Comment restaurer des fichiers de lecteur de stylet USB après la réparation de Lodbak.gen! Lnk / autorun.gen infection?
J'ai essayé d'avoir des cartes d'affaires imprimées à une imprimerie locale hier, qui a demandé les fichiers sur un stylo USB. Grosse erreur. Je suis sorti avec un tas absurde de logiciels malveillants qui (heureusement) Windows Security Essentials (Windows 7) rapidement repérés et nettoyés:
(C'est Sality.AU, Lodbak.gen! Lnk, Autorun.gen, Macoute.A, Sacanph.A)
Je pense qu'ils sont tous supprimés ou mis en quarantaine, et j'ai analysé le seul ordinateur pour avoir pris contact avec ce lecteur. Le problème est que le contenu de mon stylo USB ressemble à ceci:
- Comment puis-je bas niveau formatez un lecteur USB?
- Est-il possible d'exécuter un flux de travail Automator lorsqu'un périphérique USB est connecté?
- Pourquoi le débranchement de mon lecteur USB entraîne-t-il un écran bleu?
- Empêcher une partition sur un lecteur USB auto-montage dans Linux
- Windows 7 Professional ne monte plus mon lecteur flash usb
Ce premier faux lecteur sans nom de l'utilisateur semble être l'endroit où sont tous mes fichiers, à en juger par sa taille (12 Go) et par le fait que, lorsque Security Essentials était en train de scanner le lecteur, je pouvais voir mes anciens fichiers derrière un chemin impair Comme d:\ \my folder\myfile.pdf (notez l'espace) ainsi que des copies de logiciels malveillants, supprimées comme d:\my folder\myfile.exe
Je ne prévois pas de l'ouvrir car j'imagine que cela fait partie de la propagation de ce virus. La plupart des fichiers ont des copies de sauvegarde, mais il y a quelques fichiers que je n'ai reçu que très récemment et qui n'ont pas encore été sauvegardés, auxquels j'aimerais avoir accès.
J'ai essayé: en utilisant ATTRIB -H -R -S /S /DD:\ ou ATTRIB -H -R -S /S /DD: comme suggéré sur cette page , et en utilisant dir pour parcourir le lecteur, mais les deux avaient un impair Résultats – il est conscient que la clé USB est là et identifie correctement le fabricant, mais indique "Fichier introuvable" en essayant d'y accéder:
De plus, je peux enregistrer de nouveaux fichiers sur le lecteur de stylet, mais la ligne de commande résiste à l'utilisation de cd . Voici quelques tests après la création d'un répertoire appelé test – lorsque je cd à un emplacement valide, il se réveille silencieusement lorsque je cd à un emplacement non valide, il me dit:
Existe-t-il un moyen de (sans risque) de déballer ce faux lecteur dans un lecteur, ou de naviguer en toute sécurité pour récupérer des fichiers spécifiques?
Ensuite, après avoir récupéré ces fichiers spécifiques, mon plan consiste à formater le lecteur et à exécuter une autre analyse complète de l'ordinateur, au cas où.
Et évidemment, dans le futur bâton pour les magasins d'impression qui prennent des fichiers par courrier électronique ou un lien Web comme dropbox …
Aussi, j'ai mis Lodbak.gen! Lnk et Autorun.gen dans le titre parce que je crois que c'est l'un de ceux qui est le spécifique qui a créé le drive-in-a-drive – probablement Lodbak à en juger à partir de la description – mais je pourrais être faux. Veuillez corriger si je le suis.
- Qu'en est-il de ce lecteur de clé USB de 64 Go qui apparaît comme deux disques?
- Quelle est la différence entre la gravure d'un ISO et la copie du contenu d'un DVD?
- Espace utilisé sur un lecteur flash formaté "vide"
- Monter une deuxième partition d'un lecteur USB sur Windows
- Comment retirer la protection en écriture contre le stylo à bille Crossjet Sandisk Cruzer?
Ma suggestion devrait d'abord essayer de renommer le dossier qui ressemble à un lecteur, qui peut, par exemple, être effectué par Explorer en le mettant en surbrillance et en appuyant sur F2. Peut-être que cela permettra de créer un CD et de voir les fichiers.
Si cela ne le résout pas, je suggérerais d'examiner les autorisations du dossier et de vous assurer que votre utilisateur est le propriétaire des fichiers, à partir d'un compte d'administrateur. La raison en est que si vous n'êtes pas le propriétaire, peut-être c'est pourquoi attrib échoue? Vous devriez pouvoir trouver et modifier les autorisations d'un compte administrateur en cliquant avec le bouton droit sur le dossier et en choisissant Propriétés-> Sécurité-> Avancé-> Propriétaire.
Plus d'informations sur la façon de procéder: http://technet.microsoft.com/en-us/library/cc753659.aspx
Une autre idée serait d'essayer d'obtenir les fichiers via un outil de récupération de fichiers. Il semble que Piriform possède une version gratuite de Recuva , que vous pouvez accéder ici: https://www.piriform.com/recuva
Edit: En ce qui concerne le problème de cd , grâce au commentaire de dave_thompson_085, lorsque vous souhaitez passer à une partition différente, comme d: :, vous devez d'abord écrire simplement
ré:
… c'est sans cd à l'avant, après quoi vous pouvez utiliser le cd pour traverser les différents dossiers sur cette partition.
J'ai littéralement ce qui m'arrive plus d'une centaine de fois et c'est toujours quand je branche mon lecteur USB dans un ordinateur à un cybercafé ou à un ordinateur de bibliothèque, etc. C'est ridiculement facile à réparer.
Vous avez eu raison d'exécuter attrib -s -h -r /s /d . C'est tout ce que vous devez faire ici. Vous pouvez également exécuter del /F /S /Q desktop.ini (après avoir exécuté la première commande) pour supprimer toutes les personnalisations de dossier (par exemple, un dossier qui ressemble à une partition de disque dur)
Avant d'exécuter l'une ou l'autre commande, vous devez exécuter ceci: cd /d X: (où X est la lettre de lecteur affectée à votre lecteur de stylo)
Il est également tout à fait sûr d'explorer le dossier sans nom (c'est-à-dire le Dossier) tant que vous ne cliquez sur rien de suspect intérieur, comme un fichier exécutable, vous ne vous souvenez pas de copier, un .BAT, .SCR, .COM, un script .VBS , XLS suspects , fichiers PDF, DOCX , etc. )
Parfois, vous rencontrez une infection de ver, un fichier exécutable qui fait plusieurs copies de lui-même, ressemble à une icône de dossier et renomme chacune de ses copies pour ressembler à des dossiers légitimes déjà présents sur votre lecteur de stylet.
Il est tout à fait facile de supprimer cela aussi, même si vous n'avez pas installé un antivirus. Je préfère naviguer vers la racine du stylo et entrer *.exe size: xxx dans la zone de recherche où xxx est la taille exacte du fichier exécutable en octets. Cela devrait vous donner une liste de tous les logiciels exécutables de logiciels malveillants sur votre lecteur de stylet que vous pouvez supprimer en toute sécurité. Vous devez donc faire preuve de prudence, car il existe une chance (mince) que vous ayez des fichiers exécutables légitimes sur votre lecteur de stylo de la même taille que les logiciels malveillants.
EDIT: Je n'ai personnellement eu aucun problème avec les logiciels malveillants en changeant les autorisations de fichier / dossier, mais vous ne le savez jamais, de sorte que vous pouvez également exécuter les deux commandes suivantes (après avoir exécuté cd /d X: :
takeown /r /f X:\* icacls X:\* /T /L /Q /C /RESET
X est la lettre de lecteur attribuée à votre lecteur de stylo.
La première et la plus importante étape consiste à éviter tout écrit sur l'USB. Cela signifie que vous ne supprimez rien de l'USB, ne renommez rien sur l'USB, ne déplacez aucun fichier sur l'USB, n'utilisez pas chkdsk sur l'USB. Période. Chaque fois que vous écrivez sur le lecteur, vous êtes en train d'écraser et de détruire en permanence les anciennes données existantes que vous souhaitez enregistrer!
Selon l'importance des données sur le lecteur, avant toute autre chose, créez un clone d'octet par octet du lecteur. Utilisation de dd pour Windows :
dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat
Maintenant, vous pouvez exécuter un logiciel de récupération de fichiers sur la partition, comme Recuva et PhotoRec gratuits. Des outils plus avancés existent comme EasyRecovery Professional et des utilitaires spécifiques à NTFS, mais ils sont payés et plus anciens (pas récemment mis à jour ou développés) alors que Recuva et PhotoRec / TestDisk ont connu beaucoup de développement et d'améliorations au cours des dernières années.
Vous avez déjà fait beaucoup d'écriture et de modifications au système de fichiers après avoir perdu vos fichiers, donc les fichiers sont corrompus. Recuva et photorec vous montreront la probabilité de récupérer correctement un fichier et sa quantité est endommagée ou écrasée. J'espère que les fichiers que vous appréciez le plus sont toujours là.
Je fais toujours face à cette situation lorsque je branche mon lecteur Flash dans le PC des autres.
Je vous recommande USB Show
Ouvrez USB Show et sélectionnez votre lecteur. Il affichera tous les dossiers et fichiers cachés. Vous aurez toujours le dossier "/". Lancez le dossier "/" et copiez tous les dossiers et fichiers vers la racine de votre lecteur Flash. J'espère que cela aide.
Je pense que votre structure de dossier sur le stick est en mauvaise forme, et le problème est plus grave que tout un tas de fichiers cachés.
Je suggère donc de traiter votre USB comme cassé, en utilisant des utilitaires de récupération de données, plutôt que des utilitaires Windows standard, pour récupérer les données.
Si vous parvenez à retirer les données, reformatez le stick avant de l'utiliser à nouveau (au cas où), et analysez en profondeur les fichiers récupérés avant d'ouvrir l'un d'entre eux, avec votre antivirus et avec Malwarebytes Anti-Malware .
Une revue des utilitaires gratuits de récupération de données peut être trouvée sur la Meilleure utilité de récupération de données et de suppression de fichiers , qui comprend les utilitaires suivants:
MiniTool Power Data Recovery
Recuva
TestDisk
PC Inspector File Recovery
D'autres utilitaires de ce genre sont mentionnés dans la section des commentaires.
MiniTool Power Data Recovery m'a donné les meilleurs résultats lorsque j'avais un disque cassé, mais la version gratuite est limitée.
Il est possible que d'autres systèmes d'exploitation n'aient pas de problème pour accéder aux fichiers de votre clé USB. Le redémarrage de votre ordinateur avec un CD Ubuntu dans le bac serait un moyen inoffensif de vérification et, en supposant qu'il fonctionne, vous pouvez copier les fichiers que vous souhaitez garder sur votre disque local.
Pendant que vous êtes dans l'environnement en direct, vous pouvez utiliser le gestionnaire de partition dans Ubuntu pour configurer une nouvelle table de partition pour la mémoire. De cette façon, il est peu probable que toutes les partitions cachées (que le virus ait pu créer) restent après que vous l'avez formé.
- Mise en place d'une installation de démarrage de Windows 7 depuis Fedora
- Comment puis-je installer Linux sur un disque flash avec système de fichiers NTFS?
- Comment accéder aux fichiers sur une clé USB après avoir démarré à partir de cette clé USB?
- Supprimez la protection d'écriture contre USB
- Table de partage corrompue (lecteur flash USB)
- Windows 8 pagefile sur usb FLASH
- Les noms des fichiers dans le lecteur de stylo sont devenus un texte flottant
- Que se passe-t-il lorsque le flash fonctionne?
- Combien de fois les données peuvent-elles être lues à partir d'un lecteur flash USB?
- Vous recherchez une solution de chiffrement USB Thumbdrive / Flash Drive (pas TrueCrypt)