kiwis89 Opublikowano 18 Marca 2013 Zgłoś Udostępnij Opublikowano 18 Marca 2013 Witam. Piszę na forum ponieważ borykam się z problemem dysku zewnętrznego. Pytałem wujka google ale nic nie mogłem znaleźć co by mi pomogło :/ Otóż gdy podpinam dysk zewnętrzny to za każdym razem gdy go sformatuję czy cokolwiek innego zrobię, zawsze po ponownym podłączeniu na dysku znajduje się tylko skrót (zwykle coś w rodzaju "Removable Disk (245GB)"), który wskazuje na adres elementu docelowego "C:\Windows\system32\rundll32.exe ~$WY.FAT,crys desktop.ini.ini bhbhnhnt yekekqkc " " . Zaczęło się to wszystko odkąd kolega podpiął swój dysk zewnętrzny do mojego komputera z podobnym 'mankamentem'. Wygląda na to że zainfekował mój komputer, teraz za każdym razem gdy podpinam jakiś pendrive czy dysk zew. znajduje się tam właśnie ten skrót. Dopiero gdy w niego wejde to otwiera sie folder gdzie są wszystkie dane które miałem na dysku.. tzn były wszystkie dane które tam miałem, bo nagle zniknęły.. Mam więc dwa problemy.. chciałbym jakoś pozbyć sie tego nieszczęsnego wirusa czy cokolwiek to jest, gdzieś doczytałem się na jakimś anglo-języcznym forum że to wirus, ale nikt nie umiał znaleźć na to skutecznego rozwiązania. Chciałbym także odzyskać z dysku stracone dane ;/ jestem po studiach i na dysku znajdowały się wszystkie moje materiały akademickie, specjalnie trzymałem je na dysku bo infekcje częściej zdarzają się na dyskach systemowych, te dane wydawały mi sie tam bezpieczniejsze.. Mam dysk zewnętrzny adata superior sh14, podzielony na dwie partycje, jedna 245 GB fat32 z grami na x'a i druga NTFS 455 GB ze wszystkimi swoimi danymi. niestety tylko partycja z danymi została oczyszczona, na drugiej gry i dane się zachowały. Logi z OTL i gmera dodane do posta. Proszę o pomoc.. Pozdrawiam Extras.Txt gmer_log.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 19 Marca 2013 Zgłoś Udostępnij Opublikowano 19 Marca 2013 Wykonaj jeszcze jeden log. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Odnośnik do komentarza
kiwis89 Opublikowano 19 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2013 log z USBFix oraz log z opcji 'Listening' UsbFix.txt UsbFix_listening.txt Odnośnik do komentarza
Landuss Opublikowano 21 Marca 2013 Zgłoś Udostępnij Opublikowano 21 Marca 2013 Dysk ma być teraz podpięty przy wykonywaniu czynności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2886676476-709818073-1762549091-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?src=sp&aff=51&cf=9bc3e6de-efa8-11e1-88fc-001e339b855e&q={searchTerms}" IE - HKU\S-1-5-21-2886676476-709818073-1762549091-1001\..\SearchScopes\{99DA4CAC-62CF-4F7E-9E68-9C4CC5DF318C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=CAB515D6-019E-481F-99C6-23AB5B94451A&apn_sauid=FB77DBDD-7E07-49AF-BDEB-737A134FD753" IE - HKU\S-1-5-21-2886676476-709818073-1762549091-1001\..\SearchScopes\{D86239B5-6588-4F8B-8050-E20226DDE64D}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=9bc3e6de-efa8-11e1-88fc-001e339b855e&q={searchTerms}" O4 - HKLM..\Run: [] File not found :Files F:\*.lnk H:\*.lnk I:\*.lnk attrib /d /s -s -h F:\* /C attrib /d /s -s -h H:\* /C attrib /d /s -s -h I:\* /C C:\Users\Kiki\AppData\Roaming\Ykkumu :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z USBFix z Listingu Odnośnik do komentarza
kiwis89 Opublikowano 21 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2013 oto logi: edit.. po wykonanych czynnościach które zleciłeś, problem pojawiania się skrótu na penDrivie nie zniknął OTL2.Txt UsbFix2-list.txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2013 (edytowane) po wykonanych czynnościach które zleciłeś, problem pojawiania się skrótu na penDrivie nie zniknął Tak, bo ominięty w usuwaniu został ten wpis infekcji: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 56879 = C:\PROGRA~3\LOCALS~1\Temp\msawwzmua.exe (ATEa) Czyli poprawka na powyższe plus inne korekty: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 56879 = C:\PROGRA~3\LOCALS~1\Temp\msawwzmua.exe (ATEa) :Files F:\*.lnk H:\*.lnk I:\*.lnk F:\autorun.inf H:\autorun.inf I:\autorun.inf attrib /d /s -s -h F:\* /C attrib /d /s -s -h H:\* /C attrib /d /s -s -h I:\* /C C:\Users\Kiki\AppData\Roaming C:\Program Files (x86)\mozilla firefox :Services esgiguard :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Infekcja ukryła właściwe dane na urządzeniach w katalogach bez nazwy: [18/03/2013 - 09:54:00 | SHD ] F:\[21/03/2013 - 21:42:30 | D ] H:\[07/03/2013 - 16:06:50 | D ] I:\ Wejdź po kolei na te dyski, z owych folderów przenieś wszystkie dane poziom wyżej, a foldery przez SHIFT+DEL skasuj. 3. Pozostałe drobne korekty. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{FC9082D5-EC94-4F64-A70C-41F667DEFCCA}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{FC9082D5-EC94-4F64-A70C-41F667DEFCCA}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing. . Edytowane 18 Maja 2013 przez picasso 18.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi