Niewidoczne foldery na dysku przenośnym

[przemo9611]

Witam, nie widzę wszystkich folderów na dysku przenośnym. Jednak po uruchomieniu programu GMER widzę, że niewidoczne foldery są na dysku. Co mam zrobić, żeby widzieć wszystkie foldery? Z góry dzięki za pomoc.

FRST.txt

Addition.txt

[picasso]

Logi z przestarzałego OTL nie są tu brane pod uwagę, usuwam je. Brakuje trzeciego pliku FRST Shortcut. Poza tym, zrób też log USBFix z opcji Listing przy podpiętym dysku przenośnym.

[przemo9611]

OK

UsbFix_Report.txt

Shortcut.txt

[picasso]

Rozwiń o który dysk chodzi i czego nie widać. Obecnie wg raportu USBFix dysk J nie wykazuje żadnego ukrywania danych:

 

J:\ - Fixed drive (NTFS)
 

[02/03/2015 - 18:11:13 | A | 11846 Ko] - J:\Firefox 36.0 (x86 pl) - 2015-03-02.pcv

[15/05/2015 - 12:50:10 | D] - J:\GMT-MAX.ORG_Grand_Theft_Auto_V_RePack_MAXAGENT

[04/05/2015 - 20:04:38 | SHD] - J:\$RECYCLE.BIN

[30/09/2012 - 06:33:15 | D] - J:\FL

[02/03/2015 - 17:42:35 | D] - J:\Downloads

[20/08/2015 - 20:27:25 | D] - J:\FILMS

 

Natomiast infekcja w systemie owszem jest, usługa udająca obiekt Microsoftu:

 

R2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [10752 2015-05-29] (Microsoft) [brak podpisu cyfrowego]

 

Dodatkowo, działa sponsorowany Bing. Sam system miernie zabezpieczony: brak jakichkolwiek aktualizacji (pakiet SP1, IE11 i reszta wydana po), zainstalowany bardzo stary ESET z komponentami z 2011. Wstępnie do wykonania następujące działanie:

 

1. Odinstaluj stare wersje: Adobe Flash Player 18 NPAPI, Adobe Reader 9.5.0 - Polish, ESET NOD32 Antivirus.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [10752 2015-05-29] (Microsoft) [brak podpisu cyfrowego]
S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
HKU\S-1-5-21-2618943855-1042672543-875358389-1000\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation)
Task: {1DFF7F0B-6CE5-4D76-B0C6-455308FD3E85} - \SYSTEM -> Brak pliku 
Task: {611A5C28-37F5-407E-81B3-469A2EC5AB39} - System32\Tasks\{AA3930EC-DB94-4E40-898B-913D33BF1085} => pcalua.exe -a F:\PCM\Pro.Cycling.Manager.Le.Tour.de.France\PCM2012_Spolszczenie_v2.5.exe -d F:\PCM\Pro.Cycling.Manager.Le.Tour.de.France
Task: {F89FFEAF-6B08-4AAE-9569-351C9553F3A5} - System32\Tasks\{1AB2E156-4A1F-428C-849F-78CB5B37BC66} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Converter Ultimate\Uninstall.exe"
FF Extension: Brak nazwy - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08] [brak podpisu cyfrowego]
C:\ProgramData\.sys
C:\ProgramData\Microsoft\Windows\Time
C:\ProgramData\TEMP
C:\Users\admin\AppData\Local\Microsoft\BingSvc
Folder: C:\Temp
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
CMD: netsh advfirewall reset
CMD: type C:\Windows\System32\Tasks\{601F3C02-BA6D-493F-A32D-6B3136904479}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox ze śmieci:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Video DownloadHelper trzeba będzie przeinstalować.
• Menu Historia > Wyczyść historię przeglądania

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[przemo9611]

Chodzi o dysk J, nie widać kilku folderów.

FRST.txt

Fixlog.txt

[picasso]

Jak mówię, wg USBFix nie ma widocznych oznak ukrywania danych, ani żadnych śladów infekcji tego typu na urządzeniu. Podaj o jakie foldery i w którym miejscu ścieżki dostępu chodzi (czy bezpośrednio w root dysku, czy w którymś podkatalogu). Zaprezentuj też zrzut ekranu z tego:

 

Jednak po uruchomieniu programu GMER widzę, że niewidoczne foldery są na dysku.

[przemo9611]

Bezpośrednio w root dysku.

 

Tak to widzę:

 

A tutaj screen z GMERa

[picasso]

To co widzisz to stan prezentowany właśnie w USBFix. Natomiast w GMER rzeczywiście widać więcej oraz pliki infekcji (to wygląda na pliki wirusa Sality). Z tym, że ukrycie folderów to prawdopodobnie nie jest robota infekcji, to może być uszkodzenie struktury plików. Typuję tę usterkę na podstawie tego, że GMER widzi podwójny katalog System Volume Information (Przywracania systemu), co w normalnych okolicznościach jest niemożliwe (nie mogą istnieć dwa foldery o identycznej nazwie), za to przy błędach struktury plików "duplikat" jest wykonalny. Wstępnie:

 

1. W GMER podświetl po kolei wszystkie pliki exe i scr, każdy poczęstuj opcją Usuń.

 

2. Następnie zrób sprawdzanie dysku pod kątem błędów. W Komputerze prawoklik na dysk J > Właściwości > Narzędzia > Sprawdzanie błędów > Sprawdź > zaznacz obie opcje i uruchom naprawę.

 

3. Po wykonaniu punktu 2 sprawdź czy są zmiany na urządzeniu. Jeśli tak, dostarcz nowy raport USBFix z opcji Listing. Wtedy będzie można usunąć stare foldery Koszy i System Volume Information. O ile nie zmasakruje ich checkdisk.

[przemo9611]

Kiedy zaznaczam plik i klikam usuń pokazuje mi się taki komunikat:

 

[picasso]

Spodziewałam się jakiś problemów. Ten błąd to kolejny dowód, że jest uszkodzona struktura systemu plików i to czego nie widać nie istnieje na dysku (GMER widzi nieistniejące obiekty, bo ma specjalny dostęp do struktury plików). Pomiń więc punkt 1 całkowicie, punkt 2 powinien skorygować to wszystko. Wynikowo powinny na dobre zniknąć wszystkie niewidoczne obiekty, powstanie ukryty folder FOUND.000 ze ścinkami wadliwych danych.

[przemo9611]

Dzisiaj rano podłączyłem dysk do tylnego panelu USB (zawsze podłączałem do przedniego panelu) i widzę wszystkie foldery i wszystko działa.

[picasso]

Zrób więc nowy log USBFix z opcji Listing przedstawiający co obecnie jest na urządzeniu.

[przemo9611]

Log

UsbFix_Report.txt

[picasso]

Przepinanie do innego portu to przypadek. Dane się pojawiły, bo została wykonana automatyczna naprawa chkdsk (czyli to samo co zadałam do uruchomienia ręcznie) i tak jak mówiłam powstał ukryty folder FOUND ze ścinkami wadliwych danych:

 

[06/11/2015 - 22:40:44 | SHD] - J:\found.000

 

Na dodatek, wszystkie wirusy zostały przywrócone. Czyli należy wyczyścić urządzenie. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: J:\$RECYCLE.BIN
RemoveDirectory: J:\found.000
RemoveDirectory: J:\msdownld.tmp
RemoveDirectory: J:\Recycled
RemoveDirectory: J:\RECYCLER
RemoveDirectory: J:\System Volume Information
CMD: attrib /d /s -s -h -r J:\*
CMD: del /q J:\*.exe
CMD: del /q J:\*.scr

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso