mateo2o Opublikowano 26 Maja 2018 Zgłoś Udostępnij Opublikowano 26 Maja 2018 Witam, Gdy uruchamiam pendrive "Dysk USB (F:)" wyskakuje skrót "Removable Drive (8GB)" ,a po otworzeniu tego skrótu wyskakuje mi błąd: "Wystąpił problem podczas uruchamiania pliku \bdbdfffdfbbbffdbfdbdbdfddfdfdfbdbdfddfbfdfbfdbfddbdfdfbbdfbbb.bdbdfffdfbbbffdbfdbdbdfddfdfdfbdbdfddfbfdfbfdbfddbdfdfbbdfbbb Nie można odnaleźć określonego modułu." Najprawdopodobniej uruchomiłem jakąś infekcje. Prosiłbym o pomoc, gdyż na pendravie znajdują się bardzo ważne pliki i chciałbym je odzyskać. Z góry dziękuje za pomoc. FRST.txt.txt Addition.txt.txt Shortcut.txt.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Maja 2018 Zgłoś Udostępnij Opublikowano 27 Maja 2018 Pendrive został zainfekowany przez robaka Gamarue, który tworzy na urządzeniu ukryty folder o nazwie spacji i przesuwa do niego wszystkie dane użytkownika. Jedyny widoczny element to skrót o nazwie urządzenia, który uruchamia infekcje. System na szczęście pozostał nienaruszony, gdyż Windows Defender zablokował proces infekcji. Teraz pobiorę raport z pendrive, by zobaczyć konkretne ścieżki infekcji (od razu ściągnę również atrybuty ukrycia danych): 1. Podepnij zarażone urządzenie F:\. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Folder: F:\ CMD: attrib /d /s -r -s -h F:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przedstaw plik Fixlog, nie dokonuj po za tym żadnych działań. P.S: Jesteś pewny, że tylko urządzenie F:\ zostało zainfekowane? Windows Defender wykrył infekcję w dwóch urządzeniach: F:\ i E:\. Odnośnik do komentarza
mateo2o Opublikowano 27 Maja 2018 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2018 (edytowane) Urządzenie E to pendrive, którego na tą chwilę nie używam. Wklejam fixloga Fixlog.txt.txt Edytowane 28 Maja 2018 przez Miszel03 Posty łącze. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 28 Maja 2018 Zgłoś Udostępnij Opublikowano 28 Maja 2018 Dziękuje za raport. Teraz możemy przejść do usunięcia infekcji. 1. Podepnij zarażone urządzenie F:\. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: F:\ \desktop.ini F:\ \IndexerVolumeGuid F:\System Volume Information F:\Removable Drive (8GB).lnk CMD: attrib /d /s -r -s -h F:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Gdy przejdziesz do tego punktu infekcji już nie powinno być: przenieś swoje dane z folderu bez nazwy do głównego widoku pendrive lub w inne bezpieczne miejsce, a sam folder skasuj. 3. Przedstaw plik Fixlog, powiedz jak oceniasz obecną sytuację. W następnych krokach pokieruję Cię jak zabezpieczyć się przez tego typu infekcjami w przyszłości. Urządzenie E to pendrive, którego na tą chwilę nie używam. Rozumiem, aczkolwiek proszę mieć na uwadze, że to urządzeniu również jest zarażone. Zamierasz sformatować tego pendrive? Oczywiście, mogę pomóc w jego dezynfekcji. Odnośnik do komentarza
mateo2o Opublikowano 28 Maja 2018 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2018 Wszystko działa tak jak należy. W najbliższym okresie nie zamierzam go formatować, ale dziękuję za chęć pomocy i poświęcony czas. Mam jeszcze pytanie czy plik o nazwie "System Volume Information" ma pozostać na pendrive ? Załączam nowego fixloga. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Maja 2018 Zgłoś Udostępnij Opublikowano 29 Maja 2018 Miło mi, że moja pomoc okazała się przydatna. Materiały, które pomogą zabezpieczyć Ci się przed taką sytuacją w przyszłości: - Zabezpieczenia: Infekcje z pendrive / mediów przenośnych - Zabezpieczenia przed infekcjami z USB Na koniec zastosuj również DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Mam jeszcze pytanie czy plik o nazwie "System Volume Information" ma pozostać na pendrive ? Prawdę mówiąc to w raporcie nie widzę takiego pliku na tym pendrive, ale z nazwy to będzie komponent przywracania. W każdym razie wydaję się, że można go usunąć. W najbliższym okresie nie zamierzam go formatować, ale dziękuję za chęć pomocy i poświęcony czas. Podłączenie tego pendrive (tu mapowany jako E:\, teraz czyściliśmy urządzenie F:\) do niezabezpieczonego systemu spowoduje jego zarażenie. W przypadku chęci jego dezynfekcji proszę się odezwać. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się