Trojan.DownLoader9.57496 по классификации DrWeb. Проблема с папками
 

Добрый вечер!
Антивирусный сканер Сureit при проверке ноутбука без установленного антивируса обнаружил и определил Trojan.DownLoader9.57496 по классификации DrWeb.
Было обнаружено 4 зараженных файла в системе, 1- в корне диска С и 3- в C:\WINDOWS\system32.
ОС Windows XP SP3, папки заражены и изменены не были, в просмотре в виде таблицы отражались как «Тип-Папка».
Файлы были благополучно удалены Сureit, после этого система работает нормально.

Проблема в том, что флешка, с которой копировался документ со ссылками, оказалась полностью заражена. Папки, где очень много нужных документов и программ имеют расширение .ехе, объём занятого и свободного пространства остался прежним, как до заражения. При загрузке с диска PuppyRus Linux нет папок без расширения .exe, LiveCD Windows определяет папки как приложения, с установками «Показывать скрытые файлы и папки» папок без .exe тоже не наблюдается.

Зараженного ноутбука теперь рядом нет, только носитель.
Классификации по Virustotal
Подскажите, пожалуйста, что можно сделать в такой ситуации с флеш-накопителем, как достать содержимое папок?

Скорее все папки с содержимым скрыты , а вместо ни вам предлагается кликнуть на зараженный дубликат оригинала .

что ? .."тоже НЕ" ...

Цитата iskander-k:
Скорее все папки с содержимым скрыты , а вместо ни вам предлагается кликнуть на зараженный дубликат оригинала . »
Это логично, но Linux обычно показывает всё содержимое - скрытые и не скрытые файлы и папки.

Цитата iskander-k:
что ? .."тоже НЕ" ... »
При загрузке с диска PuppyRus Linux нет папок без расширения .exe, LiveCD Windows определяет папки как приложения, с установками «Показывать скрытые файлы и папки» папок без .exe тоже не наблюдается.

Правила запроса о помощи с подключенным диском

Извините, я должен это сделать?
Иначе как подключить зараженный носитель к "чистой" системе....
Фразы "запроса о помощи с подключенным диском" в указанной вами теме не нашел.

нет, это

если боитесь заразить систему, не используйте автозапуск флешки

В настоящее время зараженные файлы находятся в карантине AVAST, более 100 объектов одинакового размера 324 кб., определяются как Win32:BackDoor-ACQ[Drp]
Windows определяет в накопителе Fat32 – Занято: 7.07гб, Свободно: 379мб, прочие, не помещенные в карантин файлы были скопированы через PuppyRus в отдельную папку, которая имеет размер 937мб. Возникает вопрос: где оставшиеся 6 гб?
Видимо, повреждена таблица разделов на флеш, при нормально определяющемуся пространстве в Windows, в менеджере разделов Linux в информации о накопителе: Fat32, восклицательный знак и «Невозможно просчитать содержимое этой файловой системы.», а в терминале «Это не похоже на таблицу разделов», другие флеш-носители определяются нормально. Есть ли смысл в такой ситуации выкладывать логи, если понятно, что раздел повреждён? Что посоветуете? Спасибо.

по правилам раздела, ваша проблема будет обсуждаться только при наличии логов. во всех остальных случаях - разговор беспредметный.

без логов тема будет закрыта.

feosv, У вас есть последнее сообщение для логов. Если их не будет, тема будет закрыта.

Архив с логами

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Цитата iskander-k:
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и выложите в сообщение. »
Логи системного диска и флеш-носителя с "пропавшими" папками

Спрячьте ваши креки и удалите все

кроме

Цитата iskander-k:
Спрячьте ваши креки и удалите все »

setup.exe удалить?
Если удалить в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, к чему это приведёт?


Потом снова проверить и лог выложить?

жизнь станет лучше , жить станет веселее...

Цитата iskander-k:
Спрячьте ваши креки и удалите все
кроме
Код:
Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) - »

Всё удалил лог прилагаю. Можно вопрос, что это за ключи, почему их не нужно удалять, ведь они отмечены, как вредоносные? И самое главное, что делать с флеш-носителем и пропавшими папками? Спасибо.

В командной строке от админа выполните: attrib -s -h I:\* /s /d

I:\ - буква флешки. Если у вас другая - подставьте свою

Система ваша скорее всего сборка, в которой отключены три параметра Центра обеспечения безопасности Windows. Этот центр следит за тем,
- включен и обновлен ли антивирус,
- включен ли брандмауэр и
- включено ли обновление самой Windows.

Исправление в MBAM приведет к включению этих трех пунктов.

Если других проблем больше нет, для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Цитата Sandor:
В командной строке от админа выполните: attrib -s -h I:\* /s /d
I:\ - буква флешки. Если у вас другая - подставьте свою »

attrib -s -h N:\* /s /d
Не удается изменить атрибут:N:

Видимо под админом не получается зайти...


===============

Всё, зашел под Администратором,
runas /user:Администратор cmd

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\WINDOWS\system32>
attrib -s -h N:\* /s /d
C:\WINDOWS\system32>attrib -s -h N:\* /s /d

Не удается изменить атрибут: N:

Цитата Sandor:
Система ваша скорее всего сборка, в которой отключены три параметра Центра обеспечения безопасности Windows. Этот центр следит за тем,
- включен и обновлен ли антивирус,
- включен ли брандмауэр и
- включено ли обновление самой Windows. »
Спасибо за информацию, нет, не сборка, способ оповещения отключил после установки.
В Центре обеспечения безопасности отключено только Автоматическое обновление и оповещения. AVAST был отключен на время проверки.
Что по предыдущему сообщению скажете?

Добрый вечер попробуйте так тогда.

Скопируйте следующий текст в Блокнот и сохраните, как run.bat:
скопируйте файл run.bat в корень флешки и запустите
Внимание не запускайте этот файл, когда он находится на жестком диске.

Добрый вечер. Сделал. Но...

Не удается изменить атрибут: N:

Через Total Commander файлы и папки на флешке отображаются?

Цитата mike 1:
Через Total Commander файлы и папки на флешке отображаются? »

Файлы отображаются, папки не отображаются, я писал выше. Ни Windows ни Linux не видят, хотя размер прежний

Через Total Commander пробовали изменить атрибуты? (Файл - Изменить атрибуты)

Там ведь нужно вначале указывать файлы, что указывать? Там видно только оставшиеся документы и приложения, папок (более 100) с основной информацией не видно.

В конфигурации TC должно быть включено отображение скрытых и системных, потом выделяете все и снимаете атрибуты. На скрине видна многократная вложенность папок с именем .. (две точки).

Цитата Sandor:
В конфигурации TC должно быть включено отображение скрытых и системных, потом выделяете все и снимаете атрибуты. На скрине видна многократная вложенность папок с именем .. (две точки). »

Отображение скрытых включено, на системном диске их видно, в Изменение атрибутов все атрибуты затенены... - (без изменения.) Все снять, или некоторые, какие-нибудь отметить не затененными?

Да, "скрытый" и "системный" снимите "затемнение". Должно быть пусто.

Снял оба, папки не появились. Есть подозрение, что TC у меня "неправильный" или нужно "ремонтировать раздел" (вторая часть сообщения)

TC переустановил на другую версию, выставил настройки для показа скрытых и системных файлов, атрибутов. Папок не видно...

Добрый день, файлы восстановил программой R.Saver, плохо только, что они систематизированы по типам и документы из 100 разных папок находятся в 2х. Основной причиной невозможности, что-то сделать с флешкой после вирусного заражения - это создание 3х скрытых разделов, которые обнаружились только в терминале загрузочного диска PuppyRus Linux введением простой команды fdisk -l . Она позволяет просматривать все диски и разделы на компьютере. В Windows и его программах этого не видно. После этого, там же, в PuppyRus Linux, в менеджере разделов удалил видимый раздел, создал в первую очередь таблицу разделов на флешке, затем раздел в FAT 32. Работа флешки после вирусной атаки восстановлена, всем огромное спасибо за помощь.

Avast при переходе по ссылке не дает скачать программу, предупреждающее сообщение не успел прочитать, потом было еще одно сообщение, поэтому функция "Показать последнее всплывающее сообщение" не показывает нужное. Сейчас просто в Firefox не пускает, Chrome - Веб-страница недоступна...

http://safezone.cc/resources/securit...oad?version=47 Прямая ссылка
http://safezone.cc/resources/securit...-by-glax24.25/ - страница загрузки
http://rghost.ru/50729580 - на всякий случай))

"На всякий случай" скачал)) Спасибо