修復 Lodbak.gen!lnk / autorun.gen 感染後如何恢復一些 USB 隨身碟檔案？

Question 1

我的建議首先是嘗試重新命名看起來像驅動器的資料夾，例如，可以透過反白顯示該資料夾並按 F2 從資源管理器中完成此操作。也許這樣就可以將 CD 放入其中並查看文件。

如果這不能解決問題，我建議您查看資料夾權限，並確保您的使用者是管理員帳戶中檔案的擁有者。原因是，如果你不是所有者，也許這就是原因屬性失敗？您應該能夠透過右鍵單擊資料夾並選擇從管理員帳戶尋找並更改權限屬性->安全性->高級->所有者。
有關如何執行此操作的更多資訊：http://technet.microsoft.com/en-us/library/cc753659.aspx

另一個想法是嘗試透過文件恢復工具來獲取文件。看起來 Piriform 有免費版本雷庫瓦，您可以在這裡獲取：https://www.piriform.com/recuva

編輯：至於cd'ing 問題，由 dave_thompson_085 的評論提供，當您想要更改為不同的分區（例如）時d:，您首先需要編寫

d:

....前面沒有cd，之後您可以使用cd它來遍歷該分割區上的不同資料夾。

Answer

我的建議首先是嘗試重新命名看起來像驅動器的資料夾，例如，可以透過反白顯示該資料夾並按 F2 從資源管理器中完成此操作。也許這樣就可以將 CD 放入其中並查看文件。

如果這不能解決問題，我建議您查看資料夾權限，並確保您的使用者是管理員帳戶中檔案的擁有者。原因是，如果你不是所有者，也許這就是原因屬性失敗？您應該能夠透過右鍵單擊資料夾並選擇從管理員帳戶尋找並更改權限屬性->安全性->高級->所有者。
有關如何執行此操作的更多資訊：http://technet.microsoft.com/en-us/library/cc753659.aspx

另一個想法是嘗試透過文件恢復工具來獲取文件。看起來 Piriform 有免費版本雷庫瓦，您可以在這裡獲取：https://www.piriform.com/recuva

編輯：至於cd'ing 問題，由 dave_thompson_085 的評論提供，當您想要更改為不同的分區（例如）時d:，您首先需要編寫

d:

....前面沒有cd，之後您可以使用cd它來遍歷該分割區上的不同資料夾。

Question 2

我確實遇到過這種情況一百多次，而且總是當我將拇指驅動器插入網吧或圖書館計算機等的計算機時出現。

你對跑步的看法是對的attrib -s -h -r /s /d。這幾乎就是您在這裡需要做的全部事情。你還可以運行del /F /S /Q desktop.ini（執行第一個命令後）刪除所有資料夾自訂（例如看起來像硬碟分割區的資料夾）

在執行任一命令之前，您應該執行以下命令：cd /d X:（在哪裡X是指派給您的筆式磁碟機的磁碟機號）

探索沒有名稱的資料夾（即資料夾）也是完全安全的，只要您不單擊裡面的任何可疑內容，例如您不記得複製過的可執行文件，.BAT、.SCR、.COM、.VBS腳本，可疑XLS、PDF、DOCX文件等）

有時您會遇到蠕蟲病毒感染，這是一個可執行文件，它會製作多個自身副本，看起來像一個文件夾圖標，並將其每個副本重命名為看起來像您的筆式驅動器上已經存在的合法文件夾。

即使您沒有安裝防毒軟體，刪除它也很容易。我更喜歡導航到筆式驅動器的根目錄並輸入*.exe size: xxx進入搜尋框，其中xxx是可執行檔的確切大小（以位元組為單位）。這將為您提供隨身碟上可以安全刪除的所有惡意軟體可執行檔的清單。不過，您在這裡必須小心謹慎，因為您的隨身碟上有一個（很小）的機會，其中有與惡意軟體大小相同的合法可執行檔。

編輯：我個人從未遇到過惡意軟體更改檔案/資料夾權限的問題，但你永遠不知道，所以你也可以執行以下兩個命令（在運行之後cd /d X:）：

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

X是指派給您的筆式磁碟機的磁碟機號碼。

Answer

我確實遇到過這種情況一百多次，而且總是當我將拇指驅動器插入網吧或圖書館計算機等的計算機時出現。

你對跑步的看法是對的attrib -s -h -r /s /d。這幾乎就是您在這裡需要做的全部事情。你還可以運行del /F /S /Q desktop.ini（執行第一個命令後）刪除所有資料夾自訂（例如看起來像硬碟分割區的資料夾）

在執行任一命令之前，您應該執行以下命令：cd /d X:（在哪裡X是指派給您的筆式磁碟機的磁碟機號）

探索沒有名稱的資料夾（即資料夾）也是完全安全的，只要您不單擊裡面的任何可疑內容，例如您不記得複製過的可執行文件，.BAT、.SCR、.COM、.VBS腳本，可疑XLS、PDF、DOCX文件等）

有時您會遇到蠕蟲病毒感染，這是一個可執行文件，它會製作多個自身副本，看起來像一個文件夾圖標，並將其每個副本重命名為看起來像您的筆式驅動器上已經存在的合法文件夾。

即使您沒有安裝防毒軟體，刪除它也很容易。我更喜歡導航到筆式驅動器的根目錄並輸入*.exe size: xxx進入搜尋框，其中xxx是可執行檔的確切大小（以位元組為單位）。這將為您提供隨身碟上可以安全刪除的所有惡意軟體可執行檔的清單。不過，您在這裡必須小心謹慎，因為您的隨身碟上有一個（很小）的機會，其中有與惡意軟體大小相同的合法可執行檔。

編輯：我個人從未遇到過惡意軟體更改檔案/資料夾權限的問題，但你永遠不知道，所以你也可以執行以下兩個命令（在運行之後cd /d X:）：

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

X是指派給您的筆式磁碟機的磁碟機號碼。

Question 3

第一步也是最重要的一步是延後寫作任何事物到 USB。這意味著不要從 USB 中刪除任何內容、不要重命名 USB 上的任何內容、不要移動 USB 上的任何檔案、不要在 USB 上執行 chkdsk。時期。每當您在驅動器上寫入時，您都可能永久覆蓋和銷毀您想要保存的較舊的現有資料！

根據磁碟機上資料的重要性，首先建立磁碟機的逐位元組克隆。使用適用於 Windows 的 dd:

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

現在您可以在分割區上執行檔案復原軟體，例如免費的雷庫瓦和攝影記錄。有更高級的工具，例如 EasyRecovery Professional 和特定於 NTFS 的實用程序，但它們是付費的且較舊（最近沒有更新或開發），而 Recuva 和 PhotoRec/TestDisk 近年來已經有了很多開發和改進。

在遺失檔案後，您已經對檔案系統進行了大量寫入和修改，因此您的檔案有可能已損壞。 Recuva 和 photorec 都會向您顯示正確恢復檔案的可能性以及檔案被損壞或覆蓋的程度。希望您最珍惜的文件仍然存在。

Answer

第一步也是最重要的一步是延後寫作任何事物到 USB。這意味著不要從 USB 中刪除任何內容、不要重命名 USB 上的任何內容、不要移動 USB 上的任何檔案、不要在 USB 上執行 chkdsk。時期。每當您在驅動器上寫入時，您都可能永久覆蓋和銷毀您想要保存的較舊的現有資料！

根據磁碟機上資料的重要性，首先建立磁碟機的逐位元組克隆。使用適用於 Windows 的 dd:

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

現在您可以在分割區上執行檔案復原軟體，例如免費的雷庫瓦和攝影記錄。有更高級的工具，例如 EasyRecovery Professional 和特定於 NTFS 的實用程序，但它們是付費的且較舊（最近沒有更新或開發），而 Recuva 和 PhotoRec/TestDisk 近年來已經有了很多開發和改進。

在遺失檔案後，您已經對檔案系統進行了大量寫入和修改，因此您的檔案有可能已損壞。 Recuva 和 photorec 都會向您顯示正確恢復檔案的可能性以及檔案被損壞或覆蓋的程度。希望您最珍惜的文件仍然存在。

Question 4

我認為你的棒上的資料夾結構狀況不佳，問題比一堆隱藏檔案更嚴重。

因此，我建議您將 USB 視為損壞，使用資料復原實用程式（而不是標準 Windows 實用程式）來復原資料。

如果您確實設法從中獲取了數據，請在再次使用之前重新格式化該棒（以防萬一），並在打開任何恢復的文件之前使用防病毒軟體和工具對恢復的文件進行深度掃描 Malwarebytes 反惡意軟體。

可以在以下位置找到免費資料恢復實用程式的評論最佳免費資料恢復和檔案取消刪除實用程式，其中包括以下實用程式：

MiniTool電源資料恢復
 雷庫瓦
 測試磁碟
 PC 檢查器檔案恢復

評論部分提到了更多這樣的實用程式。

當我的磁碟損壞時，MiniTool Power Data Recovery 給了我最好的結果，但免費版本有限制。

Answer