Восстановление данных после прихода вируса...

[Arkan1]

помогите позжалуйста.

ко мне попал вирус по почте и заблокировал систему, пришлось форматныть комп и заново установить винду.

вирус перезаписал все файлы видео, музыку, рисунки и текстовые документы, вместо картинок изображение зубов, а вместо музыки звуковые файлы на 47 секунд. как теперь можно восстановить данные, не с форматированого диска, а с других... ума не приложу, подскажите позжалуйста, заранее спасибо за помощь.

и еще, вот предупреждение, чтобы не поймать вирус, он шлет сам себя от зараженных компов:

внимание, если вам будут слать открытки с ссылкой на файл SCardDR.scr или на какой-то другой, ни в коем случае не открывайте его, от кого бы не была прислана эта открытка...

это вирус, который удалит все ваши файлы, это точно, сам попался на это... прислано было от знакомого, короче вирус сам себя шлет...

[_Leon_]

Инфы мало. Расширения зараженных файлов изменилось?

Ну а на всякие ссылки жать ..думать надо)

[_Leon_]

Ну вот -подробности. Тему-то надо было б в Сетевую безопасность.

Этот вирус никаким файрволом и никакой проактивной защитой не определяется.

Приходит письмо следующего содержания:

Код

Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: Вася Пупкин. Открытка ждёт Вас по адресу: http://Scrensaverscard.narod.ru/эту_часть_...тер/SCardDR.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.

Отправитель - ваш друг, адреса берутся из МАгента.

На деле файл не скринсейвер, а просто самораспаковывающийся зип-архив, который молча извлекается в папку Windows и запускает на выполнение по-очереди 4 скрипта VBScript. Скрипты слегка закодированы, весь код прописан в виде символьных констант вида "chr(79)" (первый скрипт начинается символами "a=chr(79)&chr(110)&chr(32)&chr(69)&chr(114)&chr(114)"), т.е. нечитаем напрямую. Скрипты рассылают копии вашим друзьям, прописывают файл one.exe в автозапуск (файл в папке Windows). Далее они рекурсивно на всех дисках заменяют файлы форматов mp3, avi, ogg, mpg, vob, wmv, wma, aac, aif, aiff, amr, wav и wave на первый прикрепленный к посту файл, файлы jpg, bmp, gif и png - на второй, и txt, xls, doc, htm и xl - на третий. При работе используется файл C:\DR.dr. Также вирус в реестре записывает параметры для блокировки диспетчера задач и редактора реестра. В любом случае, писали это откровенные сволочи и извращенцы, но, как оказалось, операционная система и средства защиты ничего подозрительного не заметили.

i

Уведомление:

Убрала дубляж.

Saule.

Изменено 21 августа, 2007 пользователем Saule

[ser208]

Дай ссылку нормальную хоть в PM.

[_Leon_]

Дай ссылку нормальную хоть в PM.

Я написал. Да из-за глюка форума ,когда много текста-дублируется сообщение. пусть модер поправит.

[ser208]

Я написал. Да из-за глюка форума ,когда много текста-дублируется сообщение. пусть модер поправит.

Получил, только по ссылке уже ничего нет. Поищу по имени файла. Может найду.

[Тролль]

Это вообще, строго говоря, не вирус, а троян, поэтому к файлам цепляться ему без надобности и соответственно отцепить его его от них невозможно, он их просто портит по врожденной зловредности троянописателя.

Надо смотреть, что запускаешь, но это - на будущее. Вообще антивирусная защита нормального антивируса при распаковке этого трояна должна срабатывать, но сейчас трояны пишут все, кому не лень - даже у нас на форуме, только шуточные, вреда, кроме морального ;) , не приносящие. А этот троян очень свежий и в антивирусные базы большинства антивирусов, судя по информации на сегодня, пока не попал.

Насчет восстановления - с именно этим трояном я не знаком, но скорее всего надо брать резервные копии файлов, если они были.

[Arkan1]

leon правильно написал, так все и было, пришла ссылка от друга на открытку...

антивирус не увидел ничего, у меня стоял касперский... помощи от него не было...

ser208, зачем тебе ссылка на файл? заразишься, если надо, могу по почте прислать конечно...

тролль, подскажи позжалуйста, где мне резервные копии взять и каким образом можно попытаться вернуть данные?

у меня 2 харда, один на 2 раздела разбит, системный С я форматнул после заражения и винду поставил, на другие я ничего не записывал после пребывания вируса, т.е. сектора не забивал... вот как с них вернуть информацию? да и еще, этот вирус или троян не всё фидео и музыку загадил... какие-то пропустил... остальные по 288 килобайт.

да и как комп заразился, я один хард отключил сразу, у знакомого тоже похожий вирус попал, так он как комп перезагрузил узрел напрочь пустые винды... у меня только 50 гигов улетело, что-то осталось...

а то что перезаписалось без понятия как вернуть, подскажите кто хоть что-то знает.

[ser208]

Пришли, если можно. Адрес тебе в личку написал.

А данные постарайся вернуть с помощью программ для восстановления удаленных файлов.

R-Studio, O&O MediaRecovery, ObjectRescue и. т. д.

Если диск ты отформатировал или что-то записывал туда, где была информация, то будет потруднее.

R-Studio пробуй.

Изменено 10 июля, 2007 пользователем ser208

[Олег А]

что-то вернуть будет скорее всего проблематично... :(

на будущее - делай резервные копии нужных данных на отдельный диск ну например раз в неделю - а потом отключай....

[ser208]

на будущее - делай резервные копии нужных данных на отдельный диск ну например раз в неделю - а потом отключай....

Точно. Уж медийные файлы на ДВД-болванки побросать можно.

[Тролль]

Arkan1:

тролль, подскажи позжалуйста, где мне резервные копии взять и каким образом можно попытаться вернуть данные?

Процитирую высказывание модератора форума с обсуждения аналогичного трояна на специализированном форуме Kaspersky Lab:

"Если нет резервных копий, то мне Вас всех искренне жаль... "

Резервные копии надо было создавать заранее. Если их нет, то данные почти в обязательном порядке когда-нибудь потеряются - от вируса, порчи винчестера, случайного нажатия кнопки... Так что если резервные копии не делались, то лучше потерять файлы раньше, чем позже, пока их еще мало. Если потерянное важно, попробуй восстановить программами восстановления потерянных файлов, R-Studio или Easy Recovery, может быть, что-то удастся восстановить.

[_Leon_]

В таких случаях при заражении-когда система блокируется-дистпетчер задач,редактор реестра-надо выключить комп -не перегружаясь-потом грузится с диска типа БартРЕ-откуда можно просмотреть и править файлы и реестр.

Только,конечно,сразу понять что к чему не каждый сможет.

[Brox]

антивирус не увидел ничего, у меня стоял касперский... помощи от него не было...

Вот просто интересно, проактивка Каспера тоже была включена, когда всё это случилось?

[Zefo]

Всем привет!

и меня постигла такая участь - пришла открытка... накрылся комп (все данные).

НО ВОССТАНОВИТЬ МОЖНО !!!

Мне это удалось с помощью проги RecoverMyFiles.exe v2.91 http://www.recovermyfiles.com/

троян не заменяет наши файлы, а как бы подменяет их "адреса". RecoverMyFiles находит их на дисках как стёртые.

Всем удачи в восстановлении!!!!

P.S. В офисе восстановил данные на трёх компах.

[vadimkuzanov]

помогите позжалуйста.

ко мне попал вирус по почте и заблокировал систему, пришлось форматныть комп и заново установить винду.

вирус перезаписал все файлы видео, музыку, рисунки и текстовые документы, вместо картинок изображение зубов, а вместо музыки звуковые файлы на 47 секунд. как теперь можно восстановить данные, не с форматированого диска, а с других... ума не приложу, подскажите позжалуйста, заранее спасибо за помощь.

и еще, вот предупреждение, чтобы не поймать вирус, он шлет сам себя от зараженных компов:

внимание, если вам будут слать открытки с ссылкой на файл SCardDR.scr или на какой-то другой, ни в коем случае не открывайте его, от кого бы не была прислана эта открытка...

это вирус, который удалит все ваши файлы, это точно, сам попался на это... прислано было от знакомого, короче вирус сам себя шлет...

Если не ошибаюсь то там еще сказано про деструктивную рекламу...

Проблема та же мне посоветовали отформатировать диск. Ксати появилась эта гадость после очередного скачивания мп3 файла с зайцев.

Скажи а форматирование помогло?

[Timba]

Попробуй просканить систему Easy Recovery Prо..... может что и найдется, и даже то что удалено было...... нормальная прога.

[ed555]

Вот пара бесплатных прог для восстановления данных

FreeUndelete

Утилита для восстановления удаленных или потерянных файлов. Программа проста в использовании, не требует установки, работает с файловыми системами NTFS, FAT32, FAT16. Для восстановления файлов необходимо просканировать жесткий диск с целью обнаружения стертых данных. При необходимости можно указать имя папки, в которой искать удаленные файлы, или установить фильтр поиска по полному имени и расширению файла. После того, как программа обнаружит утерянные данные, пользователю останется лишь выбрать папку для их восстановления и нажать кнопу Undelete.

Recuva

Предназначена для восстановления файлов, удаленных с ПК случайно или потерянных в результате программного сбоя или ошибки в работе приложений. Проста в использовании, не требует специальных знаний для успешного использования.

Ну и еще одна на всякий случай

HDClone Free Edition

Программа для создания резервных копий информации, хранящейся на жестких дисках вашего ПК. Сохраняемая информация может быть представлена как одним источником хранения, так и несколькими. HDClone Free Edition поддерживает работы с дисками IDE/ATA/SATA.

А вообще советую заглянуть сюда, здесь ты найдешь все для своего жеского диска. И проги для восстановления и для ухода и чистки жеского.