Como restaurar alguns arquivos USB pen drive após a correção da infecção por Lodbak.gen! lnk / autorun.gen?

2

Eu tentei imprimir alguns cartões de visita em uma gráfica local ontem, que pediu os arquivos no pen drive USB. Grande erro. Eu saí com uma pilha absurda de malware que (felizmente) o Windows Security Essentials (Windows 7) rapidamente detectou e limpou:

(éSality.AU,Lodbak.gen!lnk,Autorun.gen,Macoute.A,Sacanph.A)

Achoquetodoselesforamremovidosoucolocadosemquarentenaefizumaverificaçãodoúnicocomputadorqueentrouemcontatocomessaunidade.OproblemaéqueoconteúdodaminhapendriveUSBagoraestáassim:

Esseprimeirodrive-in-a-drivefalsosemnomepareceserondeestãotodososmeusarquivos,ajulgarpeloseutamanho(12GB)epelofatodeque,quandooSecurityEssentialsestavaexaminandoaunidade,eupodiavermeusarquivosantigosumcaminhoestranhocomod:\\myfolder\myfile.pdf(observeoespaço),bemcomocópiasdemalwareremovidascomod:\myfolder\myfile.exe

Nãoestouplanejandoabri-lo,poisimaginoqueissosejapartedecomoessevírussepropaga.Amaioriadosarquivostemcópiasdebackup,masháalgunsarquivosqueeusórecebirecentementeequeaindanãoforamsubmetidosabackup,aosquaisgostariadeteracesso.

Eutentei:usandoATTRIB-H-R-S/S/DD:\ouATTRIB-H-R-S/S/DD:como sugerido nesta página , e usando dir para navegar na unidade, mas ambos tiveram resultados estranhos - está ciente de que o pen drive USB está lá e corretamente identifica o fabricante, mas diz "Arquivo não encontrado" ao tentar acessá-lo:

Alémdisso,possosalvarnovosarquivosnopendrive,masalinhadecomandoresisteacding.Aquiestãoalgunstestesdepoisdecriarumdiretóriochamadotest-quandoeucdparaumlocalválido,eleésilenciosamenterefletido,quandoeucdparaumlocalinválido,elemediz:

Existe alguma maneira de (com segurança) descompactar a unidade-dentro-de-uma-unidade ou navegá-la com segurança para recuperar arquivos específicos?

Em seguida, depois de recuperar esses arquivos específicos, meu plano é formatar a unidade e executar outra verificação completa do computador, apenas por precaução.

E, obviamente, no futuro, coloquem-se em gráficas que recebem arquivos por e-mail ou link da web como dropbox ...

Além disso, coloquei Lodbak.gen! lnk e Autorun.gen no título porque acredito que é um daqueles que é o específico que criou o drive-in-a-drive - provavelmente Lodbak a julgar pela descrição - mas Eu poderia estar errado. Por favor, corrija se eu sou.

    
por user568458 15.09.2015 / 10:28

6 respostas

1

Minha sugestão seria primeiro tentar renomear a pasta que se parece com uma unidade, que pode, por exemplo, ser feita a partir do Explorer, destacando-a e pressionando F2. Talvez isso torne possível o CD e veja os arquivos.

Se isso não resolver, sugiro dar uma olhada nas permissões da pasta e garantir que o usuário seja o proprietário dos arquivos, a partir de uma conta de administrador. A razão é que, se você não é o dono, talvez seja por isso que attrib falha? Você deve encontrar e alterar as permissões de uma conta de administrador clicando com o botão direito do mouse na pasta e escolhendo Propriedades- > Segurança- > Avançado- > Proprietário.
Mais informações sobre como fazer isso: link

Outra ideia seria tentar obter os arquivos por meio de uma ferramenta de recuperação de arquivos. Parece que o Piriform tem uma versão gratuita do Recuva , que você pode obter aqui: link

Editar: Quanto ao problema de cd ', cortesia do comentário de dave_thompson_085, quando você deseja mudar para uma partição diferente, como d: , primeiro precisa escrever apenas

d:

... isto é, sem cd na frente, após o qual você pode usar cd para percorrer as diferentes pastas nessa partição.

    
por 19.09.2015 / 19:58
3

Eu literalmente tive isso acontecendo comigo mais de cem vezes e é sempre quando eu conecto meu pen drive em um computador em um cyber café ou em um computador de biblioteca, etc. É ridiculamente fácil de consertar.

Você estava certo sobre a execução de attrib -s -h -r /s /d . Isso é praticamente tudo que você precisa fazer aqui. Você também pode executar del /F /S /Q desktop.ini (depois de executar o primeiro comando) para remover todas as personalizações de pastas (por exemplo, uma pasta que se parece com uma partição do disco rígido)

Antes de executar um dos comandos, você deve executar isto: cd /d X: (onde X é a letra da unidade atribuída ao seu pen drive)

Também é completamente seguro explorar a pasta sem nome (ou seja, a pasta   ), desde que você não clique em nada suspeito, como um arquivo executável que você não se lembra de copiar, um Roteiro .BAT, .SCR, .COM, .VBS , arquivos XLS, PDF, DOCX , etc.)

Às vezes, você encontra uma infecção por worm, um arquivo executável que faz várias cópias de si mesmo, parece um ícone de pasta e renomeia cada uma de suas cópias para parecer pastas legítimas já presentes no seu pen drive.

É muito fácil remover isso também, mesmo que você não tenha um antivírus instalado. Eu prefiro navegar para a raiz do pen drive e digite *.exe size: xxx na caixa de pesquisa onde xxx é o tamanho exato do arquivo executável em bytes. Isso deve fornecer uma lista de todos os executáveis de malware em seu pen drive que você pode excluir com segurança. Você deve ter cuidado aqui, porque há uma (pequena) chance de ter arquivos executáveis legítimos no seu pen drive que tenham o mesmo tamanho do malware.

EDIT: Eu nunca tive problemas com o malware alterando permissões de arquivo / pasta, mas você nunca sabe, então você também pode executar os dois comandos a seguir (depois de executar %)cd /d X: ):

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

X é a letra da unidade atribuída ao seu pen drive.

    
por 22.09.2015 / 00:14
1

O primeiro e mais importante passo é evitar escrever qualquer coisa ao USB. Isso significa que não apague nada do USB, não renomeie nada no USB, não mova nenhum arquivo no USB, não execute o chkdsk no USB. Período. Toda vez que você escreve na unidade, você está potencialmente substituindo permanentemente e destruindo os dados antigos existentes que deseja salvar!

Dependendo da importância dos dados na unidade, antes de mais nada, crie um clone byte a byte da unidade. Usando o dd para Windows :

dd if=\?\Device\Harddisk1\Partition0 of=backup.dat

Agora você pode executar o software de recuperação de arquivos na partição, como o Recuva e PhotoRec . Existem ferramentas mais avançadas, como o EasyRecovery Professional e utilitários específicos do NTFS, mas são pagos e mais antigos (não atualizados ou desenvolvidos recentemente), enquanto o Recuva e o PhotoRec / TestDisk tiveram muito desenvolvimento e melhorias nos últimos anos.

Você já fez muita escrita e modificações no sistema de arquivos depois de perder seus arquivos, então há uma chance de seus arquivos estarem corrompidos. Recuva e photorec mostrarão a probabilidade de recuperar um arquivo e quanto dele está danificado ou sobrescrito. Espero que os arquivos que você mais valoriza ainda estejam lá.

    
por 22.09.2015 / 00:24
0

Sempre enfrento essa situação quando conecto meu Flash Drive ao PC de outras pessoas.

Eu recomendo que você USB Show

Abra USB Show e selecione sua unidade. Ele mostrará todas as pastas e arquivos ocultos. Você ainda terá a pasta "/". Vá para a pasta "/" e copie todas as pastas e arquivos para a raiz do seu Flash Drive. Espero que ajude.

    
por 19.09.2015 / 15:30
0

Eu acho que sua estrutura de pastas está em má forma e o problema é mais sério do que apenas um monte de arquivos ocultos.

Sugiro, portanto, que você trate seu USB como quebrado, usando a recuperação de dados utilitários, em vez de utilitários padrão do Windows, para recuperar os dados.

Se você conseguir retirar os dados, reformatar o stick antes de usá-lo novamente (apenas no caso), e escaneie profundamente os arquivos recuperados antes de abrir qualquer um deles, com o seu anti-vírus e com Malwarebytes Anti-Malware .

Uma revisão dos utilitários gratuitos de recuperação de dados pode ser encontrada em Melhor Recuperação Gratuita de Dados e Utilitário de Exclusão de Arquivos, , que inclui os seguintes utilitários:

MiniTool Power Data Recovery
Recuva
TestDisk
Recuperação de arquivos do PC Inspector

Alguns desses utilitários são mencionados na seção de comentários.

O MiniTool Power Data Recovery me deu os melhores resultados quando eu tinha um disco quebrado, mas a versão gratuita é limitada.

    
por 19.09.2015 / 19:44
0

Há uma chance de que outros sistemas operacionais não tenham problemas para acessar os arquivos em seu cartão de memória. Reinicializar seu computador com um CD do Ubuntu na bandeja seria uma maneira inofensiva de verificar e, supondo que funcione, você pode copiar os arquivos que deseja manter em seu disco local.

Enquanto você está no ambiente ao vivo, você pode usar o gerenciador de partições no Ubuntu para configurar uma nova tabela de partições para o cartão de memória. Dessa forma, há menos chance de que quaisquer partições ocultas (que o vírus possa ter criado) permaneçam depois que você as tenha formatado.

    
por 19.09.2015 / 21:18