Lodbak.gen！lnk / autorun.gen感染を修正した後、いくつかのUSBペンドライブファイルを復元するにはどうすればよいですか？

Question

昨日、地元のプリントショップで名刺を印刷してもらい、USBペンドライブのファイルを要求しました。大ミス。私は（幸いなことに）Windows Security Essentials（Windows 7）がすぐに見つけて駆除した、不条理なマルウェアの山を見つけました。

（それはSality.AU、Lodbak.gen！lnk、Autorun.gen、Macoute.A、Sacanph.Aです）

それらはすべて削除または隔離されていると思います。このドライブに接触した唯一のコンピューターのスキャンを実行しました。問題は、私のUSBペンドライブの内容が次のようになっていることです。

ドライブ内の最初の名前のない偽のドライブは、そのサイズ（12GB）と、Security Essentialsがドライブをスキャンしているときに、奇妙なパスの背後にある古いファイルを見ることができたという事実から判断すると、すべてのファイルがある場所のようです。 d:\ \my folder\myfile.pdf（スペースに注意）のように、またd:\my folder\myfile.exeのように削除されたマルウェアのコピー

それがこのウイルスの繁殖の一部だと思うので、私はそれを開くつもりはありません。ほとんどのファイルにはバックアップコピーがありますが、ごく最近入手したばかりの、まだバックアップされていないファイルのうち、アクセスしたいものがいくつかあります。

試しました：ATTRIB -H -R -S /S /D D:\またはATTRIB -H -R -S /S /D D:をこのページで提案として使用し、 dirでドライブを参照しましたが、どちらも奇妙な結果になりました。USBスティックがそこにあり、製造元を正しく識別していることを認識していますが、アクセスしようとすると「ファイルが見つかりません」と表示されます。

また、新しいファイルをペンドライブに保存することはできますが、コマンドラインはそれにcdすることを拒否します。 testというディレクトリを作成した後のテストを次に示します。有効な場所にcdすると、サイレントにバウンスします。無効な場所にcdすると、通知されます。：

ドライブ内の偽のドライブを（安全に）解凍する方法、またはドライブ内を安全にナビゲートして特定のファイルを取得する方法はありますか？

次に、これらの特定のファイルを取得した後、万が一の場合に備えて、ドライブをフォーマットし、コンピューターの別のフルスキャンを実行する予定です。

そして明らかに、将来的には、電子メールまたはドロップボックスのようなWebリンクでファイルを取得するプリントショップに固執します...

また、タイトルにLodbak.gen！lnkとAutorun.genを入れました。これは、ドライブ内のドライブを作成した特定のものの1つであると信じているためです。おそらく、説明から判断するとLodbakですが、違う。私がそうなら訂正してください。

miyalys · Accepted Answer

私の提案は、最初にドライブのように見えるフォルダの名前を変更することです。これは、たとえば、エクスプローラから強調表示してF2キーを押すことで実行できます。たぶんそれはそれにCDを入れてファイルを見ることが可能になるでしょう。

それでも問題が解決しない場合は、フォルダーのアクセス許可を確認し、管理者アカウントからユーザーがファイルの所有者であることを確認することをお勧めします。その理由は、あなたが所有者でない場合、おそらくこれがattribが失敗する理由ですか？フォルダを右クリックして[プロパティ]-> [セキュリティ]-> [詳細設定]-> [所有者]を選択すると、管理者アカウントからアクセス許可を見つけて変更できるはずです。
これを行う方法の詳細： http://technet.Microsoft.com/en-us/library/cc753659.aspx

別のアイデアは、ファイル回復ツールを介してファイルを取得しようとすることです。 Piriformには無料バージョンのRecuvaがあるようです。これはここから入手できます： https://www.piriform.com/recuva

編集：cd'ingの問題については、dave_thompson_085のコメントのおかげで、d:などの別のパーティションに変更する場合は、最初に次のように記述する必要があります。

d：

...つまり、前にcdがない場合、cdを使用して、そのパーティション上のさまざまなフォルダーをトラバースできます。

Vinayak · Answer

私は文字通り100回以上これを経験しましたが、それはいつもサムドライブをサイバーカフェのコンピューターや図書館のコンピューターなどに接続するときです。しかし、それはとてつもなく簡単に修正できます。

あなたは走ることについて正しかったattrib -s -h -r /s /d。ここで行う必要があるのはこれだけです。さらに実行することもできますdel /F /S /Q desktop.ini（最初のコマンドを実行した後）すべてのフォルダーのカスタマイズを削除します（例：ハードドライブのパーティションのように見えるフォルダー）

いずれかのコマンドを実行する前に、次のコマンドを実行する必要があります。cd /d X:（ここで、[〜＃〜] x [〜＃〜]はペンドライブに割り当てられたドライブ文字です）

名前のないフォルダ（つまり、フォルダー）コピーしたことを覚えていない実行可能ファイルなど、内部で疑わしいものをクリックしない限り、。BAT、.SCR、.COM、.VBSスクリプト、疑わしいXLS、PDF、DOCXファイルなど）

ワーム感染に遭遇することがあります。これは、それ自体のコピーを複数作成する実行可能ファイルで、フォルダアイコンのように見え、各コピーの名前を、ペンドライブにすでに存在する正当なフォルダのように変更します。

アンチウイルスがインストールされていない場合でも、これを削除するのは非常に簡単です。私はペンドライブのルートに移動して*.exe size: xxx検索ボックスに入力します。xxxは実行可能ファイルの正確なサイズ（バイト単位）です。これにより、安全に削除できるペンドライブ上のすべてのマルウェア実行可能ファイルのリストが表示されます。ただし、マルウェアと同じサイズの正当な実行可能ファイルがペンドライブにある可能性があるため、ここでは注意が必要です。

EDIT：マルウェアによるファイル/フォルダーのアクセス許可の変更で個人的に問題が発生したことはありませんが、わからないため、次の2つのコマンドを実行することもできます（実行後cd /d X:）：

takeown /r /f X:\* icacls X:\* /T /L /Q /C /RESET

[〜＃〜] x [〜＃〜]は、ペンドライブに割り当てられたドライブ文字です。

Mahmoud Al-Qudsi · Answer

最初の最も重要なステップは、USBへの書き込み何かを保留することです。つまり、USBから何も削除したり、USBで名前を変更したり、USBでファイルを移動したり、USBでchkdskを実行したりしないでください。限目。ドライブに書き込むときはいつでも、保存したい古い既存のデータを永久に上書きおよび破棄する可能性があります！

ドライブ上のデータの重要性に応じて、何よりもまず、ドライブのバイトごとのクローンを作成します。 dd for Windows を使用する：

dd if=\?\Device\Harddisk1\Partition0 of=backup.dat

これで、無料の Recuva や PhotoRec のように、パーティションでファイル回復ソフトウェアを実行できます。 EasyRecovery ProfessionalやNTFS固有のユーティリティなど、より高度なツールが存在しますが、RecuvaとPhotoRec/TestDiskが近年多くの開発と改善を行っている一方で、それらは有料で古いものです（最近更新または開発されていません）。

ファイルを失った後、すでに多くの書き込みとファイルシステムへの変更を行っているため、ファイルが破損している可能性があります。 Recuvaとphotorecはどちらも、ファイルを適切に回復する可能性と、ファイルがどれだけ破損または上書きされているかを示します。うまくいけば、あなたが最も大切にしているファイルがまだそこにあります。

tripflag · Answer

他のオペレーティングシステムでメモリースティック上のファイルへのアクセスに問題が発生しない可能性があります。トレイにUbuntuCDを入れてコンピューターを再起動することは、無害なチェック方法であり、それが機能することを前提として、保持したいファイルをローカルディスクにコピーできます。

ライブ環境にいる間、Ubuntuのパーティションマネージャーを使用して、メモリースティック用の新しいパーティションテーブルを設定できます。そうすれば、フォーマットした後に（ウイルスが作成した可能性のある）隠しパーティションが残る可能性が少なくなります。

Anbu · Answer

フラッシュドライブを他の人のPCに接続すると、常にこの状況に直面します。

私はあなたをお勧めします SBショー

USB Showを開き、ドライブを選択します。それはすべての隠されたフォルダとファイルを再表示します。引き続き「/」フォルダがあります。「/」フォルダに移動し、すべてのフォルダとファイルをフラッシュドライブのルートにコピーします。それが役に立てば幸い。

harrymc · Answer

スティック上のフォルダ構造が悪いと思います。問題は隠しファイルの束よりも深刻です。

したがって、データを回復するには、標準のWindowsユーティリティではなく、データ回復ユーティリティを使用して、USBを壊れたものとして扱うことをお勧めします。

データを取得できた場合は、（万が一の場合に備えて）スティックを再フォーマットしてから再度使用し、回復したファイルを開く前に、アンチウイルスと Malwarebytes Anti）を使用してディープスキャンします。 -マルウェア。

無料のデータ復旧ユーティリティのレビューは最高の無料データ復旧とファイルの削除解除ユーティリティにあります。これには次のユーティリティが含まれています。

MiniTool Power Data Recovery
Recuva
TestDisk
PCインスペクターファイルの回復

そのようなユーティリティのいくつかは、コメントセクションに記載されています。

MiniTool Power Data Recoveryは、ディスクが壊れたときに最良の結果をもたらしましたが、無料バージョンには制限があります。