Yarsu Opublikowano 28 Maja 2012 Zgłoś Udostępnij Opublikowano 28 Maja 2012 Od pewnego czasu nie działa mój dysk usb toshiba mk8032gax (500gb). Winnym prawdopodobnie jest plik yoyoyo(krrrrrroopka)exe, który jakimś sposobem się na nim pojawił. Spowodował on nieodpalanie się dysku z poziomu Mój Komputer, co naprawił windowsowy chkdsk i skanowanie Eset Smart Security - mogłem wchodzić do folderów poprzez skróty. Następnie zawartość folderów przestała być wyświetlana, aż w końcu i skróty zniknęły. Obecnie widoczny jest jedynie folder RECYCLER. Było już kilka podobnych tematów na forum, jednak mój dysk ma trochę inne objawy. Logi poniżej. Peace OTL.Txt Extras.Txt log gmer.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2012 Zgłoś Udostępnij Opublikowano 28 Maja 2012 Poproszę o log z USBFix z opcji Listing, wykonany rzecz jasna przy podłączonym dysku. Odnośnik do komentarza
Yarsu Opublikowano 28 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2012 Edytowałem pierwszy post, dodałem log usbfix Odnośnik do komentarza
picasso Opublikowano 28 Maja 2012 Zgłoś Udostępnij Opublikowano 28 Maja 2012 Wszystko na dysku H jest, tylko ukryte przez atrybuty HS (systemowy ukryty), i by to widzieć należy po prostu włączyć pokazywanie ukrytych (w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego). Ogólnie będę tu prowadzić: usuwanie szczątkowych wpisów infekcji oraz adware w systemie, ściąganie atrybutów z katalogów na dysku zewnętrznym, prewencyjne usuwanie wszystkich Koszy (Recycled, RECYCLER, $RECYCLE.BIN) oraz kosmetyczne usunięcie wszystkich odpadków po checkdisku (foldery modelu FOUND.00X). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files attrib /d /s -s -h H:\* /C rd /s /q C:\Recycled /C rd /s /q D:\RECYCLER /C rd /s /q F:\RECYCLER /C rd /s /q H:\$RECYCLE.BIN /C rd /s /q H:\RECYCLER /C rd /s /q H:\found.000 /C C:\FOUND.* C:\Program Files\VVSN C:\WINDOWS\System32\drivers\jvlkewzo.dat :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Dwbibl"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DriverCD"=- "VVSN"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cdaudio.sys -- (AVPsys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Przez Dodaj / Usuń programy odinstaluj śmieci: Hero_Fighter Toolbar, V9 HomeTool. Przy okazji Yahoo! Companion też możesz sprzątnąć. 3. Zastosuj AdwCleaner z opcji Delete. 4. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z wynikami przetwarzania skryptu w punkcie 1 oraz wygenerowany przez AdwCleaner. . Odnośnik do komentarza
Yarsu Opublikowano 29 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2012 Próbując wysłać wyniki pracy skryptu forum nie zezwoliło mi na wysyłanie tego typu plików, więc wklejam treść do posta All processes killed ========== FILES ========== < attrib /d /s -s -h H:\* /C > Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64\filterpipelineprintproc.dll Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64\msxpsdrv.cat Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64\msxpsdrv.inf Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64\msxpsinc.gpd Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64\msxpsinc.ppd Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64\mxdwdrv.dll Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64\xpssvcs.dll Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386\filterpipelineprintproc.dll Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386\msxpsdrv.cat Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386\msxpsdrv.inf Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386\msxpsinc.gpd Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386\msxpsinc.ppd Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386\mxdwdrv.dll Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386\xpssvcs.dll Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\amd64 Odmowa dost©pu - H:\42c1651fa5c160c8d00f04\i386 Odmowa dost©pu - H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx Odmowa dost©pu - H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 Odmowa dost©pu - H:\System Volume Information C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < rd /s /q C:\Recycled /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < rd /s /q D:\RECYCLER /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < rd /s /q F:\RECYCLER /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < rd /s /q H:\$RECYCLE.BIN /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < rd /s /q H:\RECYCLER /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < rd /s /q H:\found.000 /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. C:\FOUND.000 folder moved successfully. C:\FOUND.001 folder moved successfully. C:\FOUND.002 folder moved successfully. C:\FOUND.003 folder moved successfully. C:\FOUND.004 folder moved successfully. C:\FOUND.015 folder moved successfully. C:\FOUND.016 folder moved successfully. C:\FOUND.017 folder moved successfully. C:\FOUND.005 folder moved successfully. C:\FOUND.018 folder moved successfully. C:\FOUND.019 folder moved successfully. C:\FOUND.014 folder moved successfully. C:\FOUND.006 folder moved successfully. C:\FOUND.011 folder moved successfully. C:\FOUND.007 folder moved successfully. C:\FOUND.008 folder moved successfully. C:\FOUND.009 folder moved successfully. C:\FOUND.010 folder moved successfully. C:\FOUND.012 folder moved successfully. C:\FOUND.013 folder moved successfully. C:\Program Files\VVSN\URL1 folder moved successfully. C:\Program Files\VVSN folder moved successfully. C:\WINDOWS\System32\drivers\jvlkewzo.dat moved successfully. ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Dwbibl deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\DriverCD deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\VVSN deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL deleted successfully. HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. ========== OTL ========== Service AVPsys stopped successfully! Service AVPsys deleted successfully! File C:\WINDOWS\system32\drivers\cdaudio.sys not found. Error: No service named ZDPNDIS5 was found to stop! Service\Driver key ZDPNDIS5 not found. File C:\WINDOWS\system32\ZDPNDIS5.SYS not found. Service ZDCndis5 stopped successfully! Service ZDCndis5 deleted successfully! File C:\WINDOWS\system32\ZDCndis5.SYS not found. Service PCANDIS5 stopped successfully! Service PCANDIS5 deleted successfully! File C:\WINDOWS\system32\PCANDIS5.SYS not found. Service Nero BackItUp Scheduler 4.0 stopped successfully! Service Nero BackItUp Scheduler 4.0 deleted successfully! File C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 5006292 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Jarek ->Temp folder emptied: 1258366314 bytes ->Temporary Internet Files folder emptied: 89407097 bytes ->Java cache emptied: 42027318 bytes ->FireFox cache emptied: 77225353 bytes ->Google Chrome cache emptied: 230792715 bytes ->Flash cache emptied: 42182 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2483094 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1095623068 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2 671,00 mb OTL by OldTimer - Version 3.2.43.0 log created on 05292012_102403 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Peace UsbFix.txt OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 29 Maja 2012 Zgłoś Udostępnij Opublikowano 29 Maja 2012 Większość zadania wykonana, niektóre błędy "Odmowa dostępu" nieistotne (folder H:\42c1651fa5c160c8d00f04 to odpadek po aktualizacjach + H:\System Volume Information od Przywracania systemu), z wyjątkiem Kosza który ma w sobie plik infekcji: Odmowa dostępu - H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmxOdmowa dostępu - H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 Należy zresetować uprawnienia katalogu Kosza. Wstępnie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files cacls H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx /E /G Wszyscy:F /C cacls H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 /E /G Wszyscy:F /C rd /s /q H:\RECYCLER /C C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\searchplugins\conduit.xml C:\Program Files\v9Soft :OTL FF - prefs.js..browser.search.defaultthis.engineName: "Hero Fighter Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2342185&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 Klik w Wykonaj skrypt. 2. Przedstaw log z wynikami usuwania skryptu. To będzie krótki log, toteż wklej do posta. Na przyszłość: Próbując wysłać wyniki pracy skryptu forum nie zezwoliło mi na wysyłanie tego typu plików W Załącznikach dopuszczam tylko rozszerzenie *.TXT a nie *.LOG, wystarczy zmienić nazwę pliku. . Odnośnik do komentarza
Yarsu Opublikowano 29 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2012 ========== FILES ========== < cacls H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx /E /G Wszyscy:F /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < cacls H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 /E /G Wszyscy:F /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. < rd /s /q H:\RECYCLER /C > C:\Documents and Settings\Jarek\Pulpit\logi\cmd.bat deleted successfully. C:\Documents and Settings\Jarek\Pulpit\logi\cmd.txt deleted successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com\defaults\preferences folder moved successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com\defaults folder moved successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com\content\imgs\flgs folder moved successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com\content\imgs folder moved successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com\content folder moved successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com\components folder moved successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\extensions\ffxtlbr@babylon.com folder moved successfully. C:\Documents and Settings\Jarek\Dane aplikacji\Mozilla\Firefox\Profiles\chnva0bz.default\searchplugins\conduit.xml moved successfully. C:\Program Files\v9Soft folder moved successfully. ========== OTL ========== Prefs.js: "Hero Fighter Customized Web Search" removed from browser.search.defaultthis.engineName Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2342185&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl Prefs.js: ffxtlbr@babylon.com:1.2.0 removed from extensions.enabledItems OTL by OldTimer - Version 3.2.43.0 log created on 05292012_202923 Odnośnik do komentarza
picasso Opublikowano 29 Maja 2012 Zgłoś Udostępnij Opublikowano 29 Maja 2012 Zadanie wygląda na wykonane, niemniej na wszelki wypadek upewnijmy się czy faktycznie RECYCLER na dysku H został skasowany. Start > Uruchom > cmd i wklej komendę: dir /s /a H:\RECYCLER. Jeżeli komenda zwróci błąd braku ścieżki, to potwierdzenie. . Odnośnik do komentarza
Yarsu Opublikowano 29 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2012 Racja, wszystko wykonane. Wielkie dzięki za pomoc i gratuluje profesjonalizmu, świetna stronka! Odnośnik do komentarza
picasso Opublikowano 29 Maja 2012 Zgłoś Udostępnij Opublikowano 29 Maja 2012 Jeszcze nie uciekaj, wykończenia na widoku: 1. Porządkowanie po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie, w AdwCleaner użyj Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj aktualizacje: KLIK. Wersje z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 30"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"KLiteCodecPack_is1" = K-Lite Codec Pack 4.4.5 (Full)"Mozilla Firefox (3.5.6)" = Mozilla Firefox (3.5.6) . Odnośnik do komentarza
Rekomendowane odpowiedzi