Здравствуйте. На флешке были данные 50мб. Сейчас вставил флешку, показал скрытые файл. Вместо файлов что были, там всего лишь один файл, размером ровно 50мб ~~WDDY.ini. Данные возможно как-то вернуть?
Printable View
Здравствуйте. На флешке были данные 50мб. Сейчас вставил флешку, показал скрытые файл. Вместо файлов что были, там всего лишь один файл, размером ровно 50мб ~~WDDY.ini. Данные возможно как-то вернуть?
Уважаемый(ая) [B]l1kl1[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Program Files\it\IT.EXE','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccuajvos.scr','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccuajvos.scr','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','16588');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [16588] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccuajvos.scr
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Карантин загрузил вроде бы.
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - HKLM\..\Policies\Explorer\Run: [16588] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccuajvos.scr
[/CODE]
Сделайте новый лог HiJackThis
Проведите [URL="http://virusinfo.info/content.php?r=290-virus-detector"][B]эту[/B][/URL] процедуру. Полученную ссылку сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
Cделал
Верните права на редактирование ветки реестра [B]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run[/B] и удалите параметр [B]16588[/B]
Сделайте новый лог HiJackThis
[QUOTE=mike 1;1045265]Верните права на редактирование ветки реестра [B]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run[/B] и удалите параметр [B]16588[/B]
Сделайте новый лог HiJackThis[/QUOTE]
Сделал
Что с проблемой?
[QUOTE=mike 1;1045286]Что с проблемой?[/QUOTE]
Все по-прежнему.
Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])
сделал
1. Удалите в MBAM:
[CODE]
Обнаруженные ключи в реестре: 2
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0D1I1Q1Q1H1BtGtDzrtHzv -> Действие не было предпринято.
[/CODE]
2. Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
[CODE]
C:\ATI\Catalyst.exe
C:\WINDOWS\system32\dllcache\ctfmon.exe
C:\MSI\TrustedInstaller.exe
C:\Program Files\Volumecontrol2\LConfig.exe
[/CODE]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
3. Скопируйте следующий текст в Блокнот и сохраните, как [B]run.bat[/B]:
[CODE]attrib "*" -s -h /S /D[/CODE]
скопируйте файл run.bat в корень флешки и запустите
[B]Внимание [U]не запускайте этот файл[/U], когда он находится на жестком диске.[/B]
[url]https://www.virustotal.com/ru/file/63a2b0a20b63491c4831922a4e1672ead915b3c5559daddf2c7ec9a1b4457a40/analysis/1380815823/[/url]
[url]https://www.virustotal.com/ru/file/f681b5ef3fa4184a91b6959434edbe910b90addb91d730d866ae2faa112e3b65/analysis/1380817113/[/url]
[url]https://www.virustotal.com/ru/file/28e57d415eb5598d4c4f9b50caf806bc4769d66ac1ad994610f4665caa217208/analysis/1380817337/[/url]
C:\WINDOWS\system32\dllcache\ctfmon.exe - этот файл не нашел, у меня нет папки dllcache в system32 ( показал скрытые папки - все равно нет).
Удалите дополнительно в MBAM:
[CODE]
C:\ATI\Catalyst.exe
C:\MSI\TrustedInstaller.exe
C:\Program Files\Volumecontrol2\LConfig.exe
[/CODE]
Сделайте новый лог MBAM
Что с проблемой?
Вся Ваша информация находится в папке с именем из пробелов
Увидеть эту папку можно в Total Commander, например
С его же помощью папку можно переименовать
[QUOTE=mike 1;1045589]Удалите дополнительно в MBAM:
[CODE]
C:\ATI\Catalyst.exe
C:\MSI\TrustedInstaller.exe
C:\Program Files\Volumecontrol2\LConfig.exe
[/CODE]
Сделайте новый лог MBAM
Что с проблемой?[/QUOTE]
Вот лог. Проблема по-прежнему есть.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=thyrex;1045618]Вся Ваша информация находится в папке с именем из пробелов
Увидеть эту папку можно в Total Commander, например
С его же помощью папку можно переименовать[/QUOTE]
Нет папки, зашел с тотал коммандера - все равно нет
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Пардон, появилась папка. Всем спасибо.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
Подробнее читайте в [URL="http://safezone.cc/forum/showpost.php?p=134172&postcount=2"]руководстве[/URL]
[CODE]
Обнаруженные ключи в реестре: 2
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0D1I1Q1Q1H1BtGtDzrtHzv -> Действие не было предпринято.
Обнаруженные файлы:
C:\ATI\Catalyst.exe (Trojan.Email.Bot) -> Действие не было предпринято.
C:\MSI\TrustedInstaller.exe (Trojan.Injector.HO) -> Действие не было предпринято.
C:\Program Files\Volumecontrol2\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]