Problem z dyskiem zewnętrznym WD 1 TB (znikające foldery)

[adam1991]

Witam wszystkich użytkowników forum, to mój pierwszy temat więc w razie jakichkolwiek "pogwałceń" zasad forum proszę o wyrozumiałość

 

Posiadam dysk zewnętrzny WD o pojemności 1 TB (WDT-D3C). W zasadzie nigdy nie było z nim problemów, dysk docelowo miał pracować stacjonarnie z laptopem, za każdym razem bezpiecznie odłączałem dysk z chmurki w prawym dolnym rogu. Jestem fotografem, więc dysk służy mi do gromadzenia plików graficznych (Jpg, nef), jak również plików wideo, jakiś prostych pdf-ów z dokumentami i kilku instalek do programów. Od jakiegoś czasu zauważam brak niektórych folderów, absolutnie nie ma po nich śladu. Jestem amatorem informatycznym, jednak przewertowałem nieco różne fora i wydaje mi się, że mój przypadek jest jednym z bardziej nietypowych. Czytając wspomniane fora, każdy użytkownik wspominał o pojawiających się "dziwnych plikach" w miejsce oryginalnego pliku,folderu..U mnie nie ma nic, poza pustką, która została po moich folderach :/ Dzisiaj jednak pojawił się problem z odłączeniem dysku w ogóle, pojawia się komunikat :

 

"system windows nie może zatrzymać urządzenia Wolumin uniwersalny, ponieważ jeden z programów nadal go używa. Zamknij wszystkie programy, które mogą używać tego urządzenia, a następnie ponów próbę."

 

Ponad to na dysku pojawił się pusty folder o nazwie "msdownld.tmp"

 

Dysk parę razy podłączyłem do komputera stacjonarnego, ostatnim razem w chmurce w prawym dolnym rogu nie pojawiła się opcja odłączania dysku - chodź ten był podpięty.

Czy uda się odzyskać zagubione foldery ?

 

Bardzo proszę o prostą instrukcję dla laika

 

Dziękuję.

[jessica]

Zrób log z USBFix z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=172738

 

jessi

[adam1991]

Oto raport z USBFix :

 

############################## | UsbFix V 8.181 | [Research]

 

User: Adam (Administrator) # ADAM-KOMPUTER

Updated 07/01/2016 by SosVirus

Started at 13:55:32 | 10/01/2016

 

Website : http://www.en.usbfix.net/

Tutorial : http://www.pt.usbfix.net/2014/03/tutorial-do-usbfix-scan/

Support : http://www.sos-virus.net/

Live detection : http://how-to-remove.us/

Contact : http://www.en.usbfix.net/contact/

 

################## | System information |

 

MB: SAMSUNG ELECTRONICS CO., LTD. (300V3A/300V4A/300V5A/200A4B/200A5B) 

CPU: Intel® Core i5-2410M CPU @ 2.30GHz

GC: Intel® HD Graphics Family

RAM -> [Total : 4010 Mo | Free : 1764 Mo]

Bios: Phoenix Technologies Ltd.

Boot: Normal boot

 

OS: Microsoft™ Windows 7 Home Premium (6.1.7601 64-Bit) Service Pack 1

WB: Internet Explorer : 11.00.9600.16428

WB: Google Chrome : 47.0.2526.106

 

################## | Security Information |

 

AV: avast! Antivirus [Enabled |Updated]

AS: Windows Defender [Enabled |Updated]

AS: avast! Antivirus [Enabled |Updated]

FW: Windows Firewall [Enabled]

SC: Security Center [Enabled]

WU: Windows Update [Enabled]

 

################## | Disk Information |

 

C:\ (%SystemDrive%) -> Fixed disk # 230 Gb (80 Gb free - 35%) [] # NTFS

D:\ -> Fixed disk # 342 Gb (342 Gb free - 100%) [] # NTFS

G:\ -> Fixed disk # 932 Gb (672 Gb free - 72%) [Adam dysk zewnętrzny] # NTFS

 

################## | Startup |

 

F2 - HKLM\..\Winlogon : [shell] explorer.exe

F2 - [x64] HKLM\..\Winlogon : [shell] explorer.exe

F2 - HKLM\..\Winlogon : [userinit] userinit.exe

F2 - [x64] HKLM\..\Winlogon : [userinit] C:\Windows\system32\userinit.exe,

04 - HKCU\..\Run : [Google Update] "C:\Users\Adam\AppData\Local\Google\Update\GoogleUpdate.exe" /c

04 - HKCU\..\Run : [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent

04 - HKCU\..\Run : [ChomikBox] C:\Program Files (x86)\ChomikBox\chomikbox.exe

04 - HKCU\..\Run : [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"

04 - HKCU\..\Run : [Facebook Update] "C:\Users\Adam\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver

04 - HKCU\..\Run : [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent

04 - HKCU\..\Run : [Google Photos Backup] "C:\Users\Adam\AppData\Local\Programs\Google\Google Photos Backup\Google Photos Backup.exe" /autostart

04 - HKCU\..\Run : [PC Remote Server] C:\Program Files (x86)\PC Remote\PC Remote\PCRemote.exe /silent

04 - HKLM\..\Run : [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

04 - HKLM\..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui

04 - HKLM\..\Run : [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"

04 - HKLM\..\Run : [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

04 - HKLM\..\Run : [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe

04 - HKLM\..\Run : [sMART Floating Tools] "C:\Program Files (x86)\SMART Technologies\Education Software\FloatingTools.exe"

04 - HKLM\..\Run : [sMARTNotification] "C:\Program Files (x86)\SMART Technologies\Education Software\SMARTNotification.exe"

04 - HKLM\..\Run : [sMART Tray Tools] "C:\Program Files (x86)\SMART Technologies\Education Software\SMARTTrayIcon.exe"

04 - HKLM\..\Run : [sMART Board Service] "C:\Program Files (x86)\SMART Technologies\Education Software\SMARTBoardService.exe" -d

04 - HKLM\..\Run : [sbsdk-server] "C:\Program Files (x86)\SMART Technologies\Education Software\sbsdk-server\NodeLauncher.exe"

04 - HKLM\..\Run : [sMART Ink] "C:\Program Files (x86)\SMART Technologies\Education Software\SMARTInk.exe" -a

04 - [x64] HKLM\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s

04 - [x64] HKLM\..\Run : [bTMTrayAgent] rundll32.exe "C:\Program Files (x86)\Intel\Bluetooth\btmshell.dll",TrayApp

04 - [x64] HKLM\..\Run : [ETDCtrl] %ProgramFiles%\Elantech\ETDCtrl.exe

04 - [x64] HKLM\..\Run : [igfxTray] C:\windows\system32\igfxtray.exe

04 - [x64] HKLM\..\Run : [HotKeysCmds] C:\windows\system32\hkcmd.exe

04 - [x64] HKLM\..\Run : [Persistence] C:\windows\system32\igfxpers.exe

04 - HKU\S-1-5-19\..\Run : [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

04 - HKU\S-1-5-20\..\Run : [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [Google Update] "C:\Users\Adam\AppData\Local\Google\Update\GoogleUpdate.exe" /c

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [ChomikBox] C:\Program Files (x86)\ChomikBox\chomikbox.exe

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [Facebook Update] "C:\Users\Adam\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [Google Photos Backup] "C:\Users\Adam\AppData\Local\Programs\Google\Google Photos Backup\Google Photos Backup.exe" /autostart

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1001\..\Run : [PC Remote Server] C:\Program Files (x86)\PC Remote\PC Remote\PCRemote.exe /silent

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1004\..\Run : [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

04 - HKU\S-1-5-21-3099691929-597136357-677967994-1004\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

04GS - CineForm Status.lnk : C:\Program Files (x86)\CineForm\Tools\GoProCineFormStatusViewer.exe

 

################## | Generic Research |

 

 

################## | UsbFix - Information |

 

Info : How to remove shortcut virus on flash disk (Video)

Info : Shortcut virus on flash disk, What is it ?

Live detection : http://how-to-remove.us/

 

Analysed in 22.46 seconds

 

################## | E.O.F | http://www.sosvirus.net/ | http://www.en.usbfix.net/ |

[adam1991]

Dodatkowo przeskanowałem dysk Avastem i otrzymałem takowe wyniki :

 

 

[jessica]

Log z USBFix to jakaś rozjechana sieczka.

Poza tym mam wrażenie, że log był robiony z opcji RESEARCH, a miał być z opcji LISTING.

Popraw to.

Log (tekst) wklej na http://wklejto.pl/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

 

 

To, co wykrył Avast - druga pozycja - to wygląda na plik infekcji.

 

jessi

[adam1991]

Log z opcji LISTING :

 

http://wklejto.pl/244837

[jessica]

################## | G:\ - Fixed drive (NTFS) |

 

[01/01/2013 - 16:41:50 | HD] - G:\msdownld.tmp

[18/08/2014 - 11:21:07 | SHD] - G:\$RECYCLE.BIN

[02/09/2011 - 09:58:51 | D] - G:\8402892d3dcae10cf657ccbc77

[24/03/2012 - 23:40:34 | SHD] - G:\System Volume Information

[09/07/2012 - 14:59:50 | D] - G:\WSZYSTKO Z KOMPUTERA

Hmm, nie widzę tu żadnej infekcji.

Czy problem aktualny?

 

jessi

[adam1991]

Tak, dalej nie wiem co się stało z kilkoma folderami (na pewno ich nie usunąłem). Ostatni był dodawany około tygodnia temu (dokładnie nie pamiętam już jego nazwy, był to folder ze zdjęciami). Czy foldery mogły zniknąć z innego powodu aniżeli przez wirusa (tego jak rozumiem nie ma na dysku ?). Czym jest pusty folder o nazwie "msdownld.tmp", który pojawił się podczas dzisiejszego podłączania dysku ? Co można zrobić, aby odkopać te zaginione pliki, jakiś program do skanu ? No i dlaczego komputer nie chce "oddać" dysku krzycząc, że inny program nadal go używa mimo, iż tak się nie dzieje ?

[jessica]

[01/01/2013 - 16:41:50 | HD] - G:\msdownld.tmp

Obiekt ma już 3 lata, pewnie był niewidoczny.

Spróbuj go usunąć ręcznie.

 

co się stało z kilkoma folderami

a nie ma ich w folderze G:\WSZYSTKO Z KOMPUTERA

lub KOSZU G:\$RECYCLE.BIN

 

Co można zrobić, aby odkopać te zaginione pliki, jakiś program do skanu ? No i dlaczego komputer nie chce "oddać" dysku krzycząc, że inny program nadal go używa mimo, iż tak się nie dzieje ?

Na te pytania nie potrafię odpowiedzieć.

 

"odkopać" - to nieodpowiednie słowo, bo pliki nie są ukryte, tylko ich po prostu już nie ma.

Można ewentualnie użyć jakiś program do odzyskiwania plików, ale nie wiem, jaki.

 

jessi

[adam1991]

No dobrze, plików nie ma - ale jak to możliwe, że zniknęły ?! Nie usuwałem ich ręcznie, pamiętam dobrze co na dysk przenosiłem. Tak po prostu nie ma po nich śladu ? Czy w "historii" istnienia na rynku zewnętrznych dysków pojawiały się już takie przypadki ?? Jak się przed takimi anomaliami chronić ??

[jessica]

Czy w "historii" istnienia na rynku zewnętrznych dysków pojawiały się już takie przypadki ??

Nie słyszałam o takim przypadku nigdy.

 

 

jessi

[adam1991]

Zatem jak bezpiecznie odłączyć dysk od komputera, gdy system odmawia powołując się na to, że jakiś program nadal go używa ?

[picasso]

Na początek, nie podałeś obowiązkowych raportów z FRST. Ocena tylko USBFix to za mało i w ogóle nie pozwala na określenie czy jest jakaś infekcja aktywna w systemie (a nie tylko na urządzeniu). I proszę o nieumieszczanie logów na wklejto, ten serwis przekodowuje specjalne znaki i psuje specjalne rekordy w logach. Raporty umieśc w postaci oryginalnych plików, czyli jako załączniki forum.

 

 

Dzisiaj jednak pojawił się problem z odłączeniem dysku w ogóle, pojawia się komunikat :

 

"system windows nie może zatrzymać urządzenia Wolumin uniwersalny, ponieważ jeden z programów nadal go używa. Zamknij wszystkie programy, które mogą używać tego urządzenia, a następnie ponów próbę."

 

Dysk parę razy podłączyłem do komputera stacjonarnego, ostatnim razem w chmurce w prawym dolnym rogu nie pojawiła się opcja odłączania dysku - chodź ten był podpięty.

 

(...)

 

Zatem jak bezpiecznie odłączyć dysk od komputera, gdy system odmawia powołując się na to, że jakiś program nadal go używa ?

Te zachowania są związane z ustawieniami polityk urządzenia. Komputer > prawy klik na dysk > Właściwości > karta Sprzęt > podświetl urządzenie i Właściwości > klik w Zmień ustawienia (potwierdz dialog UAC) > pojawi się karta Zasady > powinna byc zaznaczona pierwsza opcja:

 

 

 

Ponad to na dysku pojawił się pusty folder o nazwie "msdownld.tmp"

Folder "msdownld.tmp" jest kojarzony z aktualizacjami Internet Explorer (KB296273). Aktualizacje Windows tworzą foldery tymczasowe na dyskach z obliczoną największą ilością wolnego miejsca, dlatego tez często lądują na innych dyskach niz C, w tym nawet przenośnych. I on się nie pojawił co dopiero, był na urządzeniu dłuzszy czas, tylko prawdopodobnie teraz masz włączone pokazywanie ukrytych folderów. Folder ma stary znacznik czasowy. Ponadto, jest powielony i na drugim dysku.

 

[01/04/2013 - 19:52:40 | HD] - D:\msdownld.tmp

[01/01/2013 - 16:41:50 | HD] - G:\msdownld.tmp

 

 

Od jakiegoś czasu zauważam brak niektórych folderów, absolutnie nie ma po nich śladu.

Jeśli jakieś dane zniknęły, to prędzej na skutek akcji z przepinaniem urządzenia i jakiś błędów. Mogą by uszkodzenia struktury plików, jak np. w w tym temacie. Rozpocznij od:

 

1. Rekonfiguracji polityk urządzenia, jak podałam powyzej.

 

2. Skanu dysku pod kątem błędów. Prawoklik na dysk > Właściwości > Narzędzia > Sprawdzanie błędów.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso