Ну ясное дело с флешкой поступило много чего интересного.
Все папки распознаются как приложения с весом 538кб, выглядит вот так: скриншот
Но тем не менее, все открывается нормально. Проблемы только с папками. При открытии папок нод ругается о заражении.
При сканировании флешки находило там дофига разных файлов в 2х папках и папку recycler, но как вирус не распознавало. Собственно сканировал дк.вебом., сканировал Malwarebytes Anti-Malware и USB disc-security, ничего не обнаружили. Нод показал, что все папки инфицированы и их следует удалить. Скрытые папки не находит.

Задача: Избавиться от вира без потери информации.

был похожий вирус, он папки кидал в папку с именем ".." которая находилась в корне, а заместо них создавал екзешники

Hancock, дык... все папки на скриншоте есть и они открываются
скрыты только папки с вирусом, то что они там есть и так ясно

Tiodor добавил:
высказывания нода по поводу открытия одной из папок

Tiodor добавил:
офк у всех папок расширение .exe

офк у всех папок расширение .exe

Как?._.

ну эт не меня спрашивать надо...
можно открыть все папки, но с последствием какое на скрине выше

Возможно все "истинные" папки просто скрыты, *.exe просто делает запрос на их открытие + нехороший код? Отобрази скрытые файлы что-ли.

Если не удаётся убрать галку в "свойства папки->вид->Скрывать системные файлы", то зайди в безопасный режим. В меню пуск зайди в "Выполнить". Там в текстовом окне впиши regedit. Откроешь редактор реестра. Далее в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
найди Hidden и поставь тип REG_DWORD, а значение 1 в шестнадцатеричной системе.
То же самое сделай с SuperHidden.
Пройди в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL​. CheckedValue тоже сделай REG_DWORD'ом со значением 1.
После перезагрузки зайди на флешку, удали странные экзешники с флешки (Экзешники с названиями папок, Recycled.exe, aqjbakuy.exe, explorer.exe...). Файл Autorun.inf сделай пустым. Сделай нужные скрытые папки видимыми

почему всем кажется, что нужные файлы для меня скрытые о_О
все на виду, только вот вирус сидит и не удаляется
отображение скрытых файлов не помог
ну вернее стала отображаться папка RECYCLER

Tiodor добавил:
есть идея или не сработает откат системы?

Tiodor, у мя такое уже 100500 раз было -_-
Обычно помогал антивирус.
До этого фигачил отображение скрытых файлов и всё отображалось, хз что у тебя там.

у меня там win7 _@

Master_chan:

офк у всех папок расширение .exe
Как?._.

берем екзешник, ставим ему иконку папки, и название предыдущей папки, саму же папочку выпилываем, в некоторых операционках стоит флажок "скрывать известные форматы" тобишь у половины эти екзешники даже не вызовут подозрения пока те их не запустят, или не заметят что описание обьекта "исполнительный екзе файл". вместо "папка с файлами"

Burn to shadow добавил:
а вообще да... лол, впервые про это слышу, куриная логика хакера против еще более куриной логики юзера, тех кто может даже не заметить разницы между еэкзешкой и файлом, правда таких поди %ов 10

Burn to shadow добавил:
хотя может я и не прав, но тогда тоже бред, поидее не может папка сохранить функционал(типо свойства папки и.т.д) одновременно являясь екзешником.

Burn to shadow добавил:
рекуклер это я насколько помню системная папка скрываемая по дефолту, если не врет память то она выполняет роль корзины для удаленных файлов, но как правило только на жестком диске, то что папка на флешке, это либо я совок и давно флехами не пользовался, либо туда были удалены вирусом твои данные, когда он подменял папки на муляжи - екзешники

хотя может я и не прав, но тогда тоже бред, поидее не может папка сохранить функционал(типо свойства папки и.т.д) одновременно являясь екзешником.

тем не менее расширение ехе
и кст. как можно было заметить если папки показаны такими как на скрине в первом посте...

Tiodor добавил:

, когда он подменял папки на муляжи - екзешники

дык, все файлы на местах
только когда что-то делаю с папками выскакивает от нода предупреждение, что в четвертом посте

если к примеру поменять сортировку по форме "Вид", то все папки выстроятся в колонку мелкими иконками, и там точно заметно не будет. К тому с ростом числа ПК многократно выросло число тех кто не шарит, кому поставили операционку, дрова, настроили антивирус и дальше они хлопая глазами пользуется, кроме вконтакта не чем не пользуются и.т.п, если что то и устанавливают, то тыкают лишь кнопочку "далее" не читая того что спрашивают. Встречался с такими людями лично, да и флешками щас вообщем то реже пользуются те кто имеет интернет, с них в основном операционки щас ставят да биосы перепрошивают на ноутбуках, еще иногда хранят как резервное хранилище ценных данных.

Burn to shadow добавил:
вообще поидее у большинства крупных антивирусов типо кава или нода есть свои библиотеки вирусов, прописываешь название вируса в гугле и он выводит тебя на библиотеку, если вирус толстый и многократно уже палился, то о нем чаще всего составляют характеристику, что он делает, какой алгоритм и.т.п

Burn to shadow добавил:
у касперского ничего по вирусу нет, но есть общее описание группы пирусов (справа)

Burn_to_shadow, я рад твоему потоку сознания но можно и помочь
название вируса никак не вписать, так как на флешке его пока никто не находит

на этот счет есть специальный софт

Burn to shadow добавил:
первое что с гугла пришло, т.к таких ремоверов куча

вообще можно попробовать в безопасном режиме полностью проверить флешку

Burn to shadow добавил:
если размер данных(общий) на флешке велик, ну метров 200 допустим, а сами екзешники(псевдопапки) весят по 0.5 мб, то явно что он просто перенес данные(и все папки которые нод счел заражеными можно грохнуть), если меньше обычного, значит он их всех удалил и парится на этот счет не стоит.

Ты пишеш "папки работают все на месте просто у них расширение .ехе"
Это же смешно просто =)
Содержимое папок находится где то на флешке, например в RECYCLER, а екзешники которые ты запускаеш просто открывают те папки, тоесть сами они ничего не содержат кроме вредоносного кода =)
У нас по общаге такая штука долго гуляла, не опасна если не работает автозапуск и не включать эти псевдо-папки.ехе
Только немного другого вида, папка делалась скрытой, а вместо неё создавался файл "Имя папки [много пробелов] .ехе", у тебя видать чутка хитрее.
Между тем на нее почти все студенты попадаются, ужас _о
Ты проверял содержимое папки RECYCLER ? Твои настоящие данные скорее всего там. Еще между тем кроме "скрытых файлов" есть еще и системные и т.п. желательно включать отображение всех.

Ах ну и да, если ты открывал эти папки-экзешники, то твой комп уже заражен и ты любую флешку с папками будеш превращать в подобный цирк.

Как лечить не скажу но данные свои ты вытащить можеш.

Tiodor, удали всё левое из авто запуска, чтобы не инфецировались новые файлы. Потом устанавливай аваст и им лечи свой комп (хз как, но друг как то делал).

Q_w_e_r_t_y, зашел через безопасный режим, там открыл все скрытые файлы. Все папки есть, скрыты.
Так же были папки: found.000 и до 005, в которых были файлы file0000 от 0000 до 9999, весом в 4 кб... вроде удалил
но теперь без конца появляются файлы на компе уже, без флешки *.tmp разных названий с вирусом win32/autoit.FL worm

Tiodor добавил:
похоже я все ближе к решению проблемы...