OTL - błędny skrypt i pojawienie się nowych plików i folderów


(ufny-89@wp.pl) #1

Chcąc usunąć z pendrive'a wirusa, który tworzył na nim nieporządane skróty, nierozważnie w programie OTL w miejscu Własne opcje skanowania/skrypty skopiowałem cudzy skrypt i wcisnąłem Wykonaj skrypt. Po chwili jednak zrozumiałem jak zła byłą to decyzja i w trakcie wykonywania skryptu zamknąłem OTL poprzez Menadżer zadań i uruchomiłem komputer ponownie.

Pojawiły się jednak po tym procederze na dysku C:** pliki i foldery, których nie było (pliki: **hiberfile.sys , pagefile.sys , IO.SYS , MSDOS.SYS , autoexec.sys , config.sys oraz foldery: System Volume Information , $AVG-SHREDDER-TMP-ce7eba13-f80e-4f54-be4c-e227dc1b5532$Recycle.BinDocuments and Settings , gdzie przy ikonach pojawia się mała kłódka i folder  ProgramData ).

Dodatkowo pojawił się folder  C:_OTL\MovedFiles\01142014_203710\G_C:_OTL\MovedFiles\01142014_203710\G_autorun.inf.

W tym pierwszym folderze znajdują się pliki, które znajdowały się na pendrive'ie przed całą niefortunną operacją.

Na pulpicie pojawiły się jeszcze pliki desktop.ini!

Ponadto wirtualny dysk zniknął z Mój   Komputera.

Czy istnieje możliwość aby te pliki i foldery nie pojawiały się i przywrócić stan z przed całej niefortunnej operacji albo można je jakoś ukryć ?

 

Przed wykonaniem skryptu.

 

OTL:

http://wklej.org/id/1236607/

 

Extras:

http://wklej.org/id/1236683/

 

Po wykonaniu skryptu.

 

OTL:

http://wklej.org/id/1236747/

 

I kawałek skryptu, który w tej nieszczęśliwej operacji został przekopiowany:

:Files


(Atis) #2

Pokaż raport UsbFix z opcji Listing.


(ufny-89@wp.pl) #3

UsbFix:

http://wklej.org/id/1236775/


(Atis) #4

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
CHR - Extension: ShopperPro = C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojhagnahfpegocdhlopgljpaafeogmcc\1.0.1.1_0\
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
O4 - HKLM..\Run: [99] wscript.exe //B "C:\Users\user\AppData\Roaming\99.vbs" File not found
O4 - HKLM..\Run: [YTDownloader] "C:\Program Files\YTDownloader\YTDownloader.exe" /boot File not found
O4 - HKCU..\Run: [99] wscript.exe //B "C:\Users\user\AppData\Roaming\99.vbs" File not found
O4 - HKCU..\Run: [AVG-Secure-Search-Update_1213b] C:\Users\user\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=e9d392dd5f8347d3a05d41490813a558-9ff2b4b3e86d70bc5c75a927daec14f2c427ad6c /CMPID=1213b File not found
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
:Files
G:\*.lnk
G:\99.vbs
attrib /d /s -s -h G:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.


(ufny-89@wp.pl) #5

Raport z usuwania:

http://wklej.org/id/1236801/

 

OTL:

http://wklej.org/id/1236823/

 

UsbFix:

http://wklej.org/id/1236804/


(Atis) #6
C:\Program Files\DCE\dce.exe

Czy znasz ten program?

Wykonaj skrypt w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKLM..\Run: [99] wscript.exe //B "C:\Users\user\AppData\Roaming\99.vbs" File not found
O4 - HKCU..\Run: [99] wscript.exe //B "C:\Users\user\AppData\Roaming\99.vbs" File not found
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
:Files
G:\*.lnk
G:\99.vbs
attrib /d /s -s -h G:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.


(ufny-89@wp.pl) #7

Nie, nie znam tego programu.

 

Raport z usuwania:

http://wklej.org/id/1236836/

 

OTL:

http://wklej.org/id/1236949/

 

UsbFix:

http://wklej.org/id/1236837/

 

Pojawiły się jeszcze dwa foldery na dysku C:** , a mianowicie **_OTL_FS_SWRINFO ( z dwoma plikami w środku C:_FS_SWRINFO\ crc.info i C:_FS_SWRINFO\ files.info. Czy mogą one zostać bezpiecznie usunięte ?


(Atis) #8

Wszystkie foldery były już wcześniej na dysku, bo zostały utworzone tylko foldery kwarantanny OTL, UsbFix i AdwCleaner.

Wklej i kliknij Wykonaj skrypt:

:OTL
SRV - [2013/12/18 22:26:06 | 000,059,392 | ---- | M] () [Auto | Running] -- C:\Program Files\DCE\dce.exe -- (DCE)
O4 - HKLM..\RunOnce: [] File not found
[2014/01/07 20:07:27 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013/12/30 22:16:35 | 000,000,000 | ---D | C] -- C:\Program Files\DCE
:Files
attrib /d /s -s -h G:\* /c

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.


(ufny-89@wp.pl) #9

Raport z usuwania:

http://wklej.org/id/1237072/

 

OTL:

http://wklej.org/id/1237103/

 

UsbFix:

http://wklej.org/id/1237074/


(Atis) #10

Wszystkie programy > Akcesoria > Wiersz polecenia > Kliknij prawym i wybierz Uruchom jako administrator

Wklej i zatwierdź enterem: attrib /d /s -s -h G:*

Pokaż nowy raport UsbFix z opcji Listing.


(ufny-89@wp.pl) #11

UsbFix:

http://wklej.org/id/1237110/


(ufny-89@wp.pl) #12

Dodatkowo teraz wchodząc na swój pendrive'a nie pojawiają się żadne pliki ani folder, które były tam wcześniej, ale pamięć pendrive'a jest ciągle zajęta.


(Atis) #13

Foldery i pliki są na pendrive tylko zostały ukryte przez trojana.

Musisz samodzielnie zmienić atrybuty, bo komenda nie działa.

Pobierz Total Commander:

http://www.ghisler.com/amazons3.php

Total Commander > Konfiguracja > Ustawienia > Wyświetlanie > zaznacz: Pokaż pliki ukryte/systemowe > OK

Zaznacz plik/folder > Pliki > Zmień atrybuty > Z podkatalogami > odznacz: Ukryty i Systemowy > OK

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date


(ufny-89@wp.pl) #14

Wielkie dzięki za pomoc, chyba wszystko działa już w porządku.