Komputer nie widzi plików na pendrivie

[good1]

Witam,

 

Mam problem: komputer nie widzi plików, które są zapisane na pendrivie (świadczy o tym zajęte miejsce na dysku i pliki, jakie skanuje antywirus)

 

Podłączyłam swojego pendrive'a na uczelnianym komputerze, żeby zgrać potrzebne pliki. Później podłączyłam dysk do swojego laptopa, gdzie ESET wyświetlił komunikat o wirusie (trojan). Oczywiście został poddany kwarantannie i wszystko było niby ok, ale kiedy odpaliłam dysk wyświetlał tam się tylko jeden plik. Po włączeniu funkcji nie ukrywania plików systemowych pojawił się jeszcze jeden folder: bez żadnej nazwy i możliwości kliknięcia w niego. Mam na tym dysku kilka ważnych plików, które chciałabym odzyskać.

 

W załączniku wklejam log z USBfix.

http://wklej.org/id/1828277/

[picasso]

Proszę nie omijaj zasad działu i dostarcz obowiązujące tu raporty z FRST i GMER, bo musi być sprawdzone czy system został zainfekowany.

 

Pendrive jest zainfekowany tą metodą: KLIK. Jeśli chodzi o log z USBFix, to poproszę o krótki z opcji Listing, bez włączonej rekursywności.

 

Logi proszę dostarcz w formie załączników forum.

[good1]

Już się poprawiam. Załączam raporty.

Addition.txt

FRST.txt

Shortcut.txt

UsbFix_Report.txt

gmer.txt

[picasso]

System nie został zainfekowany, będą tylko kosmetyczne korekty. Log z USBFix nie został zrobiony przy podpiętym pendrive. Powtórz zadanie z podpiętym urządzeniem.

[good1]

1:

UsbFix_Report.txt

[picasso]

Raport ma ciągle tę samą formę, pokazuje tylko dwa dyski twarde, żadnego pendriva:

 

C:\ (%SystemDrive%) -> Fixed disk # 146 Gb (95 Gb free - 65%) [] # NTFS

D:\ -> Fixed disk # 152 Gb (65 Gb free - 43%) [] # NTFS

 

Czy na pewno urządzenie było podpięte?

[good1]

Tak, urządzenie jest podpięte cały czas, ale widzę, że zmieniło nazwę... Aktualnie wyświetla Dysk wymienny F:// FAT32, kiedy klikam pokazuje, że urządzenie jest puste. Kiedy skanuję od razu wyświetla, że zostało przeskanowane, a w raporcie ESET błąd podczas otwierania.

 

Dodam, że wchodząc w właściwości dysku pokazuje:
Wolne miejsce 0 b
Zajęte miejsce 0 b

[picasso]

Zmiana mapowania czy nazwy nie powinna mieć wpływu na widoczność urządzenia w skanie USBFix. Tu jest coś nie tak, że urządzenie przestało być rozpoznawane (wcześniej było). Zresetuj system, tymczasowo wyłącz ESET i ponów skan Listing w USBFix. Jeśli to zawiedzie, to jeszcze spróbuję pobrać dane via FRST.

[good1]

Reset się przydał.

UsbFix_Report.txt

[picasso]

1. Pendrive: obecnie na urządzeniu jest tylko ten ukryty folder "bez nazwy", w którym infekcja schowała dane. Mówiłeś:

 

Po włączeniu funkcji nie ukrywania plików systemowych pojawił się jeszcze jeden folder: bez żadnej nazwy i możliwości kliknięcia w niego. Mam na tym dysku kilka ważnych plików, które chciałabym odzyskać.

Czy na pewno teraz nie da się wejść do tego folderu "bez nazwy" i po prostu przenieś z niego dane poziom wyżej, a sam folder po opróżnieniu skasować przez SHIFT+DEL (omija Kosz)? We wszystkich tematach na forum to działało bez pudła.

 

 

2. System: wspominane drobne korekty na wpisy odpadkowe oraz czyszczenie Tempów. Otwórz Notatnik

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\RunOnce: [] => [X]
HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Acer\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-2731234556-1163057872-14892810-1000\...\Policies\Explorer: []
HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=135
HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
HKU\S-1-5-21-2731234556-1163057872-14892810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
SearchScopes: HKU\S-1-5-21-2731234556-1163057872-14892810-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
Task: {4FB7F7B3-B441-444A-A467-C4BAF7BA2A13} - System32\Tasks\{F187EEAB-2174-4F3F-AE0F-684CA1537109} => pcalua.exe -a "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007\setup.exe" -d "F:\Marcin\INSTALKI\Microsoft Office 2007 PL\office kriss32-32\office 2007"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

[good1]

Wszystko w porządku, w folder udało się wejść i przekopiować poziom wyżej. Skrót usunięty, fixlist zrobione, wszystko działa jak należy.

 

Ogromnie dziękuję za pomoc.

[picasso]

Ale przedstaw wynikowy plik fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj przypadkiem skryptu ponownie.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso