昨天我試著在當地一家印刷店印製一些名片,他們要求將文件放在 USB 隨身碟上。大錯。我得到了一堆荒謬的惡意軟體,(幸運的是)Windows Security Essentials (Windows 7) 很快就發現並清理了這些惡意軟體:
(即 Sality.AU、Lodbak.gen!lnk、Autorun.gen、Macoute.A、Sacanph.A)
我認為它們都已被刪除或隔離,並且我已經對唯一與該驅動器接觸過的電腦進行了掃描。問題是,我的 USB 隨身碟的內容現在如下所示:
從它的大小(12GB)來看,第一個無名的假磁碟機中的磁碟機似乎就是我所有檔案所在的地方,當 Security Essentials 掃描磁碟機時,我可以看到我的舊檔案位於奇怪的路徑後面就像d:\ \my folder\myfile.pdf
(注意空格)以及它刪除的惡意軟體副本一樣d:\my folder\myfile.exe
我不打算打開它,因為我想這是這種病毒傳播方式的一部分。大多數文件都有備份副本,但有一些我最近才得到的文件尚未備份,我想訪問這些文件。
我試過了:使用ATTRIB -H -R -S /S /D D:\
或ATTRIB -H -R -S /S /D D:
作為此頁面上建議的,並使用dir
瀏覽驅動器,但兩者都有奇怪的結果 - 它知道 USB 記憶棒在那裡並正確識別製造商,但在嘗試訪問它時卻顯示“文件未找到”:
另外,我可以將新檔案儲存到筆式驅動器,但命令列拒絕cd
這樣做。創建一個名為的目錄後進行了一些測試test
- 當我cd
到達有效位置時,它只是默默地彈開,當我cd
到達無效位置時,它告訴我:
有什麼方法可以(安全地)解壓縮那個假驅動器中的驅動器,或者安全地在其中導航以檢索特定文件?
然後,在檢索這些特定文件後,我的計劃是格式化磁碟機並再次對電腦進行全面掃描,以防萬一。
顯然,將來堅持使用透過電子郵件或網路連結(例如 dropbox)獲取文件的印刷店...
另外,我將 Lodbak.gen!lnk 和 Autorun.gen 放在標題中,因為我相信它是創建驅動器內驅動器的特定驅動器之一 - 從描述來看可能是 Lodbak - 但我可能是錯的。如果我是的話請糾正。
答案1
我的建議首先是嘗試重新命名看起來像驅動器的資料夾,例如,可以透過反白顯示該資料夾並按 F2 從資源管理器中完成此操作。也許這樣就可以將 CD 放入其中並查看文件。
如果這不能解決問題,我建議您查看資料夾權限,並確保您的使用者是管理員帳戶中檔案的擁有者。原因是,如果你不是所有者,也許這就是原因屬性失敗?您應該能夠透過右鍵單擊資料夾並選擇從管理員帳戶尋找並更改權限屬性->安全性->高級->所有者。
有關如何執行此操作的更多資訊:http://technet.microsoft.com/en-us/library/cc753659.aspx
另一個想法是嘗試透過文件恢復工具來獲取文件。看起來 Piriform 有免費版本雷庫瓦,您可以在這裡獲取:https://www.piriform.com/recuva
編輯:至於cd
'ing 問題,由 dave_thompson_085 的評論提供,當您想要更改為不同的分區(例如 )時d:
,您首先需要編寫
d:
....前面沒有cd
,之後您可以使用cd
它來遍歷該分割區上的不同資料夾。
答案2
我確實遇到過這種情況一百多次,而且總是當我將拇指驅動器插入網吧或圖書館計算機等的計算機時出現。
你對跑步的看法是對的attrib -s -h -r /s /d
。這幾乎就是您在這裡需要做的全部事情。你還可以運行del /F /S /Q desktop.ini
(執行第一個命令後)刪除所有資料夾自訂(例如看起來像硬碟分割區的資料夾)
在執行任一命令之前,您應該執行以下命令:cd /d X:
(在哪裡X是指派給您的筆式磁碟機的磁碟機號)
探索沒有名稱的資料夾(即資料
夾)也是完全安全的,只要您不單擊裡面的任何可疑內容,例如您不記得複製過的可執行文件,.BAT、.SCR、.COM、.VBS腳本,可疑XLS、PDF、DOCX文件等)
有時您會遇到蠕蟲病毒感染,這是一個可執行文件,它會製作多個自身副本,看起來像一個文件夾圖標,並將其每個副本重命名為看起來像您的筆式驅動器上已經存在的合法文件夾。
即使您沒有安裝防毒軟體,刪除它也很容易。我更喜歡導航到筆式驅動器的根目錄並輸入*.exe size: xxx
進入搜尋框,其中xxx是可執行檔的確切大小(以位元組為單位)。這將為您提供隨身碟上可以安全刪除的所有惡意軟體可執行檔的清單。不過,您在這裡必須小心謹慎,因為您的隨身碟上有一個(很小)的機會,其中有與惡意軟體大小相同的合法可執行檔。
編輯:我個人從未遇到過惡意軟體更改檔案/資料夾權限的問題,但你永遠不知道,所以你也可以執行以下兩個命令(在運行之後cd /d X:
):
takeown /r /f X:\*
icacls X:\* /T /L /Q /C /RESET
X是指派給您的筆式磁碟機的磁碟機號碼。
答案3
第一步也是最重要的一步是延後寫作任何事物到 USB。這意味著不要從 USB 中刪除任何內容、不要重命名 USB 上的任何內容、不要移動 USB 上的任何檔案、不要在 USB 上執行 chkdsk。時期。每當您在驅動器上寫入時,您都可能永久覆蓋和銷毀您想要保存的較舊的現有資料!
根據磁碟機上資料的重要性,首先建立磁碟機的逐位元組克隆。使用適用於 Windows 的 dd:
dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat
現在您可以在分割區上執行檔案復原軟體,例如免費的雷庫瓦和攝影記錄。有更高級的工具,例如 EasyRecovery Professional 和特定於 NTFS 的實用程序,但它們是付費的且較舊(最近沒有更新或開發),而 Recuva 和 PhotoRec/TestDisk 近年來已經有了很多開發和改進。
在遺失檔案後,您已經對檔案系統進行了大量寫入和修改,因此您的檔案有可能已損壞。 Recuva 和 photorec 都會向您顯示正確恢復檔案的可能性以及檔案被損壞或覆蓋的程度。希望您最珍惜的文件仍然存在。
答案4
我認為你的棒上的資料夾結構狀況不佳,問題比一堆隱藏檔案更嚴重。
因此,我建議您將 USB 視為損壞,使用資料復原實用程式(而不是標準 Windows 實用程式)來復原資料。
如果您確實設法從中獲取了數據,請在再次使用之前重新格式化該棒(以防萬一),並在打開任何恢復的文件之前使用防病毒軟體和工具對恢復的文件進行深度掃描 Malwarebytes 反惡意軟體。
可以在以下位置找到免費資料恢復實用程式的評論 最佳免費資料恢復和檔案取消刪除實用程式,其中包括以下實用程式:
MiniTool電源資料恢復
雷庫瓦
測試磁碟
PC 檢查器檔案恢復
評論部分提到了更多這樣的實用程式。
當我的磁碟損壞時,MiniTool Power Data Recovery 給了我最好的結果,但免費版本有限制。