Registrarse Gratis

¡Únase para Aprender y Compartir!

recuperar carpetas de memoria usb

26/3/2009 12:08PM
Hola a todos, tengo una memoria usb de 2Gb kingston tenia como 10 carpetas con bastante informacion, y como 12 archivos mas, resulta q depronto cuando lo conecte a una pc se activo el nod32 de esa maquina y m detectaba virus abri el usb y ya no tenia ninguna carpeta solo los 12 archivos quedaron, es decir las carpetas desaparecieron, lo he conectado en diferentes maquinas y solo aparecen los archivos y de la carpetas nada, pero cuando voy a propiedades del usb me dice que esta casi lleno como 1.7Gb es decir como si estuvieran ahi las carpetas pero no las puedo ver.
alguien por favor me puede ayudar es importante que recupere esas carpetas.
gracias
Esta pregunta está cerrada. Si quieres puedes: Abrir otra Pregunta
26/3/2009 12:33PM
checa si tus carpetas no estan marcadas como ocultas, para esto debes accesar en el exploardor a "opciones de carpeta, ver " y activar : Mostrar todos los archivos y carpetas ocultos. Espero te sirva.
28/3/2009 12:24PM
amigo tambien pense k estarian ocultas pero nada, no aparecen cuando activo mostrar carpetas ocultas, ustedes creen que el nod32 los halla borrado porque cuando lo conecte a la maquina la ultima vez k vi mis carpetas, se ejecuto el nod 32 y detectaba virus y lo mandaba a cuarentena o algo asi, porfa ayuda deseo recuperar mis documentos, alguien conocera algun software para recuperar esas carpetas, por que en propiedades de la memo me dice k esta casi llena es decir como si estuvieran alli mis carpetas, gracias
28/3/2009 12:34PM
No apuntaste el nombre del virus?

Hay que ver que tipo de daño hace ese virus, probablemente te los oculta, hay herramientas para corregir eso ya que simplemente dandole en la opción que trae windows pra mostrar archivos ocultos no es suficiente.
Coreg03 10
28/3/2009 02:04PM
No tienes nada fácil el tema. Puedes probar volver a introducir tu memoria en el pc que te eliminó los archivos. Si están en cuarentena los restauras, con permiso del antivirus. En el momento que logres que te afirme el antivirus que te los ha restaurado; claro que debes de saber más o menos los que eran, pero por la fecha los podrás seleccionar;muy importante, sacas rápidamente el pen del usb en el momento de la restauración efectiva,, porque si no te los volverá a enviar a cuarentena.
No se me ocurre otra cosa.
Si los archivos han sido eliminados del pc lo tendrías mucho más difícil.
Comentas resultados.
22/5/2009 05:20PM
Hola carnalito, mira te voy a resumir las cosas y te dare una solucion, talvez sera la mas tediosa pero al final es la que yo he utilizado para varios clientes.

Antes que nada, y para prevenir mas infecciones, abre bloc de notas y pega la siguiente secuencia:

on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_
"a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
"80*.com","semo*.exe","autorun*.*","x*.exe","yl*.exe","qd*.cmd")


Set geekside=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives


Wscript.Echo "Software provisto porTu padre osease yooo para que dejes de estar sufriendo"
Wscript.Echo "Aguanta y sigue las intrucciones."


i=0
For Each objDrive in colDrives
If objDrive.IsReady = True Then
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close
End If
Next


Set objRegex = new RegExp

objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)



i=0
For Each element In colRegexMatches1
element = Replace(element,"=","")
WScript.Echo "Procediendo a borrar archivo del virus o como quieran llamarlo :" & element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Limpiar unidad: " & objDrive.DriveLetter

nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)

nret=geekside.Run("cmd /C taskkill /f /im kavo.exe",0,TRUE)

nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)

nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)

End If
Next
i = i + 1
Next


Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing

nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)


nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)


nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)


nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)


nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)

nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)

nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v kava /f",0,TRUE)


WScript.Echo "Se procederá a restaurar el registro de sistema para poder ver los archivos Ocultos. cabron verdad?"

nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)



nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)


nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)


nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)


nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)


nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)


nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)


For Each objDrive in colDrives
If objDrive.IsReady = True Then
For X=0 to UBound(Lista)
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
Next
End If
Next

WScript.Echo "ya esta cabron gracias a tu padre"
WScript.Echo "www.kronoz-inc.blogspot.com"


WScript. Quit(0)


Lo guardas con el nombre de "KRONOZ ENTERPRISE.reg" Sin las comillas y lo guardas en el escritorio.

Despues de haber echo esto, tendras que ejecutarlo, dandole doble click, lo que hace este pequeño script es desactivar restaurador, eliminar entradas de registro por el amvo o recycler u otro virus, te muestra las carpetas ocultas y archivos, y te restaura el sistema, facil, pero lleva tiempo, solo tenle paciencia, una vez echo esto, hasa que te aparezca un letrero con una pagina web, ya namas le das aceptar y ya esta, virus eliminado o almenos deshabilitado.

Ahora vamos con tu USB, a consecuencia de esto, las carpetas que tenias cuando tenias el virus, las sustituia por carpetas aplicacion, raro verdad? pero asi las convertia, haciendo las carpetas originales inaseccibles a simple vista, ocultas bajo un sistema independiente de windows, pero bueno.

Es comun infectarte con virus que hacen la gracia de ocultar tus carpetas y por lo tanto archivos, de manera que no puedes acceder a ellos y te hacen pensar que fueron eliminados.

Obviamente ejecuta un analisis con tu antivirus y asegirate de eliminar el virus o worm, si a pesar de haberlo eliminado los archivos siguen ocultos:


Para recuperar estos archivos:

1. Verifica que éste sea tu caso. Inserta la memoria USB o tarjata extraible. En Mi PC da click derecho sobre esa unidad y selecciona propiedades.

En la ventana de propiedades ves que el dispositivo no está vacio y que ahi siguen tus archivos. si ves que esta vacio, efectivamente tus archivos fueron eliminados.

2. Para recuperar los archivos necesitas el WinRar



http://taringa.net/posts/downloads/1270229/WinRAR-3_80-Beta-1---Espa%C3%B1ol---Full---%5BAutoRegistrado%5D.html

Abre WinRar y con el botón de "Up one level" (subir un nivel) ve hasta Mi PC.

3. Selecciona el dispositivo extraible y abrelo.

4. Ahora si puedes ver los archivos que el explorador de Windows no ve.

5. Lo siguiente es copiar esos archivos a una carpeta de tu computadora.
Abre la ventana de la carpeta donde quieras poner esos archivos y dejala detras de la de Winrar.

En Winrar selecciona los archivos que quieras recuperar, puedes seleccionar varios con la tecla Ctrl o Shift.
Tienes que seleccionar archivos, no Carpetas porque al copiar carpetas te las copia ocultas.

5 Ahora arrastra los archivos seleccionados en el WinRar a la ventana de la carpeta de tu Pc que dejaste detras de WinRar. ahora el explorador de Windows los reconoce.

6. Repite por cada carpeta de tu unidad extraible que desees recuperar.

7. Ya que tienes los archivos que quieres recuperar en tu PC, puedes formatear tu dispositivo extraible (en Mi PC, click derecho sobre el dispositivo extraible, selecciona formatear, formato rápido y aceptar

8. Ahora simplemente regresa los archivos que recuperaste en tu PC al dispositivo extraible y Listo.

Espero te sirva y me avisas
25/6/2009 07:53PM
tb lo tengo oculta tus carpetas no puedes verla poniendo mostrar archivos ocultos pero si pones por ej : buscar : F:/ ...
te salen todos hasta los ocultos poniendo la oopcion buscar en archivos y carpetas ocultas pero te crea una carpeta recycler, el virus autorun..inf, y con el paso de los dias te crea otra carpeta next , y si ya arreglaste lo de las carpetas ocultas te las vuelva a ocultar;y ademas se mete tu computadora y te deja el recycler , next luego memory, luego (en donde va la mia) una carpeta c , puedes borrar esas de tu memorya mas no de tu compu, por que te sale una advertencia q dice :no se puede borrar por que se esta ejecutando un archivo de ella en la carpeta next,por ej es el archivo NEXT.exe y asi una porqueria ,. Al iniciar windows en la parte superior derecha te sale como si se estuviera ejecutanddo una ventana : configuracion personalizada y carga NEXT:exe y ortrs de las otras carpetas, s me pueden ayudar seria bueno ya q sigo busacando y no se que hacer y esmas que seguro que si vuelvo a meter mi memoria , en ella se crean nhuevas carpetas como esas, se va a pasar una nueva carpeta con sabe dios qu nombre.
Esta pregunta está cerrada. Si quieres puedes: Abrir otra Pregunta