Virus che giấu các tập tin, thu nhỏ tổng dung lượng

Một con virus đã lây nhiễm ổ cứng của tôi.

Dung lượng của ổ đĩa là 1 TB và có loại tệp khác nhau, tổng cộng 400 GB +. Đột nhiên tất cả các tệp biến mất và tôi đã cố gắng hiển thị các tệp ẩn, nhưng nó chỉ hiển thị tự động chạy và một phím tắt (có thể là vi-rút). Tổng dung lượng của nó đã trở thành 500 GB từ 1 TB và dung lượng chiếm dụng là 1 GB-, vì vậy tôi khá tự tin rằng các tệp của mình bị ẩn ở đâu đó.

Chỉ để được rõ ràng:

Trước: 400 GB + (chiếm dung lượng) / 900 GB + (tổng dung lượng)

Hiện tại: 800 MB + (chiếm dung lượng) / 563 GB (tổng dung lượng)

Ảnh chụp màn hình:

Tôi không biết làm thế nào để khôi phục đĩa về trạng thái cũ, nghĩa là khôi phục cấu trúc thư mục của lặn mà không chuyển dữ liệu sang đĩa khác và sau đó truyền lại vào ổ đĩa. Nhưng tôi có thể cho bạn biết làm thế nào để xem các tập tin trong ổ đĩa bị ẩn (bởi virus).
Mở ổ đĩa, gõ *.* vào trường tìm kiếm, điều này sẽ hiển thị tất cả các tệp và thư mục trong ổ đĩa đó. Tôi nghĩ rằng điều này sẽ thực hiện thủ thuật bởi vì điều này xảy ra với tôi thường xuyên với các ổ đĩa bị nhiễm vi-rút và tôi tìm thấy các tệp trong đó bằng cách này.
Chú thích: Tôi không chắc chắn liệu điều này sẽ làm việc hay không trong trường hợp của bạn bởi vì cũng có vấn đề giảm dung lượng với ổ đĩa.

Sử dụng một công cụ quản lý không gian đĩa để tìm ra thư mục nào chiếm nhiều nhất hoặc một lượng không gian đĩa bất thường. Hãy chắc chắn để chạy chúng " Là quản trị viên "Để các công cụ này có thể xem toàn bộ nội dung trên đĩa của bạn.

Có hai tính năng của công cụ của tôi TreeSize chuyên nghiệp (đầy đủ chức năng dùng thử 30 ngày mà không cần đăng ký) có thể giúp ích trong tình huống này:

• Bạn có thể so sánh trạng thái trước với trạng thái hiện tại
• Khi chạy "với tư cách quản trị viên", TreeSize sẽ quét Bảng tệp chính (MFT) của các ổ đĩa NTFS, khiến cho các tệp độc hại khó ẩn hơn.

Các tập tin của bạn rất có thể đã bị ẩn.

Có một loại virus phổ biến trước đây đã thay đổi các thuộc tính tệp thành "ẩn" và "hệ thống" ( +hs ).

Khi cả hai thuộc tính này đang hoạt động, bạn không thể bỏ ẩn tệp qua Windows GUI . Thay thế duy nhất là sử dụng dòng lệnh và sử dụng attrib chỉ huy. Bạn có thể kiểm tra hướng dẫn cho attrib lệnh bằng cách gõ attrib -h và nhấn enter.

Vui lòng khởi chạy dòng lệnh bằng cách sử dụng Ctrl+R và sau đó gõ cmd và nhấn Run.

Về cơ bản, từ thời điểm đó, bạn có hai lựa chọn thay thế:

• Bạn có thể "bỏ ẩn" các tệp đã chọn theo cách thủ công, chỉ định đường dẫn và tên tệp cho lệnh. Điều này có thể mất thời gian thực sự dài.

• Bạn có thể "bỏ ẩn" toàn bộ E: lái xe ngay lập tức attrib -h -s E:\* /s /d. Lệnh này sẽ xóa tất cả các cờ "ẩn" và "hệ thống" khỏi các tệp của bạn, do đó khôi phục chúng vào cuộc sống.

Nếu E: ổ đĩa không phải là ổ đĩa hệ thống (tức là ổ đĩa chứa Windows), tùy chọn thứ hai sẽ là một hoạt động hoàn toàn an toàn.

Quản lý đĩa hiển thị đĩa 0 là 931,5 GB, nhưng E: chỉ có 564 GB.

Điều này có thể đã được gây ra bởi một loại virus kỳ lạ, nhưng cũng có vấn đề với phần sụn của đĩa.

Tôi muốn đề nghị như sau:

1. Sử dụng sản phẩm sao lưu đĩa để sao lưu đĩa vật lý 0, theo từng khu vực. Bạn sẽ cần 1 TB không gian đĩa có sẵn trên một đĩa khác. Kiểm tra xem kích thước của bản sao lưu thực sự là 1 TB trước khi tiếp tục.

2. Quét sâu máy tính của bạn để tìm virus bằng cách sử dụng một số chương trình chống vi-rút nổi tiếng các sản phẩm. Bạn có thể sử dụng quét trực tuyến thay vì cài đặt chúng (yêu cầu Internet Explorer hoặc Java), ví dụ: Bitdefender , ESET , F ‑ An toàn . Chỉ quét đĩa hệ thống và đặc biệt không quét E ..

3. Trong Quản lý đĩa, bấm chuột phải vào đĩa 0 và xóa âm lượng, sau đó tạo lại một khối lượng và phân vùng bao trùm toàn bộ đĩa.

Các thủ tục trên là rủi ro và có thể chi phí cho bạn nội dung của đĩa, và cũng sao lưu trong bước 1 ở trên không được đảm bảo để thành công. Nếu bạn có dữ liệu quan trọng trên đĩa và không có bản sao lưu, hãy sử dụng một dịch vụ khôi phục đĩa thương mại (không rẻ) và lần sau hãy giữ một đĩa sao lưu.

Có thể có hai bước của các giải pháp có thể:

Đầu tiên, tìm danh sách các tập tin ẩn trong ổ đĩa bạn muốn bằng lệnh sau.

Mở một dấu nhắc lệnh và thay đổi thư mục thành nguồn gốc ổ đĩa của bạn. Sau đó chạy:

dir /s /a:h C:*.* > test.txt

Giải trình :

thư mục:

s: chương trình

Điều này sẽ liệt kê tất cả các tệp ẩn của bạn trong ổ đĩa của bạn và được liệt kê tại test.text.

Bây giờ hãy mở các tệp thông qua sao chép dán thư mục trong trình thám hiểm của bạn.

Giải pháp khả thi thứ hai sẽ là mở trình tái chế:

• Điều hướng đến ổ đĩa của bạn.

• Bấm vào Tổ chức - & gt; Tùy chọn thư mục

• Hướng đến lượt xem

• Chọn Hiển thị các tập tin và thư mục ẩn và cũng bỏ chọn Ẩn đi các tập tin hệ điều hành đã được bảo vệ

• Nhấp chuột Ứng dụng và được

Bây giờ bạn sẽ tìm thấy một ổ đĩa với một thư mục có tên $ tái chế.bin . Mở nó và xem các tập tin ẩn của bạn.

Có một sự khác biệt lớn giữa 400GB và 800MB. Theo hiểu biết của tôi, tất cả các tệp, không quan trọng thuộc tính, được tính trong biểu đồ không gian đĩa, có nghĩa là ổ cứng của bạn đã bị xóa dữ liệu. Bạn đã thử sử dụng một công cụ phục hồi như Recuva để phục hồi các tập tin? Nếu bạn muốn dùng thử, hãy đảm bảo không có gì được ghi vào ổ đĩa và nếu có thể khôi phục, hãy đảm bảo rằng bạn chọn khôi phục ổ đĩa khác với ổ đĩa bạn đang khôi phục.

Dấu nhắc lệnh:

attrib -h -r -s /s /d H : \ *. *

(Thay thế chữ in hoa đậm bằng ký tự ổ đĩa của bạn)

Tôi không biết điều này tồn tại cho đến bây giờ

Hãy thử sử dụng cmd. Chuyển đến thư mục chứa các tập tin của bạn và sau đó nhấn giữ Ca và nhấp chuột phải sau khi nhấp vào cửa sổ lệnh mở ở đây. Sau đó nhập vào:

attrib *. -h -s /s /d

Cho tôi biết kết quả. Lệnh sẽ hiển thị tất cả các tệp ẩn bao gồm các tệp hệ thống. Nó không thay đổi tập tin hệ thống của họ; nó chỉ cho họ thấy bạn có thể giấu chúng sau.