Добрый вечер всем.
Столкнулся с тако вот проблемой - на флешке все папки стали папка.exe и в добавок папка.lnk - гуглил, форумил, так ничего и не получилось. Вродебы проблема распространенная, но разобратся не получилось. Вот некоторые мои телодвижения:
1. ПРоверял антивирусами (Dr.Web, Avast, AVZ, CureIt). Результат - удаление.
2. Пользовался программой Anti_autorun
3. Запускал бат файл с таким содержанием: attrib -s -h -r -a /s /d
4. Пробовал искать скрытые файлы вручную средствами виндовс и Total Commander - ничего...

Резльтат - НИЧЕГО!!! Кака было така и есть.... помогите пжлста может еще кто что знает. Что с ним делать чтобы восстановить файлы - ну очень нужны.

Спасибо заранее.

Файловая система на флешке какая?
Что показывают программмы эвристического восстановления?
Сколько свободного пространства на флешке? совпадает ли с подсчётом через объём флешки и сумму размеров файлов?

Они не просто скрытые, они ещё и отмечаются как системные. Винду надо ещё и пнуть лишний раз чтобы она их показала.(Ну это так к слову)

Отложите в сторону флешку, есть уверенность что тот ПК с которого вы просматриваете данные не заражён этой же дрянью или какой-нибудь ещё?

P.S. для поиска таких велёлых файлов я юзаю старый добрый FAR Manager, ни разу ещё не подводил. 
P.P.S. Если данные нужны совсем срочно, а разбираться что да как времени нету, можно скачать LiveCD с каким-нибудь линуксоидом(в принципе дистрибутив от каспера достаточно удобен), под ним с флешки стянуть нужные данные и далее работать с ними на гарантированно незаражённой машине(Линукс просто чихать хотел на скрытые папки и файлы виндоуса).

Уржаться антивирус... ты не встречался с вирём, который исходное тело файла пихает в поток? ежели НТФС, конечно... ФАР курит бамбук...

И правильно! А что должно быть? Вирус не на флешке, а на том компьютере, куда ты эту флешку тыкал. Вполне вероятно что папка.exe будет безобидным информером "заплатите и мы вам вернем ваши папки". Ну и да, настоящие папки будут скрытыми.

Poseidon, вирус DIR помнишь?

Добавлено через 56 секунд
PS. Zorak, походу, потерял интерес к проблеме... 

Всю флешку заархивировали и дали мне по почте. Размеры - совпадают. На флехе - NTFS. То что они есть в принципе я думаю что все таки ЕСТЬ!.. ибо када я просто удаляю папка.exe - размеры на долю секунды меняются на оригинальные, поэтому в принципе уверен что есть они все таки там. Но как их достать то не знаю.

З.Ы. Может есть например программа, которая в любом случаи видит ВСЕ файлы и папки в директории без всяких там настроек и надстроек).

P.S.S Кстати вот как не пробовал - не видно скрытых файлов и папок(

Это сообщение отредактировал(а) Zorak - 27.11.2012, 22:53

Я уже говорил:

Так что топай к sysinternals и бери тулзу, которая показывает файловые потоки. 
Streams

Это сообщение отредактировал(а) Akina - 27.11.2012, 23:21

ем.. первый раз с етим сталкиваюсь. Скачал на 41кб программу). перечитал вдоль и впоперек что было там написано. Ноничего у меня не вышло. При запуске на полсекунды появляется cmd-окно и исчезает. Через само cmd пишет что команда не является внутренней командой или чтото такое. Как его есть ?

Ох, позорище! с командной строкой уже не умеем работать...
Пуск - выполнить - cmd /k c:\folder1\streams.exe  X:\ /S > c:\folder2\protocol.txt
И когда отработает - изучай протокол работы и, если будут, сообщения об ошибках.

Ушол, скоро отпишусь

Вот что написалось в появившимся файле.
З.Ы. Побуквенно:
cmd /k c:\folder1\streams.exe  - тут и так все понятно
X:\ - Флеха. (Или путь к директории)
/S > - параметр streams.exe
c:\folder2\protocol.txt - ну и куда все ето сохранять..
   Вопрос: Я правильно все понял ?


Это сообщение отредактировал(а) Zorak - 28.11.2012, 11:51

значит, не /S, а -s надо в комстроке запуска... понято всё верно.

Да я сразу пробовал -s, просто забыл упомянуть в посте. Все равно ничего. ТАкже пробовал из строки запускать stream.exe, а уже потом только писать остальную часть после x:\ ... ... То выводит то же что и у файле)

Это сообщение отредактировал(а) Zorak - 28.11.2012, 12:11

Покажи ТОЧНУЮ строку запуска.

Добавлено через 14 секунд
И сообщи версию ОС.

Ос - win7 32бит...
Строка запуска - cmd /k d:\streams\streams.exe  F:\ /S > d:\ppt2.txt  ну или cmd /k d:\streams\streams.exe  F:\ -S > d:\ppt2.txt
После чего появляется окно cmd с содержимым файла.

Но! .. Када писал в запуске   cmd /k d:\streams\streams.exe , а в самом окне cmd уже  F:\ /S > d:\ppt2.txt то /s выдавало ошибку, а при -s опять же таки вывело содержимое файла.

упс). НА етот пост внимания не обращаем)

Это сообщение отредактировал(а) Zorak - 28.11.2012, 13:03

Пуск - выполнить - CMD <Enter>

В открывшемся окне:

D:<Enter>
cd \streams<Enter>
streams f:\ -s > protocol.txt<Enter>

Потом копию текста из окна и содержимое protocol.txt (если не очень большой) - в студию... пока не понимаю происходящего.

И так. Папку с зараженными файлами переместил на диск Д!. (В связи уже отсутствующей флешки). Надеюсь это не сильно утруднит задачу. Название папки - 6_klas

 И так, результат.
1. Содержание файла: 


2. Содержание окна:


Также выложил скрины самой папки с зараженными файлами, Скрин блокнота после выполнения и скрин cmd окна. 

З.Ы. Вот что писал в строке:
D:<Enter>
cd \streams<Enter>
streams d:\6_klas\ -s > protocol.txt<Enter>  <--- тут пробовал и без слеша streams d:\6_klas -s > protocol.txt<Enter>

Командная стркоа
Блокнот
Папка



З.Ы.Ы.Ы.Ы. Может дать тебе саму папку, ты пошамань там минут 5, мб что и получится ?))))

Это сообщение отредактировал(а) Zorak - 28.11.2012, 13:59

КАК ИМЕННО? а то ты мог запросто все потоки отправить в небытие...

Попробуй ещё последнюю строку вот в каком виде:

streams -s f:\*.*  > protocol.txt<Enter>


Покажи для пары каких-нить файлов свойства - размер и сколько они занимают на диске.

Я еще в самом первом посте писал что сами аппки мне дали в архиве через интернет , заархивированные с самой зараженной флешки. Поэтому я даже не знаю... Я просто их разархивировал и начал над ними шаманить. А перемещал я просто скачанный архив и опять же разархивировал.


Результат в файле protocol.txt.. а в окне - все тоже самое.. пусто)
Streams v1.56 - Enumerate alternate NTFS data streams
Copyright © 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com


Сколько они занимают видно на скрине - exe - все по 501кб, .lnk - по 2кб.

Свойства выложил вот:
Папка exe - такие же свойства для всех остальных папок, точно такие.
Файл lnk - тоже точно такие свойства и для всех остальных
З.Ы. в lnk в поле Обьект написано: %windir%\system32\cmd.exe /c "start %cd%RECYCLER\11afb2c9.exe &&%windir%\explorer.exe %cd%5 клас

З.Ы.Ы. Указанного 11afb2c9.exe давно уже нету. Еще с самой флешки удалялась папка recycler вместе с етим файлом (оригинльной флешки, типа откуда изначально архивировались папки)

---> Блин, я уже готов заплатить если мне их восстановят <---




Это сообщение отредактировал(а) Zorak - 28.11.2012, 14:44

Чем? с какими опциями?
Если я прав, скорее всего уже на этом этапе необходимые данные были обрезаны.
--------------------------
Есть ещё вариант - данные пошифрованы. Для расшифровки при этом однозначно требуется оригинальное тело вируса-шифровальщика - т.е. можно смело считать, что данных на флешке никогда и не было...


Вариант с пошифрованными данными стал более похож на правду.

Если это был шифровальщик, и он утрачен - восстановление в принципе невозможно за вменяемые время и деньги.

Это сообщение отредактировал(а) Akina - 28.11.2012, 15:45

А если все это проделать на оригинальной флешке, но без аппки recycler и без получается тела самого вируса, может быть шанс?

Почти нулевой. Обычно такой вирус генерирует случайный и весьма объёмный ключ шифрования, который сохраняет в своём теле или в каком-то укромном месте. Утрата этого ключа практически означает, что расшифровка данных нереальна.

Добавлено @ 16:20
Впрочем, если флешка в руках вменяемого человека, можно попробовать unerase. Но если на том конце идиот, который и после инцидента эту флешку интенсивно юзает - он сам себе злобный буратина.

ясно.. тогда шас буду созваниватся и чтото делать -=)).. Спасибо тебе большое. Позднее вечером отпишу результат, надеюсь ты будеш на месте.

Zorak, Если флешка почти не юзалась - требуй пересылки посекторной копии, а не файлов. И именно с таким образом работай.

Вот содержимое файла из самой флешки.... (юзалась только один раз - переносились файлы.... размером 50мб.) Зараженные файлы не трогались, в рециклере есть само тело вируса....
содержимое файла:

Streams v1.56 - Enumerate alternate NTFS data streams
Copyright © 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com

H:\usage: d:\streams\streams.exe [-s] [-d] <file or directory>
-s Recurse subdirectories
-d Delete streams

Добавлено через 14 минут и 24 секунды
Кстати. На флехе они точно есть. Ибо все выделенные файлы (в параметрах стоит отображать скрытые и системные) занимают 572Мб, а в моем компьютере пишет что на флехе занято 1,08Гб!... Както нужно их оттуда достать (((

Для начала следует убедиться, что действительно оригинальные тела лежат в альтернативных потоках файлов, и, более того, определить имя потока с телом файла. Короче, осваивайте streams, выжимайте из неё информацию о потоках (в каких файлах, с какими именами)...