Problem z wirusem Recycler
#1
Napisano 07 sierpień 2012 - 13:23
Mam problem z Recyclerem pojawił sie tak na prawde nie wiem kiedy i skąd ale aktualnie jest już wszędzie (2 pecety, laptop, telefon i wszelkie nośniki usb). Na samych komputerach wszystko wygląda w porządku skanowałem je antywirusem (Avast ) nic nie znalazł ale prawi od razu po podłączeniu pendrive-a pojawia się na nim (ukryty) folder RECYCLER którego nie da się usunąć a wszystkie pozostałe foldery zmieniają się w skróty. Będę wdzięczny za pomoc jak się z nim uporać i jak zabezpieczyć się przed nim na przyszłość bo zainstalowany, zaktualizowany Avast w żaden sposób mu nie przeszkodził .
PS. Jeżeli ma to znaczenie to na jedynym pececie jest Windows 7 na drugim XP a na laptopie Vista.
Pozdrawiam
#2
Napisano 07 sierpień 2012 - 20:33
#3
Napisano 07 sierpień 2012 - 23:26
OTL.txt
http://wklej.to/5O9S3
Extras.txt
http://wklej.to/jum41
Po skanowaniu na partycjach pojawiły sie nowe foldery,biblioteki itp. : "System Volume Information", "FOUND.000" czy "Recycled" ponad to we większości wcześniejszych folderów pojawił sie "Desktop.ini"
#4
Napisano 07 sierpień 2012 - 23:37
Pentagram Karakorum HP-120 AlCu + Arctic Cooling AF1225L
4 GB DDR3 1600 MHz
Było Asus Radeon HD 6950 DCU II, jest XFX 7850 z AC Mono - czego się nie robi dla tej ciszy!
SilentiumPC Deus G1 600W
#5
Napisano 08 sierpień 2012 - 00:07
#6
Napisano 08 sierpień 2012 - 08:07
Zagadnienie ma dwa aspekty:Mam problem z Recyclerem pojawił sie tak na prawde nie wiem kiedy i skąd ale aktualnie jest już wszędzie (2 pecety, laptop, telefon i wszelkie nośniki usb)
1. Te foldery zawsze będą na każdym z Twoich dysków:
Drive C: | 6,82 Gb Total Space | 0,23 Gb Free Space | 3,30% Space Free | Partition Type: FAT32 Drive D: | 30,45 Gb Total Space | 2,18 Gb Free Space | 7,17% Space Free | Partition Type: FAT32To są rzeczywiste foldery Kosza (na Pulpicie to jedynie wirtualny skrót do Kosza na C, każda partycja ma osobisty Kosz). Na systemie plików NTFS nazwa RECYCLER (XP) lub $Recycle.Bin (Vista / Windows 7), na systemie plików FAT32 lub FAT32 przekonwertowanego bez utraty danych na NTFS to Recycled. Foldery te są ukryte przez atrybuty HS = ukryty systemowy, czyli widzialne tylko po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego".
2.
Tutaj celujesz ciemno. To zawartość RECYCLER-ów jest istotna. Mogą tam być wirusy lub i nie. Na razie nie podany żaden objaw, który wskazuje obecność infekcji w tych katalogach. Więc czemu Twoje założenie jest takie, że Autor nie ma wirusów bez żadnych raportów systemowych ?Mr kamil coś tam - następny "specjalista"!!!
Wykonamy małe usuwanie OTL'em, przy okazji wyczyścimy też folder RECYCLER ale i tak będzie jego regeneracja po restarcie.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.:OTL
O21 - SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - No CLSID value found.
O22 - SharedTaskScheduler: {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - Deskscapes - D:\Programy\DeskScapes3\deskscapes.dll File not found
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://isearch.avg.c...7:37:08&sap=hp"
FF - prefs.js..keyword.URL: "http://isearch.avg.c...7:08&sap=ku&q="
FF - user.js - File not found
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com/?l=dis&o=15187 [binary data]
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=hp
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...Box&Form=IE8SRC
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{A3A0F5F1-045A-4869-8141-B0CB254CB978}: "URL" = http://websearch.ask...13-FD4C9F12F62D
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...ferrer:source?}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
:Files
C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\x8fgx1rf.default\searchplugins\askcom.xml
C:\windows\tasks\avast! Emergency Update.job
C:\VDFS.DMP
RECYCLER /alldrives
Recycled /alldrives
:Services
EagleNT
nvport
:Commands
[emptyflash]
[resethosts]
[emptytemp]
2. Wykonaj deinstalację śmieci: WinPcapInst / Hyperionics DB Toolbar / AVG Secure Search
3. Użyj AdwCleaner z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt
4. Użyj USBFix z opcji LISTING. (WSZYSTKO MA BYĆ PODŁĄCZONE - PENDRIVE itp.).
5. Po wykonaniu tych czynnośći tworzysz ponownie logi z OTL. Ale przed wciśnięciem Skanuj zahaczykuj: Rejestr - skan dodatkowy - Użyj filtrowania. Potem wciskasz przycisk Skanuj.
Końcowo przedstawiasz logi z:
- Raport z usuwania OTL'em
- Raport z czyszczenia AdwCleanerem
- Raport ze skanu USBFixem
- Nowe logi z OTL (OTL.txt + Extras.txt)
#7
Napisano 08 sierpień 2012 - 10:29
"od razu po podłączeniu pendrive-a pojawia się na nim (ukryty) folder RECYCLER którego nie da się usunąć a wszystkie pozostałe foldery zmieniają się w skróty."
@autor, możesz zrobić zrzut ekranu jak wygląda pendrive (najlepiej żeby w folderze była kolumna z rozmiarami plików)? Dodatkowo napisz jak możesz czy zaraz po wrzuceniu na nośnik i obojętnie z której maszyny tworzą się skróty? Po sformatowaniu pendrive do NTFS problem dalej występuje?
Pozdrawiam.
#8
Napisano 08 sierpień 2012 - 10:37
Po co, jak zaleciłem mu opcje listowania w USBFix, punkt 4. ?, możesz zrobić zrzut ekranu jak wygląda pendrive (najlepiej żeby w folderze była kolumna z rozmiarami plików)?
#9
Napisano 08 sierpień 2012 - 13:26
Pentagram Karakorum HP-120 AlCu + Arctic Cooling AF1225L
4 GB DDR3 1600 MHz
Było Asus Radeon HD 6950 DCU II, jest XFX 7850 z AC Mono - czego się nie robi dla tej ciszy!
SilentiumPC Deus G1 600W
#11
Napisano 09 sierpień 2012 - 00:38
http://wklej.to/pV7uz
2.Czyszczenie –AdwCleaner
http://wklej.to/yrHsT
3.Przy próbie skanu USBFixem wyskoczył mi błąd:
AutoIt Error
Line 2786 (File "C:\UsbFix\Go.exe"):
Error: Variable used without being declared.
4. Skan-OTL
OTL.txt http://wklej.to/4bJZO
Extras.txt http://wklej.to/0VTQo
Próbowałem usuwać pliki I nic nowego nie pojawiło sie w folderze “RECYCLER”.
Po odhaczeniu opcji „ukryj chronione pliki systemu operacyjnego” w opcjach folderów pojawiły się foldery które znajdowały się wcześniej jako zwykłe foldery wyglądają po tym jak wszystkie inne ukryte foldery.
Wygląda to tak: http://imageshack.us.../screensja.png/
Zawartość folderu RECYCLER: http://imageshack.us.../recyclerc.png/
Wszystko z wcześniej wspomniana zmiana w opcjach folderów wcześniej owy folder był pusty.
#12
Napisano 09 sierpień 2012 - 09:29
Tak, to francuskie narzędzie jest bardzo kapryśne.AutoIt Error
Line 2786 (File "C:\UsbFix\Go.exe"):
Error: Variable used without being declared.
Nie podoba mu się jego lokalizacja. Czasami pomaga umieszczenie go przy ściąganiu bezpośrednio na pulpicie, ale nie zawsze.
Nic na to nie można poradzić.
USBFix jest najlepszym narzędziem do usuwania infekcji na pendrive'ach, nic nie jest w stanie go zastąpić.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
X:\*.*
Gdzie X:\ to tam podmieniasz literkę Twojego dysku podpiętego pod USB.
Wciśnij przycisk Skanuj i pokaż log.
#13
Napisano 09 sierpień 2012 - 23:38
logi z OLT:
http://wklej.to/d2uOg
http://wklej.to/yw7Ky
#14
Napisano 10 sierpień 2012 - 09:43
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
Klik w Wykonaj Skrypt. Pokaż raport z usuwania.:Files
rd /s /q C:\RECYCLER /C
rd /s /q D:\RECYCLER /C
rd /s /q N:\Recycled /C
rd /s /q N:\RECYCLER /C
N:\*.lnk
#15
Napisano 10 sierpień 2012 - 12:45
znikneły wszystkie skróty ale folder RECYCLER pozostał a przy próbie usuniecia pojawia sie komunikat:
Błąd usuwania pliku lub folderu
Nie można usunąć S-1-5-21-1343024091-1390067357-1801674531-1003: Plik jest używany przez inną osobę lub program.
Zamknij wszystkie programy, które mogą używać tego pliku i spróbuj ponownie.
#17
Napisano 10 sierpień 2012 - 20:41
Tak jak pisałem - nie usuniesz go bo on po ponownym włożeniu pendrive utworzy się ponownie.Nie można usunąć S-1-5-21-1343024091-1390067357-1801674531-1003: Plik jest używany przez inną osobę lub program.
Poza tym, jeżeli on był to został usunięty przez OTL:
Żadna tutaj informacja się nie pojawia, tak samo w moim wypadku:< rd /s /q N:\RECYCLER /C >
D:\OTL\cmd.bat deleted successfully.
D:\OTL\cmd.txt deleted successfully.
via - inna partycja:
Zostaw to w spokoju - on i tak będzie się tworzył od nowa.
#18
Napisano 12 sierpień 2012 - 11:53
Użytkownicy przeglądający ten temat: 1
0 użytkowników, 1 gości, 0 anonimowych