Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus recycler, a odyskanie plików

Ravdin 15 Gru 2017 23:19 459 23
  • #1 15 Gru 2017 23:19
    Ravdin
    Poziom 3  

    Witam, tak jak w temacie. Na pendrive złapał mnie wirus recycler i zakrył wszystkie pliki. Z góry mówię, że jestem totalnie zielony w te sprawy, więc byłbym wdzięczny za powolną i logczną instrukcję jak się tego cholerstwa pozbyć i odzyskać pliki. Pozdrawiam

    0 23
  • #3 16 Gru 2017 14:47
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Jak sam napisałeś, że pliki są ukryte jedynie (o ile tak jest - i system widzi zajęte miejsce) to po usunięciu infekcji przywracasz je z ukrytego katalogu i już. Jak wykonasz to co powyżej i załączysz logi to koledzy usuną infekcję.

    0
  • #5 16 Gru 2017 22:07
    Kolobos
    Spec od komputerów

    Jeszcze zamiesc log z USBFix.

    Zmien Adobe Reader 9.3 - Polish na najnowsza wersje AR lub na Foxit: http://ninite.com/foxit/

    Fixlist.txt dla FRST:
    Task: {17AD8BFC-7B94-4994-A4BA-C306874DE7BF} - System32\Tasks\Driver Easy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe [2016-05-09] (Easeware)
    Task: {35A464E1-9D48-4CAC-B2F6-7017B6E81A6D} - System32\Tasks\{20BF5F21-5F84-4D6F-82D2-63A1AF280EFF} => C:\Windows\system32\pcalua.exe -a C:\Users\Adam\Desktop\Gothic\Gothic2\setup.exe -d C:\Users\Adam\Desktop\Gothic\Gothic2
    Task: {43A19303-0895-4196-A32D-384B909FD079} - System32\Tasks\{FA456B8A-335C-45A4-B9BD-6A1239BAB64E} => C:\Windows\system32\pcalua.exe -a C:\Users\Adam\Downloads\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\Adam\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:1948
    Task: {64D75F03-F4C2-4A7B-B233-0D27FD09EEB8} - System32\Tasks\{F5AD780C-89C5-4EF7-A886-8599C806CA4D} => C:\Windows\system32\pcalua.exe -a C:\Users\Adam\Downloads\GameRangerSetup.exe -d C:\Users\Adam\Downloads
    Task: C:\Windows\Tasks\Driver Easy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [432]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [432]
    AlternateDataStreams: C:\Users\Adam\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\Users\Adam\Dane aplikacji:NT2 [432]
    AlternateDataStreams: C:\Users\Adam\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Adam\AppData\Roaming:NT2 [432]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2 [432]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [464]
    HKU\S-1-5-21-2981465256-4058452290-3982246344-1001\...\MountPoints2: G - G:\Install.exe
    HKU\S-1-5-21-2981465256-4058452290-3982246344-1001\...\MountPoints2: H - H:\Install.exe
    HKU\S-1-5-21-2981465256-4058452290-3982246344-1001\...\MountPoints2: I - I:\autorun.exe
    HKU\S-1-5-21-2981465256-4058452290-3982246344-1001\...\MountPoints2: K - K:\autorun.exe
    HKU\S-1-5-21-2981465256-4058452290-3982246344-1001\...\MountPoints2: {e9d312fa-393c-11e6-ac18-00304f26eeb9} - K:\autorun.exe
    HKU\S-1-5-21-2981465256-4058452290-3982246344-1001\...\MountPoints2: {e9d31300-393c-11e6-ac18-00304f26eeb9} - I:\autorun.exe
    HKU\S-1-5-21-2981465256-4058452290-3982246344-1001\...\MountPoints2: {e9d31308-393c-11e6-ac18-00304f26eeb9} - J:\autorun.exe
    Hosts:
    2016-05-04 17:23 - 2016-05-04 17:23 - 026320776 _____ () C:\Users\Adam\AppData\Roaming\gameboxsetup.exe

    0
  • #7 16 Gru 2017 22:43
    Kolobos
    Spec od komputerów

    Log z opcji Clean, z podlaczonym pendrive'em.

    0
  • #9 16 Gru 2017 23:13
    Kolobos
    Spec od komputerów

    Czy pliki sa widoczne?

    0
  • #11 16 Gru 2017 23:19
    Kolobos
    Spec od komputerów

    Z tego co widac w logu to na nosniku nie bylo twoich plikow, tylko to co utworzyla infekcja:
    Deleted! G:\Recycler\S-8-5-32-8515534564-4345376140-617436552-5463\xytUsDMN.exe
    Deleted! G:\Recycler\S-8-5-32-8515534564-4345376140-617436552-5463\lBDeFeIf.cpl
    Deleted! G:\Recycler\S-8-5-32-8515534564-4345376140-617436552-5463\usNmapQi.exe
    Deleted! G:\Recycler\S-8-5-32-8515534564-4345376140-617436552-5463\qgcyXYxL.cpl
    Deleted! G:\Recycler\S-8-5-32-8515534564-4345376140-617436552-5463\kJHZsCqd.exe
    Deleted! G:\Recycler\S-8-5-32-8515534564-4345376140-617436552-5463\EukJryhH.cpl
    itd.

    0
  • #12 16 Gru 2017 23:33
    Ravdin
    Poziom 3  

    Na nosniku znajduje sie mój plik pod nazwą "TELEFONO" powinien być to folder o rozmiarze ponad 3GB. Wirus zamienił go w plik o wadze 4KB, aczkolwiek pendrive wciąż ma zapełnione miejsce

    Dodano po 11 [minuty]:

    Dodam, że wirus wciąż na pendrive siedzi

    0
  • #13 16 Gru 2017 23:49
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Co znaczy siedzi? Jak to sprawdziłeś? W opcjach folderów zaznacz opcję pokaż ukryte pliki i foldery i odznacz opcję Ukryj chronione pliki systemu operacyjnego. Po tym zastosuj i poszukaj swoich plików na urządzeniu skoro miejsce jest zajęte.

    0
  • #14 17 Gru 2017 00:03
    Ravdin
    Poziom 3  

    Tak zrobiłem. Niestety mój plik się nie naprawił. Wciąż waży 4 KB i jest pustym pliczkiem. Natomiast na nosniku pojawił się folder z takimi samymi pustymi pliczkami których jest blisko 10000. Wychodzi na to, że miejsce zajmuje własnie ten folder. Teraz pytanie. Czy mogę naprawić mój stary plik? Zanim złapał go wirus, był to folder ze zdjęciami, muzyką itp.

    0
  • #15 17 Gru 2017 00:10
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Radziłbym w takim razie zacząć od wykonania kopii posektorowej tego pendrive do pliku a potem poszukanie na kopii pendrive tego pliku np. w DMDE.

    0
  • #16 17 Gru 2017 08:52
    Kolobos
    Spec od komputerów

    Z tego co widac w logu z usbfix to infekcja chyba nadpisala juz calosc danych przez swoje pliki.

    0
  • #17 17 Gru 2017 11:18
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Z drugiej jednak strony pliki zainfekowane zostały usunięte, a autor twierdzi, że zajęte miejsce nadal jest.

    0
  • #18 17 Gru 2017 11:46
    Kolobos
    Spec od komputerów

    To trzeba wlaczyc w opcjach folderow pokazywanie plikow ukrytych oraz odznaczyc ukrywanie chrionych i sprawdzic.

    0
  • #19 18 Gru 2017 22:45
    Ravdin
    Poziom 3  

    Tak zrobiłem. Pisałem wyżej, pokazało nieznany folder z pustymi plikami których jest prawie 10000. Są to tylko i wyłącznie puste pliki, a jestem przekonany na 100%, że miejsce które jest na pendrive zajęte należało do mojego folderu ze zdjęciami itp. Składając wszystko w kupę. Mój folder zamienił się w plik który waży 4KB, jest bezużyteczny. W opcjach folderów dałem pokazywanie plików ukrytych i odznaczyłem ukrywanie chronionych. W zamian pojawił mi się folder o nazwie" FOUND.000" w których są foldery o przykładowej nazwie "gKÝ]97y7.Kmk" daty modyfikacji tych folderów są różne. Niektóre są z 2001, 1985 , a inne z 2081 roku. Są też pliki o nazwie FILE0001-9999.CHK które również zajmują po 4KB. Wczesniej wspomniane foldery z dziwną nazwą zajmują od kilku KB do kilku GB. Pendrive ma ogólnie 10GB. Masa tego folderu to dokładnie 54,3GB

    0
  • #20 18 Gru 2017 23:01
    Kolobos
    Spec od komputerów

    Found.000 utworzyl chkdsk, watpie zeby udalo Ci sie cos odzyskac po jego uzyciu, nie mowiac juz i infekcji i uszkodzeniu systemu plikow.

    0
  • #21 18 Gru 2017 23:04
    Ravdin
    Poziom 3  

    Czyli te dane są już stracone? :/

    0
  • #22 18 Gru 2017 23:12
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Po bezmyślnym sprawdzaniu systemu plików zapewne tak, chyba, że masz kopię posektorową tego urządzenia. Przypomnę tylko, że celem odzyskania plików zarówno folder jak i cała partycja nie muszą być czytelne.

    0
  • #23 18 Gru 2017 23:39
    Ravdin
    Poziom 3  

    Niestety kopii posektorowej nie posiadam

    Dodano po 20 [minuty]:

    Hmm, a co powiecie na to. Wrzuciłem cały dysk do programu DMDE. Dając wszystkie znalezione + rekonstrukcję zrzucając plik np. na pulpit jestem w stanie go zobaczyć. Chyba jest jakis promyczek nadziei

    0
  • #24 19 Gru 2017 16:17
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Tak trzeba było robić przed użyciem chkdsk. Teraz może być po wszystkim, próbuj.

    0