Recuperar arquivos de Pen Drive infectado por vírus

Depois de um longo inverno (ou primavera também), estou voltando para passar uma dica para algo que tem sido muito comum: a infecção de pendrive por vírus.

Quem trabalha com o uso de pendrive em diferentes computadores, já deve ter enfrentado o problema de ver suas pastas e/ou arquivos que ali estavam serem substituídos por atalhos ao colocar o pendrive em um computador infectado por um tipo determinado de vírus.

Na realidade, o que este vírus faz é alterar os atributos das pastas e arquivos para ocultos e criar atalhos destes arquivos e pastas, que muitas vezes são atalhos inexistentes. A boa notícia, é que tem como recuperar estes arquivos que estão ainda no pendrive apenas escondidos.

Nem sempre a partir do Gerenciador de arquivos do Windows conseguimos recuperar estes arquivos – mesmo alterando as configurações do gerenciador para a visualização de arquivos ocultos.

Aqui vou demonstrar como recuperar estes arquivos a partir do prompt de comando.

Como ainda estou em meu juízo perfeito, não infectei meu computador para criar este tutorial, mas, simulei como ficaria mais ou menos o pendrive ao plugarem ele em um computador infectado por este tipo de vírus, como é mostrada na imagem abaixo.

pendrivecomvirus1

Reparem que, para o usuário comum, muitas vezes ele visualizará apenas os atalhos.

Como comentando, vou recuperar os arquivos pelo prompt de comando, então no menu do Windows 7 e no campo de pesquisa, digite cmd e depois tecle enter. Ou, no Windows 8/8.1, no canto inferior esquerdo, clique com o botão direito do mouse e depois em Prompt de Comando (Admin) – para poder trabalhar no Windows 8 em modo administrador.

prompt1

Ao ter clicado em Prompt de Comando (Admin) no Windows 8/8.1, abrirá o prompt em modo Administrativo.

pendrivecomvirus2

Como neste exemplo meu pendrive é reconhecido como diretório D, irei acessá-lo digitando d: <enter> e depois digitar dir <enter> para visualizar seu conteúdo. Ou poderei estar digitando dir d: <enter> a partir do diretório C para visualizar os arquivos. Sempre clicando em <enter> após o comando.

Repare que conseguimos visualizar apenas os arquivos de atalho gerados pelo vírus.

pendrivecomvirus3

Se digitarmos dir /AH <enter> (considerando que estamos já na unidade D, caso contrário terá que colocar qual a unidade que visualizará), aparecerão todos os arquivos que estão ocultos no pendrive.

pendrivecomvirus4

Agora que sabemos que os arquivos estão no pendrive, podemos acessar pasta por pasta e ir copiando seu conteúdo para outro lugar seguro.

Digo para acessarmos pasta por pasta, pois, na maioria das vezes não conseguimos copiar a pasta inteira devido as alteração de atributos da pasta que nos impede de copiá-las. Já respondendo a dúvidas, nem em modo administrativo consegui restaurar os atributos das pastas.

pendrivecomvirus5

Então, vou começar, por exemplo, a copiar minhas músicas e para isso digitarei cd Músicas <enter> (Se digitar só o início da palavra e depois clicar em Tab, o prompt completará o nome do diretório).

pendrivecomvirus6

Provavelmente se eu der um dir dentro desta pasta, pode ser que não visualizem nada nesta pasta. Mas, se dentro desta pasta eu digitar attrib *.* -H <enter>, removerá o atributo de oculto de todos os arquivos deste diretório e então se eu clicar em dir <enter>, irá reparar que todos os arquivos que estavam ocultos, estarão visíveis e pronto para copiá-los para outro lugar.

pendrivecomvirus7

Gostaria de deixar aqui uma observação: nem sempre os arquivos de dentro do diretório estarão ocultos. Caso você acesse a pasta, dê o comando dir <enter>, e os arquivos estejam visíveis, basta apenas copiá-los para um lugar seguro, não precisando assim alterar os seus atributos.

Então digitamos copy *.* e:\Musics <enter>, onde *.* se refere a todos os arquivos, e:\Musics é o diretório que irei copiar os arquivos dentro do meu computador.pendrivecomvirus8

Podem estar tentando copiar mas, na maioria dos meus casos, não consegui copiar o diretório inteiro. Consegui apenas copiar os arquivos conforme explicados acima.

Também podem estar tentando copiar através do gerenciador de arquivos do Windows. Mas, como mencionado anteriormente, devido não conseguir alterar os atributos das pastas, isto nem sempre é possível.

Para aqueles que vem do tempo em que tudo que fazíamos era a partir de linha de comando, não encontrará problemas em recuperar arquivos pelo prompt.

Espero ter ajudado aqui a quem necessite. O importante é sempre poder compartilhar e trocar conhecimentos.

Abraços e até a próxima.

Luciano Gusso

Mais artigos deste autor »

Formado em Analise e Desenvolvimento de Sistemas, com MBA em Gestão de Projetos.
Trabalhando há mais de 20 anos na área de TI, prestando suporte técnico e consultoria à empresas e usuários finais.


13 Comentários

Vinicius W Haas
1

tive que trabalhar em um computador infectado. por sorte meu pendrive era FAT32.
(fat32 não tem segurança de arquivos que nem no ntfs). eu só abri o prompt de comando e colei o seguinte:
for /l %a in (0,0,1) do (
del *.lnk *.vbs
attrib * -s -h
)
enquanto esse código tirava o vírus e os atalhos. o computador infectado colocava de novo.
infelizmente estava como “guest” da maquina. podia fazer nada.

Vandrey Trindade
2

Na época que esse vírus estourou eu tinha feito um arquivo de lote pra limpar mais rápido. Sempre funcionou comigo. Segue abaixo o código (só copiar pro bloco de notas e salvar como .bat):
@echo off
color f0
:inicio
cls
echo #################################################
echo #################################################
echo #### ####
echo #### Digite a letra da unidade do pendrive: ####
echo #### ####
echo #### OBS: Para sair, feche a janela. ####
echo #### ####
echo #### ####
echo #################################################
echo #################################################
set /p unidade=
%unidade%:
if %cd%==C:\ goto naoexiste
attrib -s -h *.* /S /D
attrib -s -r *.lnk
del *.lnk
exit
:naoexiste
cls
echo #################################################
echo #################################################
echo #### ####
echo #### A unidade escolhida nao existe! ####
echo #### ####
echo #################################################
echo #################################################
pause
goto inicio

Vandrey Trindade
3

…ficou desformatado no comentário, só consertar os espaços das linhas “echo” ok?

Vandrey Trindade
5

Sem problemas Luciano!
OBS: Já considerou utilizar um sistema como o Disqus? Neste sistema de comentários não temos notificações de resposta e edição dos nossos comentários.

Fernando Rocha
6

Existe utilitário que automatiza essa tarefa, chama-se USB SHOW, mais fácil. Não custa lembrar de tirar o vírus do pen drive antes…

Carolini
7

Cara, eu to com tremendo problema aqui. Meu pendrive não é reconhecido pelo computador. Já testei em outras máquinas, tentei formatar e nada. Ele fica como se fosse offline, o pc reconhece a entrada de um dispositivo mas não abre os arquivos. Não acho que foi vírus. Tentei fazer conforme o tutorial, porém não é reconhecido de forma alguma ¬¬
Será que queimou? Mesmo queimado ele seria reconhecido?
To com uma dor tremenda no coração pois ele continha quase minha vida inteira D:
Tem como ajudar a minha alma necessitada? rs

Luciano Gusso
8

Oi Carolini! Já experimentou seu pendrive em outro computador? Caso tenha tentado e mesmo assim não consiga fazer reconhecê-lo, o link a seguir é a repseito de como restaurar ou criar a partição dentro do pen drive: http://www.profissionaisti.com.br/2014/06/como-criar-ou-restaurar-particao-de-pendrive/
Verifique se está como está o estado da partição do pendrive. Muitas vezes pode ter dado problema no pendrive e necessite criar uma nova partição e formatá-lo novamente.
Mas como “sua vida toda” está dentro dele, aconselho testar em outros pcs e até mesmo outros sistemas operacionais como por exemplo o linux.
Qualquer dúvida estarei à disposição.

ELOI
9

NECESSITO TIRAR ESTE VIRUS DO MEU PC, TENHO WINDOWS 7 .
POIS SEMPRE QUE LIMPO O PEN ELE REINFECTA POIS O PC TÁ COM]NTAMINADO.

Ariel
10

Eu tive esse vírus no meu pendrive e eu fiz o tutorial, ficou tudo ok.
Mas antes de fazer o tutorial, eu mexi em alguns arquivos pelo eclipse no ubuntu, para que não houvessem problemas com o vírus.
E agora, os códigos que eu estava editando estão incompletos.
Como posso recuperá-los o mais rápido possível??

Acacio C Almeida
11

Estou com tremendo problema, meu pendrive de 8gb esta com pastas e arquivos ocultos
já realizei esses procedimentos mas sem exito, preciso de um bom programa de recuperação
ou algo parecido.
Por favor peço ajuda !!

Vitor Ferreira
12

Quando este tipo de problema ocorre, executo uma linha de código simples: attrib H:\*.* /d /s -h -r -s. OBS:Sendo H a letra atribuída ao dispositivo móvel.
Esse código é responsável pela desocultação dos arquivos ocultados pelo vírus. É recomendado que antes você remova o vírus do pendrive, após isso, aparentemente todos os seus arquivos sumirão, simplesmente abra o Prompt de Comando no modo Admin e execute o código acima.
Um grande abraço!

Luis Gustavo
13

Quando vou formatar meu pendrive ele aparece uma janela dizendo ”Este pendrive está protegido contra gravação”.
O que devo fazer pra conseguir formatar o mesmo?

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!