systemu nie jest mi już potrzebny, ale na wszelki wypadek dodaj logi z systemu XP. Odnośnik do komentarza
Ellesime Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Dołączam logi zgodnie z prośbą.Dołączam również log z delfix. Przepraszam za zwłokę po przejściu na drugi komputer w nowym poście załączę wszystkie logi z systemu XP UsbFix Listing 2 SERWER.txt Fixlog.txt UsbFix_Report.txt DelFix.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2015 Zgłoś Udostępnij Opublikowano 10 Października 2015 Sprawa pendrive rozwiązana. 1. Na tym systemie skasuj pobrany GMER, odinstaluj USBFix oraz zastosuj DelFix. 2. Prosiłam o dostarczenie logów FRST + GMER z systemu XP. Odnośnik do komentarza
Ellesime Opublikowano 10 Października 2015 Autor Zgłoś Udostępnij Opublikowano 10 Października 2015 Starałem się utworzyć logi lecz zabrakło czasu i muszę zamknąć firmę a to co załączam to strzępek informacji + screen błędu, w poniedziałek 12.10 postaram się do południa wysłać resztę informacji, bardzo dziękuje za pomoc do tej pory.Serdecznie pozdrawiam. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 11 Października 2015 Zgłoś Udostępnij Opublikowano 11 Października 2015 Nadal brak pliku FRST Shortcut. Co do GMER i błędu "Brak dysku", nie widać okna GMER i co na pasku postępu było w tym momencie skanowane. Ale ogólnie nie ma się czym przejmować, ten błąd to wynik nieistniejącej ścieżce w rejestrze, np. w kluczu MountPoints2 (to i tak będę czyścić), Setup lub innym. Podobne tematy: KLIK / KLIK. Ten system jest zainfekowany adware - w tle działa aktywna usługa, poza tym liczne odpadki po niekompletnym usuwaniu śmieci. Do przeprowadzenia będą następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\PRZOD1\Dane aplikacji\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 USBPNPA; system32\drivers\CM108.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} HKU\S-1-5-21-1708537768-1425521274-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1708537768-1425521274-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} SearchScopes: HKU\S-1-5-21-1708537768-1425521274-1801674531-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1440235272&z=dc04bf7d238245b586b2a04gczfz4eao4cbw6geqae&from=cor&uid=ADATAXSP800_02C19134500200001056 FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\defsearchp@gmail.com FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\default_newtabff@gmail.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2014-05-08] C:\Documents and Settings\All Users\Dane aplikacji\3WinManPro3 C:\Documents and Settings\All Users\Dane aplikacji\UWinManProU C:\Documents and Settings\All Users\Dane aplikacji\update C:\Documents and Settings\PRZOD1\UserData C:\Documents and Settings\PRZOD1\Dane aplikacji\eCyber C:\Documents and Settings\PRZOD1\Dane aplikacji\Picexa Viewer C:\Documents and Settings\PRZOD1\Dane aplikacji\TSv C:\Program Files\MiniLite C:\Program Files\Picexa C:\Program Files\SFK C:\WINDOWS\pss\MyPC Backup.lnkStartup C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^PRZOD1^Menu Start^Programy^Autostart^MyPC Backup.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\390ebfb990ddcb4d3008f50886260f65" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type C:\windows\system32\pl.html DisableService: Mobile Partner. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia AntiGameOrigin i Adblock Plus trzeba będzie ponownie zainstalować. Menu Historia > Wyczyść historię przeglądania 3. Uruchom AdwCleaner. Wybierz tylko opcję Skanuj (nie używaj jeszcze Usuń). Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), dostarcz brakujący Shortcut. Dołącz też plik fixlog.txt oraz log AdwCleaner. Odnośnik do komentarza
Ellesime Opublikowano 13 Października 2015 Autor Zgłoś Udostępnij Opublikowano 13 Października 2015 Załączam logi z systemu XP zgodnie z prośba. za moment dołączę brakujące Dorzucam brakujące frst+shortcut i przepraszam za zwłokę Fixlog.txt AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerS0.txt AdwCleanerS3.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Wszystko zostało wykonane. Drobne poprawki i kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\cdsy2tzl.default-1444748903546\user.js" CMD: del /q C:\windows\system32\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Po pokazaniu w/w skasuj ręcznie z folderu "antimalware" FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Java KLIK. Odnośnik do komentarza
Ellesime Opublikowano 21 Października 2015 Autor Zgłoś Udostępnij Opublikowano 21 Października 2015 Przedstawiam fixlog,bardzo dziękuje za pomoc i pozdrawiam serdecznie. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 Fix pomyślnie wykonany. Czynności końcowe już zadałam. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi