Wie kann man nach der Behebung der Lodbak.gen!lnk-/autorun.gen-Infektion einige USB-Stick-Dateien wiederherstellen?

Wie kann man nach der Behebung der Lodbak.gen!lnk-/autorun.gen-Infektion einige USB-Stick-Dateien wiederherstellen?

Ich wollte gestern in einer örtlichen Druckerei Visitenkarten drucken lassen, die mich jedoch um die Dateien auf einem USB-Stick bat. Ein großer Fehler. Ich bekam einen absurden Haufen Malware mit, den (glücklicherweise) Windows Security Essentials (Windows 7) schnell entdeckte und bereinigte:

Bildbeschreibung hier eingeben

(das sind Sality.AU, Lodbak.gen!lnk, Autorun.gen, Macoute.A, Sacanph.A)

Ich denke, sie wurden alle entfernt oder unter Quarantäne gestellt, und ich habe einen Scan des einzigen Computers ausgeführt, der mit diesem Laufwerk in Kontakt gekommen ist. Das Problem ist, dass der Inhalt meines USB-Sticks jetzt so aussieht:

Bildbeschreibung hier eingeben

Auf diesem ersten namenlosen gefälschten Laufwerk im Laufwerk scheinen sich alle meine Dateien zu befinden, gemessen an seiner Größe (12 GB) und der Tatsache, dass ich beim Scannen des Laufwerks durch Security Essentials meine alten Dateien hinter einem seltsamen Pfad wie d:\ \my folder\myfile.pdf(beachten Sie das Leerzeichen) sowie Malware-Kopien sehen konnte, die es entfernt hat, wied:\my folder\myfile.exe

Ich habe nicht vor, es zu öffnen, da ich mir vorstelle, dass dies Teil der Verbreitung dieses Virus ist. Von den meisten Dateien gibt es Sicherungskopien, aber es gibt einige Dateien, die ich erst vor kurzem bekommen habe und die noch nicht gesichert sind, auf die ich aber gerne zugreifen würde.

Ich habe es versucht:unter Verwendung ATTRIB -H -R -S /S /D D:\oder ATTRIB -H -R -S /S /D D:alsauf dieser Seite vorgeschlagen, und dirzum Durchsuchen des Laufwerks verwendet, aber beide führten zu merkwürdigen Ergebnissen - es erkennt, dass der USB-Stick vorhanden ist und identifiziert den Hersteller korrekt, aber beim Versuch, darauf zuzugreifen, wird „Datei nicht gefunden“ angezeigt:

Bildbeschreibung hier eingeben

Außerdem kann ich neue Dateien auf dem USB-Stick speichern, aber die Befehlszeile verweigert den cdZugriff darauf. Hier sind einige Tests nach dem Erstellen eines Verzeichnisses namens test- wenn ich cdan einen gültigen Ort gehe, wird es einfach stillschweigend abgewiesen, wenn ich cdan einen ungültigen Ort gehe, wird mir Folgendes angezeigt:

Bildbeschreibung hier eingeben

Gibt es eine Möglichkeit, dieses gefälschte Laufwerk im Laufwerk (sicher) zu entpacken oder sicher darin zu navigieren, um bestimmte Dateien abzurufen?


Nachdem ich diese speziellen Dateien abgerufen habe, besteht mein Plan darin, das Laufwerk zu formatieren und vorsichtshalber einen weiteren vollständigen Scan des Computers auszuführen.

Und bleiben Sie in Zukunft natürlich bei Druckereien, die Dateien per E-Mail oder über einen Weblink wie Dropbox entgegennehmen ...


Außerdem habe ich Lodbak.gen!lnk und Autorun.gen in den Titel aufgenommen, weil ich glaube, dass es sich dabei um eines dieser Programme handelt, das das Laufwerk-im-Laufwerk erstellt hat - der Beschreibung nach wahrscheinlich Lodbak -, aber ich könnte mich irren. Bitte korrigieren Sie mich, wenn das der Fall ist.

Antwort1

Mein Vorschlag wäre, zunächst zu versuchen, den Ordner umzubenennen, der wie ein Laufwerk aussieht. Das geht zum Beispiel im Explorer, indem man ihn markiert und F2 drückt. Vielleicht ist es dann möglich, per CD dorthin zu wechseln und die Dateien anzuzeigen.

Wenn das das Problem nicht löst, würde ich vorschlagen, einen Blick auf die Ordnerberechtigungen zu werfen und sicherzustellen, dass Ihr Benutzer der Eigentümer der Dateien ist, und zwar über ein Administratorkonto. Der Grund dafür ist, dass, wenn Sie nicht der Eigentümer sind, dies möglicherweise der Grund istAttributfehlschlägt? Sie sollten in der Lage sein, die Berechtigungen von einem Administratorkonto aus zu finden und zu ändern, indem Sie mit der rechten Maustaste auf den Ordner klicken undEigenschaften->Sicherheit->Erweitert->Besitzer.
Weitere Informationen zur Vorgehensweise:http://technet.microsoft.com/en-us/library/cc753659.aspx

Eine andere Idee wäre, zu versuchen, die Dateien über ein Dateiwiederherstellungstool zu erhalten. Es sieht so aus, als ob Piriform eine kostenlose Version vonRecuva, die Sie hier erhalten:https://www.piriform.com/recuva

Bearbeiten: Was das cd'ing-Problem betrifft, mit freundlicher Genehmigung von dave_thompson_085s Kommentar, wenn Sie zu einer anderen Partition wie wechseln möchten d:, müssen Sie zuerst nur schreiben

D:

... das heißt ohne cddavor, wonach Sie verwenden können, cdum die verschiedenen Ordner auf dieser Partition zu durchsuchen.

Antwort2

Mir ist das buchstäblich schon über hundert Mal passiert, und zwar immer, wenn ich meinen USB-Stick an einen Computer in einem Internetcafé oder einer Bibliothek usw. anschließe. Es ist allerdings lächerlich einfach zu beheben.

Du hattest recht mit dem Laufenattrib -s -h -r /s /d. Das ist so ziemlich alles, was Sie hier tun müssen. Sie können zusätzlich ausführendel /F /S /Q desktop.ini(nachdem Sie den ersten Befehl ausgeführt haben), um alle Ordneranpassungen zu entfernen (z. B. einen Ordner, der wie eine Festplattenpartition aussieht)

Bevor Sie einen der Befehle ausführen, sollten Sie Folgendes ausführen:cd /d X:(WoXist der Laufwerksbuchstabe, der Ihrem USB-Stick zugewiesen ist)

Es ist auch völlig sicher, den Ordner ohne Namen (also den  Ordner) zu erkunden, solange Sie darin nichts Verdächtiges anklicken, wie etwa eine ausführbare Datei, an deren Kopieren Sie sich nicht erinnern, eine.BAT, .SCR, .COM, .VBSSkript, verdächtigXLS, PDF, DOCXDateien usw.)

Manchmal werden Sie mit einem Wurm infiziert. Dabei handelt es sich um eine ausführbare Datei, die mehrere Kopien von sich selbst erstellt, wie ein Ordnersymbol aussieht und jede ihrer Kopien so umbenennt, dass sie wie legitime Ordner aussieht, die bereits auf Ihrem USB-Stick vorhanden sind.

Es ist auch ganz einfach, dies zu entfernen, selbst wenn Sie kein Antivirenprogramm installiert haben. Ich navigiere lieber zum Stammverzeichnis des USB-Sticks und gebe ein*.exe size: xxxin das Suchfeld ein, woxxxist die genaue Größe der ausführbaren Datei in Bytes. Damit erhalten Sie eine Liste aller Malware-Programme auf Ihrem USB-Stick, die Sie sicher löschen können. Sie müssen hier jedoch vorsichtig sein, da die Wahrscheinlichkeit (gering) ist, dass sich auf Ihrem USB-Stick legitime ausführbare Dateien befinden, die dieselbe Größe wie die Malware haben.

BEARBEITEN:Ich persönlich hatte noch nie Probleme mit Malware, die Datei-/Ordnerberechtigungen ändert, aber man kann nie wissen, also können Sie auch die folgenden beiden Befehle ausführen (nachdem Sie ausgeführt habencd /d X:):

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

Xist der Laufwerksbuchstabe, der Ihrem USB-Stick zugewiesen ist.

Antwort3

Der erste und wichtigste Schritt ist, mit dem Schreiben aufzuhörenirgendetwasauf den USB. Das heißt, löschen Sie nichts vom USB, benennen Sie nichts auf dem USB um, verschieben Sie keine Dateien auf dem USB und führen Sie kein chkdsk auf dem USB aus. Punkt. Jedes Mal, wenn Sie auf das Laufwerk schreiben, sind Sie möglicherweisedauerhaftes Überschreiben und Zerstörenältere, vorhandene Daten, die Sie speichern möchten!

Je nachdem, wie wichtig die Daten auf dem Laufwerk sind, erstellen Sie vor allem einen Byte-für-Byte-Klon des Laufwerks. Verwenden Sie dazudd für Windows:

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

Jetzt können Sie Dateiwiederherstellungssoftware auf der Partition ausführen, wie das kostenloseRecuvaUndFotoRec. Es gibt fortgeschrittenere Tools wie EasyRecovery Professional und NTFS-spezifische Dienstprogramme, diese sind jedoch kostenpflichtig und älter (nicht kürzlich aktualisiert oder weiterentwickelt), während Recuva und PhotoRec/TestDisk in den letzten Jahren eine Menge Entwicklungen und Verbesserungen erfahren haben.

Sie haben nach dem Verlust Ihrer Dateien bereits viel geschrieben und Änderungen am Dateisystem vorgenommen, daher besteht die Möglichkeit, dass Ihre Dateien beschädigt sind. Recuva und Photorec zeigen Ihnen beide die Wahrscheinlichkeit einer ordnungsgemäßen Wiederherstellung einer Datei an und wie viel davon beschädigt oder überschrieben ist. Hoffentlich sind die Dateien, die Ihnen am wichtigsten sind, noch da.

Antwort4

Ich denke, dass Ihre Ordnerstruktur auf dem Stick in einem schlechten Zustand ist und dass das Problem schwerwiegender ist als nur ein Haufen versteckter Dateien.

Ich schlage daher vor, dass Sie Ihren USB-Stick so behandeln, als sei er defekt, und zur Datenwiederherstellung Dienstprogramme zur Datenwiederherstellung anstelle der Standard-Windows-Dienstprogramme verwenden.

Wenn Sie es schaffen, die Daten zu retten, formatieren Sie den Stick vor der erneuten Verwendung neu (nur für den Fall) und scannen Sie die wiederhergestellten Dateien gründlich, bevor Sie sie öffnen, mit Ihrem Antivirenprogramm und mit Malwarebytes Anti-Malware.

Eine Übersicht über kostenlose Datenrettungsprogramme finden Sie auf Bestes kostenloses Dienstprogramm zur Datenwiederherstellung und Wiederherstellung gelöschter Dateien, das die folgenden Dienstprogramme enthält:

MiniTool Power-Datenwiederherstellung
Recuva
TestDisk
PC Inspector Dateiwiederherstellung

Einige weitere solcher Dienstprogramme werden im Kommentarbereich erwähnt.

Mit MiniTool Power Data Recovery habe ich bei einer defekten Festplatte die besten Ergebnisse erzielt, die kostenlose Version ist allerdings eingeschränkt.

verwandte Informationen