Иконка ресурса

FlashRestore 2014-12-19

Serega_

Разработчик
Сообщения
44
Реакции
137
Баллы
428
Пользователь Serega_ разместил новый ресурс:

FlashRestore - FlashRestore

FlashRestore

FlashRestore - это утилита для восстановления файлов на съёмных носителях после заражения Worm.Win32.Radminer

Описание:
  • В результате заражения системы вирусами, не редко бывает, что вся информация на съёмных носителях пропадает, т.е. файлов и папок на съёмном носителе вроде нет, но размер занятого места остаётся...
Узнать больше об этом ресурсе...
 
Последнее редактирование модератором:

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Доброго времени суток. У меня имеется заражённая флешка, твоя утилита не может помочь ("скрытая папка не найдена")
"Допилишь"?
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Вот, пожалуйста. Только я должен немного пояснить: папку "Новая папка" я создал уже после заражения флешки.
Также я заметил вот что. Вирус каким-то образом скрывает папки и создаёт свой исполняемый файл (пример - "PROCICE.exe"). При этом скрытые папки не отображаются, но в них зайти можно через адресную панель. Если Вам не совсем понятно, могу сделать видео.
Безымянный.png
 

akok

Команда форума
Администратор
Сообщения
16,227
Реакции
12,919
Баллы
2,203
S.R, нужен мне PROCICE.exe. Запакуйте в пароль с архивом "virus" без кавычек, полученный архив отправьте на quarantine<at>virusnet.info с указанием в заголовке письма ссылки на тему. (at=@)


Какие из файлов\папок показанных на скриншете скрыты?
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
akoK, Если Вам нужен сам файл, могу отправить, если диагноз - Worm.Win32.AutoRun.ccyh.

Из файлов/папок, представленных на скриншоте, ничего не скрыто. Хотя на самом деле там есть и другие папки (файлы "папка.exe", "папка2.ехе" для этих, теперь скрытых, папок создались, но я их удалил т.к. флешка нужна для работы).

Если не понятно - могу сделать видео..
 

akok

Команда форума
Администратор
Сообщения
16,227
Реакции
12,919
Баллы
2,203
Мне нужен файл, для того, чтоб понять механизм сокрытия содержимого флешки, это позволит создать методику восстановления и "доточить" утилиту.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
S.R, А скрытой папки у вас и нет, если бы она у вас была, то после выполнения команды
Код:
DIR X:\ /X
у вас было бы видно две точки
Код:
22.10.2010  09:56    <DIR>          E2E2~1     [B][COLOR="Blue"]..[/COLOR][/B]
По ходу этот вирус просто призначает атрибуты скрытый и системный для папок.

Попробуйте просмотреть содержимое флешки через тотал командер

Добавлено через 2 минуты 7 секунд
Если не понятно - могу сделать видео..
Да, пожалуйста, хочу посмотреть своим глазом.
 

akok

Команда форума
Администратор
Сообщения
16,227
Реакции
12,919
Баллы
2,203
Запусил на тестовой площадке, на подопытной флешке наплодило экзешников с именами папок, но атрибуты папкам так и не были переназначены, так и висят дубли :)
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808

akok

Команда форума
Администратор
Сообщения
16,227
Реакции
12,919
Баллы
2,203
Саш, подождём видео. Преодолев инертность мышления я заметил, что зловред не позволяет увидеть скрытые файлы\папки сторонним софтом. После удаления активного заражения все видно, а так нет.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Или он имеет ввиду исполняемые файлы со значком папки?
Нет, именно папки.
Вот видео.
Также кое-что интересное. Нельзя изменить атрибуты скрытых папок.
 

akok

Команда форума
Администратор
Сообщения
16,227
Реакции
12,919
Баллы
2,203
Изначально FlashRestore задумывалась как система восстановления флешки после заражения Worm.Win32.Radminer который переносит все содержимое флешки в специальную папку.

Думаю разработчик согласиться добавить функционал который позволит менять атрибуты скрытых папок, но при активном заражении эффективность этого метода стремиться к нулю.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
S.R, А пока вручную можно удалить:
1. Новая папка.ехе
2. PROCICE.EXE
3. PROCICE (со значком корзины)
4. Autorun.inf (содержимое этого файламожно выложить тут, оформив тегом код)
5. Проверить флешку CureIt

Попробуйте создать файл SetAttrib.cmd c содержимым, поместите его на флешку и запустите двойным кликом
Код:
@echo off
attrib -s -h J:\ /s /d
exit.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Попробуйте создать файл..
Создал, запустил. А воз и ныне там :sarcastic:

Поступил другим путём: скопировал содержимое папок на ЖД компьютера, флешку отформатирую.
Все файлы, которые были перечисленны, отправил в вирлаб (кстати на флешке был файл slurv.exe, поймал карантином флешки). Детект по всем файлам кроме авторана, со слов аналитика ЛК. (KLAN-122401438)

содержимое файла авторан
Код:
[AutoRun]
Open=slurv.exe -flash
Icon=%system%\shell32.dll,4
UseAutoPlay=1
Action=Открыть папку для просмотра файлов
shell\open\Command=slurv.exe -flash
shell\open\Default=1
shell\explore\Command=slurv.exe -flash
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Обнаружил это позже
 

Serega_

Разработчик
Сообщения
44
Реакции
137
Баллы
428
Изначально FlashRestore задумывалась как система восстановления флешки после заражения Worm.Win32.Radminer
Именно так, но есть и разработка в win варианте, которая так и не была доделана в связи с отсутствием свободного времени... из-за чего я в принципе и задержал релиз утилиты, т.к. хотел сделать отображением всех найденных папок на флешке в виде древовидной структуры и чтоб пользователь мог выбрать, что именно ему нужно сохранить.
Судя по сообщениям, моя мысль оказалась актуальна, видимо придётся продолжить развитие данной утилиты.
 

Сергій

Активный пользователь
Сообщения
380
Реакции
205
Баллы
213
Вот, пожалуйста. Только я должен немного пояснить: папку "Новая папка" я создал уже после заражения флешки.
Также я заметил вот что. Вирус каким-то образом скрывает папки и создаёт свой исполняемый файл (пример - "PROCICE.exe"). При этом скрытые папки не отображаются, но в них зайти можно через адресную панель. Если Вам не совсем понятно, могу сделать видео.
Посмотреть вложение 4501
А попробуйте ФлешАнтивирус - он и прогу найдет и папку скрытую разоблачит
http://safezone.cc/resources/fleshantivirus.127/
В условиях и
Доброго времени суток. У меня имеется заражённая флешка, твоя утилита не может помочь ("скрытая папка не найдена")
"Допилишь"?
спользования программы сказано, что она вскроет на незаразном компе и только папку ".."
Судя по всему у Вас активный вирус, который скрывает файлы атрибутами, запрещая отображать, а не перенос в "..", которой невидно и на идеально чистом от вирусов компьютере

Единственное, что хочу добавить создателю : не перебирайте все флешки, а только одну. Вот у меня ошибка такая сверкнула, суть которой в команде со стороні программы на cmd.exe /с ren "G:\F:\E2E2 итд при этом папка была только на F, а на G ее небыло
 

Вложения

Сверху Снизу