FlashRestore 2014-12-19

FlashRestore

  1. Serega_
    Оффлайн

    Serega_ Разработчик

    Сообщения:
    44
    Симпатии:
    214
    Пользователь Serega_ разместил новый ресурс:

    FlashRestore - FlashRestore

    Узнать больше об этом ресурсе...
     
    Последнее редактирование модератором: 19 дек 2014
    15 пользователям это понравилось.
  2. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Доброго времени суток. У меня имеется заражённая флешка, твоя утилита не может помочь ("скрытая папка не найдена")
    "Допилишь"?
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    1 человеку нравится это.
  4. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Вот, пожалуйста. Только я должен немного пояснить: папку "Новая папка" я создал уже после заражения флешки.
    Также я заметил вот что. Вирус каким-то образом скрывает папки и создаёт свой исполняемый файл (пример - "PROCICE.exe"). При этом скрытые папки не отображаются, но в них зайти можно через адресную панель. Если Вам не совсем понятно, могу сделать видео.
    Безымянный.png
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    S.R, нужен мне PROCICE.exe. Запакуйте в пароль с архивом "virus" без кавычек, полученный архив отправьте на quarantine<at>virusnet.info с указанием в заголовке письма ссылки на тему. (at=@)


    Какие из файлов\папок показанных на скриншете скрыты?
     
    1 человеку нравится это.
  6. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    akoK, Если Вам нужен сам файл, могу отправить, если диагноз - Worm.Win32.AutoRun.ccyh.

    Из файлов/папок, представленных на скриншоте, ничего не скрыто. Хотя на самом деле там есть и другие папки (файлы "папка.exe", "папка2.ехе" для этих, теперь скрытых, папок создались, но я их удалил т.к. флешка нужна для работы).

    Если не понятно - могу сделать видео..
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Мне нужен файл, для того, чтоб понять механизм сокрытия содержимого флешки, это позволит создать методику восстановления и "доточить" утилиту.
     
    2 пользователям это понравилось.
  8. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Отправил.
     
    2 пользователям это понравилось.
  9. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    S.R, А скрытой папки у вас и нет, если бы она у вас была, то после выполнения команды
    Код (Text):
    DIR X:\ /X
    у вас было бы видно две точки
    Код (Text):
    22.10.2010  09:56    <DIR>          E2E2~1     [B][COLOR="Blue"]..[/COLOR][/B]
    По ходу этот вирус просто призначает атрибуты скрытый и системный для папок.

    Попробуйте просмотреть содержимое флешки через тотал командер

    Добавлено через 2 минуты 7 секунд
    Да, пожалуйста, хочу посмотреть своим глазом.
     
    2 пользователям это понравилось.
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Запусил на тестовой площадке, на подопытной флешке наплодило экзешников с именами папок, но атрибуты папкам так и не были переназначены, так и висят дубли :)
     
    1 человеку нравится это.
  11. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Костя, а как же у него тогда скрываются папки? Или он имеет ввиду исполняемые файлы со значком папки?
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Саш, подождём видео. Преодолев инертность мышления я заметил, что зловред не позволяет увидеть скрытые файлы\папки сторонним софтом. После удаления активного заражения все видно, а так нет.
     
  13. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Нет, именно папки.
    Вот видео.
    Также кое-что интересное. Нельзя изменить атрибуты скрытых папок.
     
    3 пользователям это понравилось.
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Изначально FlashRestore задумывалась как система восстановления флешки после заражения Worm.Win32.Radminer который переносит все содержимое флешки в специальную папку.

    Думаю разработчик согласиться добавить функционал который позволит менять атрибуты скрытых папок, но при активном заражении эффективность этого метода стремиться к нулю.
     
    5 пользователям это понравилось.
  15. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    S.R, А пока вручную можно удалить:
    1. Новая папка.ехе
    2. PROCICE.EXE
    3. PROCICE (со значком корзины)
    4. Autorun.inf (содержимое этого файламожно выложить тут, оформив тегом код)
    5. Проверить флешку CureIt

    Попробуйте создать файл SetAttrib.cmd c содержимым, поместите его на флешку и запустите двойным кликом
    Код (Text):
    @echo off
    attrib -s -h J:\ /s /d
    exit.
     
    2 пользователям это понравилось.
  16. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Создал, запустил. А воз и ныне там :sarcastic:

    Поступил другим путём: скопировал содержимое папок на ЖД компьютера, флешку отформатирую.
    Все файлы, которые были перечисленны, отправил в вирлаб (кстати на флешке был файл slurv.exe, поймал карантином флешки). Детект по всем файлам кроме авторана, со слов аналитика ЛК. (KLAN-122401438)

    содержимое файла авторан
    Код (Text):

    [AutoRun]
    Open=slurv.exe -flash
    Icon=%system%\shell32.dll,4
    UseAutoPlay=1
    Action=Открыть папку для просмотра файлов
    shell\open\Command=slurv.exe -flash
    shell\open\Default=1
    shell\explore\Command=slurv.exe -flash
     
     
    2 пользователям это понравилось.
  17. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Да в принципе его видно через autorun.inf можно было самому отловить его. :)
     
    2 пользователям это понравилось.
  18. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Обнаружил это позже
     
  19. Serega_
    Оффлайн

    Serega_ Разработчик

    Сообщения:
    44
    Симпатии:
    214
    Именно так, но есть и разработка в win варианте, которая так и не была доделана в связи с отсутствием свободного времени... из-за чего я в принципе и задержал релиз утилиты, т.к. хотел сделать отображением всех найденных папок на флешке в виде древовидной структуры и чтоб пользователь мог выбрать, что именно ему нужно сохранить.
    Судя по сообщениям, моя мысль оказалась актуальна, видимо придётся продолжить развитие данной утилиты.
     
    3 пользователям это понравилось.
  20. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    253
    Симпатии:
    120
    А попробуйте ФлешАнтивирус - он и прогу найдет и папку скрытую разоблачит
    http://safezone.cc/resources/fleshantivirus.127/
    --- Объединённое сообщение, 25 дек 2014, Дата первоначального сообщения: 25 дек 2014 ---
    В условиях и
    спользования программы сказано, что она вскроет на незаразном компе и только папку ".."
    Судя по всему у Вас активный вирус, который скрывает файлы атрибутами, запрещая отображать, а не перенос в "..", которой невидно и на идеально чистом от вирусов компьютере

    Единственное, что хочу добавить создателю : не перебирайте все флешки, а только одну. Вот у меня ошибка такая сверкнула, суть которой в команде со стороні программы на cmd.exe /с ren "G:\F:\E2E2 итд при этом папка была только на F, а на G ее небыло
     

    Вложения:

Поделиться этой страницей