Jump to content
Site Communauté

[TUTO] Récupérer ses fichiers cachés par un malware sur clé USB


Recommended Posts

Comment retrouver ses fichiers sur sa clé USB après un virus qui les a tous cachés ?

banniere.png.e9f678cfb38cc4e2a12edaecafa2b622.png

Certains virus "remplacent" tous vos dossiers et documents sur clé USB par un raccourci vers son amorce d'infection.  Scared Gollum C'est vraiment une plaie pour récupérer ensuite vos documents, car ils sont tous cachés et attribués à des fichiers systèmes (donc rendus invisibles). Et il faut alors changer les options de Windows pour pouvoir les retrouver, puis changer les options de chaque fichiers en ligne de commande… La grosse galère ! :c_crying:

Mais avant ça, voici les bons réflexes à avoir :

usb-stick-flashed.png.7ecd1eb03555343ae6db85fac5cf4e7c.png

D'abord, il ne faut surtout pas débrancher sa clé directement : il se peut que le programme d'infection soit encore en cours de lecture. Et si vous la débranchez à ce moment-là, vous risquez de corrompre le stockage (et perdre tout ou partie de vos données).
Ce qu'il faut faire : fermez toutes les fenêtres et tentez d'éjecter la clé (clic droit dessus - Éjecter, ou en passant par la barre de notifications). Si le système vous signale qu'elle est déjà utilisée, laissez-la branchée.

delvirus.png.bdae1fd5a950014996699c8cacec07a2.png

Ensuite, il faut arrêter l'amorce d'infection :
Redémarrez l'ordinateur en mode sans échec, comme ceci.
Puis faites une analyse avec Malwarebytes par exemple (clé branchée).

Enfin, une fois que le nettoyage a été effectué, redémarrez en mode normal. Nous allons afficher vos documents :

Ouvrez le bloc-notes (+R, taper « notepad » et valider), et copiez-collez ces lignes de code :

Révélation

@echo off
color 3B
title Retrouver ses fichiers
cls
echo.
echo .... ::: RETROUVER SES FICHIERS ::: ....
echo ----------------------------------------
echo Ce script permet d'afficher ses fichiers
echo disparus suite a leur masquage par un
echo malware qui les a tous mis en attributs
echo caches et systeme.
echo ----------------------------------------
echo.
set endroit=dans un sous-dossier
if exist "System Volume Information" set endroit=a la racine du lecteur
if exist pagefile.sys set endroit=a la racine d'un lecteur systeme
echo Vous avez mis ce programme %endroit%.
:menu1
echo.
echo :: QUE VOULEZ-VOUS FAIRE ? ::
echo.
echo 1) Tout de-masquer
echo 2) Re-masquer un element systeme
echo 3) Vider le texte ci-dessus
echo 4) Quitter
set /p menu1=Entrez le chiffre de l'option :
if "%menu1%"=="1" goto :unhidall
if "%menu1%"=="2" goto :hideone
if "%menu1%"=="3" cls & goto:menu1
if "%menu1%"=="4" goto :quit
echo.
echo Euh... Votre saisie est nulle. Recommencez :
goto :menu1

:unhidall
if "%endroit%"=="a la racine d'un lecteur systeme" goto :pafounon
echo.
echo Affichage de tous les elements...
attrib -s -h /D /S *.*
echo Re-masquage des fichiers systeme connus...
attrib +s +h /S desktop.ini
attrib +s +h /S AlbumArtSmall.jpg
attrib +s +h /S Folder.jpg
attrib +s +h /S Thumbs.db
if "%endroit%"=="a la racine du lecteur" attrib +s +h Autorun.inf
if "%endroit%"=="a la racine du lecteur" attrib +s +h "System Volume Information"
attrib +h /S AppData
attrib +s +h /S ntuser.*
echo.
echo Voila ! Fin du processus.
echo Retournez verifier vos fichiers (touche F5 pour actualiser).
echo.
echo _____________________________
goto :menu1 

:pafounon
echo.
echo ALERTE : Vous etes sur un lecteur systeme !
echo Par precaution, ne lancez le programme que depuis le dossier d'utilisateurs :
set cible=Users
if not exist "Users" set cible=Documents And Settings
if not exist "Documents And Settings" goto :error
echo .\%cible%
goto :quit

:hideone
echo.
echo Saisissez l'adresse de l'element systeme a masquer :
echo (Sans guillemet, depuis l'emplacement en cours ou depuis la lettre du lecteur.)
set /p uri=Adresse de l'element :
attrib +s +h "%uri%"
echo.
echo Voila !
goto :menu1

:error
echo.
echo Erreur inattendue.
goto :menu1

:quit
echo.
echo Bonne continuation. Au revoir.
echo.
echo Fin du programme, appuyez sur une touche pour quitter...
pause>nul
exit

Enregistrez le tout (sur le bureau par exemple) en finissant par « .bat » et en encadrant le nom de guillemets. Exemple : « "Retrouver mes fichiers.bat" ».

script_bat.png.84215e484ee2fa171fb81164e0d29ebb.png

Copiez ce fichier de commandes et placez-le dans votre clé USB. Puis lancez-le et suivez le guide. Il vous permettra de tout ré-afficher d'un seul coup le contenu de votre clé.

script_cmd.png.9b62af4d06839ac6e9104b637b8a129e.png

Si vous ne retrouvez pas vos fichier, il peut s'agir d'un autre virus qui chiffre vos documents ou qui les supprime. Dans ce cas, tournez-vous vers un logiciel de récupération tel que Recuva. Ou alors consultez ces quelques ressources de récupération au sujets des virus crypto-lockers.

Bonne récupération ! :c_happy:

Edited by Le PoissonClown
Ajout d'images
  • J'aime 2
  • Plusser (+1) 1
Link to comment

Hello,
C'est surtout mieux, je vais récupérer le lien illico, n'oublie pas de l'indiquer ici, il rejoindra ma base de données perso de 300 pages à présent.
Edit : c'est déjà fait... je récupère donc le lien.

Hello, le titre de ton tuto n'est pas assez explicite à mon sens :
Récupérer ses fichiers cachés par un malware.. il faudrait ajouter sur une clé USB.

Edited by Firebird
Link to comment
  • Le PoissonClown changed the title to [TUTO] Récupérer ses fichiers cachés par un malware sur clé USB
Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...