"zniknięcie" folderów i plików z dysku

[login]

Witam!

 

Po włączeniu komputera, po dwudniowej przerwie zauważyłem następujący problem:

- brak dostępu poprzez skróty na pulpicie do plików i folderów znajdujących się na dysku H

- w "Mój komputer" dysk H również nie był widoczny

Komputer został wyłączony i sprawdzone zostały połączenie kabla SATA i zasilania dysku.

Po restarcie komputera, dysk H był już widoczny, ale zauważyłem następujące zmiany:

- "zniknęła" część folderów

- "zniknęły" pliki z folderów, które pozostały

Zostało wykonane skanowanie i sprzątanie OTL'em. Logi niestety nie zostały zachowane. Podczas sprzątania program antywirusowy wyświetlił informację o wirusach:
TR/ResCrypt.A

TR/Crypt.ZPACK.GEn8

które zostały usunięte.

Proces sprzątania trwał około 20 minut.
Po kolejnym restarcie komputera sytuacja z dostępem do plików i folderów na dysku H nie uległa zmianie. Zostało zrobione kolejne skanowanie OTL'em, którego wyniki są dołączone jako załączniki.

 

Na pierwszy rzut oka wygląda to tak, jakby ww. były w dalszym ciągu na dysku, ponieważ ilość wolnego miejsca nie uległa zmianie.

Z góry bardzo dziękuję za pomoc.

 

edit:
Dołączam brakujące logi z GMER'a.

OTL.Txt

Extras.Txt

gmer preskan.txt

gmer skan.txt

[picasso]

Na razie to nie wygląda na problem infekcji. Są jej drobne odpadki owszem, ale stare i nieczynne.

1. Odinstaluj archaiczne programy: Ad-aware 6 Personal, HijackThis 1.99.1, Kerio Personal Firewall, Symantec Network Driver Update. A także wszystkie stare wtyczki Adobe (Adobe Reader, Adobe Flash) i Java.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\All Users\Dane aplikacji\*.exe
C:\Documents and Settings\All Users\Dane aplikacji\9D04A673E4421F7D00009D04097827CA
C:\Documents and Settings\All Users\Dane aplikacji\etstsjhshgfvuew
C:\Documents and Settings\All Users\Dane aplikacji\BendPokeSkipNew(2)
C:\Documents and Settings\NetworkService\Dane aplikacji\vqdlkr.dat
%userprofile%\*.exe
%userprofile%\Dane aplikacji\avdrn.dat
%userprofile%\Dane aplikacji\-2025827831
%userprofile%\Dane aplikacji\Adlume
%userprofile%\Dane aplikacji\Cartall
%userprofile%\Dane aplikacji\Ebydry
%userprofile%\Dane aplikacji\GoforFiles
%userprofile%\Dane aplikacji\SystemProc
%userprofile%\Dane aplikacji\winm
%userprofile%\Dane aplikacji\Xyuny
C:\Program Files\Mozilla Firefox
C:\WINDOWS\tasks\Go for FilesUpdate.job
netsh firewall reset /C

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

:OTL
O3 - HKU\S-1-5-21-1214440339-2000478354-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-1214440339-2000478354-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-1214440339-2000478354-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
SRV - File not found [Disabled | Stopped] -- -- (Adobe LM Service)
DRV - File not found [Kernel | Boot | Stopped] -- -- (Cdr4vsd)
DRV - File not found [Kernel | Boot | Stopped] -- -- (AC2003)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\3c2364b.sys -- (3c2364b)

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2.

 

Po restarcie komputera, dysk H był już widoczny, ale zauważyłem następujące zmiany:
- "zniknęła" część folderów
- "zniknęły" pliki z folderów, które pozostały
(...)
Na pierwszy rzut oka wygląda to tak, jakby ww. były w dalszym ciągu na dysku, ponieważ ilość wolnego miejsca nie uległa zmianie.

 

Poproszę o raport USBFix z opcji Listing.



.

[login]

Dziękuję za odpowiedź.

Oczywiście zrobię wszystko zgodnie z powyższym.

 

Na obecną chwilę dysk został wymontowany z komputera i po wstępnej rozmowie telefonicznej zawieziony do firmy zajmującej się odzyskiwaniem danych.
Podczas rozmowy telefonicznej pracownik ww. firmy stwierdził, że uszkodznie prawdopodobnie nie jest spowodowane infekcją, tylko jest to uszkodzenie dysku.

Wstępna diagnoza na miejscu wykazała, że dysk jest sprawny w 1%.
Zgłoszenie serwisowe zostało przyjęte, ale ostateczną decyzję o rozpoczęciu odzyskiwania danych mam podjąć w przeciągu dwóch kolejnych dni, ponieważ w grę wchodzą jak dla mnie bardzo duże pieniądze.

 

Czy w związku z tym, że aktualnie nie mam tego dysku mam sporządzać raport USBFix?
Ww. dysk nie jest dyskiem zewnętrznym/ przenośnym. Jest bezpośrednio podłączony do gniazda SATA na płycie głównej.

[picasso]

Wstępna diagnoza na miejscu wykazała, że dysk jest sprawny w 1%.

(...)

Czy w związku z tym, że aktualnie nie mam tego dysku mam sporządzać raport USBFix?

 

W sytuacji jawnego defektu dysku oczywiście nie.

 

Ww. dysk nie jest dyskiem zewnętrznym/ przenośnym. Jest bezpośrednio podłączony do gniazda SATA na płycie głównej.

 

To nie ma znaczenia dla formy raportu USBFix, gdyż wbrew nazwie niektóre cechy narzędzia adresują dane ze wszystkich dysków twardych i USB. Ten skan miał na celu zrobić dir dysku. To traci zasadność przy diagnozie wady dysku per se.

 

 

 

.

[login]

Witam ponownie!

 

Wszystkie programy i wtyczki zostały usunięte.

Był jakiś problem z wklejeniem skopiowanej komendy z postu wyżej - notatnik systemowy inaczej czytał, ale ten od Total Commander'a dał radę. Trzeba było jedynie zedytować odpowiednio i poprzenoisić wiersze.

Po deinstalacji i ponownym uruchomieniu zaktualizował się Flash Player i Windows (22 aktualizacje). 
 

Czy mam ściągać nową Javę i Adobe Reader'a?

 

W załączeniu nowe logi.

OTL_usuniete.txt

OTL_nowy.Txt

[picasso]

Skrypt pomyślnie wykonany. Ale nie wszystko w obrębie usuwania starych aplikacji:

 

1. Nadal wisi sterownik Symantec:

 

DRV - [2005-07-28 15:52:18 | 000,123,712 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\SymEvent.sys -- (SymEvent)

 

Zastosuj Norton Removal Tool.

 

2. Nie zostały usunięte wszystkie stare programy Adobe. Ja nadal widzę kompletnie zdezelowany Adobe Flash (w wersji dla Firefox/Opera) oraz Adobe Reader:

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
 

O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe Acrobat Reader 6.0.2 CE Pl\Reader\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

 

Usuwanie takich staroci ma cel: ograniczyć podatność na infekcję, te wtyczki Adobe są po prostu niebezpieczne. W przypadku Adobe Flash podejrzewam, że to truchło przywraca Gadu-Gadu 10 uruchamiane w starcie, bo to nie pierwszy przypadek tu na forum, że po usunięciu tej starej wtyczki ona wraca (reinstaluje ją GG10, bo ... potrzebuje jej do reklam). I tu od razu mówię: ta wersja GG10 już stara (i nie działa wiele serwisów zintegrowanych w niej, firma wycofała się z kilku rozwiązań), a forma opłakana (więcej reklam niż funkcji). Proponuję od razu od ręki zamienić na jedno z tych: najnowsze GG11 (jest lepsze niż GG10, mniej reklam i nowe funkcje komunikacyjne) lub alternatywny program (WTW, Kadu, Miranda NG, AQQ). Opisy: KLIK.

 

 

 

 

.

[login]

Zastosowałem Norton Removal Tool, odinstalowałem stare GG, zainstalowałem nowe GG.

Z tym Adobe Flash Player'em było dokładnie tak jak piszesz, ściągnęło się przy starcie GG, ale już usunięte.

Z Adobe Acrobat Reader było trochę problemów, w Dodaj/Usuń programy widniało, ale nie można było usunąć - dostęp zabroniony do pliku AcroHelper.dll, w jv16 usunąłem wpisy, ale to nic nie zmieniło, w końcu udało się ostatecznie usunąć/ odinstalować za pomocą CCleaner.

Muszę nadmienić, że strasznie wolno ładuje się system po resecie, programy też się wolno uruchamiają.

Chciałbym jeszcze raz podziękować za pomoc w czyszczeniu systemu.

Nowy log z OTL, mam nadzieję, że już wszystko gra.

OTL_nowy_1.Txt

[picasso]

Muszę nadmienić, że strasznie wolno ładuje się system po resecie, programy też się wolno uruchamiają.

 

Był skan GMER, toteż sprawdź czy transfer dysku nie spadł z DMA do PIO. Masz to w instrukcji GMER: KLIK.

 

 

.

[login]

Odinstalowałem z prawokliku podstawowy kanał IDE, system po resecie wstał szybciej.

 

Ponawiam pytanie co do Java i Adobe Acrobat Reader'a - czy mam zaciągać, bo pewnie się przydadzą.

[picasso]

Kończąc sprawy:

1. W pasku adresów eksploratora wklej %userprofile%\Dane aplikacji i ENTER. Skasuj ze środka szczątkowy folder Mozilla.
 
2. W OTL uruchom Sprzątanie, co zlikwiduje z rejestru i dysku OTL.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Tu były jednak różne stare odpadki infekcji, więc na wszelki wypadek zrób skan za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.
 
 

Ponawiam pytanie co do Java i Adobe Acrobat Reader'a - czy mam zaciągać, bo pewnie się przydadzą.

 
Tylko wtedy, gdy będą Ci potrzebne. Obecnie Java najlepiej wcale nie mieć lub mieć w stanie wyłączonym (uruchamiana na życzenie), stanowczo zbyt dziurawa (te masowe infekcje "policyjne" na forum mają źródło właśnie w Java) i zbyt duży trud z łataniem tego.
 
 
 
.

[login]

Wykonałem wszystko z punktów 1-4.

Zrobiłem szybki skan Malwarebytes Anti-Malware i coś znalazł, w załączeniu log.

Program trochę dziwnie się zachowuje, bo będąc w zakładce "skaner", z zaptaszkowanym plikiem do usunięcia, nie mogę przejść do innej zakładki.

Z kolei, gdy chcę wyjść z programu, wyskakuje okno, że skanowanie trwa...

Rozumiem, że plik mam usunąć, czy coś jeszcze należy zrobić?

MBAM-log-2013-06-12 (15-53-32).txt

[picasso]

1. Wyniki MBAM: usuń ten plik za pomocą programu.

2. Stare softy były już wywalane, ale jeszcze te pozycje do aktualizacji:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"ffdshow_is1" = ffdshow [rev 780] [2007-01-15]
"FileZilla Client" = FileZilla Client 3.3.3

To tyle z mojej strony.


.

[login]

Bardzo Ci dziękuję za pomoc.