Jak odzyskać dane z pendrive'a? Logi z OTL i USBFix.

Witam. Jestem nowy na forum więc proszę o wyrozumiałość. Posiadam 2 zainfekowane pendrive'y. Najpierw zajmijmy się pierwszym. Mam na nim folder ale jak chcę go otworzyć to wyskakuje błąd. Na pendrivie jest napisane- removable disk i nijak nie mogę go otworzyć. Oczywiście chciałbym odzyskać te dane a nie je usunąć. Proszę o pomoc. W załączniku log z USBFix z opcji Listing i logi z OTL

Podlacz oba pendrive'y i w USBFix uzyj opcji Deletion. Dopiero po wykonaniu daj log z opcji Listing.

Do tego uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun:
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner

Daj w zalaczniku logi z FRST:
http://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/#entry119294

Zrob pelny skan przy pomocy Mbam:
http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

Ok dzięki. Mam tylko jedno pytanie: Czy w mojej wersji USBFix nie ma opcji deletion czy jest inaczej nazwana? Tu jest screen

Może być Usuń(Clean).
Po co zainstalowałeś Speed UP MyPc?

Był w dodatku do programu. Już go wywaliłem

Na przyszlosc uwazaj na to co sie wyswietla na ekranie i nie instaluj szkodliwych dodatkow.

OK. Będę pamiętał

Dodano po 35 [minuty]:

Logi z USBFix i FRST

Swoje pliki masz w katalogu bez nazwy.

Odinstaluj:
Search App by Ask (HKLM-x32\...\{5347542D-5350-006A-76A7-A758B70C1300}) (Version: 12.19.0.3568 - APN, LLC) <==== ATTENTION
SpeedUpMyPC (HKLM-x32\...\{E55B3271-7CA8-4D0C-AE06-69A24856E996}_is1) (Version: 6.0.4.5 - Uniblue Systems Limited) <==== ATTENTION
YTD Video Downloader 4.8.5 (HKLM-x32\...\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}) (Version: 4.8.5 - GreenTree Applications SRL) <==== ATTENTION

Obok frst.exe utworz plik fixlist.txt z zawartoscia:
Task: {03A0B293-DC00-4FDB-B4F4-C455C22ABBC9} - System32\Tasks\SpeedUpMyPC Maintenance => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe [2014-10-02] (Uniblue Systems Limited) <==== ATTENTION
Task: {F9715401-4B45-4429-84D5-4F2B0E2B466A} - System32\Tasks\SpeedUpMyPC Startup => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe [2014-10-02] (Uniblue Systems Limited) <==== ATTENTION
Task: C:\Windows\Tasks\SpeedUpMyPC Maintenance.job => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe <==== ATTENTION
Task: C:\Windows\Tasks\SpeedUpMyPC Startup.job => C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe <==== ATTENTION
HKLM-x32\...\RunOnce: [] => [X]
FF Extension: Search App by Ask - C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\p7kasnyt.default\Extensions\toolbar_SGT-SP@apn.ask.com.xpi [2014-11-03]
2014-11-03 16:13 - 2014-11-03 17:13 - 00000272 _____ () C:\Windows\Tasks\SpeedUpMyPC Maintenance.job
2014-11-03 16:13 - 2014-11-03 16:13 - 00003218 _____ () C:\Windows\System32\Tasks\SpeedUpMyPC Maintenance
2014-11-03 16:13 - 2014-11-03 16:13 - 00002506 _____ () C:\Windows\System32\Tasks\SpeedUpMyPC Startup
2014-11-03 16:13 - 2014-11-03 16:13 - 00000266 _____ () C:\Windows\Tasks\SpeedUpMyPC Startup.job
2014-11-03 16:13 - 2014-11-03 16:13 - 00000000 ____D () C:\Users\Ja\AppData\Roaming\Uniblue
2014-11-03 16:13 - 2014-11-03 16:13 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue
2014-11-03 16:13 - 2014-11-03 16:13 - 00000000 ____D () C:\Program Files (x86)\Uniblue
2014-11-03 15:54 - 2014-08-24 15:52 - 00000000 ____D () C:\AdwCleaner
F:\desktop.ini
G:\desktop.ini
EmptyTemp:

W FRST wybierz Fix. Usun katalog C:\FRST i to wszystko.

Dzięki wielkie wszystko działa

Witam, mam identyczny problem. Otóż na pendrive jest tylko skrót z przekierowaniem: "%homedrive%\WINDOWS\System32\rundll32.exe 4#BSTIQLTTYBYFY.ini, rundll32 "
oraz Komentarzem: "chmhmhmrmrmrxrxrxcxcxm"
Cały pendrive ma ponoć 15GB pamięci zajętej co pokrywa się z plikami które były wcześniej, czyli najprawdopodobniej dalej tam są.

Zalezy mi na tych plikach. Jak je odzyskać?

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

W zalaczniku oba pliki

Otwórz notatnik systemowy i wklej:

Cytat:

HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [169768 2015-02-13] (Apple Inc.)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [] => [X]
Winlogon\Notify\igfxcui: igfxdev.dll [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 GPU-Z; \??\C:\Users\user\AppData\Local\Temp\GPU-Z.sys [X]
I:\Removable Disk (15GB).lnk
I:\autorun.inf
CMD: attrib /d /s -s -h I:\*
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix.Wszystkie pliki masz w folderze bez nazwy I:\.Utwórz nowy folder i tam przenieś pliki a folder bez nazwy usuń.

Ok, wlasnie sie kopiuje. Dzieki wielkie
A powiesz mi co to sie z tym pendrive porobilo, ze tak sie stalo?

Skasuj folder C:\FRST
To rodzaj wirusa,który tworzy skróty. Musiałeś go gdzieś wkładać.

Ksero na UJ. Wszystko wiadome...
Ok, nie zawracam już głowy. Jeszcze raz wielkie dzięki