題 當文件夾顯示為空但文件未刪除時,如何恢復文件?


昨天,我的筆記本電腦發現了一種造成巨大損害的病毒。從那以後,我一直在嘗試在重新格式化我的計算機之前恢復重要文件,病毒並不容易。

  • 恢復之前的恢復點已被刪除。
  • 我的大多數文件夾顯示為空。
  • 我的“開始”菜單基本上是空的,但Trillian和Mirror的Edge除外。我的桌面也是如此,它只有攻擊後安裝的程序。
  • 通過我的計算機搜索文件幾乎沒用,因為它很少帶來任何東西。
  • 我懷疑我的大多數文件都沒有被刪除。當我的文件夾顯示為空時,uTorrent仍顯示它們,我可以從這裡打開它們。不幸的是,當我選擇Open Containing Folder時,即使我正在觀看該文件夾中的視頻,該文件夾仍然顯示為完全空。
  • 進一步為未刪除,缺失理論添加證據,我正在使用的數據恢復軟件(Restoration)找不到只找到少數丟失的文件。

如果它們被刪除了,我可以進行取證恢復以取回它們,但由於它們可能仍在我的計算機上的某個地方,只是超出我的範圍,我找不到它們。

在這種情況下,有沒有辦法可以恢復這些文件?


5
2018-04-03 15:43


起源


某些惡意軟件會將開始菜單項移動到用戶臨時文件夾中的文件夾。我會在你做任何事情之前製作硬盤的圖像,這樣可以保留在那個時間點可能恢復的內容,這就是專業服務所做的,他們製作驅動器的圖像並使用圖像來恢復文件,不是實際的硬盤。它們使用特殊的硬件,在製作圖像時將寫入塊放在硬盤驅動器上,基本上保留了它的當前狀態。 - Moab
文件是否可見 dir /p 在命令提示符? - Jeremy W
@Jeremy No.說音量是空的。 - Borror0
@Jeremy輸出太長了,不能用手靦腆,所以我拍了一張照片。 imgur.com/TEsyw - Borror0
完美 - 現在按照Kovensky在下面的回答中的指示 - 僅作為 c:\windows\system32\attrib -H -R -S C:\* /S /D - Jeremy W


答案:


某些惡意軟件會設置某些文件屬性來隱藏您的文件。它可能是為了假裝它們本身就是文件,或者只是為了引起痛苦。文件可能會受到隱藏屬性的影響(您可以通過文件夾選項中的“顯示隱藏文件”,並在屬性表中取消設置)或系統屬性(使其隱藏,除非選中“顯示受保護的系統文件”)在文件夾選項中)。

如何擺脫屬性

最簡單的方法是從中刪除屬性 所有 系統中的文件。這不會影響正常的Windows操作,但可能會生成您真正不應該觸摸的可見文件,例如 pagefile.sys 要么 boot.ini

  • 打開提升的命令提示符(“開始” - >“程序” - >“附件” - >“命令提示符”,右鍵單擊“以管理員身份運行”)。如果您沒有啟用UAC,只需運行常規 cmd 作為管理員用戶。
  • attrib -H -R -S C:\* /S /D。更換 C:\* 與您要修復的驅動器號。 -H 取消隱藏Hidden屬性; -R 取消設置只讀屬性(某些惡意軟件也設置); -S 取消設置System屬性。 /S 使它遞歸, /D 使它也適用於文件夾。
  • 請記住,在指定整個驅動器時,必須放置 \ 之後 :,否則MS-DOS怪癖開始,它實際上並不適用於整個驅動器。該 attrib 命令似乎也不喜歡直接在根文件夾中工作,所以 * 需要,但在處理任何其他文件夾時不需要。

較少的核選擇是提供更具體的途徑 attrib 命令,如 attrib -H -R -S "C:\path to\folder" /S /D

的情況下 'attrib' is not recognized as a...

這可能是你的 %PATH% 環境變量搞砸了。您可以嘗試提供完整的路徑 attrib 把它稱為 %windir%\system32\attrib。如果這仍然不起作用,那麼即使是 %windir% 變量搞砸了;只需將其替換為Windows安裝目錄的路徑,幾乎總是如此 C:\Windows。在最糟糕的情況下,該工具根本不可用,您需要進行Windows的修復安裝。


7
2018-04-03 15:52



當我運行查詢時,它表示找不到該文件。 - Borror0
@Borror0哪個查詢? - Kovensky
attrib -H -R -S C:\ / S / D當我運行相同的查詢但是對於D:\ - Borror0
嗯,奇怪;看起來 attrib 確實不喜歡根目錄。運用 C:\* 然而有效;我會更新答案。 - Kovensky


嘗試  Recuva的。使用另一台計算機下載便攜版本並從USB驅動器運行。這些傢伙也讓每個人都喜歡:CCleaner。


1
2018-04-03 16:45



CCleaner的?那不是最喜歡的。 - Pacerier
現在不是CCleaner惡意軟件嗎? - RJFalconer


我的USB驅動器和文件夾受到病毒的影響,我無法檢索我的數據。該驅動器的文件大小顯示為653MB。我在PowerISO虛擬驅動器的幫助下恢復了所有數據。

只需選擇要恢復的驅動器或文件夾(驅動器/文件夾可能看似空,但它仍包含數據)並製作圖像文件。使用相同的軟件打開該圖像文件,然後從圖像文件中復制所需的文件。


1
2017-11-23 16:10





您可以使用常規數據恢復工具來檢索已刪除和存在的文件。我所知道並具有積極經驗的一個這樣的工具是Zero Assumption Recovery。據我記憶,即使在試用版本中,該工具也會顯示一個可恢復文件樹,因此試運行也不會有什麼壞處。


0
2018-04-03 16:10





我經歷過這樣的事情,它可能對你有幫助。

我的USB記憶棒被感染了所以當我插入我的防病毒軟件時發現了大量的病毒,一旦發生這種情況,文件夾(G :)似乎是空的。但當我點擊MyComputer中的屬性時,其中似乎有10GB的數據。

因此,我將病毒從我的防病毒軟件追踪到他們的位置,並觀察到我的所有文件夾都隱藏在“G:\ \”中。所以有一個名為“space”的隱藏文件夾,病毒把我所有的東西都放進了那個文件夾。

那麼為什麼它看起來是空的呢?

我更改了文件夾屬性以顯示系統文件/文件夾,這裡是一個帶有“空格”名稱的harddisc圖標,它被某種程度上歸結為重要的系統文件隱藏在普通視野中。


0
2018-04-28 09:42