Вчера я пытался напечатать визитки в местной типографии, но там попросили файлы на USB-флешке. Большая ошибка. Я получил абсурдную кучу вредоносных программ, которые (к счастью) Windows Security Essentials (Windows 7) быстро обнаружил и очистил:
(это Sality.AU, Lodbak.gen!lnk, Autorun.gen, Macoute.A, Sacanph.A)
Я думаю, что они все удалены или помещены в карантин, и я запустил сканирование единственного компьютера, который контактировал с этим диском. Проблема в том, что содержимое моего USB-накопителя теперь выглядит так:
Этот первый безымянный фальшивый диск внутри диска, похоже, и есть то место, где находятся все мои файлы, судя по его размеру (12 ГБ) и тому факту, что когда Security Essentials сканировал диск, я мог видеть свои старые файлы по странному пути, например d:\ \my folder\myfile.pdf(обратите внимание на пробел), а также копии вредоносных программ, которые он удалил, напримерd:\my folder\myfile.exe
Я не собираюсь его открывать, так как предполагаю, что это часть того, как распространяется этот вирус. У большинства файлов есть резервные копии, но есть несколько файлов, которые я получил совсем недавно, у которых еще нет резервных копий, и я хотел бы получить к ним доступ.
Я пробовал:используя ATTRIB -H -R -S /S /D D:\или ATTRIB -H -R -S /S /D D:какпредложено на этой страницеи использовал dirдля просмотра диска, но оба раза результаты были странными — он знает, что USB-накопитель находится там, и правильно определяет производителя, но при попытке доступа к нему выдает сообщение «Файл не найден»:
Также я могу сохранять новые файлы на флешку, но командная строка сопротивляется cdэтому. Вот некоторые тесты после создания каталога с именем test- когда я cdперехожу в допустимое место, он просто молча отскакивает, когда я cdперехожу в недопустимое место, он мне сообщает:
Есть ли способ (безопасно) распаковать этот поддельный диск внутри диска или безопасно перемещаться по нему для извлечения определенных файлов?
Затем, после извлечения этих файлов, я планирую отформатировать диск и запустить еще одно полное сканирование компьютера, просто на всякий случай.
И, конечно же, в будущем стоит отдавать предпочтение типографиям, которые принимают файлы по электронной почте или через веб-ссылку, например Dropbox...
Также я добавил Lodbak.gen!lnk и Autorun.gen в заголовок, потому что я считаю, что это один из тех, который создал диск-внутри-диска - вероятно, Lodbak, судя по описанию - но я могу ошибаться. Пожалуйста, поправьте, если я ошибаюсь.
решение1
Я бы предложил сначала попробовать переименовать папку, которая выглядит как диск, что можно сделать, например, из Проводника, выделив ее и нажав F2. Может быть, это позволит зайти в нее с CD и увидеть файлы.
Если это не решит проблему, я бы посоветовал вам взглянуть на разрешения для папок и убедиться, что ваш пользователь является владельцем файлов из учетной записи администратора. Причина в том, что если вы не являетесь владельцем, возможно, вот почемуатрибутне удается? Вы должны иметь возможность найти и изменить разрешения из учетной записи администратора, щелкнув правой кнопкой мыши папку и выбравСвойства->Безопасность->Дополнительно->Владелец.
Дополнительная информация о том, как это сделать:http://technet.microsoft.com/en-us/library/cc753659.aspx
Другая идея — попытаться получить файлы через средство восстановления файлов. Похоже, у Piriform есть бесплатная версияРекува, который вы можете получить здесь:https://www.piriform.com/recuva
Редактировать: Что касается cdпроблемы 'ing, любезно предоставленной комментарием dave_thompson_085, когда вы хотите перейти на другой раздел, например d:, , вам сначала нужно написать просто
г:
...то есть без cdначала, после чего вы можете использовать cdдля перемещения по различным папкам в этом разделе.
решение2
Со мной это случалось буквально сотню раз, и всегда это происходило, когда я подключал флешку к компьютеру в интернет-кафе или библиотечном компьютере и т. д. Однако это до смешного легко исправить.
Ты был прав насчет бега.attrib -s -h -r /s /d. Это почти все, что вам нужно сделать здесь. Вы можете дополнительно запуститьdel /F /S /Q desktop.ini(после выполнения первой команды) для удаления всех настроек папки (например, папки, которая выглядит как раздел жесткого диска)
Прежде чем выполнить любую из команд, вам следует выполнить следующее:cd /d X:(гдеИксбуква диска, назначенная вашему флеш-накопителю)
Также совершенно безопасно исследовать папку без имени (т. е. папку ), если вы не нажмете на что-либо подозрительное внутри, например, на исполняемый файл, который вы не помните, чтобы копировали,.BAT, .SCR, .COM, .VBSсценарий, подозрительныйXLS, PDF, DOCXфайлы и т. д.)
Иногда вы сталкиваетесь с заражением червем — исполняемым файлом, который создает несколько своих копий, выглядит как значок папки и переименовывает каждую из своих копий, чтобы они выглядели как настоящие папки, уже имеющиеся на вашем флеш-накопителе.
Это также довольно легко удалить, даже если у вас не установлен антивирус. Я предпочитаю перейти в корень флешки и ввести*.exe size: xxxв поле поиска, гдеххх— точный размер исполняемого файла в байтах. Это должно дать вам список всех исполняемых файлов вредоносных программ на вашем флеш-накопителе, которые вы можете безопасно удалить. Однако здесь вы должны проявлять осторожность, поскольку существует (небольшая) вероятность того, что на вашем флеш-накопителе есть легитимные исполняемые файлы того же размера, что и вредоносное ПО.
РЕДАКТИРОВАТЬ:Лично у меня никогда не возникало проблем с вредоносным ПО, изменяющим разрешения файлов/папок, но кто знает, что будет дальше, поэтому вы также можете выполнить следующие две команды (после того, как вы выполнилиcd /d X:):
takeown /r /f X:\*
icacls X:\* /T /L /Q /C /RESET
Икс— это буква диска, назначенная вашему флеш-накопителю.
решение3
Первый и самый важный шаг — воздержаться от написаниячто-либона USB. Это значит, что не удаляйте ничего с USB, не переименовывайте ничего на USB, не перемещайте файлы на USB, не запускайте chkdsk на USB. Точка. Каждый раз, когда вы записываете на диск, вы потенциальнопостоянная перезапись и уничтожениестарые, существующие данные, которые вы хотите сохранить!
В зависимости от того, насколько важны данные на диске, прежде всего создайте побайтовую копию диска. Используядд для винды:
dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat
Теперь вы можете запустить программное обеспечение для восстановления файлов на разделе, например, бесплатноеРекуваиФотоРек. Существуют и более продвинутые инструменты, такие как EasyRecovery Professional и утилиты, специфичные для NTFS, но они платные и старые (не обновлялись и не разрабатывались в последнее время), в то время как Recuva и PhotoRec/TestDisk претерпели множество изменений и улучшений за последние годы.
Вы уже сделали много записей и изменений в файловой системе после потери файлов, поэтому есть вероятность, что ваши файлы повреждены. Recuva и photorec покажут вам вероятность правильного восстановления файла и насколько он поврежден или перезаписан. Надеюсь, самые ценные для вас файлы все еще там.
решение4
Я думаю, что структура папок на вашем флеш-накопителе не в порядке, и проблема более серьезная, чем просто куча скрытых файлов.
Поэтому я предлагаю вам отнестись к своему USB-накопителю как к сломанному и использовать для восстановления данных утилиты восстановления данных, а не стандартные утилиты Windows.
Если вам удалось удалить с него данные, переформатируйте флешку перед ее повторным использованием (на всякий случай) и тщательно просканируйте восстановленные файлы, прежде чем открывать их, с помощью антивируса и Malwarebytes Антивредоносное ПО.
Обзор бесплатных утилит для восстановления данных можно найти на Лучшая бесплатная утилита для восстановления данных и удаления файлов, который включает в себя следующие утилиты:
MiniTool Power Восстановление данных
Рекува
ТестДиск
Восстановление файлов PC Inspector
Еще несколько подобных утилит упомянуты в разделе комментариев.
MiniTool Power Data Recovery дал мне наилучшие результаты, когда у меня сломался диск, но бесплатная версия имеет ограничения.