Le PoissonClown Posted October 1, 2017 Share Posted October 1, 2017 (edited) Comment retrouver ses fichiers sur sa clé USB après un virus qui les a tous cachés ? Certains virus "remplacent" tous vos dossiers et documents sur clé USB par un raccourci vers son amorce d'infection. C'est vraiment une plaie pour récupérer ensuite vos documents, car ils sont tous cachés et attribués à des fichiers systèmes (donc rendus invisibles). Et il faut alors changer les options de Windows pour pouvoir les retrouver, puis changer les options de chaque fichiers en ligne de commande… La grosse galère ! Mais avant ça, voici les bons réflexes à avoir : D'abord, il ne faut surtout pas débrancher sa clé directement : il se peut que le programme d'infection soit encore en cours de lecture. Et si vous la débranchez à ce moment-là, vous risquez de corrompre le stockage (et perdre tout ou partie de vos données). Ce qu'il faut faire : fermez toutes les fenêtres et tentez d'éjecter la clé (clic droit dessus - Éjecter, ou en passant par la barre de notifications). Si le système vous signale qu'elle est déjà utilisée, laissez-la branchée. Ensuite, il faut arrêter l'amorce d'infection : Redémarrez l'ordinateur en mode sans échec, comme ceci. Puis faites une analyse avec Malwarebytes par exemple (clé branchée). Enfin, une fois que le nettoyage a été effectué, redémarrez en mode normal. Nous allons afficher vos documents : Ouvrez le bloc-notes (+R, taper « notepad » et valider), et copiez-collez ces lignes de code : Révélation @echo off color 3B title Retrouver ses fichiers cls echo. echo .... ::: RETROUVER SES FICHIERS ::: .... echo ---------------------------------------- echo Ce script permet d'afficher ses fichiers echo disparus suite a leur masquage par un echo malware qui les a tous mis en attributs echo caches et systeme. echo ---------------------------------------- echo. set endroit=dans un sous-dossier if exist "System Volume Information" set endroit=a la racine du lecteur if exist pagefile.sys set endroit=a la racine d'un lecteur systeme echo Vous avez mis ce programme %endroit%. :menu1 echo. echo :: QUE VOULEZ-VOUS FAIRE ? :: echo. echo 1) Tout de-masquer echo 2) Re-masquer un element systeme echo 3) Vider le texte ci-dessus echo 4) Quitter set /p menu1=Entrez le chiffre de l'option : if "%menu1%"=="1" goto :unhidall if "%menu1%"=="2" goto :hideone if "%menu1%"=="3" cls & goto:menu1 if "%menu1%"=="4" goto :quit echo. echo Euh... Votre saisie est nulle. Recommencez : goto :menu1 :unhidall if "%endroit%"=="a la racine d'un lecteur systeme" goto :pafounon echo. echo Affichage de tous les elements... attrib -s -h /D /S *.* echo Re-masquage des fichiers systeme connus... attrib +s +h /S desktop.ini attrib +s +h /S AlbumArtSmall.jpg attrib +s +h /S Folder.jpg attrib +s +h /S Thumbs.db if "%endroit%"=="a la racine du lecteur" attrib +s +h Autorun.inf if "%endroit%"=="a la racine du lecteur" attrib +s +h "System Volume Information" attrib +h /S AppData attrib +s +h /S ntuser.* echo. echo Voila ! Fin du processus. echo Retournez verifier vos fichiers (touche F5 pour actualiser). echo. echo _____________________________ goto :menu1 :pafounon echo. echo ALERTE : Vous etes sur un lecteur systeme ! echo Par precaution, ne lancez le programme que depuis le dossier d'utilisateurs : set cible=Users if not exist "Users" set cible=Documents And Settings if not exist "Documents And Settings" goto :error echo .\%cible% goto :quit :hideone echo. echo Saisissez l'adresse de l'element systeme a masquer : echo (Sans guillemet, depuis l'emplacement en cours ou depuis la lettre du lecteur.) set /p uri=Adresse de l'element : attrib +s +h "%uri%" echo. echo Voila ! goto :menu1 :error echo. echo Erreur inattendue. goto :menu1 :quit echo. echo Bonne continuation. Au revoir. echo. echo Fin du programme, appuyez sur une touche pour quitter... pause>nul exit Enregistrez le tout (sur le bureau par exemple) en finissant par « .bat » et en encadrant le nom de guillemets. Exemple : « "Retrouver mes fichiers.bat" ». Copiez ce fichier de commandes et placez-le dans votre clé USB. Puis lancez-le et suivez le guide. Il vous permettra de tout ré-afficher d'un seul coup le contenu de votre clé. Si vous ne retrouvez pas vos fichier, il peut s'agir d'un autre virus qui chiffre vos documents ou qui les supprime. Dans ce cas, tournez-vous vers un logiciel de récupération tel que Recuva. Ou alors consultez ces quelques ressources de récupération au sujets des virus crypto-lockers. Bonne récupération ! Edited October 3, 2017 by Le PoissonClown Ajout d'images 2 1 Link to comment
Firebird Posted October 2, 2017 Share Posted October 2, 2017 (edited) Bonjour @Le PoissonClown Cette astuce est ben plus que cela et aurait toute sa place dans un tutoriel sur ce forum. Edited October 2, 2017 by Firebird Link to comment
Le PoissonClown Posted October 2, 2017 Author Share Posted October 2, 2017 Bonjour @Firebird, C'est vrai qu'il fait un peu long pour une petite astuce. Je le transforme en sujet. Merci. 1 Link to comment
Firebird Posted October 2, 2017 Share Posted October 2, 2017 (edited) Hello, C'est surtout mieux, je vais récupérer le lien illico, n'oublie pas de l'indiquer ici, il rejoindra ma base de données perso de 300 pages à présent. Edit : c'est déjà fait... je récupère donc le lien. Hello, le titre de ton tuto n'est pas assez explicite à mon sens : Récupérer ses fichiers cachés par un malware.. il faudrait ajouter sur une clé USB. Edited October 2, 2017 by Firebird Link to comment
Le PoissonClown Posted October 2, 2017 Author Share Posted October 2, 2017 (edited) Requête de modération modification exaucée ! Titre modifié ! Edited October 2, 2017 by Le PoissonClown Si tu veux... 1 Link to comment
Firebird Posted October 2, 2017 Share Posted October 2, 2017 il y a 4 minutes, Le PoissonClown a dit : Requête de modération exaucée ! Titre modifié ! Hello, de modération ? de modification plutôt, non ? Link to comment
Recommended Posts