Wirus na dysku przenośnym


(sebastian.h) #1

witam!!

mam problem ze swoim dyskiem przenośnym a mianowicie pożyczyłem go znajomemu i po podłączeniu go ponownie pod swojego laptopa AVAST przeniósł prawie wszystkie pliki do kwarantanny. Próbowałem je przywrócić ale po chwili avast ponownie umieszcza je w kwarantannie. Dysk jest co prawda pełen ale mój komputer nie wyświetla żadnego folderu. Wspomnę tylko że jestem marynarzem a na dyku posiadam bardzo ważne dane dotyczące nawet stabilizowania statku więc są dla mnie bardzo ważne a fakt że jestem na morzu wyklucza możliwość udania się do specjalisty. Czy da się jakoś odblokować, odzyskać te dane. Proszę o pomoc

Z góry dziękuję


(Atis) #2

OTL - Raport obowiązkowy:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741


(sebastian.h) #3

a oto wklejki z raportów

http://wklej.org/hash/9bae56448fc/ OTL.Txt

http://wklej.org/id/1027676/ Extras.Txt


(Atis) #4
  1. Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

  1. Wklej do OTL i kliknij Skanuj

Pokaż ten log.


(sebastian.h) #5

taki raport wyszedł po drugim razie bo za pierwszym nie wyłączyłem avasta i coś poszło nie tak

All processes killed

========== OTL ==========

Error: No service named VcommMgr was found to stop!

Service\Driver key VcommMgr not found.

File System32\Drivers\VcommMgr.sys not found.

Error: No service named VComm was found to stop!

Service\Driver key VComm not found.

File system32\DRIVERS\VComm.sys not found.

Error: No service named SymIMMP was found to stop!

Service\Driver key SymIMMP not found.

File system32\DRIVERS\SymIM.sys not found.

Error: No service named SymIM was found to stop!

Service\Driver key SymIM not found.

File system32\DRIVERS\SymIM.sys not found.

Error: No service named SNP2UVC was found to stop!

Service\Driver key SNP2UVC not found.

File system32\DRIVERS\snp2uvc.sys not found.

Error: No service named IvtBtBUs was found to stop!

Service\Driver key IvtBtBUs not found.

File System32\Drivers\IvtBtBus.sys not found.

Error: No service named hwdatacard was found to stop!

Service\Driver key hwdatacard not found.

File system32\DRIVERS\ewusbmdm.sys not found.

Error: No service named huawei_ext_ctrl was found to stop!

Service\Driver key huawei_ext_ctrl not found.

File system32\DRIVERS\ew_juextctrl.sys not found.

Error: No service named huawei_enumerator was found to stop!

Service\Driver key huawei_enumerator not found.

File system32\DRIVERS\ew_jubusenum.sys not found.

Error: No service named huawei_cdcecm was found to stop!

Service\Driver key huawei_cdcecm not found.

File system32\DRIVERS\ew_jucdcecm.sys not found.

Error: No service named huawei_cdcacm was found to stop!

Service\Driver key huawei_cdcacm not found.

File system32\DRIVERS\ew_jucdcacm.sys not found.

Error: No service named ewusbnet was found to stop!

Service\Driver key ewusbnet not found.

File system32\DRIVERS\ewusbnet.sys not found.

Error: No service named ew_usbenumfilter was found to stop!

Service\Driver key ew_usbenumfilter not found.

File system32\DRIVERS\ew_usbenumfilter.sys not found.

Error: No service named ew_hwusbdev was found to stop!

Service\Driver key ew_hwusbdev not found.

File system32\DRIVERS\ew_hwusbdev.sys not found.

Error: No service named BtHidBus was found to stop!

Service\Driver key BtHidBus not found.

File System32\Drivers\BtHidBus.sys not found.

Error: No service named Btcsrusb was found to stop!

Service\Driver key Btcsrusb not found.

File System32\Drivers\btcusb.sys not found.

Error: No service named BT was found to stop!

Service\Driver key BT not found.

File system32\DRIVERS\btnetdrv.sys not found.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL| /E : value set successfully!

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!

HKU\S-1-5-21-173812978-1223787521-2466447919-1000\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL| /E : value set successfully!

HKU\S-1-5-21-173812978-1223787521-2466447919-1000\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!

Registry key HKEY_USERS\S-1-5-21-173812978-1223787521-2466447919-1000\Software\Microsoft\Internet Explorer\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ not found.

File C:\Users\Sebastian\AppData\Roaming\mozilla\firefox\profiles\mevfc4w3.default\extensions{c7b3cf78-9cbc-47b9-ba47-bb84a56069dd}.xpi not found.

File C:\Users\Sebastian\AppData\Roaming\mozilla\firefox\profiles\mevfc4w3.default\searchplugins\delta.xml not found.

File C:\Program Files\mozilla firefox\searchplugins\babylon.xml not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.

Registry value HKEY_USERS\S-1-5-21-173812978-1223787521-2466447919-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{21FA44EF-376D-4D53-9B0F-8A89D3229068} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.

Registry value HKEY_USERS\S-1-5-21-173812978-1223787521-2466447919-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{32099AAC-C132-4136-9E9A-4E364A424E17} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_USERS\S-1-5-21-173812978-1223787521-2466447919-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{47833539-D0C5-4125-9FA8-0819E2EAAC93} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.

Registry value HKEY_USERS\S-1-5-21-173812978-1223787521-2466447919-1000\Software\Microsoft\Windows\CurrentVersion\Run\ not found.

Registry value HKEY_USERS\S-1-5-21-173812978-1223787521-2466447919-1000\Software\Microsoft\Windows\CurrentVersion\Run\Bpdcdd not found.

File C:\Users\Sebastian\AppData\Roaming\Bpdcdd.exe not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Append Link Target to Existing PDF\ not found.

Folder C:\ProgramData\Babylon\ not found.

Folder C:\Users\Sebastian\AppData\Roaming\Babylon\ not found.

========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

User: All Users

User: Default

->Temporary Internet Files folder emptied: 0 bytes

User: Default User

->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Sebastian

->Temp folder emptied: 32666 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 1628151 bytes

->Flash cache emptied: 492 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 580648 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 2,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 05012013_210613

Files\Folders moved on Reboot...

File\Folder C:\Windows\temp\TMP000000019C08378291B4CF59 not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


(Atis) #6

Wszystkie logi umieszczaj na wklej.org.

Pokaż log wykonany według instrukcji w punkcie 2.


(sebastian.h) #7

http://wklej.org/id/1027718/ OLT.Txt

http://wklej.org/id/1027719/ Extras.Txt


(Atis) #8
  1. Wklej do OTL i kliknij Wykonaj skrypt

  1. Uruchom OTL i kliknij Nic

Wklej i kliknij Skanuj:

Pokaż ten log.


(sebastian.h) #9

http://wklej.org/id/1027726/

takie coś wyszło

-- Dodane 01.05.2013 (Śr) 21:51 --

http://wklej.org/id/1027728/ i takie po 2 kroku


(Atis) #10
  1. Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej kolejno komendy i każdą zatwierdź enterem:

rd /s /q F:\$RECYCLE.BIN

attrib /d /s -s -h F:*

  1. Uruchom OTL i kliknij Nic

Wklej i kliknij Skanuj:

Pokaż ten log.


(sebastian.h) #11

http://wklej.org/id/1027746/

no i takie cosik mamy


(Atis) #12

Nie można usunąć tych atrybutów, więc spróbuj za pomocą FreeCommander.

Pobierz FreeCommander

W opcjach programu ustaw:

Narzędzia > Ustawienia > Widok > zaznacz: Pokaż pliki ukryte i Pokaż pliki systemowe ->OK

Zaznacz ukryte foldery i w menu kliknij:

Plik > Atrybuty/Czas.. (Shift + Enter) > Zmień atrybuty > odznacz: Ukryty i Systemowy > OK


(sebastian.h) #13

tak też zrobiłem czy coś jeszcze jest nie tak? jak to poznać?


(Atis) #14

Przecież widzisz czy foldery są normalnie widoczne.

Trojan nadaje atrybut Ukryty i Systemowy każdemu folderowi na dysku przenośnym

Uruchom OTL i kliknij Nic.

Wklej do OTL i kliknij Skanuj

Pokaż ten log.


(sebastian.h) #15

http://wklej.org/id/1027768/ wszystkie foldery są widoczne normalnie tylko mi cały czas kosz się pojawia i jakby się więcej miejsca zrobiło na dysku


(Atis) #16

$RECYCLE.BIN to systemowy folder kosza i znajduje się na każdym dysku.

W właściwościach kosza na pulpicie można wyłączyć dla wybranego dysku.

System Volume Information można wyłączyć przywracanie dla dysku zewnętrznego.

http://windows.microsoft.com/pl-pl/wind ... -on-or-off

Wygląda na to, że brakuje jednego folderu F:\SEBASTIAN-PC

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind ... tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.


(sebastian.h) #17

folder o który pytałeś to była kopia zapasowa mojego laptopa i nawet jak ją jakimś cudem usunęło nie będę po niej rozpaczał najważniejsze zostało uratowane dysk otwiera się normalnie a oto raport z Security check

Results of screen317's Security Check version 0.99.63

Windows Vista Service Pack 2 x86 (UAC is enabled)

Internet Explorer 9

Antivirus/Firewall Check:

avast! Antivirus

Antivirus up to date!

Anti-malware/Other Utilities Check:

CCleaner

JavaFX 2.1.1

Java 7 Update 21

Adobe Flash Player 9 Flash Player out of Date!

Adobe Flash Player 11.7.700.169

Adobe Reader 10.1.6 Adobe Reader out of Date!

Mozilla Firefox (20.0.1)

Process Check: objlist.exe by Laurent

Windows Defender MSASCui.exe

Windows Defender MSASCui.exe

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 AvastUI.exe

System Health check

Total Fragmentation on Drive C: %

End of Log

-- Dodane 02.05.2013 (Cz) 9:12 --

http://wklej.org/id/1027897/ a taki jest efekt skanowania malwarebytes


(Atis) #18

Odinstaluj JavaFX 2.1.1, Adobe Flash Player 9 i Adobe Reader 10.1.6.

Zainstaluj Adobe Reader i Flash Player Internet Explorer.

Gdybyś chciał spróbować odzyskać jakieś dane to Recuva

W opcjach zaznacz Głębokie skanowanie (Deep Scan)

Program i odzyskiwane dane zapisz na innym dysku.

W logach nie widać infekcji, więc to już wszystko.


(sebastian.h) #19

wielkie dzięki jestem bardzo ale to bardzo wdzięczny za pomoc i poświęcony czas a jeśli kiedykolwiek byś potrzebował pomocy co do nawigacji morskiej, albo stateczności lub chociaż chciałbyś policzyć swoją pozycję z gwiazd to służę pomocą :smiley:

jeszcze raz dziękuję pozdrowienia