昨天,我试图在当地一家印刷店打印一些名片,他们要求将文件放在 USB 笔式驱动器上。这是一个大错误。我得到了一堆荒谬的恶意软件,幸运的是,Windows Security Essentials(Windows 7)很快就发现并清除了这些恶意软件:
(即 Sality.AU、Lodbak.gen!lnk、Autorun.gen、Macoute.A、Sacanph.A)
我认为它们都被删除或隔离了,并且我对唯一接触过此驱动器的计算机进行了扫描。问题是,我的 USB 笔式驱动器的内容现在如下所示:
从第一个无名的假驱动器中驱动器的大小(12GB)来看,它似乎是我所有文件所在的位置,而且当 Security Essentials 扫描驱动器时,我可以看到我的旧文件位于一个奇怪的路径后面d:\ \my folder\myfile.pdf
(注意空格),以及它删除的恶意软件副本,例如d:\my folder\myfile.exe
我不打算打开它,因为我认为这是病毒传播的一部分。大多数文件都有备份,但有一些文件是我最近才收到的,还没有备份,我想访问它们。
我试过了:使用ATTRIB -H -R -S /S /D D:\
或ATTRIB -H -R -S /S /D D:
作为在此页面上建议,并使用dir
浏览驱动器,但两者都得到了奇怪的结果——它知道 USB 驱动器在那里并正确识别制造商,但在尝试访问它时显示“未找到文件”:
另外,我可以将新文件保存到 U 盘,但命令行拒绝cd
输入。以下是在创建名为test
- 的目录后进行的一些测试。当我cd
输入到有效位置时,它只是默默地弹出,当我cd
输入到无效位置时,它会告诉我:
有没有什么方法可以(安全地)解压那个假的驱动器内驱动器,或者安全地在其中导航以检索特定文件?
然后,在检索这些特定文件后,我的计划是格式化驱动器并对计算机进行另一次完整扫描,以防万一。
显然,未来印刷店将坚持通过电子邮件或网络链接(如 Dropbox)获取文件...
另外,我在标题中加入了 Lodbak.gen!lnk 和 Autorun.gen,因为我相信它是创建驱动器中的驱动器的特定程序之一 - 从描述来看可能是 Lodbak - 但我也可能是错的。如果我错了,请纠正。
答案1
我的建议是首先尝试重命名看起来像驱动器的文件夹,例如,可以通过从 Explorer 中突出显示它并按 F2 来完成。也许这样就可以使用 CD 进入该文件夹并查看文件。
如果这不能解决问题,我建议查看文件夹权限,并确保您的用户是文件的所有者(从管理员帐户)。原因是,如果您不是所有者,也许这就是原因属性失败了?您应该能够通过右键单击文件夹并选择属性->安全->高级->所有者。
有关如何执行此操作的更多信息:http://technet.microsoft.com/en-us/library/cc753659.aspx
另一个想法是尝试通过文件恢复工具获取文件。看起来 Piriform 有一个免费版本的雷库瓦,您可以在这里获取:https://www.piriform.com/recuva
编辑:至于cd
'ing 问题,感谢 dave_thompson_085 的评论,当你想更改为不同的分区(例如)时d:
,你首先需要写入
d:
...即没有cd
前面的内容,之后您可以使用cd
它来遍历该分区上的不同文件夹。
答案2
我确实遇到过一百多次这种情况,而且总是在我将拇指驱动器插入网吧或图书馆计算机等的计算机时发生。不过修复它却非常容易。
你说得对,跑步attrib -s -h -r /s /d
。这几乎就是您需要做的全部操作。您还可以运行del /F /S /Q desktop.ini
(运行第一个命令后)删除所有文件夹自定义(例如,看起来像硬盘分区的文件夹)
在运行任一命令之前,您应该运行以下命令:cd /d X:
(在哪里X是分配给您的 U 盘的驱动器号)
探索没有名称的文件夹(即文件
夹)也是完全安全的,只要你不点击里面任何可疑的东西,比如你不记得复制过的可执行文件、.BAT、.SCR、.COM、.VBS剧本,可疑XLS、PDF、DOCX文件等)
有时您会遇到蠕虫感染,即可执行文件会自我复制数份,看起来像文件夹图标,并将每个副本重命名为看起来像您的 U 盘上已存在的合法文件夹。
即使你没有安装防病毒软件,删除它也相当容易。我更喜欢导航到 U 盘的根目录并输入*.exe size: xxx
在搜索框中xxx是可执行文件的确切大小(以字节为单位)。这将为您提供 U 盘上所有可以安全删除的恶意软件可执行文件的列表。不过,您必须谨慎行事,因为您的 U 盘上可能存在与恶意软件大小相同的合法可执行文件(可能性很小)。
编辑:我个人从未遇到过恶意软件更改文件/文件夹权限的问题,但你永远不知道,所以你也可以运行以下两个命令(在运行cd /d X:
):
takeown /r /f X:\*
icacls X:\* /T /L /Q /C /RESET
X是分配给您的笔式驱动器的驱动器号。
答案3
第一个也是最重要的一步是暂停写作任何事物到 USB。这意味着不要从 USB 中删除任何内容,不要重命名 USB 上的任何内容,不要移动 USB 上的任何文件,不要在 USB 上运行 chkdsk。就这样。任何时候在驱动器上写入,您都可能永久覆盖并销毁您希望保存的旧的、现有的数据!
根据驱动器上数据的重要性,首先创建驱动器的逐字节克隆。使用dd(适用于 Windows):
dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat
现在,您可以在分区上运行文件恢复软件,例如免费的雷库瓦和相簿。有更先进的工具,如 EasyRecovery Professional 和 NTFS 特定的实用程序,但它们是付费的并且较旧(最近没有更新或开发),而 Recuva 和 PhotoRec/TestDisk 近年来已经有了很大的发展和改进。
在丢失文件后,您已经对文件系统进行了大量写入和修改,因此您的文件可能已损坏。Recuva 和 photorec 都会向您显示正确恢复文件的概率以及文件损坏或覆盖的程度。希望您最珍贵的文件仍在那里。
答案4
我认为你设备上的文件夹结构很糟糕,问题比一堆隐藏文件更严重。
因此,我建议您将 USB 视为损坏的设备,使用数据恢复实用程序(而不是标准 Windows 实用程序)来恢复数据。
如果你确实设法从中恢复了数据,请在再次使用之前重新格式化该设备(以防万一),并在打开任何恢复的文件之前使用防病毒软件和 Malwarebytes 反恶意软件。
关于免费数据恢复实用程序的评论可以在 最佳免费数据恢复和文件恢复实用程序,其中包括以下实用程序:
MiniTool 电源数据恢复
雷库瓦
测试磁盘
PC 检查器文件恢复
评论部分提到了更多类似的实用程序。
当我的磁盘损坏时,MiniTool Power Data Recovery 给了我最好的结果,但免费版本有限制。