Skocz do zawartości


Zdjęcie

Problem z wirusem Recycler


  • Zaloguj się, aby dodać odpowiedź
17 odpowiedzi w tym temacie

#1 Xeanti

Xeanti
  • Użytkownicy
  • 7 postów

Napisano 07 sierpień 2012 - 13:23

Witam!

Mam problem z Recyclerem pojawił sie tak na prawde nie wiem kiedy i skąd ale aktualnie jest już wszędzie (2 pecety, laptop, telefon i wszelkie nośniki usb). Na samych komputerach wszystko wygląda w porządku skanowałem je antywirusem (Avast ) nic nie znalazł ale prawi od razu po podłączeniu pendrive-a pojawia się na nim (ukryty) folder RECYCLER którego nie da się usunąć a wszystkie pozostałe foldery zmieniają się w skróty. Będę wdzięczny za pomoc jak się z nim uporać i jak zabezpieczyć się przed nim na przyszłość bo zainstalowany, zaktualizowany Avast w żaden sposób mu nie przeszkodził .

PS. Jeżeli ma to znaczenie to na jedynym pececie jest Windows 7 na drugim XP a na laptopie Vista.

Pozdrawiam
  • 0


#2 KamilJB

KamilJB
  • Użytkownicy
  • 50 postów

Napisano 07 sierpień 2012 - 20:33

Witam.
Wklej logi z OTL.
Tutaj poradnik: http://www.forumkomp...security-check/
Pozdrawiam.
  • 0

#3 Xeanti

Xeanti
  • Użytkownicy
  • 7 postów

Napisano 07 sierpień 2012 - 23:26

W tym momencie niestety tylko z jednego bo nie bardzo mam w tym momencie możliwość dostatnia się do pozostałych dwóch. postaram sie uzupełnić tak szybko jak będzie to możliwe

OTL.txt
http://wklej.to/5O9S3

Extras.txt
http://wklej.to/jum41


Po skanowaniu na partycjach pojawiły sie nowe foldery,biblioteki itp. : "System Volume Information", "FOUND.000" czy "Recycled" ponad to we większości wcześniejszych folderów pojawił sie "Desktop.ini"
  • 0

#4 mw_1975

mw_1975
  • Użytkownicy
  • 2535 postów

Napisano 07 sierpień 2012 - 23:37

@autor - czy Ty masz pojęcie o działaniu sytemu Windows? No sorry, ale trochę się orientować to każdy powinien. Mr kamil coś tam - następny "specjalista"!!! Folder Recycler jest tworzony AUTOMATYCZNIE przez system Windows, a służy przechowywaniu plików i folderów, które zostały skasowane. Więc co Wam miał wykryć Avast??? Kosz systemu??? Wątek do zamknięcia, przecież nie ma sensu odkrywać Ameryki, że jeśli pliki mają mieć szansę być odzyskane, to przecież gdzieś je trzeba przechować. Nazwa Recycler pochodzi od angielskiego wyrazu "recycling", zgadza się???
  • 0
AMD Phenom II 955
Pentagram Karakorum HP-120 AlCu + Arctic Cooling AF1225L
4 GB DDR3 1600 MHz
Było Asus Radeon HD 6950 DCU II, jest XFX 7850 z AC Mono - czego się nie robi dla tej ciszy!
SilentiumPC Deus G1 600W

#5 Xeanti

Xeanti
  • Użytkownicy
  • 7 postów

Napisano 08 sierpień 2012 - 00:07

Jeżeli dobrze rozumiem Recycler nie jest wirusem a zwykłym "koszem". Czyli mój windows uwziął sie na mnie i postanowił wpakować swoje kosze gdzie sie tylko da i na złość pakuje wszystko do nich przez własny kaprys... wybacz ale gdyby po prostu pojawił mi sie taki "kosz" po usunięciu jakiegoś pliku a w środku znajdował by sie ów plik to nie zawracał bym tym nikomu głowy (chociaż szczerze tyle lat ile żyje nie spotkałem sie z tworzeniem przez windowsa nowych folderów do przechowywania usuniętych plików mi po usunięciu ładował zawsze wszystko do tego jednego kosza) poza tym tworzy skróty w miejsca folderów które odwołują sie do niego samego a to dość unikalna właściwość jak na kosz nie wspominając już o tym że rozłazi się na wszystko na co tylko może... :/
  • 0

#6 KamilJB

KamilJB
  • Użytkownicy
  • 50 postów

Napisano 08 sierpień 2012 - 08:07

W raportach brak oznak infekcji. I na razie tu nie ma żadnych dowodów na jej obecność:

Mam problem z Recyclerem pojawił sie tak na prawde nie wiem kiedy i skąd ale aktualnie jest już wszędzie (2 pecety, laptop, telefon i wszelkie nośniki usb)

Zagadnienie ma dwa aspekty:

1. Te foldery zawsze będą na każdym z Twoich dysków:
Drive C: | 6,82 Gb Total Space | 0,23 Gb Free Space | 3,30% Space Free | Partition Type: FAT32
Drive D: | 30,45 Gb Total Space | 2,18 Gb Free Space | 7,17% Space Free | Partition Type: FAT32
To są rzeczywiste foldery Kosza (na Pulpicie to jedynie wirtualny skrót do Kosza na C, każda partycja ma osobisty Kosz). Na systemie plików NTFS nazwa RECYCLER (XP) lub $Recycle.Bin (Vista / Windows 7), na systemie plików FAT32 lub FAT32 przekonwertowanego bez utraty danych na NTFS to Recycled. Foldery te są ukryte przez atrybuty HS = ukryty systemowy, czyli widzialne tylko po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego".

2.

Mr kamil coś tam - następny "specjalista"!!!

Tutaj celujesz ciemno. To zawartość RECYCLER-ów jest istotna. Mogą tam być wirusy lub i nie. Na razie nie podany żaden objaw, który wskazuje obecność infekcji w tych katalogach. Więc czemu Twoje założenie jest takie, że Autor nie ma wirusów bez żadnych raportów systemowych ?

 
Wykonamy małe usuwanie OTL'em, przy okazji wyczyścimy też folder RECYCLER ale i tak będzie jego regeneracja po restarcie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O21 - SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - No CLSID value found.
O22 - SharedTaskScheduler: {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - Deskscapes - D:\Programy\DeskScapes3\deskscapes.dll File not found
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://isearch.avg.c...7:37:08&sap=hp"
FF - prefs.js..keyword.URL: "http://isearch.avg.c...7:08&sap=ku&q="
FF - user.js - File not found
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com/?l=dis&o=15187 [binary data]
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=hp
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...Box&Form=IE8SRC
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{A3A0F5F1-045A-4869-8141-B0CB254CB978}: "URL" = http://websearch.ask...13-FD4C9F12F62D
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...ferrer:source?}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/

:Files
C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\x8fgx1rf.default\searchplugins\askcom.xml
C:\windows\tasks\avast! Emergency Update.job
C:\VDFS.DMP
RECYCLER /alldrives
Recycled /alldrives

:Services
EagleNT
nvport

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wykonaj deinstalację śmieci: WinPcapInst / Hyperionics DB Toolbar / AVG Secure Search

3. Użyj AdwCleaner z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt

4. Użyj USBFix z opcji LISTING. (WSZYSTKO MA BYĆ PODŁĄCZONE - PENDRIVE itp.).

5. Po wykonaniu tych czynnośći tworzysz ponownie logi z OTL. Ale przed wciśnięciem Skanuj zahaczykuj: Rejestr - skan dodatkowy - Użyj filtrowania. Potem wciskasz przycisk Skanuj.

Końcowo przedstawiasz logi z:
  • Raport z usuwania OTL'em
  • Raport z czyszczenia AdwCleanerem
  • Raport ze skanu USBFixem
  • Nowe logi z OTL (OTL.txt + Extras.txt)

  • 1

#7 magik092

magik092
  • Użytkownicy
  • 1555 postów

Napisano 08 sierpień 2012 - 10:29

Panowie, skupmy się na problemie :)

"od razu po podłączeniu pendrive-a pojawia się na nim (ukryty) folder RECYCLER którego nie da się usunąć a wszystkie pozostałe foldery zmieniają się w skróty."


@autor, możesz zrobić zrzut ekranu jak wygląda pendrive (najlepiej żeby w folderze była kolumna z rozmiarami plików)? Dodatkowo napisz jak możesz czy zaraz po wrzuceniu na nośnik i obojętnie z której maszyny tworzą się skróty? Po sformatowaniu pendrive do NTFS problem dalej występuje?

Pozdrawiam.
  • 0

Dołączona grafika


#8 KamilJB

KamilJB
  • Użytkownicy
  • 50 postów

Napisano 08 sierpień 2012 - 10:37

, możesz zrobić zrzut ekranu jak wygląda pendrive (najlepiej żeby w folderze była kolumna z rozmiarami plików)?

Po co, jak zaleciłem mu opcje listowania w USBFix, punkt 4. ?
  • 0

#9 mw_1975

mw_1975
  • Użytkownicy
  • 2535 postów

Napisano 08 sierpień 2012 - 13:26

Dobrze. Prosty eksperyment. Oczyśćcie kosz. Potem załóżcie nowy plik na pulpicie i skasujcie go klawiszem DELETE. Czy w folderze Recycler pojawił się obiekt?
  • -1
AMD Phenom II 955
Pentagram Karakorum HP-120 AlCu + Arctic Cooling AF1225L
4 GB DDR3 1600 MHz
Było Asus Radeon HD 6950 DCU II, jest XFX 7850 z AC Mono - czego się nie robi dla tej ciszy!
SilentiumPC Deus G1 600W

#10 magik092

magik092
  • Użytkownicy
  • 1555 postów

Napisano 08 sierpień 2012 - 15:56

Kamil, chcę widzieć pendrive tak jak widzi to @autor swoimi oczyma ...
@mw_1975, aktualnie nie rozchodzi mi się o recycler tylko o problem z tworzącymi się skrótami, zajmijmy się tym pierwsze :)
  • 0

Dołączona grafika


#11 Xeanti

Xeanti
  • Użytkownicy
  • 7 postów

Napisano 09 sierpień 2012 - 00:38

1.Raport z usuwania -OTL
http://wklej.to/pV7uz

2.Czyszczenie –AdwCleaner
http://wklej.to/yrHsT

3.Przy próbie skanu USBFixem wyskoczył mi błąd:

AutoIt Error
Line 2786 (File "C:\UsbFix\Go.exe"):
Error: Variable used without being declared.

4. Skan-OTL
OTL.txt http://wklej.to/4bJZO
Extras.txt http://wklej.to/0VTQo

Próbowałem usuwać pliki I nic nowego nie pojawiło sie w folderze “RECYCLER”.
Po odhaczeniu opcji „ukryj chronione pliki systemu operacyjnego” w opcjach folderów pojawiły się foldery które znajdowały się wcześniej jako zwykłe foldery wyglądają po tym jak wszystkie inne ukryte foldery.

Wygląda to tak: http://imageshack.us.../screensja.png/
Zawartość folderu RECYCLER: http://imageshack.us.../recyclerc.png/

Wszystko z wcześniej wspomniana zmiana w opcjach folderów wcześniej owy folder był pusty.
  • 0

#12 KamilJB

KamilJB
  • Użytkownicy
  • 50 postów

Napisano 09 sierpień 2012 - 09:29

AutoIt Error
Line 2786 (File "C:\UsbFix\Go.exe"):
Error: Variable used without being declared.

Tak, to francuskie narzędzie jest bardzo kapryśne.
Nie podoba mu się jego lokalizacja. Czasami pomaga umieszczenie go przy ściąganiu bezpośrednio na pulpicie, ale nie zawsze.
Nic na to nie można poradzić.
USBFix jest najlepszym narzędziem do usuwania infekcji na pendrive'ach, nic nie jest w stanie go zastąpić.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

X:\*.*


Gdzie X:\ to tam podmieniasz literkę Twojego dysku podpiętego pod USB.
Wciśnij przycisk Skanuj i pokaż log.
  • 0

#13 Xeanti

Xeanti
  • Użytkownicy
  • 7 postów

Napisano 09 sierpień 2012 - 23:38

niestety mimo licznych prób USBFix nie chce ze mną współpracować próbowałem go pobierać w różne lokalizacje, uruchamiać z pulpitu, z poszczególnych partycji czy z samych urządzeń usb ale rezultat zawsze taki sam... jeszcze spróbuje chociaż nie wiem co jeszcze mógłbym zrobić.

logi z OLT:
http://wklej.to/d2uOg
http://wklej.to/yw7Ky
  • 0

#14 KamilJB

KamilJB
  • Użytkownicy
  • 50 postów

Napisano 10 sierpień 2012 - 09:43

Przy usuwaniu podłącz pendrive, jeżeli literka będzie inna niż N to podmień.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
rd /s /q C:\RECYCLER /C
rd /s /q D:\RECYCLER /C
rd /s /q N:\Recycled /C
rd /s /q N:\RECYCLER /C
N:\*.lnk

Klik w Wykonaj Skrypt. Pokaż raport z usuwania.
  • 0

#15 Xeanti

Xeanti
  • Użytkownicy
  • 7 postów

Napisano 10 sierpień 2012 - 12:45

http://wklej.to/EnDhC
znikneły wszystkie skróty ale folder RECYCLER pozostał a przy próbie usuniecia pojawia sie komunikat:

Błąd usuwania pliku lub folderu
Nie można usunąć S-1-5-21-1343024091-1390067357-1801674531-1003: Plik jest używany przez inną osobę lub program.

Zamknij wszystkie programy, które mogą używać tego pliku i spróbuj ponownie.
  • 0

#16 magik092

magik092
  • Użytkownicy
  • 1555 postów

Napisano 10 sierpień 2012 - 16:00

Po sformatowaniu pendrive do NTFS problem dalej występuje?


Może skopiuj foldery, które chcesz zostawić na komputer, i sformatuj pendrive?
  • 0

Dołączona grafika


#17 KamilJB

KamilJB
  • Użytkownicy
  • 50 postów

Napisano 10 sierpień 2012 - 20:41

Nie można usunąć S-1-5-21-1343024091-1390067357-1801674531-1003: Plik jest używany przez inną osobę lub program.

Tak jak pisałem - nie usuniesz go bo on po ponownym włożeniu pendrive utworzy się ponownie.

Poza tym, jeżeli on był to został usunięty przez OTL:

< rd /s /q N:\RECYCLER /C >
D:\OTL\cmd.bat deleted successfully.
D:\OTL\cmd.txt deleted successfully.

Żadna tutaj informacja się nie pojawia, tak samo w moim wypadku:

Dołączona grafika

via - inna partycja:

Dołączona grafika

Zostaw to w spokoju - on i tak będzie się tworzył od nowa.
  • 0

#18 Xeanti

Xeanti
  • Użytkownicy
  • 7 postów

Napisano 12 sierpień 2012 - 11:53

Zdaje sobie sprawę że tak sie dzieje ale nie wygladało to w taki sposób i nie jest dla mnie satysfakcjonujące pogodzenie sie z obecnym stanem rzeczy mam nadzieje że uda mi sie coś z tym mimo wszystko zdziałać
  • 0


Użytkownicy przeglądający ten temat: 2

0 użytkowników, 2 gości, 0 anonimowych