Recuperando pastas em uma unidade flash após um vírus. Como recuperar arquivos danificados em uma unidade flash Como recuperar arquivos após um worm

Recuperar arquivos ocultos após um vírus é um problema comum que os usuários de PC enfrentam. Recentemente, muitas pessoas têm sofrido com malware, devido ao qual todos os arquivos e pastas do disco rígido são perdidos, incluindo conteúdo pessoal como documentos, imagens, etc. O malware também pode ocultar todos os atalhos do menu Iniciar. O vírus não exclui dados, mas adiciona um atributo oculto a todos os arquivos e pastas do seu sistema e, como resultado, parece que todos os dados foram excluídos do disco rígido.

Se precisar realizar a recuperação de arquivos após um vírus, você pode usar as instruções abaixo para exibir novamente todos os dados que estavam faltando e recuperar o controle do seu computador. Caso o sistema operacional ainda esteja infectado com malware, você precisará usar um software antivírus. Depois que os vírus forem removidos, você poderá começar a tomar medidas para exibir os arquivos e pastas que desapareceram. Para exibir arquivos ausentes, você precisa alterar as configurações do sistema Windows.

Como mostrar arquivos ocultos

Se você tiver o sistema operacional Windows XP instalado, poderá recuperar os dados ausentes fazendo o seguinte:

• abra Meu Computador;
• selecione Ferramentas;
• clique em Opções de pasta;
• selecione a guia Exibir;
• marque a caixa ao lado da opção Mostrar arquivos e pastas ocultos;
• Clique em OK para retornar os dados ausentes do seu disco rígido ou unidades flash.

Para recuperar dados perdidos no Windows Vista, você precisa seguir estas etapas:

• pressione o botão Iniciar;
• selecione Computador;
• clique em Ferramentas;
• selecione Opções de pasta;
• use o botão Exibir;
• selecione a opção Mostrar arquivos e pastas ocultos;
• Clique OK.

Se você estiver interessado em como recuperar arquivos ocultos no Windows 7, siga estas etapas:

• pressione o botão Iniciar;
• selecione Computador;
• clique em Organizar;
• use o botão Opções de pasta e pesquisa;
• selecione Exibir;
• ative a opção Mostrar arquivos e pastas ocultos;
• Clique OK.

Depois de concluir as etapas acima, você poderá ver todos os seus arquivos e pastas de programas de escritório e outros aplicativos, mas eles ainda conterão um conjunto oculto de atributos. Se você excluir parâmetros desnecessários de arquivos em uma unidade flash ou disco rígido, todos eles serão exibidos no modo normal.

Como remover atributos ocultos

Se você estiver usando o sistema operacional Windows XP, será necessário executar as seguintes etapas:

1. Clique em Iniciar e Executar.
2. Digite cmd e pressione Enter.
3. Na linha de comando, digite CD\ e confirme com a tecla Enter.
4. Digite ATTRIB -H *.* /S /D e pressione Enter. Este comando exibirá arquivos que se tornaram invisíveis. Como arquivos importantes do sistema possuem o atributo correspondente anexado, o comando acima não os afetará. As configurações do sistema permitem que eles passem e os escondam de olhares indiscretos, para que seu conteúdo mais importante não seja perdido. O comando levará algum tempo para ser concluído, então não se preocupe se o processo demorar alguns minutos ou até meia hora. O comando executará ações simples - removerá atributos ocultos de todos os diretórios do disco rígido e pastas da unidade flash após o vírus. O parâmetro /S significa que a pasta atual e todos os seus subdiretórios serão pesquisados. A opção /D processa todas as outras pastas.

Para Windows Vista ou 7 você precisa fazer o seguinte:

1. Clique em Iniciar e em Todos os Programas.
2. Selecione Acessórios e encontre o prompt de comando.
3. Clique com o botão direito na opção Prompt de Comando e selecione Executar como Administrador.
4. Na linha de comando, digite CD\ e pressione Enter.
5. A linha de comando agora deve indicar a pasta raiz do disco rígido (provavelmente C:\).
6. Digite ATTRIB -H *.* /S /D e pressione Enter.
7. Digite Exit e pressione Enter quando o procedimento for concluído. Para reiniciar um computador.

Uma alternativa é usar o aplicativo Unhide criado pela Bleeping Computer. Este é um programa para recuperar arquivos ocultos de pen drives e discos rígidos. No site oficial deste desenvolvedor há um tutorial completo sobre como usar o unhide.exe para excluir dados excluídos após uma invasão de vírus. Com sua ajuda, os usuários receberam as informações necessárias e restauraram seus PCs com sucesso. Você pode baixar este aplicativo para pastas e arquivos ocultos em sua área de trabalho e executá-lo para que as etapas acima para remover atributos de uma unidade flash após um vírus sejam executadas automaticamente pelo sistema.

Corrija problemas com atalhos na barra de tarefas e no menu Iniciar

Para exibir atalhos na barra de tarefas e no menu Iniciar após um ataque de vírus, você precisa fazer o seguinte:

1. Abra Computador.
2. Vá para Unidade C, Usuários, Seu nome de usuário, AppData, Local, Temp, SNTMP ou SMTMP.
3. Abra o diretório com o número 1.
4. Selecione Editar, Selecionar tudo e Copiar.
5. Deixe o diretório aberto e vá para Meu Computador novamente.
6. Selecione Unidade C, Dados do Programa, Microsoft, Windows, Menu Iniciar.
7. Clique em Editar e Colar para copiar a pasta Programas e outros atalhos para o local apropriado.
8. Abra o diretório com o número 3.
9. Selecione todos os arquivos e copie-os.
10. Vá para Unidade C, Usuários, Nome de usuário, AppData, Roaming, Microsoft, Internet Explorer, Início rápido, Usuário fixado, Barra de tarefas e cole os arquivos.

Após concluir as etapas acima, todos os atalhos deverão retornar aos seus lugares.

Seguindo o tópico do fórum, as pastas desapareceram do pen drive. Esta nota contém recomendações encontradas nela. Descrição da situação: As pastas em uma mídia de armazenamento não aparecem mais como se tivessem sido excluídas. No entanto, a quantidade de espaço que ocupam permanece inalterada, ou seja, o espaço ainda é ocupado pelas pastas desaparecidas e pelos arquivos nelas contidos. Muito provavelmente isso indica que as informações não foram excluídas, mas que as pastas simplesmente ficaram invisíveis. Isso acontece como resultado da ação de alguns vírus. Abaixo listo maneiras de tornar as pastas visíveis novamente:

Habilite a exibição de arquivos e pastas ocultos no Explorer

O caso mais simples é quando os atributos “oculto” e “sistema” são definidos para pastas e o Windows está configurado de forma a não mostrar arquivos e pastas ocultos. Basta habilitar a exibição desses dados e remover os atributos descritos no artigo: exibição de arquivos e pastas ocultos.

Remova atributos usando a linha de comando

Outra forma de tornar os dados visíveis é usando a linha de comando.

1) Abra a linha de comando: Iniciar -> Executar -> digite: cmd -> clique em “OK”;

2) Na janela preta da linha de comando, digite:

(onde X é a letra da unidade ou unidade flash)

3) Selecione e copie a linha abaixo:

Atributo - s - h - r - a /s /d *.*

4) Clique com o botão direito na janela preta da linha de comando e pressione Enter.

Aguarde até que o utilitário substitua os atributos de todos os arquivos. Depois disso, os arquivos e pastas ficarão visíveis.

Gerenciador de arquivos Total Commander

Primeiro você precisa habilitar a exibição dos ocultos. Para fazer isso, vá ao menu “Configuração”, depois “Conteúdo do painel”, marque a caixa “Mostrar arquivos ocultos do sistema”.

Abra o pendrive, selecione os diretórios com ponto de exclamação e retire os atributos: vá ao menu “Arquivo”, depois em “Alterar atributos”. Remova os atributos e clique em “OK”.

Gerenciador de arquivos Gerenciador distante

Você também pode usar o gerenciador de arquivos Far Manager, que por padrão mostra todas as pastas ocultas e do sistema e também permite remover atributos desnecessários. Baixe, instale e execute. Avançar:

1) Abra o pen drive no Far Manager: pressione a combinação “Alt-F1 ; (painel esquerdo) ou “Alt-F2 ; (painel direito) e selecione a letra da mídia necessária na lista.

2) Usando a tecla “Inserir”, selecione as pastas ocultas, pressione “Ctrl-A”, remova todas as marcas de seleção desnecessárias dos itens “Somente leitura” e “Sistema”, deixe apenas “Arquivar” e confirme com o “Definir” botão.

Aqui você pode limpar a pasta RECYCLER, excluir atalhos (.lnk), arquivos executáveis ​​desnecessários (.exe) e, claro, o arquivo de execução automática. inf, se presente.

Após essas etapas, os dados do pen drive serão exibidos normalmente.

Alguns vírus vão além - eles renomeiam ou movem pastas para o diretório E2E2-1, que não é visível no Windows Explorer. Isso só é relevante se o sistema de arquivos de mídia for FAT32; esse problema não existe em NTFS; Para descobrir qual sistema de arquivos está na unidade flash, abra “Meu Computador”, clique com o botão direito na unidade flash e selecione “Propriedades” no menu suspenso. Na janela que se abre, observe a linha “Sistema de arquivos”.

Por exemplo, se a sua unidade flash estiver conectada como unidade “E”, vá para:

Iniciar -> Executar -> cmd -> OK

Na janela preta que se abre, você deve inserir os comandos um por um, confirmando cada um com a tecla Enter:

O primeiro comando torna a unidade E ativa. Se a letra da transportadora for diferente, em vez de E antes dos dois pontos, indique a sua letra.

O segundo comando exibe uma lista de pastas e arquivos na mídia. Se E2E2~1 estiver listado, execute o comando que renomeará a pasta:

3) ren E2E2 ~ 1 Nova Pasta

Depois disso, a pasta NewFolder aparecerá no Explorer. Em vez de NewFolder, você pode especificar qualquer outro nome de pasta, se desejar.

Para concluir

Parece que tudo se resume à restauração de informações perdidas após o vírus. Só não esqueça que antes das ações listadas é necessário que o próprio vírus seja neutralizado por um antivírus, caso contrário o problema se repetirá.

Já sabemos que existe uma família de vírus especializada em penetrar em dispositivos flash portáteis. , restauramos pastas ocultas e substituímos arquivos.

Neste material falaremos sobre outro tipo de vírus que oculta mais seriamente seus dados, em determinadas pastas. O vírus não altera os atributos do diretório, mas renomeia a pasta com caracteres proibidos, o que torna o diretório invisível para o sistema...

Se você também se encontrar em uma situação semelhante, pode ser que o vírus Trojan.Radmin.13 (de acordo com a classificação) tenha trabalhado no conteúdo da sua unidade flash, compactando suas pastas e arquivos em uma pasta invisível para o sistema operacional com um nome original composto por dois pontos - " .. " Em outras palavras, o vírus compacta seus dados em uma pasta cujo nome consiste em caracteres proibidos no Windows.

Como recuperar pastas perdidas em pen drives?

Primeiramente, vamos esclarecer de imediato que nem em todos os casos a pasta pode existir nesta forma, é possível que o vírus exclua completamente o conteúdo do pen drive; No nosso caso, as pastas podem ser restauradas, e isso é evidenciado pela quantidade exibida de memória ocupada no dispositivo.

Agora em ordem:

1. Faça login no console da linha de comando. Para fazer isso, abra a janela “Executar” usando o atalho de teclado Win + R
   Digite a linha – CMD e pressione Enter
2. Na janela do prompt de comando que aparece, digite:
   A letra da sua unidade flash, conforme aparece no computador, e dois pontos, por exemplo, F:
   
   
   
3. Em seguida, digite o comando lá:
   dir /x /anúncio
   
   • dir – um comando que exibe todos os arquivos e pastas com subdiretórios
   • / x – parâmetro que exibe nomes curtos para arquivos cujos nomes não estão em conformidade com o padrão 8.3
   • /de Anúncios- uma opção que exibe apenas uma lista de pastas
4. Após executar o comando, você deverá ter uma pasta chamada “E2E2~1", o que indica que é graças ao vírus que suas pastas ficam invisíveis!
   
   
   
   
5. digite o seguinte comando:
   ren E2E2~1 NEWF
   • ren (renomear) - um comando que permite renomear arquivos e diretórios
   • E2E2~1 - diretório de origem
   • NEWF - diretório final
6. inicie a execução com a tecla Enter e feche a janela da linha de comando.
7. Agora só falta verificar o resultado das alterações abrindo o pen drive através do Explorer ou qualquer outro gerenciador de arquivos.

Em vez de um posfácio

Na maioria dos casos, essas manipulações ajudam a resolver o problema de pastas ausentes em uma unidade flash. Mas, como mencionei acima, os vírus nunca repetem suas ações, então não é um fato que esse algoritmo específico de ações irá ajudá-lo.

Muitas vezes as pessoas me fazem perguntas: os arquivos da unidade flash desapareceram, os arquivos da unidade flash tornaram-se invisíveis ou para onde foram os arquivos da unidade flash? Isso não pode simplesmente acontecer, é definitivamente o trabalho de um vírus no seu computador ou laptop. Mas agora não consideraremos a questão de verificar se há vírus em seu computador; precisamos acessar os arquivos na unidade flash. Porque Na maioria das vezes, você descobre que sua unidade flash está infectada no computador de outra pessoa e não precisa se arrastar de volta para o outro lado da cidade.

Então, vamos começar: primeiro precisamos ver os arquivos. Para isso, devemos habilitar a exibição de arquivos e pastas ocultos no sistema onde o pen drive está montado. Vamos Iniciar-Painel de Controle-Opções de Pasta-aba Visualizar, role a lista até o final e no grupo Arquivos e pastas ocultos coloque o interruptor na posição Mostre arquivos, pastas e unidades ocultas. Na maioria das vezes, o vírus declara seus próprios arquivos infectados como arquivos de sistema para complicar sua remoção, por isso seria uma boa ideia desmarcar a caixa localizada logo acima Ocultar arquivos protegidos do sistema (recomendado), então clique Aplicar E OK

Agora vemos absolutamente todos os arquivos em todas as mídias, tanto ocultas quanto de sistema. Agora pelo menos podemos fazer algo com eles e trabalhar com eles.

Mas nossos arquivos ainda estão invisíveis, e se conectarmos este pen drive a um computador configurado por padrão, teremos que fazer tudo descrito acima novamente. É claro que isso não é conveniente, por isso tornamos os arquivos na unidade flash visíveis. Agora vamos descobrir por que nossos arquivos na unidade flash ficaram invisíveis? Porque o vírus atribuiu o atributo a todos os arquivos e pastas Escondido. Infelizmente, após as ações do vírus, não é possível simplesmente desmarcar a caixa nas propriedades do arquivo.

Precisamos alterar os atributos usando a linha de comando digitando o comando: go Começar—Executar e discar cmd, pressione Enter ou Prompt de comando Iniciar aplicativos

Uma janela preta aparecerá, nela escrevemos o comando: cd /d e:/ pressione Enter ( e- esta é a letra do pen drive, você pode ter uma diferente dependendo da quantidade de discos do sistema) com este comando vamos para o diretório raiz do drive infectado.

ATENÇÃO! O comando a seguir deve ser executado especificamente para a mídia selecionada; se você executar este comando em qualquer lugar, os arquivos e pastas ocultos ficarão visíveis em qualquer lugar, mas não precisamos disso.

Agora temos no início da linha e:\> digite o seguinte comando nesta linha atribuir -s -h /d /s e pressione Enter. Esperamos um pouco e vemos que todas as pastas translúcidas apareceram em nosso pendrive.

Se houver muitas dessas unidades flash ou discos, você poderá automatizar um pouco o processo escrevendo você mesmo ou baixando daqui.arquivo bat com esta equipe. O nome do arquivo pode ser qualquer coisa, por exemplo, proyavitel.bat.

Este arquivo deve ser copiado para a raiz e iniciado exatamente a partir da unidade que queremos exibir. Caso contrário, conforme descrito acima, podemos acidentalmente tornar visíveis todos os arquivos em uma unidade que não precisa dele, por exemplo, na unidade do sistema. .

Um novo tipo de vírus apareceu na Internet que infecta unidades flash e unidades externas. Encontrei pela primeira vez um vírus semelhante há cerca de seis meses, quando um de meus clientes teve um vírus semelhante, ocultando todas as pastas em unidades flash e criando atalhos em seu lugar. Como este foi um incidente isolado, pensei que não havia necessidade de me preocupar e descrever o problema. Mas logo surgiram pedidos de ajuda “ajude-me a recuperar dados de um pen drive” e esse vírus acabou sendo a causa de tudo!

Se você notar que as pastas da unidade flash se tornaram atalhos

Suponhamos que você perceba que ao abrir pastas em pen drives ocorre um erro de sistema e só então a pasta é aberta. Veja se as pastas possuem um ícone de atalho – é uma pequena seta no ícone da pasta no canto inferior esquerdo.

Se houver muitas ou mesmo todas essas pastas de atalho, o sistema provavelmente está infectado por um vírus e sua unidade flash serve como distribuidora.

Limpando uma unidade flash contra vírus

1. Para procurar e remover esse vírus, recomendo usar vários antivírus: primeiro, faça uma verificação completa do seu computador com o antivírus instalado. No meu caso é o Avast (ver Fig. 2). Faça uma varredura na unidade do sistema C: e na mídia removível, ou seja, unidade flash inserida.

Se forem encontrados vírus, remova-os. É claro que os arquivos infectados da pasta de sistema do Windows devem ser manuseados com cuidado: trate-os primeiro ou coloque-os em quarentena. Todos os outros podem ser excluídos com segurança.

2. Independentemente de um vírus ter sido encontrado ou não, verifique o sistema com qualquer outro utilitário antivírus. Eu recomendo usar o CureIt. (http://www.freedrweb.com/download+cureit+free/).

Faça uma varredura na unidade C do sistema e na unidade flash com este utilitário. Outras unidades lógicas podem ser verificadas em outro momento, caso contrário, a remoção de um vírus simples pode demorar muito.

3. Depois que o sistema foi analisado por vários programas antivírus e algo pode ou não ter sido encontrado, é hora de prosseguir para a restauração de pastas ocultas na unidade flash e, ao mesmo tempo, limpar a unidade flash de vírus que pode ter sido ignorado pelos scanners antivírus.

Como mostrar arquivos e pastas ocultos em uma unidade flash

Direi em duas palavras o que está acontecendo aqui e por que as pastas ficam ocultas e invisíveis e os atalhos tomam seu lugar.

A lógica de tal vírus é simples, mas ao mesmo tempo extraordinária. Uma vez na unidade flash através de um computador infectado, ele se registra na pasta RECYCLER oculta, que oculta usando o atributo de sistema “Ocultar”. Coloca uma instância de código malicioso (vírus) sob qualquer nome. É assim que ele se camufla. O vírus atribui o atributo “oculto e sistema” a todos os arquivos e pastas que estão na unidade flash, e como resultado eles se tornam invisíveis, ou seja, escondido.

Em seguida, o vírus cria atalhos para todos os arquivos e pastas ocultos e os torna visíveis, substituindo-os pelos originais. Não é uma má ideia, certo?

Assim que você inserir uma unidade flash infectada em seu computador, abri-la e clicar na pasta de atalho, o comando do sistema irá acionar o lançamento do vírus da pasta RECYCLER e, em seguida, abrir a pasta original oculta. Se o antivírus não responder ao vírus, seu computador será infectado e as consequências podem ser diferentes: desde roubar senhas até instalar um backdoor para controlar seu computador.

Existem várias opções para remover um vírus de uma unidade flash e tornar visíveis os arquivos ocultos:

• Usando a linha de comando
• Usando um Live DVD inicializável (ou unidade flash USB inicializável)
• Usando gerenciadores de arquivos (Total Commander, Far, etc.)

Pessoalmente, eu uso um disco inicializável e uma unidade flash no meu trabalho. Mas como esse método requer um disco especial ou uma unidade flash especial que precisa ser montada, é um pouco difícil para o usuário médio.

Portanto, mostrarei outra maneira mais fácil - usando o gerenciador de arquivos Total Commander.

Restaurando a aparência anterior de pastas em uma unidade flash

1. Acesse o site http://www.ghisler.com/850_b15.php e baixe a versão 32+64 bits do programa (Instalador combinado do Windows 95 até Windows 8, 32 bits E 64 bits!) .

2. Instale-o. Mesmo se você já tiver um programa semelhante instalado, atualize-o. Seu ícone aparecerá na área de trabalho (em alguns casos, até dois).

3. Abra o programa clicando em seu ícone. Na janela do programa, clique no botão Iniciar no número desejado (1, 2 ou 3). Este pequeno inconveniente permite-nos utilizar este programa gratuitamente.

4. Na janela esquerda do programa, selecione sua unidade flash na lista suspensa.

5. À primeira vista está tudo em ordem com o pen drive, as pastas estão no lugar, só faltam os arquivos, mas só parece que sim. Se você olhar com atenção, notará que as pastas são atalhos porque possuem a extensão .Ink, mas na verdade as pastas não possuem extensão.

Abra a seção Na janela de configurações, selecione a seção Conteúdo do painel e no lado direito marque as caixas ao lado dos seguintes parâmetros:

1. Mostrar arquivos do sistema

Agora a imagem mudou. Arquivos de sistema ocultos foram exibidos (eles podem nem ser arquivos de sistema, porque simplesmente receberam tal atributo).

6. Exclua todas as pastas de atalho com a extensão Ink. Para fazer isso, mantenha pressionada a tecla CTRL e selecione os arquivos desejados com o mouse. Pressione a tecla DELETE no teclado. Concorde com a exclusão.

7. Resta restaurar a aparência anterior das pastas. Para fazer isso, basta remover deles os atributos “ocultos, de sistema, etc.” Isso não pode ser feito usando as ferramentas padrão do sistema operacional Windows XP, 7 ou 8, mas com a ajuda do gerenciador de arquivos Total Commander é fácil.

Aponte (clique uma vez no arquivo com o botão esquerdo do mouse) para qualquer arquivo e selecione todas as pastas e arquivos usando o atalho de teclado CTRL+A.

Abra a seção. Remova todos os pontos opostos aos valores:

• Arquivo
• Somente para leitura
• Escondido
• Sistema

E clique no botão OK. Agora os arquivos na unidade flash podem ser visualizados usando um simples Explorer.

8. Mais um pequeno detalhe. Resta deletar a pasta RECYCLER, que pode conter o vírus. Selecione a pasta RECYCLER usando o botão direito do mouse e pressione o botão DELETE no teclado. Concorde em excluir todos os arquivos desta pasta. Se, ao excluir, aparecer um aviso de que o arquivo não pode ser excluído tão facilmente, selecione o botão “com direitos de administrador”.

Isso é tudo! O vírus será removido e os arquivos serão restaurados com segurança.

Ao final desta revisão, quero avisá-lo com antecedência, se de repente você perceber que arquivos desapareceram do pen drive ou, como neste exemplo, apareceram atalhos em vez de pastas e arquivos, NÃO SE Apresse em formatar seu flash dirigir! Tente usar este método para devolver tudo ao seu lugar.

 

Pode ser útil ler:

• Como recuperar arquivos danificados em uma unidade flash Como recuperar arquivos após um worm;
• Como reverter um sistema Windows XP?;
• Como fazer backup de disco, arquivos e pasta;
• Guia de reconhecimento de fala do Windows;
• O que significa classificação? Variando. Design de texto de páginas;
• Teclado para jogos Corsair K68 RGB com luz de fundo personalizável;
• Configuração e instalação completa do áudio de alta definição Realtek;
• Restaurando uma página VK após exclusão ou hackeamento;