題 修復Lodbak.gen!lnk / autorun.gen感染後如何恢復一些USB筆式驅動器文件?


昨天我試圖在當地的一家印刷廠打印一些名片,他們要求USB筆驅動器上的文件。大錯。我帶著一堆荒謬的惡意軟件離開了(幸運的是)Windows Security Essentials(Windows 7)很快發現並清理過:

enter image description here

(那是Sality.AU,Lodbak.gen!lnk,Autorun.gen,Macoute.A,Sacanph.A)

我認為它們全部被刪除或隔離,我已經掃描了唯一一台與此驅動器接觸的計算機。問題是,我的USB筆式驅動器的內容現在看起來像這樣:

enter image description here

從驅動器的大小(12GB)和安全精華掃描驅喜歡 d:\ \my folder\myfile.pdf (注意空格)以及刪除的惡意軟件副本 d:\my folder\myfile.exe 

我不打算打開它,因為我想這是病毒傳播的一部分。大多數文件都有備份副本,但是我最近才收到的一些文件尚未備份,我希望能夠訪問這些文件。

我試過了: 運用 ATTRIB -H -R -S /S /D D:\ 要么 ATTRIB -H -R -S /S /D D: 如 在此頁面上建議,並使用 dir 瀏覽驅動器,但兩者都有奇怪的結果 - 它知道USB棒是在那裡並正確識別製造商,但在試圖訪問它時說“找不到文件”:

enter image description here

此外,我可以將新文件保存到筆式驅動器,但命令行可以阻止 cd對它。這是在創建一個名為的目錄後進行的一些測試 test - 當我 cd 到了一個有效的位置,它只是默默地反彈,當我 cd 到一個無效的位置,它告訴我:

enter image description here

有沒有辦法(安全地)打開驅動器內的假驅動器,或安全地在其中導航以檢索特定文件?


然後在檢索這些特定文件後,我的計劃是格式化驅動器並運行另一個完整的計算機掃描,以防萬一。

顯然,在未來堅持通過電子郵件或網站鏈接(如Dropbox)獲取文件的打印店...


另外,我把Lodbak.gen!lnk和Autorun.gen放在標題中,因為我認為它是特定的一個創建了驅動器內的驅動器 - 可能是Lodbak從描述中判斷 - 但我可能是錯誤。如果我是,請更正。


2
2017-09-15 08:28


起源


我有一種感覺,“假驅動器”實際上只是一個文件夾,圖標更改為驅動器符號,文件名設置為一些空白字符 - user568458
您可以使用F2快捷方式從資源管理器重命名沒有名稱的目錄嗎?否則嘗試一個像這樣的文件恢復工具,也許吧? piriform.com/recuva  另一個提示是右鍵單擊並進入屬性 - >安全 - >高級 - >所有者,並確保您的用戶是目錄/文件所有者? (來自管理員帳戶): technet.microsoft.com/en-us/library/cc753659.aspx - miyalys
您的USB驅動器感染了通常所說的“快捷病毒”。你看到的'驅動器'是一個文件夾。您可以使用鍵組合輕鬆地將文件夾名稱更改為空白。檢查文件夾屬性,它應該顯示命令路徑。但是這個命令可能可能是你的AV補丁。 - Nikhil_CV
好吧,重命名假的“驅動器”使它似乎正常運行。我還是不能 cd 對於筆式驅動器上的任何東西,但這沒什麼大不了的。如果有人想寫這個,我會接受它。 - user568458
要更改到其他驅動器上的目錄 例如d:當你在c:時,你需要 /d 選項 cd,或使用命令顯式更改驅動器 d: 或者改為使用 pushd (和 popd 後來)。 - dave_thompson_085


答案:


我的建議首先是嘗試重命名看起來像驅動器的文件夾,例如,可以通過突出顯示它並按F2來完成。也許這將使CD成為可能並查看文件。

如果這不能解決問題,我建議您從管理員帳戶查看文件夾權限,並確保您的用戶是文件的所有者。原因是如果你不是主人,也許這就是原因 ATTRIB 失敗?您應該能夠通過右鍵單擊文件夾並選擇來從管理員帳戶中查找和更改權限 屬性 - >安全 - >高級 - >所有者。
有關如何執行此操作的詳細信息: http://technet.microsoft.com/en-us/library/cc753659.aspx

另一個想法是嘗試通過文件恢復工具獲取文件。它看起來像Piriform有一個免費版本 Recuva的,你可以到這裡: https://www.piriform.com/recuva

編輯:至於 cd問題,禮貌dave_thompson_085的評論,當你想要改變到另一個分區,如 d:,你首先需要寫

d:

......沒有 cd 在前面,你可以使用 cd 遍歷該分區上的不同文件夾。


1
2017-09-19 17:58





我確實有這種情況發生在我身上一百多次,而且總是把我的拇指驅動器插入網吧或圖書館電腦的電腦等等。雖然很容易修復。

你跑步是對的 attrib -s -h -r /s /d。這就是你需要做的全部。你還可以跑 del /F /S /Q desktop.ini (在運行第一個命令後)刪除所有文件夾自定義項(例如,看起來像硬盤驅動器分區的文件夾)

在運行任一命令之前,您應該運行以下命令: cd /d X: (哪裡 X 是分配給您的筆式驅動器的驅動器號)

探索沒有名字的文件夾也是完全安全的   文件夾)只要你不點擊任何可疑的內部,就像你不記得複制的可執行文件,a .BAT,.SCR,.COM,.VBS 腳本,可疑 XLS,PDF,DOCX 文件等)

有時你遇到蠕蟲感染,一個可執行文件,它自己製作了幾個副本,看起來像一個文件夾圖標,並將其每個副本重命名為看起來像筆式驅動器上已存在的合法文件夾。

即使您沒有安裝防病毒軟件,也很容易將其刪除。我更喜歡導航到筆式驅動器的根目錄並輸入 *.exe size: xxx 進入搜索框所在的位置 XXX 是可執行文件的確切大小(以字節為單位)。這應該為您提供可以安全刪除的筆式驅動器上所有惡意軟件可執行文件的列表。但是你必須謹慎行事,因為你的筆式驅動器上有合法的可執行文件(與惡意軟件大小相同)的可能性很小。

編輯: 我從來沒有親自遇到過更改文件/文件夾權限的惡意軟件問題,但你永遠都不知道,所以你也可以運行以下兩個命令(運行後) cd /d X:):

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

X 是分配給您的筆式驅動器的驅動器號。


3
2017-09-21 22:14





第一步也是最重要的一步是推遲寫作 什麼 到USB。這意味著不要從USB中刪除任何內容,不要重命名USB上的任何內容,不要移動USB上的任何文件,不要在USB上運行chkdsk。期。只要你在驅動器上寫字,你就有可能 永久覆蓋和摧毀您希望保存的較舊的現有數據!

根據驅動器上數據的重要性,在其他任何事情之前,創建驅動器的逐字節克隆。運用 dd for Windows

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

現在您可以在分區上運行文件恢復軟件,就像免費一樣 Recuva的 和 PhotoRec。存在更高級的工具,如EasyRecovery Professional和NTFS特定的實用程序,但它們已付費且較舊(最近未更新或開發),而Recuva和PhotoRec / TestDisk近年來已經看到了大量的開發和改進。

丟失文件後,您已經對文件系統進行了大量的編寫和修改,因此您的文件可能已損壞。 Recuva和photorec都會向您顯示正確恢復文件的概率以及損壞或覆蓋的文件數量。希望您最重視的文件仍然存在。


1
2017-09-21 22:24





當我將閃存盤插入其他人的PC時,我總是面臨這種情況。

我推薦你 USB秀

打開 USB秀 並選擇你的驅動器。它將取消隱藏所有隱藏的文件夾和文件。你仍然會有“/”文件夾。轉到“/”文件夾並將所有文件夾和文件複製到閃存驅動器的根目錄。希望能幫助到你。


0
2017-09-19 13:30





我認為你的棍子上的文件夾結構狀況不佳, 問題比一堆隱藏文件更嚴重。

因此,我建議您使用數據恢復將USB視為損壞 實用程序,而不是標準的Windows實用程序,來恢復數據。

如果您確實設法從中獲取數據, 在再次使用之前重新格式化棒(以防萬一), 並在打開任何文件之前深度掃描恢復的文件, 與你的反病毒和 Malwarebytes防惡意軟件

可以找到有關免費數據恢復實用程序的評論 最好的免費數據恢復和文件取消刪除實用程序, 其中包括以下實用程序:

MiniTool電力數據恢復
Recuva的
TestDisk
PC Inspector文件恢復

評論部分提到了更多此類實用程序。

當磁盤損壞時,MiniTool Power Data Recovery給了我最好的結果, 但免費版本有限。


0
2017-09-19 17:44





其他操作系統可能無法訪問記憶棒上的文件。使用托盤中的Ubuntu CD重新啟動計算機將是一種無害的檢查方式,並且假設它確實有效,您可以將要保留的文件複製到本地磁盤。

當您處於實時環境中時,可以使用Ubuntu中的分區管理器為記憶棒設置新的分區表。這樣,在您格式化之後,任何隱藏分區(病毒可能已創建)的可能性都會降低。


0
2017-09-19 19:18



+1表示不同的操作系統。 -1表示重新分區 而數據仍在那裡 - That Brazilian Guy
哦,親愛的,這是一個建議做什麼 後 他得到了數據。對不起,如果我不清楚。 - tripflag