Проблема при открытии выносного жесткого диска!

[vasil79]

Сегодня при подключении выносного жесткого диска к чужому компу поступило сообщение от системы (ОС WinXP SP3) о необходимости форматирования устройства! Хотя жесткий до этого отлично работал!!!Аварийных отключений не было и т.п.!!! После этого, посредством TotalCMD, был обнаружен на на диске "С" вредоносного компа скрытый файл "AutoRun.inf" (находящийся в корне диска "С"). Проверка выносного диска антивирем "NOD32 - 4" выдает "ошибку открытия". Подскажите, возможно ли восстановление работоспособности выносного жесткого с сохранением информации на нём, или поможет только форматирование??

[regist]

vasil79, скорее всего возможно.

Выполните скрипт в АВЗ

Код:

begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);  
 ExecuteWizard('TSW', 2, 3, true);
end.

(этот скрипт нужен чтоб отключить автозапуск).

Потом прочитайте и выполните все инструкции правил раздела с подключённым выносным диском.

[Alexey_VI]

Цитата: Сообщение от vasil79 Сегодня при подключении выносного жесткого диска к чужому компу поступило сообщение от системы (ОС WinXP SP3) о необходимости форматирования устройства!

А если обратно к своему подключить?

Цитата: Сообщение от vasil79 Подскажите, возможно ли восстановление работоспособности выносного жесткого с сохранением информации на нём, или поможет только форматирование??

Можно, но вероятность мала. Многое зависит от ваших познаний Hex-редактора.

[vasil79]

Цитата: Сообщение от regist vasil79, скорее всего возможно. Выполните скрипт в АВЗ Код: begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); ExecuteWizard('TSW', 2, 3, true); end. (этот скрипт нужен чтоб отключить автозапуск). Потом прочитайте и выполните все инструкции правил раздела с подключённым выносным диском.

Выполнил через АВЗ предложенный скрипт.
Выкладываю логи, согласно правил раздела.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол


Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFFE708-B832-42F1-BAFF-247753B5E452}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-5462076419-8756513114-796390883-1688\hdav.exe',' ');
 DeleteFileMask('C:\RECYCLER\','*.*',true,' ');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ATI_disp.exe','');
 QuarantineFile('C:\WINDOWS\system32\c8ccf1b6.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\IKvlcEs.exe','');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ATI_disp.exe');
 DeleteFile('C:\WINDOWS\system32\c8ccf1b6.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\IKvlcEs.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATI Display');
 RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится

- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ пришлите на почту

Сделайте новые логи.

[vasil79]

Добрый день! Спасибо! Сейчас попробую.

Добавлено через 1 минуту

Цитата: Сообщение от Alexey_VI А если обратно к своему подключить?

К сожалению происходит такая же история

[regist]

Цитата: Сообщение от vasil79 К сожалению происходит такая же история

ваш компьтер успел заразиться, вероятно из-за этого такая же история.

Добавлено через 6 минут
ЗЫ. vasil79, когда будете делать новые логи подключите внешний диск к компу.

[vasil79]

Выкладываю новые логи. (внешний диск подключен)
P.S. файл quarantine.zip отправлен по указанному адресу
P.P.S. внешний диск не отключался на продяжении всех действий совершаемых с компом.(первоначальные логи тоже были с подключенным диском)

[regist]

vasil79, что с проблеммой?

[vasil79]

Цитата: Сообщение от regist vasil79, что с проблеммой?

Всё тоже. Предлагает форматнуть диск, так же не видит обьем диска, и не видит свободное место.

[regist]

Цитата: Сообщение от vasil79 Предлагает форматнуть диск, так же не видит обьем диска, и не видит свободное место.

попробуйте рекомендации из этой темы, вируса в логах больше не видно.

ЗЫ. установите Internet Explorer 8, даже если вы им не пользуетесь и установите все обновления безопасности, которые вышли после SP3

[vasil79]

Видно придется форматнуть диск...
Спасибо за помощь, хотя бы за попытку помочь

[regist]

Цитата: Сообщение от vasil79 Видно придется форматнуть диск...

не стоит, попытайтесь сначала воспользоваться любой из предложенных там утилит, к примеру r-studio, EasyRecovery и т.д.

[vasil79]

regist, Не знаю, что помогло из всех рекомендованных Вами действий, но при подключении выносного диска к домашнему компу (на свой страх и риск, учитывая возможное зарежение компа), Выносной ЗАРАБОТАЛ!!! и вся инфа на месте!!Урааа!!! Огромное Вам СПАСИБО!!!
P.S. Прогами восстановления данных так и не воспользовался.

А, чуть не забыл, все проблемы возникли на OC Win XP, а дома стоит "семерка"

[regist]

Цитата: Сообщение от vasil79 А, чуть не забыл, все проблемы возникли на OC Win XP, а дома стоит "семерка"

на всякий случай сделайте на 7-ке scandisk выносного диска, возможно будут обнаружены ошибки и после этого и на XP откроет.