Win32:Radmin-BW [PUP]

Non-English Boards Русский
1

День добрый, форумчане!

Сунул флешку куда не надо и подхватил эту штуку, Win32:Radmin-BW [PUP]. Аваст её заметил, конечно, и поместил в карантин, плюс файлы, найденные при сканировании системы, это C: services.exe. Всё отправлено в лабораторию.

Вирус подменил папки на флешке екзешниками с аналогичными названиями. После удаления вируса папки появились, но частично пустые, то есть многие подпапки не видны, объем 0 б. А там была ценная информация. Сканирование дает объем данных 12,6 мб, что равно видимой информации.

По описанию вируса в сети, он не стирает информацию, а скрывает папки. Аваст тоже кажется не стирает файлы.

Каким образом сделать эти подпапки видимыми, а если информация все же была стерта, можно ли ее восстановить?

2

MaximAvr, здравствуйте! Добро пожаловать на форум!
Для того, чтобы увидеть файлы и папки выполните следующее:

После того, как файлы стали видны, в свойствах папок уберите атрибуты скрытый, системный.

3

В этом случае можете попробовать следующие программы:
EasyRecovery
Back2Life
R-Studio

4

Привет всем, нет она не стерта. Смотрел свойства диска F, занято 269 мб при видимых 12,6. См. скриншот.

Через “Свойства папки” не помогло. Кажется, это еще делается через командную строку или через какие-то утилиты типа FAP. Что посоветуете?

5

MaximAvr, скачайте бесплатный файловый менеджер отсюда: http://www.freecommander.com/FreeCommanderXE_setup.zip
запустите программу, в настройках выберите русский язык (инструменты->настройки->Общие), отметьте как на скриншоте показать скрытые и системные файлы, потом выберите свой диск и посмотрите, будут ли там ваши файлы. Если будут, то уберите с них все атирбуты: скрытый, системный

6

Andrey,pro, я ясно вижу все скрытые файлы на системе, но на диске F все как было. Скриншот прилагаю.

7

Скачайте McShield на рабочий стол и установите.
Запустится первоначальное сканирование и результаты будут показаны во всплывающем окне около системных часов.
Затем в центре управления выберите сканер и отметьте всегда отображать элементы на флэш-накопителях.

http://i062.radikal.ru/1308/95/2bd66f5ad494.png

Вставьте флэш-накопитель и MCShield начнет сканирование.
Затем прикрепите отчет, который будет находиться здесь :
Пуск > Все программы > MCShield > logs > all scans

8

Согласно McShield, диск F чист.

9

Попробуем сбросить все атрибуты с диска F через командную строку:

  1. Запустите командную строку от имени администратора
  2. Выберите флеш-карту, для этого в командной строке введите F: и нажмите клавишу enter
  3. После того, как нужный диск выбран, введите:
attrib -s -h -r -a /s /d

и нажмите клавишу enter

10

Есть. Вот как выглядела ком. строка. Что дальше?

11

На флешке не появилось никаких файлов/папок?
Запустите Диспетчер задач=>перейдите во вкладку Приложения=>нажмите Новая задача и введите
f:.…\ , если Ваших файлов не будет, то попробуйте f:..
Из контекстного меню просканируйте флешку авастом, во время сканирования Ваши файлы будут отображаться?

  1. Запустите командную строку от имени администратора
  2. Выберите флеш-карту, для этого в командной строке введите F: и нажмите клавишу enter
  3. После того, как нужный диск выбран, введите:
dir\

и нажмите клавишу enter, сделайте скриншот командной строки.

12

Это интересно. Файлы по прежнему не видны, но f:..\ показывает диск F, а вот f:.…\ выдает вот это, см. скриншот.

Вспомнил, что это сообщение сегодня выдавало, когда пытался открыть папки, то есть имитации.

13

интересно. :smiley:

  1. Запустите командную строку от имени администратора
  2. Выберите флеш-карту, для этого в командной строке введите F: и нажмите клавишу enter
  3. После того, как нужный диск выбран, введите:
dir

и нажмите клавишу enter, сделайте скриншот командной строки.

14

Пишет такое.

15

Запустите Диспетчер задач=>перейдите во вкладку Приложения=>нажмите Новая задача и введите:

f:\Personal Data

Видите свои файлы?

16

Ого! 31.07.2013 17:19, это однозначно время заражения.

Да, подпапки вижу, они и раньше были, но если ввести f:\Personal Data\My Documents, откроет пустую папку. Это при том, что все фото в соседней подпапке полностью сохранились.

17

Запустите Диспетчер задач=>перейдите во вкладку Приложения=>нажмите Новая задача и вводите поочередно:

f:\Personal Data
f:\Новая папка
f:\..

Скопируйте все файлы на компьтер, флешку отформатируйте.

  1. Запустите командную строку от имени администратора
  2. Выберите флеш-карту, для этого в командной строке введите F: и нажмите клавишу enter
  3. После того, как нужный диск выбран, введите:
dir\Personal Data\My Documents

и нажмите клавишу enter, сделайте скриншот командной строки.
после тоже самое, только введите

dir\Personal Data\My Folders
18

Вот здесь пожалуйста поподробнее. Файлы скопировал, по объему они такие же, как на флешке. Если отформатировать диск F, не пропадет ли вся скрытая информация?

Если он будет отформатирован, файлы должны развернуться на диске в нормальном виде?

19

Нет, если вы отформатируете флешку, то все файлы, в т.ч. скрытые, будут удалены. Это нужно будет сделать тогда, когда все нужные файлы будут перенесены с флеш-карты на компьютер. Я изменил свое предыдущее сообщение, выполните, как я написал. Получается, Вы смогли пока только увидеть изображения с флеш-карты?

20

Все, что я вижу, оно и было, это то, что вирус не смог запрятать почему-то. Но пробивание через командную строку дает странную картину.

Дело в том, что папки f:\Personal Data\My Documents\Outlook и f:\Personal Data\My Documents\Pc-Lock pictures не пусты. В первой папочке какой-то файлик, во второй фотки трансценда. Фотки весят при сканировании авастом 2,4 мб. При переносе на систему это отражается в свойствах.

Нет у меня никакой уверенности, что вся информация перенесена.