Ontem tentei imprimir alguns cartões de visita em uma gráfica local, que pediu os arquivos em pen drive USB. Grande erro. Recebi um monte absurdo de malware que (felizmente) o Windows Security Essentials (Windows 7) detectou e limpou rapidamente:
(que é Sality.AU, Lodbak.gen!lnk, Autorun.gen, Macoute.A, Sacanph.A)
Acho que todos foram removidos ou colocados em quarentena e executei uma verificação no único computador que entrou em contato com esta unidade. O problema é que o conteúdo do meu pen drive USB agora está assim:
Aquela primeira unidade dentro de uma unidade falsa e sem nome parece ser onde estão todos os meus arquivos, a julgar pelo seu tamanho (12 GB) e pelo fato de que, quando o Security Essentials estava verificando a unidade, pude ver meus arquivos antigos atrás de um caminho estranho como d:\ \my folder\myfile.pdf
(observe o espaço), bem como cópias de malware removidas comod:\my folder\myfile.exe
Não pretendo abri-lo, pois imagino que isso faça parte da forma como esse vírus se propaga. A maioria dos arquivos tem cópias de backup, mas há alguns arquivos que recebi recentemente e que ainda não foram salvos em backup e aos quais gostaria de obter acesso.
Eu tentei:usando ATTRIB -H -R -S /S /D D:\
ou ATTRIB -H -R -S /S /D D:
comosugerido nesta página, e usando dir
para navegar na unidade, mas ambos tiveram resultados estranhos - ele sabe que o pendrive está lá e identifica corretamente o fabricante, mas diz "Arquivo não encontrado" ao tentar acessá-lo:
Além disso, posso salvar novos arquivos no pen drive, mas a linha de comando resiste cd
. Aqui estão alguns testes depois de criar um diretório chamado test
- quando eu cd
vou para um local válido, ele simplesmente salta silenciosamente, quando eu cd
vou para um local inválido, ele me diz:
Existe alguma maneira de descompactar (com segurança) aquela unidade falsa dentro de uma unidade ou navegar com segurança dentro dela para recuperar arquivos específicos?
Depois de recuperar esses arquivos específicos, meu plano é formatar a unidade e executar outra verificação completa do computador, apenas para garantir.
E, obviamente, no futuro opte por gráficas que aceitam arquivos por e-mail ou link da web como dropbox...
Além disso, coloquei Lodbak.gen!lnk e Autorun.gen no título porque acredito que é um daqueles que é específico que criou a unidade dentro de uma unidade - provavelmente Lodbak a julgar pela descrição - mas eu poderia estar errado. Por favor, corrija se eu estiver.
Responder1
Minha sugestão seria primeiro tentar renomear a pasta que se parece com um drive, o que pode, por exemplo, ser feito no Explorer destacando-o e pressionando F2. Talvez isso torne possível colocar um CD nele e ver os arquivos.
Se isso não resolver, sugiro dar uma olhada nas permissões da pasta e certificar-se de que seu usuário é o proprietário dos arquivos, a partir de uma conta de administrador. A razão é que se você não é o proprietário, talvez seja por issoatribuirfalha? Você poderá encontrar e alterar as permissões de uma conta de administrador clicando com o botão direito na pasta e escolhendoPropriedades->Segurança->Avançado->Proprietário.
Mais informações sobre como fazer isso:http://technet.microsoft.com/en-us/library/cc753659.aspx
Outra ideia seria tentar obter os arquivos por meio de uma ferramenta de recuperação de arquivos. Parece que o Piriform tem uma versão gratuita doRecuva, que você pode obter aqui:https://www.piriform.com/recuva
Editar: Quanto ao cd
problema do 'ing, cortesia do comentário de dave_thompson_085, quando você quiser mudar para uma partição diferente, como d:
, primeiro você precisa escrever apenas
d:
... isto é, sem cd
frente, após o que você pode usar cd
para percorrer as diferentes pastas nessa partição.
Responder2
Isso literalmente já aconteceu comigo mais de cem vezes e é sempre quando conecto meu pen drive em um computador em um cyber café ou em um computador de biblioteca, etc.
Você estava certo sobre correrattrib -s -h -r /s /d
. Isso é praticamente tudo que você precisa fazer aqui. Você também pode executardel /F /S /Q desktop.ini
(depois de executar o primeiro comando) para remover todas as personalizações de pasta (por exemplo, uma pasta que se parece com uma partição do disco rígido)
Antes de executar qualquer comando, você deve executar isto:cd /d X:
(ondeXé a letra da unidade atribuída ao seu pen drive)
Também é totalmente seguro explorar a pasta sem nome (ou seja, a
pasta), desde que você não clique em nada suspeito dentro dela, como um arquivo executável que você não se lembra de ter copiado, um.BAT, .SCR, .COM, .VBSroteiro, suspeitoXLS, PDF, DOCXarquivos, etc.)
Às vezes você se depara com uma infecção por worm, um arquivo executável que faz várias cópias de si mesmo, se parece com um ícone de pasta e renomeia cada uma de suas cópias para se parecerem com pastas legítimas já presentes em seu pen drive.
Também é muito fácil remover isso, mesmo se você não tiver um antivírus instalado. Prefiro navegar até a raiz do pen drive e entrar*.exe size: xxx
na caixa de pesquisa ondexxxé o tamanho exato do arquivo executável em bytes. Isso deve fornecer uma lista de todos os executáveis de malware em seu pen drive que você pode excluir com segurança. Você deve ter cuidado aqui, porque há uma (pequena) chance de você ter arquivos executáveis legítimos em seu pen drive que sejam do mesmo tamanho do malware.
EDITAR:Pessoalmente, nunca tive problemas com malware alterando permissões de arquivos/pastas, mas nunca se sabe, então você também pode executar os dois comandos a seguir (depois de executarcd /d X:
):
takeown /r /f X:\*
icacls X:\* /T /L /Q /C /RESET
Xé a letra da unidade atribuída ao seu pen drive.
Responder3
O primeiro e mais importante passo é adiar a escritaqualquer coisapara o USB. Isso significa não excluir nada do USB, não renomear nada no USB, não mover nenhum arquivo no USB, não executar chkdsk no USB. Período. Sempre que você escreve na unidade, você está potencialmentesobrescrevendo e destruindo permanentementedados mais antigos e existentes que você deseja salvar!
Dependendo da importância dos dados da unidade, antes de mais nada, crie um clone byte a byte da unidade. Usandodd para Windows:
dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat
Agora você pode executar um software de recuperação de arquivos na partição, como o gratuitoRecuvaeFotoRec. Existem ferramentas mais avançadas, como EasyRecovery Professional e utilitários específicos para NTFS, mas são pagas e mais antigas (não atualizadas ou desenvolvidas recentemente), enquanto Recuva e PhotoRec/TestDisk tiveram muito desenvolvimento e melhorias nos últimos anos.
Você já escreveu e modificou muito o sistema de arquivos depois de perder seus arquivos, então há uma chance de que seus arquivos estejam corrompidos. Recuva e photorec mostrarão a probabilidade de recuperar adequadamente um arquivo e quanto dele está danificado ou sobrescrito. Esperamos que os arquivos que você mais valoriza ainda estejam lá.
Responder4
Acho que a estrutura de pastas do stick está em mau estado e o problema é mais sério do que apenas um monte de arquivos ocultos.
Sugiro, portanto, que você trate seu USB como quebrado, usando utilitários de recuperação de dados, em vez de utilitários padrão do Windows, para recuperar os dados.
Se você conseguir extrair os dados dele, reformate o stick antes de usá-lo novamente (por precaução) e faça uma varredura profunda nos arquivos recuperados antes de abrir qualquer um deles, com seu antivírus e com Malwarebytes Anti-Malware.
Uma análise dos utilitários gratuitos de recuperação de dados pode ser encontrada em Melhor utilitário gratuito de recuperação de dados e exclusão de arquivos, que inclui os seguintes utilitários:
MiniTool Power Data Recovery
Recuva
TestDisk
Recuperação de arquivos do PC Inspector
Mais alguns desses utilitários são mencionados na seção de comentários.
O MiniTool Power Data Recovery me deu os melhores resultados quando tive um disco quebrado, mas a versão gratuita é limitada.