修复 Lodbak.gen!lnk / autorun.gen 感染后，如何恢复一些 USB 笔式驱动器文件？

Question 1

我的建议是首先尝试重命名看起来像驱动器的文件夹，例如，可以通过从 Explorer 中突出显示它并按 F2 来完成。也许这样就可以使用 CD 进入该文件夹并查看文件。

如果这不能解决问题，我建议查看文件夹权限，并确保您的用户是文件的所有者（从管理员帐户）。原因是，如果您不是所有者，也许这就是原因属性失败了？您应该能够通过右键单击文件夹并选择属性->安全->高级->所有者。
有关如何执行此操作的更多信息：http://technet.microsoft.com/en-us/library/cc753659.aspx

另一个想法是尝试通过文件恢复工具获取文件。看起来 Piriform 有一个免费版本的雷库瓦，您可以在这里获取：https://www.piriform.com/recuva

编辑：至于cd'ing 问题，感谢 dave_thompson_085 的评论，当你想更改为不同的分区（例如）时d:，你首先需要写入

d：

...即没有cd前面的内容，之后您可以使用cd它来遍历该分区上的不同文件夹。

Answer

我的建议是首先尝试重命名看起来像驱动器的文件夹，例如，可以通过从 Explorer 中突出显示它并按 F2 来完成。也许这样就可以使用 CD 进入该文件夹并查看文件。

如果这不能解决问题，我建议查看文件夹权限，并确保您的用户是文件的所有者（从管理员帐户）。原因是，如果您不是所有者，也许这就是原因属性失败了？您应该能够通过右键单击文件夹并选择属性->安全->高级->所有者。
有关如何执行此操作的更多信息：http://technet.microsoft.com/en-us/library/cc753659.aspx

另一个想法是尝试通过文件恢复工具获取文件。看起来 Piriform 有一个免费版本的雷库瓦，您可以在这里获取：https://www.piriform.com/recuva

编辑：至于cd'ing 问题，感谢 dave_thompson_085 的评论，当你想更改为不同的分区（例如）时d:，你首先需要写入

d：

...即没有cd前面的内容，之后您可以使用cd它来遍历该分区上的不同文件夹。

Question 2

我确实遇到过一百多次这种情况，而且总是在我将拇指驱动器插入网吧或图书馆计算机等的计算机时发生。不过修复它却非常容易。

你说得对，跑步attrib -s -h -r /s /d。这几乎就是您需要做的全部操作。您还可以运行del /F /S /Q desktop.ini（运行第一个命令后）删除所有文件夹自定义（例如，看起来像硬盘分区的文件夹）

在运行任一命令之前，您应该运行以下命令：cd /d X:（在哪里X是分配给您的 U 盘的驱动器号）

探索没有名称的文件夹（即文件夹）也是完全安全的，只要你不点击里面任何可疑的东西，比如你不记得复制过的可执行文件、.BAT、.SCR、.COM、.VBS剧本，可疑XLS、PDF、DOCX文件等）

有时您会遇到蠕虫感染，即可执行文件会自我复制数份，看起来像文件夹图标，并将每个副本重命名为看起来像您的 U 盘上已存在的合法文件夹。

即使你没有安装防病毒软件，删除它也相当容易。我更喜欢导航到 U 盘的根目录并输入*.exe size: xxx在搜索框中xxx是可执行文件的确切大小（以字节为单位）。这将为您提供 U 盘上所有可以安全删除的恶意软件可执行文件的列表。不过，您必须谨慎行事，因为您的 U 盘上可能存在与恶意软件大小相同的合法可执行文件（可能性很小）。

编辑：我个人从未遇到过恶意软件更改文件/文件夹权限的问题，但你永远不知道，所以你也可以运行以下两个命令（在运行cd /d X:)：

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

X是分配给您的笔式驱动器的驱动器号。

Answer

我确实遇到过一百多次这种情况，而且总是在我将拇指驱动器插入网吧或图书馆计算机等的计算机时发生。不过修复它却非常容易。

你说得对，跑步attrib -s -h -r /s /d。这几乎就是您需要做的全部操作。您还可以运行del /F /S /Q desktop.ini（运行第一个命令后）删除所有文件夹自定义（例如，看起来像硬盘分区的文件夹）

在运行任一命令之前，您应该运行以下命令：cd /d X:（在哪里X是分配给您的 U 盘的驱动器号）

探索没有名称的文件夹（即文件夹）也是完全安全的，只要你不点击里面任何可疑的东西，比如你不记得复制过的可执行文件、.BAT、.SCR、.COM、.VBS剧本，可疑XLS、PDF、DOCX文件等）

有时您会遇到蠕虫感染，即可执行文件会自我复制数份，看起来像文件夹图标，并将每个副本重命名为看起来像您的 U 盘上已存在的合法文件夹。

即使你没有安装防病毒软件，删除它也相当容易。我更喜欢导航到 U 盘的根目录并输入*.exe size: xxx在搜索框中xxx是可执行文件的确切大小（以字节为单位）。这将为您提供 U 盘上所有可以安全删除的恶意软件可执行文件的列表。不过，您必须谨慎行事，因为您的 U 盘上可能存在与恶意软件大小相同的合法可执行文件（可能性很小）。

编辑：我个人从未遇到过恶意软件更改文件/文件夹权限的问题，但你永远不知道，所以你也可以运行以下两个命令（在运行cd /d X:)：

takeown /r  /f X:\*
icacls X:\* /T  /L  /Q /C /RESET

X是分配给您的笔式驱动器的驱动器号。

Question 3

第一个也是最重要的一步是暂停写作任何事物到 USB。这意味着不要从 USB 中删除任何内容，不要重命名 USB 上的任何内容，不要移动 USB 上的任何文件，不要在 USB 上运行 chkdsk。就这样。任何时候在驱动器上写入，您都可能永久覆盖并销毁您希望保存的旧的、现有的数据！

根据驱动器上数据的重要性，首先创建驱动器的逐字节克隆。使用dd（适用于 Windows）：

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

现在，您可以在分区上运行文件恢复软件，例如免费的雷库瓦和相簿。有更先进的工具，如 EasyRecovery Professional 和 NTFS 特定的实用程序，但它们是付费的并且较旧（最近没有更新或开发），而 Recuva 和 PhotoRec/TestDisk 近年来已经有了很大的发展和改进。

在丢失文件后，您已经对文件系统进行了大量写入和修改，因此您的文件可能已损坏。Recuva 和 photorec 都会向您显示正确恢复文件的概率以及文件损坏或覆盖的程度。希望您最珍贵的文件仍在那里。

Answer

第一个也是最重要的一步是暂停写作任何事物到 USB。这意味着不要从 USB 中删除任何内容，不要重命名 USB 上的任何内容，不要移动 USB 上的任何文件，不要在 USB 上运行 chkdsk。就这样。任何时候在驱动器上写入，您都可能永久覆盖并销毁您希望保存的旧的、现有的数据！

根据驱动器上数据的重要性，首先创建驱动器的逐字节克隆。使用dd（适用于 Windows）：

dd if=\\?\Device\Harddisk1\Partition0 of=backup.dat

现在，您可以在分区上运行文件恢复软件，例如免费的雷库瓦和相簿。有更先进的工具，如 EasyRecovery Professional 和 NTFS 特定的实用程序，但它们是付费的并且较旧（最近没有更新或开发），而 Recuva 和 PhotoRec/TestDisk 近年来已经有了很大的发展和改进。

在丢失文件后，您已经对文件系统进行了大量写入和修改，因此您的文件可能已损坏。Recuva 和 photorec 都会向您显示正确恢复文件的概率以及文件损坏或覆盖的程度。希望您最珍贵的文件仍在那里。

Question 4

我认为你设备上的文件夹结构很糟糕，问题比一堆隐藏文件更严重。

因此，我建议您将 USB 视为损坏的设备，使用数据恢复实用程序（而不是标准 Windows 实用程序）来恢复数据。

如果你确实设法从中恢复了数据，请在再次使用之前重新格式化该设备（以防万一），并在打开任何恢复的文件之前使用防病毒软件和 Malwarebytes 反恶意软件。

关于免费数据恢复实用程序的评论可以在最佳免费数据恢复和文件恢复实用程序，其中包括以下实用程序：

MiniTool 电源数据恢复
 雷库瓦
 测试磁盘
 PC 检查器文件恢复

评论部分提到了更多类似的实用程序。

当我的磁盘损坏时，MiniTool Power Data Recovery 给了我最好的结果，但免费版本有限制。

Answer