Добрый вечер!
Антивирусный сканер Сureit при проверке ноутбука без установленного антивируса обнаружил и определил Trojan.DownLoader9.57496 по классификации DrWeb.
Было обнаружено 4 зараженных файла в системе, 1- в корне диска С и 3- в C:\WINDOWS\system32.
ОС Windows XP SP3, папки заражены и изменены не были, в просмотре в виде таблицы отражались как «Тип-Папка».
Файлы были благополучно удалены Сureit, после этого система работает нормально.

Проблема в том, что флешка, с которой копировался документ со ссылками, оказалась полностью заражена. Папки, где очень много нужных документов и программ имеют расширение .ехе, объём занятого и свободного пространства остался прежним, как до заражения. При загрузке с диска PuppyRus Linux нет папок без расширения .exe, LiveCD Windows определяет папки как приложения, с установками «Показывать скрытые файлы и папки» папок без .exe тоже не наблюдается.

Зараженного ноутбука теперь рядом нет, только носитель.
Классификации по Virustotal (https://www.virustotal.com/de/file/1b939ca9c935beef33dfd9255d0af07e6bfef4528671c92664d954a478f5b639/analysis/)
Подскажите, пожалуйста, что можно сделать в такой ситуации с флеш-накопителем, как достать содержимое папок?

Подскажите, пожалуйста, что можно сделать в такой ситуации с флеш-накопителем, как достать содержимое папок? »
Скорее все папки с содержимым скрыты , а вместо ни вам предлагается кликнуть на зараженный дубликат оригинала .

«Показывать скрытые файлы и папки» папок без .exe тоже не »
что ? .."тоже НЕ" ...

Цитата iskander-k:
Скорее все папки с содержимым скрыты , а вместо ни вам предлагается кликнуть на зараженный дубликат оригинала . »
Это логично, но Linux обычно показывает всё содержимое - скрытые и не скрытые файлы и папки.

Цитата iskander-k:
что ? .."тоже НЕ" ... »
При загрузке с диска PuppyRus Linux нет папок без расширения .exe, LiveCD Windows определяет папки как приложения, с установками «Показывать скрытые файлы и папки» папок без .exe тоже не наблюдается.

Правила запроса о помощи (http://forum.oszone.net/thread-98169.html) с подключенным диском

Правила запроса о помощи с подключенным диском »

Извините, я должен это (http://forum.oszone.net/post-1783849-3.html)сделать?
Иначе как подключить зараженный носитель к "чистой" системе....
Фразы "запроса о помощи с подключенным диском" в указанной вами теме не нашел.

Извините, я должен это сделать? »
нет, это (http://forum.oszone.net/thread-98169.html)

если боитесь заразить систему, не используйте автозапуск флешки

В настоящее время зараженные файлы находятся в карантине AVAST, более 100 объектов одинакового размера 324 кб., определяются как Win32:BackDoor-ACQ[Drp]
Windows определяет в накопителе Fat32 – Занято: 7.07гб, Свободно: 379мб, прочие, не помещенные в карантин файлы были скопированы через PuppyRus в отдельную папку, которая имеет размер 937мб. Возникает вопрос: где оставшиеся 6 гб?
Видимо, повреждена таблица разделов на флеш, при нормально определяющемуся пространстве в Windows, в менеджере разделов Linux в информации о накопителе: Fat32, восклицательный знак и «Невозможно просчитать содержимое этой файловой системы.», а в терминале «Это не похоже на таблицу разделов», другие флеш-носители определяются нормально. Есть ли смысл в такой ситуации выкладывать логи, если понятно, что раздел повреждён? Что посоветуете? Спасибо.

если понятно, что раздел повреждён? Что посоветуете? Спасибо. »
по правилам раздела, ваша проблема будет обсуждаться только при наличии логов. во всех остальных случаях - разговор беспредметный.

без логов тема будет закрыта.

feosv, У вас есть последнее сообщение для логов. Если их не будет, тема будет закрыта.

Архив с логами

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Цитата iskander-k:
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и выложите в сообщение. »
Логи системного диска и флеш-носителя с "пропавшими" папками

Спрячьте ваши креки и удалите все

кроме


Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата iskander-k:
Спрячьте ваши креки и удалите все »

setup.exe удалить?
Если удалить в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, к чему это приведёт?


Потом снова проверить и лог выложить?

к чему это приведёт? »
жизнь станет лучше , жить станет веселее...

Цитата iskander-k:
Спрячьте ваши креки и удалите все
кроме
Код:
Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) - »

Всё удалил лог прилагаю. Можно вопрос, что это за ключи, почему их не нужно удалять, ведь они отмечены, как вредоносные? И самое главное, что делать с флеш-носителем и пропавшими папками? Спасибо.

что делать с флеш-носителем и пропавшими папками? »
В командной строке от админа выполните: attrib -s -h I:\* /s /d

I:\ - буква флешки. Если у вас другая - подставьте свою

что это за ключи, почему их не нужно удалять »
Система ваша скорее всего сборка, в которой отключены три параметра Центра обеспечения безопасности Windows. Этот центр следит за тем,
- включен и обновлен ли антивирус,
- включен ли брандмауэр и
- включено ли обновление самой Windows.

Исправление в MBAM приведет к включению этих трех пунктов.

Если других проблем больше нет, для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 (http://safezone.cc/resources/25/download?version=47), когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Цитата Sandor:
В командной строке от админа выполните: attrib -s -h I:\* /s /d
I:\ - буква флешки. Если у вас другая - подставьте свою »

attrib -s -h N:\* /s /d
Не удается изменить атрибут:N:

Видимо под админом не получается зайти...


===============

Всё, зашел под Администратором,
runas /user:Администратор cmd

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\WINDOWS\system32>
attrib -s -h N:\* /s /d
C:\WINDOWS\system32>attrib -s -h N:\* /s /d

Не удается изменить атрибут: N:

Цитата Sandor:
Система ваша скорее всего сборка, в которой отключены три параметра Центра обеспечения безопасности Windows. Этот центр следит за тем,
- включен и обновлен ли антивирус,
- включен ли брандмауэр и
- включено ли обновление самой Windows. »
Спасибо за информацию, нет, не сборка, способ оповещения отключил после установки.
В Центре обеспечения безопасности отключено только Автоматическое обновление и оповещения. AVAST был отключен на время проверки.
Что по предыдущему сообщению скажете?

Добрый вечер попробуйте так тогда.

Скопируйте следующий текст в Блокнот и сохраните, как run.bat:
attrib "*" -s -h /S /D
скопируйте файл run.bat в корень флешки и запустите
Внимание не запускайте этот файл, когда он находится на жестком диске.