17 odpowiedzi w tym temacie

[Xeanti]

Witam!

Mam problem z Recyclerem pojawił sie tak na prawde nie wiem kiedy i skąd ale aktualnie jest już wszędzie (2 pecety, laptop, telefon i wszelkie nośniki usb). Na samych komputerach wszystko wygląda w porządku skanowałem je antywirusem (Avast ) nic nie znalazł ale prawi od razu po podłączeniu pendrive-a pojawia się na nim (ukryty) folder RECYCLER którego nie da się usunąć a wszystkie pozostałe foldery zmieniają się w skróty. Będę wdzięczny za pomoc jak się z nim uporać i jak zabezpieczyć się przed nim na przyszłość bo zainstalowany, zaktualizowany Avast w żaden sposób mu nie przeszkodził .

PS. Jeżeli ma to znaczenie to na jedynym pececie jest Windows 7 na drugim XP a na laptopie Vista.

Pozdrawiam

[KamilJB]

Witam.
Wklej logi z OTL.
Tutaj poradnik: http://www.forumkomp...security-check/
Pozdrawiam.

[Xeanti]

W tym momencie niestety tylko z jednego bo nie bardzo mam w tym momencie możliwość dostatnia się do pozostałych dwóch. postaram sie uzupełnić tak szybko jak będzie to możliwe

OTL.txt
http://wklej.to/5O9S3

Extras.txt
http://wklej.to/jum41


Po skanowaniu na partycjach pojawiły sie nowe foldery,biblioteki itp. : "System Volume Information", "FOUND.000" czy "Recycled" ponad to we większości wcześniejszych folderów pojawił sie "Desktop.ini"

[mw_1975]

@autor - czy Ty masz pojęcie o działaniu sytemu Windows? No sorry, ale trochę się orientować to każdy powinien. Mr kamil coś tam - następny "specjalista"!!! Folder Recycler jest tworzony AUTOMATYCZNIE przez system Windows, a służy przechowywaniu plików i folderów, które zostały skasowane. Więc co Wam miał wykryć Avast??? Kosz systemu??? Wątek do zamknięcia, przecież nie ma sensu odkrywać Ameryki, że jeśli pliki mają mieć szansę być odzyskane, to przecież gdzieś je trzeba przechować. Nazwa Recycler pochodzi od angielskiego wyrazu "recycling", zgadza się???

[Xeanti]

Jeżeli dobrze rozumiem Recycler nie jest wirusem a zwykłym "koszem". Czyli mój windows uwziął sie na mnie i postanowił wpakować swoje kosze gdzie sie tylko da i na złość pakuje wszystko do nich przez własny kaprys... wybacz ale gdyby po prostu pojawił mi sie taki "kosz" po usunięciu jakiegoś pliku a w środku znajdował by sie ów plik to nie zawracał bym tym nikomu głowy (chociaż szczerze tyle lat ile żyje nie spotkałem sie z tworzeniem przez windowsa nowych folderów do przechowywania usuniętych plików mi po usunięciu ładował zawsze wszystko do tego jednego kosza) poza tym tworzy skróty w miejsca folderów które odwołują sie do niego samego a to dość unikalna właściwość jak na kosz nie wspominając już o tym że rozłazi się na wszystko na co tylko może...

[KamilJB]

W raportach brak oznak infekcji. I na razie tu nie ma żadnych dowodów na jej obecność:

Mam problem z Recyclerem pojawił sie tak na prawde nie wiem kiedy i skąd ale aktualnie jest już wszędzie (2 pecety, laptop, telefon i wszelkie nośniki usb)

Zagadnienie ma dwa aspekty:

1. Te foldery zawsze będą na każdym z Twoich dysków:

Drive C: | 6,82 Gb Total Space | 0,23 Gb Free Space | 3,30% Space Free | Partition Type: FAT32
Drive D: | 30,45 Gb Total Space | 2,18 Gb Free Space | 7,17% Space Free | Partition Type: FAT32

To są rzeczywiste foldery Kosza (na Pulpicie to jedynie wirtualny skrót do Kosza na C, każda partycja ma osobisty Kosz). Na systemie plików NTFS nazwa RECYCLER (XP) lub $Recycle.Bin (Vista / Windows 7), na systemie plików FAT32 lub FAT32 przekonwertowanego bez utraty danych na NTFS to Recycled. Foldery te są ukryte przez atrybuty HS = ukryty systemowy, czyli widzialne tylko po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego".

2.

Mr kamil coś tam - następny "specjalista"!!!

Tutaj celujesz ciemno. To zawartość RECYCLER-ów jest istotna. Mogą tam być wirusy lub i nie. Na razie nie podany żaden objaw, który wskazuje obecność infekcji w tych katalogach. Więc czemu Twoje założenie jest takie, że Autor nie ma wirusów bez żadnych raportów systemowych ?

 
Wykonamy małe usuwanie OTL'em, przy okazji wyczyścimy też folder RECYCLER ale i tak będzie jego regeneracja po restarcie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O21 - SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - No CLSID value found.
O22 - SharedTaskScheduler: {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - Deskscapes - D:\Programy\DeskScapes3\deskscapes.dll File not found
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://isearch.avg.c...7:37:08&sap=hp"
FF - prefs.js..keyword.URL: "http://isearch.avg.c...7:08&sap=ku&q="
FF - user.js - File not found
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com/?l=dis&o=15187 [binary data]
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=hp
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...Box&Form=IE8SRC
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{A3A0F5F1-045A-4869-8141-B0CB254CB978}: "URL" = http://websearch.ask...13-FD4C9F12F62D
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...ferrer:source?}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/

:Files
C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\x8fgx1rf.default\searchplugins\askcom.xml
C:\windows\tasks\avast! Emergency Update.job
C:\VDFS.DMP
RECYCLER /alldrives
Recycled /alldrives

:Services
EagleNT
nvport

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wykonaj deinstalację śmieci: WinPcapInst / Hyperionics DB Toolbar / AVG Secure Search

3. Użyj AdwCleaner z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt

4. Użyj USBFix z opcji LISTING. (WSZYSTKO MA BYĆ PODŁĄCZONE - PENDRIVE itp.).

5. Po wykonaniu tych czynnośći tworzysz ponownie logi z OTL. Ale przed wciśnięciem Skanuj zahaczykuj: Rejestr - skan dodatkowy - Użyj filtrowania. Potem wciskasz przycisk Skanuj.

Końcowo przedstawiasz logi z:

• Raport z usuwania OTL'em
• Raport z czyszczenia AdwCleanerem
• Raport ze skanu USBFixem
• Nowe logi z OTL (OTL.txt + Extras.txt)

[magik092]

Panowie, skupmy się na problemie

"od razu po podłączeniu pendrive-a pojawia się na nim (ukryty) folder RECYCLER którego nie da się usunąć a wszystkie pozostałe foldery zmieniają się w skróty."

@autor, możesz zrobić zrzut ekranu jak wygląda pendrive (najlepiej żeby w folderze była kolumna z rozmiarami plików)? Dodatkowo napisz jak możesz czy zaraz po wrzuceniu na nośnik i obojętnie z której maszyny tworzą się skróty? Po sformatowaniu pendrive do NTFS problem dalej występuje?

Pozdrawiam.

[KamilJB]

, możesz zrobić zrzut ekranu jak wygląda pendrive (najlepiej żeby w folderze była kolumna z rozmiarami plików)?

Po co, jak zaleciłem mu opcje listowania w USBFix, punkt 4. ?

[mw_1975]

Dobrze. Prosty eksperyment. Oczyśćcie kosz. Potem załóżcie nowy plik na pulpicie i skasujcie go klawiszem DELETE. Czy w folderze Recycler pojawił się obiekt?

[magik092]

Kamil, chcę widzieć pendrive tak jak widzi to @autor swoimi oczyma ...
@mw_1975, aktualnie nie rozchodzi mi się o recycler tylko o problem z tworzącymi się skrótami, zajmijmy się tym pierwsze

[Xeanti]

1.Raport z usuwania -OTL
http://wklej.to/pV7uz

2.Czyszczenie –AdwCleaner
http://wklej.to/yrHsT

3.Przy próbie skanu USBFixem wyskoczył mi błąd:

AutoIt Error
Line 2786 (File "C:\UsbFix\Go.exe"):
Error: Variable used without being declared.

4. Skan-OTL
OTL.txt http://wklej.to/4bJZO
Extras.txt http://wklej.to/0VTQo

Próbowałem usuwać pliki I nic nowego nie pojawiło sie w folderze “RECYCLER”.
Po odhaczeniu opcji „ukryj chronione pliki systemu operacyjnego” w opcjach folderów pojawiły się foldery które znajdowały się wcześniej jako zwykłe foldery wyglądają po tym jak wszystkie inne ukryte foldery.

Wygląda to tak: http://imageshack.us.../screensja.png/
Zawartość folderu RECYCLER: http://imageshack.us.../recyclerc.png/

Wszystko z wcześniej wspomniana zmiana w opcjach folderów wcześniej owy folder był pusty.

[KamilJB]

AutoIt Error
Line 2786 (File "C:\UsbFix\Go.exe"):
Error: Variable used without being declared.

Tak, to francuskie narzędzie jest bardzo kapryśne.
Nie podoba mu się jego lokalizacja. Czasami pomaga umieszczenie go przy ściąganiu bezpośrednio na pulpicie, ale nie zawsze.
Nic na to nie można poradzić.
USBFix jest najlepszym narzędziem do usuwania infekcji na pendrive'ach, nic nie jest w stanie go zastąpić.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

X:\*.*

Gdzie X:\ to tam podmieniasz literkę Twojego dysku podpiętego pod USB.
Wciśnij przycisk Skanuj i pokaż log.

[Xeanti]

niestety mimo licznych prób USBFix nie chce ze mną współpracować próbowałem go pobierać w różne lokalizacje, uruchamiać z pulpitu, z poszczególnych partycji czy z samych urządzeń usb ale rezultat zawsze taki sam... jeszcze spróbuje chociaż nie wiem co jeszcze mógłbym zrobić.

logi z OLT:
http://wklej.to/d2uOg
http://wklej.to/yw7Ky

[KamilJB]

Przy usuwaniu podłącz pendrive, jeżeli literka będzie inna niż N to podmień.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
rd /s /q C:\RECYCLER /C
rd /s /q D:\RECYCLER /C
rd /s /q N:\Recycled /C
rd /s /q N:\RECYCLER /C
N:\*.lnk

Klik w Wykonaj Skrypt. Pokaż raport z usuwania.

[Xeanti]

http://wklej.to/EnDhC
znikneły wszystkie skróty ale folder RECYCLER pozostał a przy próbie usuniecia pojawia sie komunikat:

Błąd usuwania pliku lub folderu
Nie można usunąć S-1-5-21-1343024091-1390067357-1801674531-1003: Plik jest używany przez inną osobę lub program.

Zamknij wszystkie programy, które mogą używać tego pliku i spróbuj ponownie.

[magik092]

Po sformatowaniu pendrive do NTFS problem dalej występuje?

Może skopiuj foldery, które chcesz zostawić na komputer, i sformatuj pendrive?

[KamilJB]

Nie można usunąć S-1-5-21-1343024091-1390067357-1801674531-1003: Plik jest używany przez inną osobę lub program.

Tak jak pisałem - nie usuniesz go bo on po ponownym włożeniu pendrive utworzy się ponownie.

Poza tym, jeżeli on był to został usunięty przez OTL:

< rd /s /q N:\RECYCLER /C >
D:\OTL\cmd.bat deleted successfully.
D:\OTL\cmd.txt deleted successfully.

Żadna tutaj informacja się nie pojawia, tak samo w moim wypadku:



via - inna partycja:



Zostaw to w spokoju - on i tak będzie się tworzył od nowa.

[Xeanti]

Zdaje sobie sprawę że tak sie dzieje ale nie wygladało to w taki sposób i nie jest dla mnie satysfakcjonujące pogodzenie sie z obecnym stanem rzeczy mam nadzieje że uda mi sie coś z tym mimo wszystko zdziałać