Skrót "Removable Drive" - brak plików na pendrive

[manisek]

Witam,

zniknęły mi wszystkie pliki na pendrive i pozostał tylko skrót Removable Drive, duża część pamięci na pendrive jest zajęta. Zależy mi na odzyskaniu plików. W załącznikach dodaje logi, proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

UsbFix Listing 1.txt

[picasso]

W systemie nie ma oznak infekcji tego typu - są tylko źle doczyszczone odpadki po instalacjach adware (w tym jeden z nich czynny) i to i tak trzeba doczyścić. Opis wskazuje, że jest na urządzeniu ta infekcja: KLIK. Tylko że zawartość pendrive jest tu nadal w ogóle nieznana: w USBFix widać, że był podpięty podczas skanu, tylko że USBFix w ogóle nie był w stanie pokazać jego zawartości, co może oznaczać że jest także inny problem z urządzeniem. Na razie więc nic nie będzie robione na urządzeniu, za pomocą FRST spróbuję sprawdzić co jest na urządzeniu.

 

 

Działania wstępne:

 

1. Odinstaluj niepożdany program typu PUP FileViewPro oraz stare wersje Java 7 Update 25, Java 8 Update 51.

 

2. W skrypcie pobieram zawartość pendrive, zakładam że nadal jest podpięty i widziany pod literą F:. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms}
HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms}
HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=401&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=401&src=ds&p={searchTerms}
SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=401&src=ds&p={searchTerms}
ShortcutWithArgument: C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
ShortcutWithArgument: C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
ShortcutWithArgument: C:\Users\BW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS
S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc2.cfg [41872 2014-07-09] (Aztec Media Inc)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
Task: {1517DF8C-B3D4-4925-A9C0-4CDC5B57A23C} - System32\Tasks\{0A0136E5-2FA1-44BD-91E0-FD1AC9D00320} => pcalua.exe -a "D:\Program Files (x86)\Photodex\ProShow Producer\remove.exe"
Task: {41ACF69E-BAFD-4BF3-A982-BE5292E1B8EE} - System32\Tasks\{C053DAFC-B67B-416C-83FB-FE99DEBC5B3F} => pcalua.exe -a C:\Users\BW\Downloads\Winamp(12928).exe -d C:\Users\BW\Downloads
Task: {71B0EB93-7610-439B-9738-A9AE7F951E90} - System32\Tasks\{CC008C0D-10DC-4BC3-9551-655EF0ECE1BC} => pcalua.exe -a "D:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe"
Task: {89125BFD-9D90-48DD-807D-8FA20C52D35A} - System32\Tasks\{C211B08B-284D-4F4A-9C86-E98D0A7A9DF3} => pcalua.exe -a D:\decek\AutoCAD_2011_Polish_Win_64bit.exe -d D:\decek
Task: {C0036342-5006-4E19-A61B-911A69F6403E} - System32\Tasks\{F4D4BF0E-5673-4823-BB61-496AB415D42B} => pcalua.exe -a D:\decek\AutoCAD.2011.PL.32bit\AutoCAD_2011_Polish_Win_32bit.exe -d D:\decek\AutoCAD.2011.PL.32bit
Task: {E4729F00-5358-4EA3-85A8-C117A8E851BB} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe 
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Settings Manager
C:\ProgramData\Mozilla
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Easy Burner
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper
C:\Users\BW\AppData\Local\Mozilla
C:\Users\BW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Free Easy Burner.lnk
C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Genieo
C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free Easy CD DVD Burner.lnk
C:\Users\BW\AppData\Roaming\Genieo
C:\Users\BW\AppData\Roaming\Mozilla
Folder: F:\
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[manisek]

Zrobiłem wszystkie podane kroki. W załącznikach dodaje raporty.

FRST.txt

Fixlog.txt

[picasso]

Fix FRST pomyślnie wykonany. FRST był też zdolny pobrać zawartość pendrive i jest potwierdzone, iż został zastosowany ten trik o którym mówiłam. Teraz akcja tycząca czyszczenia pendrive. Zakładam, że nadal jest widziany poid literą F:

 

1. Otwórz Notatnik i wklej w nim:

 

BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_51\bin\ssv.dll => Brak pliku
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_51\bin\jp2ssv.dll => Brak pliku
F:\Removable Drive (4GB).lnk
RemoveDirectory: F:\ \Autorun.inf
RemoveDirectory: F:\System Volume Information
CMD: attrib /d /s -s -h F:\*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go.

 

2. Jeśli wszystko pójdzie dobrze, na pendrive zobaczysz folder "bez nazwy". Wejdź do niego, przenieś wszystkie swoje dane (pomijając śmieci) poziom wyżej, a folder przez SHIFT+DEL skasuj.

[manisek]

Dzięki wielkie za pomoc, odzyskałem dane. 

Fixlog.txt

[picasso]

Fix wykonany. Czy udało Ci się usunąć w całości ten folder "bez nazwy"? Infekcja przesunęła do niego utworzony kiedyś przez USBFix folder autorun.inf zablokowany przez nazwę zastrzeżoną. Planowałam jego usuwanie w skrypcie, ale FRST go nie znalazł.

[manisek]

Niestety został w nim plik o nazwie lpt1.UsbFix, nie da się go usunąć.

[picasso]

Ta "spacja" jako nazwa folderu nie wygląda na normalną spację tylko na jakiś niestandardowy znak, co utrudnia bezpośrednie komendy. Spróbuj tego (pendrive widziany nadal pod literą F):

 

Otwórz Notatnik i wklej w nim:

 

CMD: del /q /s "\\?\F:\lpt1.UsbFix"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt.

[manisek]

Udało się go usunąć. Jeszcze raz dzięki

Fixlog.txt

[picasso]

Tak, zalecona komenda usunęła plik z zastrzeżoną nazwą blokujący usuwanie. Rozumiem, że już się rozprawiłeś z całym folderem "bez nazwy". Sprawa pendrive rozwiązana.

 

Dodatkowe działania, bo były różne odpadki adware. Uruchom AdwCleaner. Wybier opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso