• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

FlashRestore 2014-12-19

Serega_

Разработчик
Сообщения
44
Симпатии
137
#1
Пользователь Serega_ разместил новый ресурс:

FlashRestore - FlashRestore

FlashRestore

FlashRestore - это утилита для восстановления файлов на съёмных носителях после заражения Worm.Win32.Radminer

Описание:
  • В результате заражения системы вирусами, не редко бывает, что вся информация на съёмных носителях пропадает, т.е. файлов и папок на съёмном носителе вроде нет, но размер занятого места остаётся...
Узнать больше об этом ресурсе...
 
Последнее редактирование модератором:

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#2
Доброго времени суток. У меня имеется заражённая флешка, твоя утилита не может помочь ("скрытая папка не найдена")
"Допилишь"?
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#4
Вот, пожалуйста. Только я должен немного пояснить: папку "Новая папка" я создал уже после заражения флешки.
Также я заметил вот что. Вирус каким-то образом скрывает папки и создаёт свой исполняемый файл (пример - "PROCICE.exe"). При этом скрытые папки не отображаются, но в них зайти можно через адресную панель. Если Вам не совсем понятно, могу сделать видео.
Безымянный.png
 

akok

Команда форума
Администратор
Сообщения
14,343
Симпатии
11,880
#5
S.R, нужен мне PROCICE.exe. Запакуйте в пароль с архивом "virus" без кавычек, полученный архив отправьте на quarantine<at>virusnet.info с указанием в заголовке письма ссылки на тему. (at=@)


Какие из файлов\папок показанных на скриншете скрыты?
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#6
akoK, Если Вам нужен сам файл, могу отправить, если диагноз - Worm.Win32.AutoRun.ccyh.

Из файлов/папок, представленных на скриншоте, ничего не скрыто. Хотя на самом деле там есть и другие папки (файлы "папка.exe", "папка2.ехе" для этих, теперь скрытых, папок создались, но я их удалил т.к. флешка нужна для работы).

Если не понятно - могу сделать видео..
 

akok

Команда форума
Администратор
Сообщения
14,343
Симпатии
11,880
#7
Мне нужен файл, для того, чтоб понять механизм сокрытия содержимого флешки, это позволит создать методику восстановления и "доточить" утилиту.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,842
Симпатии
5,582
#9
S.R, А скрытой папки у вас и нет, если бы она у вас была, то после выполнения команды
Код:
DIR X:\ /X
у вас было бы видно две точки
Код:
22.10.2010  09:56    <DIR>          E2E2~1     [B][COLOR="Blue"]..[/COLOR][/B]
По ходу этот вирус просто призначает атрибуты скрытый и системный для папок.

Попробуйте просмотреть содержимое флешки через тотал командер

Добавлено через 2 минуты 7 секунд
Если не понятно - могу сделать видео..
Да, пожалуйста, хочу посмотреть своим глазом.
 

akok

Команда форума
Администратор
Сообщения
14,343
Симпатии
11,880
#10
Запусил на тестовой площадке, на подопытной флешке наплодило экзешников с именами папок, но атрибуты папкам так и не были переназначены, так и висят дубли :)
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,842
Симпатии
5,582
#11

akok

Команда форума
Администратор
Сообщения
14,343
Симпатии
11,880
#12
Саш, подождём видео. Преодолев инертность мышления я заметил, что зловред не позволяет увидеть скрытые файлы\папки сторонним софтом. После удаления активного заражения все видно, а так нет.
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#13
Или он имеет ввиду исполняемые файлы со значком папки?
Нет, именно папки.
Вот видео.
Также кое-что интересное. Нельзя изменить атрибуты скрытых папок.
 

akok

Команда форума
Администратор
Сообщения
14,343
Симпатии
11,880
#14
Изначально FlashRestore задумывалась как система восстановления флешки после заражения Worm.Win32.Radminer который переносит все содержимое флешки в специальную папку.

Думаю разработчик согласиться добавить функционал который позволит менять атрибуты скрытых папок, но при активном заражении эффективность этого метода стремиться к нулю.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,842
Симпатии
5,582
#15
S.R, А пока вручную можно удалить:
1. Новая папка.ехе
2. PROCICE.EXE
3. PROCICE (со значком корзины)
4. Autorun.inf (содержимое этого файламожно выложить тут, оформив тегом код)
5. Проверить флешку CureIt

Попробуйте создать файл SetAttrib.cmd c содержимым, поместите его на флешку и запустите двойным кликом
Код:
@echo off
attrib -s -h J:\ /s /d
exit.
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#16
Попробуйте создать файл..
Создал, запустил. А воз и ныне там :sarcastic:

Поступил другим путём: скопировал содержимое папок на ЖД компьютера, флешку отформатирую.
Все файлы, которые были перечисленны, отправил в вирлаб (кстати на флешке был файл slurv.exe, поймал карантином флешки). Детект по всем файлам кроме авторана, со слов аналитика ЛК. (KLAN-122401438)

содержимое файла авторан
Код:
[AutoRun]
Open=slurv.exe -flash
Icon=%system%\shell32.dll,4
UseAutoPlay=1
Action=Открыть папку для просмотра файлов
shell\open\Command=slurv.exe -flash
shell\open\Default=1
shell\explore\Command=slurv.exe -flash
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,842
Симпатии
5,582
#17

Serega_

Разработчик
Сообщения
44
Симпатии
137
#19
Изначально FlashRestore задумывалась как система восстановления флешки после заражения Worm.Win32.Radminer
Именно так, но есть и разработка в win варианте, которая так и не была доделана в связи с отсутствием свободного времени... из-за чего я в принципе и задержал релиз утилиты, т.к. хотел сделать отображением всех найденных папок на флешке в виде древовидной структуры и чтоб пользователь мог выбрать, что именно ему нужно сохранить.
Судя по сообщениям, моя мысль оказалась актуальна, видимо придётся продолжить развитие данной утилиты.
 

Сергей

Активный пользователь
Сообщения
310
Симпатии
155
#20
Вот, пожалуйста. Только я должен немного пояснить: папку "Новая папка" я создал уже после заражения флешки.
Также я заметил вот что. Вирус каким-то образом скрывает папки и создаёт свой исполняемый файл (пример - "PROCICE.exe"). При этом скрытые папки не отображаются, но в них зайти можно через адресную панель. Если Вам не совсем понятно, могу сделать видео.
Посмотреть вложение 4501
А попробуйте ФлешАнтивирус - он и прогу найдет и папку скрытую разоблачит
http://safezone.cc/resources/fleshantivirus.127/
В условиях и
Доброго времени суток. У меня имеется заражённая флешка, твоя утилита не может помочь ("скрытая папка не найдена")
"Допилишь"?
спользования программы сказано, что она вскроет на незаразном компе и только папку ".."
Судя по всему у Вас активный вирус, который скрывает файлы атрибутами, запрещая отображать, а не перенос в "..", которой невидно и на идеально чистом от вирусов компьютере

Единственное, что хочу добавить создателю : не перебирайте все флешки, а только одну. Вот у меня ошибка такая сверкнула, суть которой в команде со стороні программы на cmd.exe /с ren "G:\F:\E2E2 итд при этом папка была только на F, а на G ее небыло
 

Вложения