Как восстановить некоторые файлы USB-флешки после исправления Lodbak.gen!lnk / autorun.gen инфекция?

Question

Вчера я попытался напечатать несколько визиток в местной типографии, которая попросила файлы на USB-накопителе. Большая ошибка. Я вышел с абсурдной кучей вредоносных программ, которые (к счастью) Windows Security Essentials (Windows 7) быстро обнаружили и очистили:

(это Sality.AU, Lodbak.gen!lnk, Autorun.gen, Macoute.А, Саканф.A)

Я думаю, что все они удалены или помещены на карантин, и я проверил единственный компьютер, который соприкасался с этим диском. Проблема в том, что содержимое моего USB-накопителя теперь выглядит так:

Этот первый безымянный поддельный диск внутри диска, кажется, там, где находятся все мои файлы, судя по его размеру (12 ГБ) и тому факту, что когда Security Essentials сканировал диск, я мог видеть свои старые файлы по странному пути как d:\ \my folder\myfile.pdf (обратите внимание на пробел), а также удаленные вредоносные копии, например d:\my folder\myfile.exe

Я не планирую открывать его, так как думаю, что это часть того, как этот вирус распространяется. Большинство файлов имеют резервные копии, но есть несколько файлов, которые я получил совсем недавно и которые еще не были зарезервированы, к которым я хотел бы получить доступ.

Я пытался: с помощью ATTRIB -H -R -S /S /D D:\ или ATTRIB -H -R -S /S /D D: как предложено на этой странице, и с помощью dir для просмотра диска, но оба были странными результаты - он знает, что USB-флешка есть, и корректно идентифицирует производителя, но говорит "Файл не найден" при попытке получить к нему доступ:

Кроме того , я могу сохранить новые файлы на флэш - накопитель, но командная строка сопротивляется cd Ing к нему. Вот несколько тестов после создания каталога с именем test - когда я cd в правильное местоположение, он просто молча отскакивает, когда я cd в недопустимое место, он говорит мне:

Есть ли способ (безопасно) распаковать этот фальшивый диск внутри диска или безопасно перемещаться по нему, чтобы получить определенные файлы?

---

Затем, после получения этих конкретных файлов, я планирую отформатировать диск и выполнить еще одну полную проверку компьютера, на всякий случай.

И, очевидно, в будущем придерживайтесь типографий, которые берут файлы по электронной почте или через веб-ссылки, такие как Dropbox ...

---

Также я поставил Lodbak.gen!lnk и Autorun.gen в названии, потому что я полагаю, что это один из тех, кто является конкретным, который создал диск внутри диска - вероятно, Lodbak, судя по описанию - но я могу ошибаться. Пожалуйста, поправьте, если я.

Answer 1

У меня буквально это случалось со мной более ста раз, и всегда, когда я подключаю свой флэш-накопитель к компьютеру в кибер-кафе или библиотечному компьютеру и т.д. Это до смешного легко исправить.

Вы были правы насчет запуска attrib -s -h -r /s /d. Это почти все, что вам нужно сделать здесь. Вы можете дополнительно запустить del /F /S /Q desktop.ini (после выполнения первой команды), чтобы удалить все настройки папки (например, папку, которая выглядит как раздел жесткого диска)

Перед выполнением любой из этих команд вы должны выполнить: cd /d X: (где X - буква диска, назначенная вашему перьевому диску)

Также абсолютно безопасно исследовать папку без имени (т.е.   папку), если вы не нажмете на что-нибудь подозрительное внутри, например на исполняемый файл, который вы не помните, копируя, a .ЛЕТУЧАЯ МЫШЬ, .SCR,.COM,.Сценарий VBS , подозрительные файлы XLS, PDF, DOCX и т.д.)

Иногда вы сталкиваетесь с заражением червем, исполняемым файлом, который делает несколько своих копий, выглядит как значок папки и переименовывает каждую из ее копий, чтобы выглядеть как допустимые папки, уже присутствующие на вашем перьевом диске.

Это довольно легко удалить, даже если у вас не установлен антивирус. Я предпочитаю перейти к корню флеш-накопителя и ввести *.exe size: xxx в поле поиска, где xxx - точный размер исполняемого файла в байтах. Это должно дать вам список всех исполняемых файлов вредоносных программ на вашем флешке, которые вы можете безопасно удалить. Здесь вы должны проявлять осторожность, потому что есть (небольшая) вероятность того, что у вас есть законные исполняемые файлы на вашем жестком диске того же размера, что и вредоносные программы.

РЕДАКТИРОВАТЬ: У меня никогда лично не было проблем с вредоносным ПО, изменяющим права доступа к файлам / папкам, но вы никогда не знаете, поэтому вы также можете запустить следующие две команды (после того, как вы запустите cd /d X: :

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

X - буква диска, назначенная для вашего пера.

Answer 2

Первый и самый важный шаг - отложить запись чего-либо на USB. Это означает, что ничего не удаляйте с USB, ничего не переименовывайте на USB, не перемещайте файлы на USB, не запускайте chkdsk на USB. Период. Каждый раз, когда вы пишете на диск, вы можете навсегда перезаписать и уничтожить старые, существующие данные, которые хотите сохранить!

В зависимости от того, насколько важны данные на диске, прежде всего создайте побайтовый клон диска. Использование dd для Windows:

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

Теперь вы можете запускать программное обеспечение для восстановления файлов в разделе, например, бесплатные Recuva и PhotoRec. Существуют более продвинутые инструменты, такие как EasyRecovery Professional и специфичные для NTFS утилиты, но они платные и более старые (недавно не обновленные или не разработанные), в то время как Recuva и PhotoRec/TestDisk претерпели много изменений и улучшений в последние годы.

Вы уже много писали и модифицировали файловую систему после потери файлов, поэтому есть вероятность, что ваши файлы повреждены. Как Recuva, так и PhotoRec покажут вам вероятность правильного восстановления файла и насколько он поврежден или перезаписан. Надеемся, что файлы, которые вы цените больше всего, все еще там.

Answer 3

Сначала я хотел бы попытаться переименовать папку, которая выглядит как диск, что, например, можно сделать из Проводника, выделив ее и нажав клавишу F2. Может быть, это даст возможность записать на него CD и посмотреть файлы.

Если это не решит проблему, я бы посоветовал взглянуть на права доступа к папке и убедиться, что ваш пользователь является владельцем файлов из учетной записи администратора. Причина в том, что если вы не владелец, может быть, поэтому attrib не работает? Вы должны быть в состоянии найти и изменить разрешения из учетной записи администратора, щелкнув правой кнопкой мыши папку и выбрав Свойства-> Безопасность-> Дополнительно-> Владелец.
Подробнее о том, как это сделать: http://technet.microsoft.com/en-us/library/cc753659.aspx

Другая идея - попытаться получить файлы с помощью инструмента восстановления файлов. Похоже, у Piriform есть бесплатная версия Recuva, которую вы можете получить здесь: https://www.piriform.com/recuva

Изменить: Что касается cd - диска «ИНГ проблемы, любезно комментарий dave_thompson_085 в, когда вы хотите изменить на другой раздел , такие как d: сначала необходимо написать просто

д:

... то есть без cd впереди, после чего вы можете использовать cd для обхода разных папок в этом разделе.

Answer 4

Существует вероятность того, что другие операционные системы не будут иметь проблем с доступом к файлам на карте памяти. Перезагрузка компьютера с компакт-диска Ubuntu в трее будет безопасным способом проверки, и, если он работает, вы можете скопировать файлы, которые вы хотите сохранить, на свой локальный диск.

Пока вы находитесь в реальной среде, вы можете использовать менеджер разделов в Ubuntu, чтобы настроить новую таблицу разделов для карты памяти. Таким образом, меньше шансов, что любые скрытые разделы (которые, возможно, был создан вирусом) останутся после того, как вы отформатируете их.

Answer 5

Я всегда сталкиваюсь с такой ситуацией, когда подключаю флэш-накопитель к ПК других людей.

Я рекомендую вам USB Show

Откройте USB Show и выберите свой диск. Он раскроет все скрытые папки и файлы. У вас все еще будет папка "/". Перейдите в папку «/» и скопируйте все папки и файлы в корневой каталог вашего флэш-накопителя. Надеюсь, поможет.

Answer 6

Я думаю, что ваша структура папок на флешке находится в плохом состоянии, и проблема более серьезная, чем просто набор скрытых файлов.

Поэтому я предлагаю вам обращаться с USB как с поврежденным, используя утилиты восстановления данных, а не стандартные утилиты Windows, для восстановления данных.

Если вам удастся извлечь из него данные, переформатируйте флешку, прежде чем снова ее использовать (на всякий случай), и тщательно отсканируйте восстановленные файлы, прежде чем открывать любой из них, с помощью своего антивируса и Malwarebytes Anti-Malware.

Обзор бесплатных утилит для восстановления данных можно найти в утилитах Best Free Data Recovery и File Un-delete, которые включают в себя следующие утилиты:

MiniTool Power Data Recovery
Recuva
TestDisk
PC Inspector File Recovery

Еще несколько таких утилит упоминаются в разделе комментариев.

MiniTool Power Data Recovery дал мне лучшие результаты, когда у меня был сломанный диск, но бесплатная версия ограничена.