Lodbak.gen!lnk / autorun.gen 感染を修復した後、一部の USB ペンドライブ ファイルを復元するにはどうすればよいですか?

Lodbak.gen!lnk / autorun.gen 感染を修復した後、一部の USB ペンドライブ ファイルを復元するにはどうすればよいですか?

昨日、地元の印刷ショップで名刺を印刷しようとしたところ、USB ペンドライブにファイルを保存してほしいと言われました。これは大きな間違いでした。とんでもない量のマルウェアが持ち帰られましたが、幸いなことに Windows Security Essentials (Windows 7) がすぐにそれを検出して削除してくれました。

ここに画像の説明を入力してください

(Sality.AU、Lodbak.gen!lnk、Autorun.gen、Macoute.A、Sacanph.A です)

それらはすべて削除または隔離されたと思います。このドライブに接触した唯一のコンピューターをスキャンしました。問題は、USB ペンドライブの内容が次のようになっていることです。

ここに画像の説明を入力してください

最初の名前のない偽のドライブ内ドライブは、そのサイズ(12GB)と、Security Essentialsがドライブをスキャンしたときに、奇妙なパスd:\ \my folder\myfile.pdf(スペースに注意)の背後に古いファイルが表示され、マルウェアのコピーも削除されたことから、すべてのファイルがある場所のようです。d:\my folder\myfile.exe

ウイルスが増殖する方法の 1 つだと思うので、開くつもりはありません。ほとんどのファイルにはバックアップ コピーがありますが、ごく最近入手したばかりでまだバックアップされていないファイルもいくつかあるので、それらにアクセスしたいと考えています。

私はもう試した:使用ATTRIB -H -R -S /S /D D:\またはATTRIB -H -R -S /S /D D:としてこのページで提案されたdirドライブを参照するために使用しましたが、どちらも奇妙な結果になりました。USB スティックが存在することは認識しており、製造元を正しく識別していますが、アクセスしようとすると「ファイルが見つかりません」と表示されます。

ここに画像の説明を入力してください

また、ペンドライブに新しいファイルを保存できますが、コマンド ラインはcdそれに抵抗します。以下はtest、というディレクトリを作成した後のテストです。有効な場所に移動するとcd、何も表示されずに終了しますが、cd無効な場所に移動すると、次のメッセージが表示されます。

ここに画像の説明を入力してください

偽のドライブ内ドライブを(安全に)解凍したり、ドライブ内を安全に移動して特定のファイルを取得したりする方法はありますか?


その後、特定のファイルを取得した後、念のためドライブをフォーマットし、コンピューターの完全スキャンをもう一度実行する予定です。

そして当然ながら、今後は電子メールや Dropbox などの Web リンクでファイルを受け取る印刷ショップに固執することになります...


また、タイトルに Lodbak.gen!lnk と Autorun.gen を入れたのは、これらがドライブ内ドライブを作成した特定のものの 1 つであると考えているためです (説明から判断すると、おそらく Lodbak です)。ただし、間違っている可能性があります。間違っている場合は訂正してください。

答え1

私の提案としては、まずドライブのように見えるフォルダの名前を変更することです。これは、たとえばエクスプローラーでフォルダをハイライト表示して F2 キーを押すことで実行できます。そうすれば、CD でそのフォルダに入り、ファイルを表示できるようになるかもしれません。

それでも解決しない場合は、フォルダの権限を確認し、管理者アカウントからユーザーがファイルの所有者であることを確認することをお勧めします。所有者でない場合は、これが原因である可能性があります。属性失敗しましたか?フォルダを右クリックして「管理者アカウント」を選択すると、管理者アカウントから権限を見つけて変更できるはずです。プロパティ -> セキュリティ -> 詳細設定 -> 所有者。
これを行う方法の詳細情報:http://technet.microsoft.com/en-us/library/cc753659.aspx

もう一つのアイデアは、ファイル回復ツールを使ってファイルを取得することです。Piriformには無料版があるようです。レキュバこちらから入手できます:https://www.piriform.com/recuva

編集: 'ingの問題に関してはcd、dave_thompson_085のコメントのおかげで、 などの別のパーティションに変更したい場合d:、まず次のように記述する必要があります。

d:

...つまり、先頭に がない場合は、その後、そのパーティション上のさまざまなフォルダーを移動するためにcd使用できます。cd

答え2

文字通り、この現象は 100 回以上発生しており、常に、USB メモリをサイバー カフェや図書館のコンピューターなどに接続したときに発生します。ただし、修正は驚くほど簡単です。

走るのは正しかったattrib -s -h -r /s /d. ここで必要なことはほぼこれだけです。さらに、del /F /S /Q desktop.ini(最初のコマンドを実行した後)すべてのフォルダのカスタマイズ(例:ハードドライブのパーティションのように見えるフォルダ)を削除します。

どちらのコマンドを実行する前にも、次のコマンドを実行する必要があります。cd /d X:(どこバツペンドライブに割り当てられたドライブ文字です)

名前のないフォルダ(つまりフォルダ )を探索するのは、コピーした覚えのない実行ファイルや、.BAT、.SCR、.COM、.VBSスクリプト、疑わしいXLS、PDF、DOCXファイルなど)

ワーム感染に遭遇することがあります。ワーム感染とは、自身のコピーを複数作成し、フォルダー アイコンのように見え、各コピーの名前を変更して、ペンドライブにすでに存在する正規のフォルダーのように見せる実行可能ファイルです。

ウイルス対策ソフトをインストールしていなくても、これを削除するのも簡単です。私はペンドライブのルートに移動して次のように入力するのが好きです。*.exe size: xxx検索ボックスにxxx実行可能ファイルの正確なサイズ (バイト単位)。これにより、安全に削除できるペンドライブ上のすべてのマルウェア実行可能ファイルのリストが表示されます。ただし、ペンドライブ上にマルウェアと同じサイズの正当な実行可能ファイルが存在する可能性 (わずかですが) があるため、ここでは注意が必要です。

編集:個人的にはマルウェアがファイルやフォルダの権限を変更するという問題に遭遇したことはありませんが、何が起こるかわかりませんので、次の2つのコマンドを実行することもできます(cd /d X:):

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

バツペンドライブに割り当てられたドライブ文字です。

答え3

最初の、そして最も重要なステップは、書くことを控えることです何でもUSBに書き込みをしないでください。つまり、USBから何も削除しないでください。USBの名前を変更しないでください。USB上のファイルを移動しないでください。USBでchkdskを実行しないでください。以上です。ドライブに書き込むときはいつでも、潜在的に永久に上書きして破壊する保存したい古い既存のデータ!

ドライブ上のデータの重要度に応じて、まず最初にドライブのバイト単位のクローンを作成します。Windows 用 dd:

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

これで、パーティション上でファイル回復ソフトウェアを実行できます。レキュバそしてフォトレックEasyRecovery Professional や NTFS 固有のユーティリティなどのより高度なツールも存在しますが、これらは有料で古い (最近更新または開発されていない) のに対し、Recuva と PhotoRec/TestDisk は近年多くの開発と改善が行われています。

ファイルを失くした後、すでにファイルシステムに多くの書き込みや変更を行っているため、ファイルが破損している可能性があります。Recuva と photorec はどちらも、ファイルを適切に回復できる可能性と、ファイルがどの程度破損または上書きされているかを表示します。最も大切なファイルがまだ残っていることを願います。

答え4

スティック上のフォルダ構造が不適切であり、問​​題は単なる隠しファイルの問題よりも深刻であると思われます。

したがって、USB を壊れたものとして扱い、標準の Windows ユーティリティではなくデータ回復ユーティリティを使用してデータを回復することをお勧めします。

データを復元できた場合は、念のため、再度使用する前にスティックを再フォーマットし、復元したファイルを開く前に、アンチウイルスソフトと マルウェアバイトアンチマルウェア

無料のデータ復旧ユーティリティのレビューは以下でご覧いただけます。 最高の無料データ復旧およびファイル削除解除ユーティリティこれには以下のユーティリティが含まれます。

MiniTool パワーデータリカバリ
レキュバ
テストディスク
PCインスペクターファイルリカバリ

同様のユーティリティがさらにいくつかコメント セクションで説明されています。

MiniTool Power Data Recovery は、ディスクが壊れたときに最良の結果をもたらしましたが、無料版には制限があります。

関連情報