Ос - win7 32бит...
Строка запуска - cmd /k d:\streams\streams.exe  F:\ /S > d:\ppt2.txt  ну или cmd /k d:\streams\streams.exe  F:\ -S > d:\ppt2.txt
После чего появляется окно cmd с содержимым файла.

Но! .. Када писал в запуске   cmd /k d:\streams\streams.exe , а в самом окне cmd уже  F:\ /S > d:\ppt2.txt то /s выдавало ошибку, а при -s опять же таки вывело содержимое файла.

упс). НА етот пост внимания не обращаем)

Это сообщение отредактировал(а) Zorak - 28.11.2012, 13:03

Пуск - выполнить - CMD <Enter>

В открывшемся окне:

D:<Enter>
cd \streams<Enter>
streams f:\ -s > protocol.txt<Enter>

Потом копию текста из окна и содержимое protocol.txt (если не очень большой) - в студию... пока не понимаю происходящего.

И так. Папку с зараженными файлами переместил на диск Д!. (В связи уже отсутствующей флешки). Надеюсь это не сильно утруднит задачу. Название папки - 6_klas

 И так, результат.
1. Содержание файла: 


2. Содержание окна:


Также выложил скрины самой папки с зараженными файлами, Скрин блокнота после выполнения и скрин cmd окна. 

З.Ы. Вот что писал в строке:
D:<Enter>
cd \streams<Enter>
streams d:\6_klas\ -s > protocol.txt<Enter>  <--- тут пробовал и без слеша streams d:\6_klas -s > protocol.txt<Enter>

Командная стркоа
Блокнот
Папка



З.Ы.Ы.Ы.Ы. Может дать тебе саму папку, ты пошамань там минут 5, мб что и получится ?))))

Это сообщение отредактировал(а) Zorak - 28.11.2012, 13:59

КАК ИМЕННО? а то ты мог запросто все потоки отправить в небытие...

Попробуй ещё последнюю строку вот в каком виде:

streams -s f:\*.*  > protocol.txt<Enter>


Покажи для пары каких-нить файлов свойства - размер и сколько они занимают на диске.

Я еще в самом первом посте писал что сами аппки мне дали в архиве через интернет , заархивированные с самой зараженной флешки. Поэтому я даже не знаю... Я просто их разархивировал и начал над ними шаманить. А перемещал я просто скачанный архив и опять же разархивировал.


Результат в файле protocol.txt.. а в окне - все тоже самое.. пусто)
Streams v1.56 - Enumerate alternate NTFS data streams
Copyright © 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com


Сколько они занимают видно на скрине - exe - все по 501кб, .lnk - по 2кб.

Свойства выложил вот:
Папка exe - такие же свойства для всех остальных папок, точно такие.
Файл lnk - тоже точно такие свойства и для всех остальных
З.Ы. в lnk в поле Обьект написано: %windir%\system32\cmd.exe /c "start %cd%RECYCLER\11afb2c9.exe &&%windir%\explorer.exe %cd%5 клас

З.Ы.Ы. Указанного 11afb2c9.exe давно уже нету. Еще с самой флешки удалялась папка recycler вместе с етим файлом (оригинльной флешки, типа откуда изначально архивировались папки)

---> Блин, я уже готов заплатить если мне их восстановят <---




Это сообщение отредактировал(а) Zorak - 28.11.2012, 14:44

Чем? с какими опциями?
Если я прав, скорее всего уже на этом этапе необходимые данные были обрезаны.
--------------------------
Есть ещё вариант - данные пошифрованы. Для расшифровки при этом однозначно требуется оригинальное тело вируса-шифровальщика - т.е. можно смело считать, что данных на флешке никогда и не было...


Вариант с пошифрованными данными стал более похож на правду.

Если это был шифровальщик, и он утрачен - восстановление в принципе невозможно за вменяемые время и деньги.

Это сообщение отредактировал(а) Akina - 28.11.2012, 15:45

А если все это проделать на оригинальной флешке, но без аппки recycler и без получается тела самого вируса, может быть шанс?

Почти нулевой. Обычно такой вирус генерирует случайный и весьма объёмный ключ шифрования, который сохраняет в своём теле или в каком-то укромном месте. Утрата этого ключа практически означает, что расшифровка данных нереальна.

Добавлено @ 16:20
Впрочем, если флешка в руках вменяемого человека, можно попробовать unerase. Но если на том конце идиот, который и после инцидента эту флешку интенсивно юзает - он сам себе злобный буратина.

ясно.. тогда шас буду созваниватся и чтото делать -=)).. Спасибо тебе большое. Позднее вечером отпишу результат, надеюсь ты будеш на месте.

Zorak, Если флешка почти не юзалась - требуй пересылки посекторной копии, а не файлов. И именно с таким образом работай.

Вот содержимое файла из самой флешки.... (юзалась только один раз - переносились файлы.... размером 50мб.) Зараженные файлы не трогались, в рециклере есть само тело вируса....
содержимое файла:

Streams v1.56 - Enumerate alternate NTFS data streams
Copyright © 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com

H:\usage: d:\streams\streams.exe [-s] [-d] <file or directory>
-s Recurse subdirectories
-d Delete streams

Добавлено через 14 минут и 24 секунды
Кстати. На флехе они точно есть. Ибо все выделенные файлы (в параметрах стоит отображать скрытые и системные) занимают 572Мб, а в моем компьютере пишет что на флехе занято 1,08Гб!... Както нужно их оттуда достать (((

Для начала следует убедиться, что действительно оригинальные тела лежат в альтернативных потоках файлов, и, более того, определить имя потока с телом файла. Короче, осваивайте streams, выжимайте из неё информацию о потоках (в каких файлах, с какими именами)...