¿Cómo restaurar algunos archivos de memoria USB después de reparar la infección Lodbak.gen!lnk / autorun.gen?

¿Cómo restaurar algunos archivos de memoria USB después de reparar la infección Lodbak.gen!lnk / autorun.gen?

Ayer intenté imprimir algunas tarjetas de visita en una imprenta local, y me pidieron los archivos en una memoria USB. Gran error. Salí con un montón absurdo de malware que (afortunadamente) Windows Security Essentials (Windows 7) detectó y limpió rápidamente:

ingrese la descripción de la imagen aquí

(eso es Sality.AU, Lodbak.gen!lnk, Autorun.gen, Macoute.A, Sacanph.A)

Creo que todos fueron eliminados o puestos en cuarentena, y ejecuté un escaneo de la única computadora que estuvo en contacto con esta unidad. El problema es que el contenido de mi memoria USB ahora se ve así:

ingrese la descripción de la imagen aquí

Esa primera unidad falsa sin nombre dentro de una unidad parece ser donde están todos mis archivos, a juzgar por su tamaño (12 GB) y el hecho de que, cuando Security Essentials estaba escaneando la unidad, pude ver mis archivos antiguos detrás de una ruta extraña. me gusta d:\ \my folder\myfile.pdf(tenga en cuenta el espacio), así como las copias de malware que eliminó comod:\my folder\myfile.exe

No planeo abrirlo ya que imagino que eso es parte de cómo se propaga este virus. La mayoría de los archivos tienen copias de seguridad, pero hay algunos archivos que obtuve recientemente y de los que aún no se ha realizado una copia de seguridad y a los que me gustaría tener acceso.

He intentado:usando ATTRIB -H -R -S /S /D D:\o ATTRIB -H -R -S /S /D D:comosugerido en esta página, y usándolo dirpara explorar la unidad, pero ambos tuvieron resultados extraños: sabe que la memoria USB está allí e identifica correctamente al fabricante, pero dice "Archivo no encontrado" al intentar acceder a ella:

ingrese la descripción de la imagen aquí

Además, puedo guardar archivos nuevos en el pendrive, pero la línea de comando se resiste cd. Aquí hay algunas pruebas después de crear un directorio llamado test: cuando llego cda una ubicación válida, simplemente rebota silenciosamente, cuando llego cda una ubicación no válida, me dice:

ingrese la descripción de la imagen aquí

¿Hay alguna forma de descomprimir (de forma segura) esa unidad falsa dentro de otra unidad o navegar de forma segura dentro de ella para recuperar archivos específicos?


Luego, después de recuperar esos archivos específicos, mi plan es formatear la unidad y ejecutar otro análisis completo de la computadora, por si acaso.

Y, obviamente, en el futuro nos limitaremos a las imprentas que reciben los archivos por correo electrónico o mediante un enlace web como Dropbox...


Además, puse Lodbak.gen!lnk y Autorun.gen en el título porque creo que es uno de los que creó específicamente la unidad dentro de otra unidad (probablemente Lodbak a juzgar por la descripción), pero podría ser equivocado. Por favor corrija si lo soy.

Respuesta1

Mi sugerencia sería primero intentar cambiar el nombre de la carpeta que parece una unidad, lo que se puede hacer, por ejemplo, desde el Explorador resaltándola y presionando F2. Tal vez eso haga posible grabarlo en un CD y ver los archivos.

Si eso no lo resuelve, sugeriría echar un vistazo a los permisos de la carpeta y asegurarse de que su usuario sea el propietario de los archivos, desde una cuenta de administrador. La razón es que si no eres el propietario, tal vez sea por eso.atributofalla? Debería poder encontrar y cambiar los permisos de una cuenta de administrador haciendo clic derecho en la carpeta y eligiendoPropiedades->Seguridad->Avanzado->Propietario.
Más información sobre cómo hacer esto:http://technet.microsoft.com/en-us/library/cc753659.aspx

Otra idea sería intentar obtener los archivos mediante una herramienta de recuperación de archivos. Parece que Piriform tiene una versión gratuita deRecuva, que puedes conseguir aquí:https://www.piriform.com/recuva

Editar: En cuanto al cdproblema de 'ing, cortesía del comentario de dave_thompson_085, cuando desee cambiar a una partición diferente como d:, primero debe escribir solo

d:

...es decir, sin cdel frente, después de lo cual puede utilizar cdpara recorrer las diferentes carpetas en esa partición.

Respuesta2

Literalmente me ha sucedido esto más de cien veces y siempre ocurre cuando conecto mi memoria USB a una computadora en un cibercafé o en la computadora de una biblioteca, etc. Sin embargo, es ridículamente fácil de solucionar.

Tenías razón acerca de correrattrib -s -h -r /s /d. Eso es prácticamente todo lo que necesitas hacer aquí. También podrías ejecutardel /F /S /Q desktop.ini(después de haber ejecutado el primer comando) para eliminar todas las personalizaciones de carpetas (por ejemplo, una carpeta que parece una partición del disco duro)

Antes de ejecutar cualquiera de los comandos, debes ejecutar esto:cd /d X:(dóndeXes la letra de unidad asignada a su pendrive)

También es completamente seguro explorar la carpeta sin nombre (es decir, la  carpeta), siempre y cuando no hagas clic en nada sospechoso dentro, como un archivo ejecutable que no recuerdas haber copiado, un.BAT, .SCR, .COM, .VBSguión, sospechosoXLS, PDF, DOCXarchivos, etc)

A veces te encuentras con una infección de gusano, un archivo ejecutable que hace varias copias de sí mismo, parece un icono de carpeta y cambia el nombre de cada una de sus copias para que parezcan carpetas legítimas que ya están presentes en tu pendrive.

También es bastante fácil eliminarlo, incluso si no tienes un antivirus instalado. Prefiero navegar hasta la raíz del pendrive y entrar*.exe size: xxxen el cuadro de búsqueda dondexxxes el tamaño exacto del archivo ejecutable en bytes. Esto debería brindarle una lista de todos los ejecutables de malware en su pendrive que puede eliminar de forma segura. Sin embargo, debes tener cuidado aquí, porque existe una (ínfima) posibilidad de que tengas archivos ejecutables legítimos en tu pendrive que sean del mismo tamaño que el malware.

EDITAR:Personalmente, nunca he tenido problemas con el malware al cambiar los permisos de archivos/carpetas, pero nunca se sabe, por lo que también puedes ejecutar los siguientes dos comandos (después de haber ejecutadocd /d X:):

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

Xes la letra de unidad asignada a su pendrive.

Respuesta3

El primer paso y el más importante es posponer la escritura.cualquier cosaal USB. Eso significa no borrar nada del USB, no cambiar el nombre de nada en el USB, no mover ningún archivo en el USB, no ejecutar chkdsk en el USB. Período. Cada vez que escribe en el disco, es potencialmentesobrescribiendo y destruyendo permanentemente¡Datos más antiguos y existentes que deseas guardar!

Dependiendo de la importancia de los datos en la unidad, antes que nada, cree un clon byte a byte de la unidad. Usandodd para Windows:

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

Ahora puede ejecutar software de recuperación de archivos en la partición, como el gratuitoRecuvayFotoRec. Existen herramientas más avanzadas como EasyRecovery Professional y utilidades específicas de NTFS, pero son pagas y más antiguas (no actualizadas ni desarrolladas recientemente), mientras que Recuva y PhotoRec/TestDisk han visto mucho desarrollo y mejoras en los últimos años.

Ya has escrito y modificado mucho el sistema de archivos después de perder tus archivos, por lo que existe la posibilidad de que tus archivos estén dañados. Recuva y photorec le mostrarán la probabilidad de recuperar correctamente un archivo y cuánto está dañado o sobrescrito. Esperemos que los archivos que más valoras sigan ahí.

Respuesta4

Creo que la estructura de carpetas del dispositivo está en mal estado y el problema es más grave que un simple montón de archivos ocultos.

Por lo tanto, le sugiero que trate su USB como si estuviera roto y utilice utilidades de recuperación de datos, en lugar de las utilidades estándar de Windows, para recuperar los datos.

Si logras sacar los datos, reformatea el dispositivo antes de usarlo nuevamente (por si acaso) y escanea en profundidad los archivos recuperados antes de abrir cualquiera de ellos, con tu antivirus y con Malwarebytes Anti-Malware.

Puede encontrar una revisión de las utilidades gratuitas de recuperación de datos en La mejor utilidad gratuita de recuperación de datos y eliminación de archivos, que incluye las siguientes utilidades:

Recuperación de datos de energía MiniTool
Recuva
Disco de prueba
Recuperación de archivos del inspector de PC

Algunas utilidades más de este tipo se mencionan en la sección de comentarios.

MiniTool Power Data Recovery me dio los mejores resultados cuando tenía un disco roto, pero la versión gratuita es limitada.

información relacionada