Win32:Radmin-BW [PUP]

[MaximAvr]

Ого! 31.07.2013  17:19, это однозначно время заражения.

Да, подпапки вижу, они и раньше были, но если ввести f:\Personal Data\My Documents, откроет пустую папку. Это при том, что все фото в соседней подпапке полностью сохранились.

[Andrey,pro]

Запустите Диспетчер задач=>перейдите во вкладку Приложения=>нажмите Новая задача и вводите поочередно:

Code: [Select]

f:\Personal Data
f:\Новая папка
f:\..Скопируйте все файлы на компьтер, флешку отформатируйте.

1. Запустите командную строку от имени администратора
2. Выберите флеш-карту, для этого в командной строке введите F: и нажмите клавишу enter
3. После того, как нужный диск выбран, введите:

Code: [Select]

dir\Personal Data\My Documents
и нажмите клавишу enter, сделайте скриншот командной строки.
после тоже самое, только введите

Code: [Select]

dir\Personal Data\My Folders

[MaximAvr]

Вот здесь пожалуйста поподробнее. Файлы скопировал, по объему они такие же, как на флешке. Если отформатировать диск F, не пропадет ли вся скрытая информация?

Если он будет отформатирован, файлы должны развернуться на диске в нормальном виде?

[Andrey,pro]

Нет, если вы отформатируете флешку, то все файлы, в т.ч. скрытые, будут удалены. Это нужно будет сделать тогда, когда все нужные файлы будут перенесены с флеш-карты на компьютер. Я изменил свое предыдущее сообщение, выполните, как я написал. Получается, Вы смогли пока только увидеть изображения с флеш-карты?

[MaximAvr]

Все, что я вижу, оно и было, это то, что вирус не смог запрятать почему-то. Но пробивание через командную строку дает странную картину.

Дело в том, что папки f:\Personal Data\My Documents\Outlook и f:\Personal Data\My Documents\Pc-Lock pictures не пусты. В первой папочке какой-то файлик, во второй фотки трансценда. Фотки весят при сканировании авастом 2,4 мб. При переносе на систему это отражается в свойствах.

Нет у меня никакой уверенности, что вся информация перенесена.

[Andrey,pro]

Вы неправильно ввели, после F: двоеточие, а не ;

1. Запустите командную строку от имени администратора
2. Выберите флеш-карту, для этого в командной строке введите F: и нажмите клавишу enter
3. После того, как нужный диск выбран, введите:
Код: [Выделить]

Code: [Select]

dir\Personal Data\My Documents
Никакие данные с флешки еще не были перенесены. Вы используете JetFlash, который находится у Вас на флешке?

[MaximAvr]

Совершенно верно, ошибся! Вот всё сделал правильно, найдите 10 отличий. При том что в папке Outlook точно должны быть файлы.

JetFlash не использую, абсолютно бестолковая штука. Там есть какая-то синхронизация данных, но я не понимаю, что это.

[Andrey,pro]

Теперь, кажется, все понятно. Выполните тоже самое, только сейчас введите:

Code: [Select]

dir\..скриншот прикрепите в следующем сообщении

можно еще просто запустить командную строку от имени администратора и ввести:

Code: [Select]

DIR F:\..

[MaximAvr]

Все то же, по обоим командам одинаково.

[Andrey,pro]

Введите в командной строке:

Code: [Select]

DIR /X F:\скриншот прикрепите
Вирус, который спрятал таким способом файлы, был services.exe

[MaximAvr]

Ввел, ничего. Перебрал название двух папок, которые были, не показывает. Помню название программы, это папка и екзе, не помню точно где она была, вероятный вариант ничего не дал.

[MaximAvr]

Да-да, увидел сообщение. Это что-то новенькое, прогресс.

[Andrey,pro]

Теперь запустите командную строку от имени админстратора и введите следующее:

Code: [Select]

REN E2E2~1 Thanksнажмите enter
Перейдите на свою флешку и увидите там папку Thanks со своими файлами 

[MaximAvr]

Урра!! Не то что thanks, а мега thanks!

Огромное Вам человеческое спасибо, Андрей! Мне повезло, что в сообществе аваст водятся такие титаны духа.

Кажется теперь ясно, что люди, пользующиеся другим софтом и бьющиеся лбом о другие форум, мягко говоря, рискуют. Не было бы у меня аваста, не видать бы мне ни моей клиентской базы данных, ни паролей, ни даже файла лицензии на сам аваст.

[Andrey,pro]

Рад за Вас, в своей практике я еще не встречался с подобным заражением, теперь и я и Вы знаем, как с ним бороться

Подведем основные итоги для тех, кто столкнется с такой проблемой:
1. Запустите командную строку от имени администратора
2. Введите в командной строке:

Code: [Select]

DIR /X F:\где F - это буква Вашей флеш-карты
и нажмите клавишу enter
3. Если Вы обнаружите папки с именами: ".." или "..." и т.п. , то в этой папке как раз и находятся Ваши файлы. Windows не сможет открыть данную папку. В командной строке находим альтернативное имя папки (будет слева от обычного имени). Например, E2E2~1 (см. скриншот выше)
4. Далее переименовываем данную папку, для этого в командной строке введите:

Code: [Select]

REN F:\E2E2~1 NewFolderгде NewFolder - новое название папки
и нажмите клавишу enter
Вот и все.