Odzyskanie plików z pen drive'a tworzącego skrót zawartości


(millllka) #1

Cześć!

Jest to mój pierwszy post, więc proszę o wyrozumiałość. :slight_smile: Mój problem dotyczy tworzącego się skrótu zawartości pen drive’a, uniemożliwiającego odtworzenie zawartości, a prawdopodobnie będącego sprawką jakiegoś wirusa. Problem pojawił się prawdopodobnie podczas zgrywania kolejnej tury zdjęć z miesięcznego tripa po Turcji i Kaukazie na komputer jednego Ormianina. Wówczas to własnie próba dostępu do pen drive’a została udaremniona pop-upem:

Wystąpił problem podczas uruchamiania pliku
_____________-
Nie można odnalezc określonego modułu.

Wcześniej normalnie zgrywaliśmy kilkakrotnie zdjęcia. Zainfekowane pen drive’y są dwa (sądząc, że to wina pena a nie komputera Ormianina, podpięliśmy też drugi). Na jednym z nich znajdują się zdjęcia z całego tripa, więc gra o odzyskanie warta świeczki… Drugi już sformatowałam, i zamierzam umieścić tam instalkę do win10 i sformatować komputer, bo poza tym ostatnim wirusem znajduje się tam mnóstwo innego śmiecia (w styczniu ściągnęłam sobie też wirus typu ransom, który nieodwracalnie zaszyfrował mi większość dokumentów). Zastanawiam się, czy lepiej zrobić format czym prędzej i pózniej pomartwić się tym pen drivem ze zdjęciami, czy może poczekać i wyrzucić świństwo z pen drive’a, a na koniec zwieńczyć sukces formatem komputera.
Może warto dodać, że jest jeszcze trzeci pen drive, z którego korzystam na co dzień, podłączam do tego komputera, do którego podłączane były oba zainfekowane pen drive’y, ale on sam nie wydaje się być zainfekowany. Nie był on podłączany do komputera Ormianina.

Podobny, jeśli nie taki sam, problem z tworzeniem skrótów znalazłam tutaj:

W sumie tylko przez te logi zakładam wątek - tak, to sama bym sobie poradziła w oparciu o to, co tam napisano. :wink:

Poniżej raporty z FRST:

[FRST] (http://www.wklej.org/id/3086972/)

[Addition] (http://www.wklej.org/id/3086973/)

[Shortcut] (http://www.wklej.org/id/3086974/)

Z góry dziękuję za wszystko, co przyczyni się do odzyskania zdjęć. :blush:


(Atis) #2

Pobierz i uruchom UsbFix. Download UsbFix Windows Installer: KLIK
Podłącz pendrive i w UsbFix kliknij Clean. Pokaż raport z czyszczenia.
Pokaż nowe logi z FRST i raport UsbFix z opcji Listing.


(millllka) #3

Raport z czyszczenia (podłączone oba pen drive’y - ze zdjęciami oraz sformatowany):
[UsbFix] (http://www.wklej.org/id/3087016/)

Skan z opcji Listing w UsbFix przy podłączonych obu penach wywalał mi błąd:

Line 42998 (File “C:UsbFix\UsbFix.exe”):
Error: Subscript used on non-accessible variable.

Po odłączeniu sformatowanego pen drive’a udało się otrzymać raport:
[UsbFix Listing] (http://www.wklej.org/id/3087086/)

Nie mogę dodać więcej niż 3 linków, więc nowe logi z FRST w osobnej odpowiedzi.


(millllka) #4

Nowe logi FRST:

[FRST] (http://www.wklej.org/id/3087082/)
[Addition] (http://www.wklej.org/id/3087084/)


(km_00618) #5

Jak żona przyniosła z pracy swojego pena z wirusem i utworzonymi skrótami to najpierw pozbyłem się wirusa a następnie przy pomocy free Commandera skopiowałem ukryte pliki z pena z dokumentami i zdjęciami. Ale to było 2 lata temu, od tamtego czasu nie mam wirusów w domu.


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKLM-x32\...\RunOnce: [] => [X] Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-21-2161880130-3257555242-778284119-1001\...\RunOnce: [Uninstall C:\Users\adm in 1\AppData\Local\Microsoft\OneDrive\17.3.6201.1019_1\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\adm in 1\AppData\Local\Microsoft\OneDrive\17.3.6201.1019_1\amd64" ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR HKU\S-1-5-21-2161880130-3257555242-778284119-1001\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2161880130-3257555242-778284119-1001 -> {3C21155F-64B9-400E-A44E-E4FC7495F525} URL = Filter: application/x-ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica; charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica; charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica; charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica; charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica; charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica; charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica; charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica;charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica;charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica;charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica;charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica;charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica;charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: application/x-ica;charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku Filter: ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - Brak pliku CHR StartupUrls: Profile 1 -> "hxxp://www.doko-search.com/?babsrc=HP_ss&mntrId=98F4BCAEC5527466&affID=125839&tsp=5037","hxxp://search.ividi.org/?src=tbhp&id=98f460d7000000000000bcaec5527466&affilt=3","hxxp://www.google.com","hxxp://mysearch.avg.com?cid={9D8A1A71-79A0-42C5-AE60-9354B2A47A03}&mid=b4587ef2c12547d29d3265ff30b92d15-d53d496f502ccc5baf7b5cfeb858b5d39036696f&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-30 11:44:24&v=18.1.0.443&pid=safeguard&sg=&sap=hp","hxxp://www.mystartsearch.com/?type=hp&ts=1427228819&from=wpc&uid=HGSTXHTS545050A7E380_TE951649KRX78PKRX78PX" CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx S4 OracleOraDB12Home1TNSListener; C:\app\oracle\product\12.1.0\dbhome_1\BIN\TNSLSNR [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] 2017-04-13 00:54 - 2017-03-21 03:36 - 00448285 _____ C:\WINDOWS\system32\ApnDatabase.xml 2017-01-17 21:13 - 2017-01-17 21:13 - 3988944 _____ () C:\Program Files (x86)\AdwCleaner.exe 2015-07-17 01:11 - 2015-07-21 11:53 - 0000024 _____ () C:\Users\adm in 1\AppData\Roaming\appdataFr25.bin 2014-12-15 13:52 - 2014-12-15 13:52 - 0000093 _____ () C:\Users\adm in 1\AppData\Roaming\ARCompanion.log Task: {2C2E9C6E-CF82-4805-B516-4ADE0EE75280} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {3FFF3BCF-9F6E-4C62-A315-CF26E5CC1239} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {40A7A411-EE8B-4ACD-B513-7C17E52E7126} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {4610962E-0A3A-4E6B-9890-7E62B2177F79} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {4CA7D2FD-5FF7-4867-9D2C-52CC60F8493F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {7B6CBAB3-0C15-4F36-98F3-CDFF85E231FB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {87ED767D-8556-4641-A71A-7F79CC116BB7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {A44CFC12-530D-444A-BB30-697713D85501} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {A7105983-D64B-45D4-AA10-3BEF1C0D26B0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {A7A1F611-9386-4F34-B1E1-D31B51B919FE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {F3E3D5AE-3DC9-45F0-8E94-FD545A39C04A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA D:\desktop.ini D:\*.lnk EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(millllka) #7

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

Nie rozumiem - gdzie to mam zapisać? W katalogu FRST?


(Atis) #8

Przecież w razie problemów wystarczy przeczytać komunikat:


(millllka) #9

Okej okej nie połapałam się o co chodzi - pierwszy raz się bawię takimi narzędziami. :slight_smile:

Raport z naprawy: [Fixlog] (http://wklej.org/id/3087352/)
Raport z FRST: [FRST] (http://wklej.org/id/3087371/)


(adi0922) #10

W mojej szkole panuje identyczny wirus, pomaga włączenie w opcjach widoczności ukrytych plików i otworzenie pendrive’a za pomocą winrara. Wtedy wszystko się pokazuje.


(millllka) #11

Właściwie to pliki są już widoczne więc wrzucam je na google drive’a zanim coś im się znowu stanie. :slight_smile: Pytanie tylko, czy świństwo jest już wywalone z pena?


(Atis) #12

Nie trzeba niczego zmieniać w opcjach widoczności, bo UsbFix automatycznie usuwa atrybuty ukryty i systemowy, a także kasuje szkodliwe pliki.
Skasuj folder C:\FRST i C:\UsbFix
Czyszczenie folderów Przywracania systemu


(millllka) #13

Dezynfekcja wykonana. Zastanawiam się, czy robić jeszcze ten format, czy może już nie trzeba.

Dziękuję za sprawną pomoc! :slight_smile:


(roobal) #14

Miałem z tym do czynienia. Pliki nie są usuwane z penrive. Nie wiem czy masz to, samo ale malware wrzuca na pendrive skrypt js, który ukrywa pliki przed systemem. Jak podłączysz pendrive pod jakiegoś Linuksa, to dostaniesz się do danych bez problemu.