[Linux-Biella] [Supporto] Strana sparizione di dati

[Jumping Jack]

On 09/12/2016 10:59, Marcello Tescari wrote:
> Ciao
>
> Mi son ritrovato a dover sistemare un computer (winzoz) che finora mi 
> è risultato alquanto strano.
>
> La prima volta che lo prendo in mano (circa un mesetto fa) dovevo 
> rimuovere del malware che impediva la navigazione, rallentava il 
> sistema e cambiare la lingua (mettere italiano invece dello spagnolo 
> che il pc aveva, in quanto acquistato in Spagna).
>
> Faccio tutti i lavori, controllo che tutto sia a posto e restituisco 
> il pc funzionante.
>
> Un paio di giorni dopo mi contatta il proprietario dicendo che:
>
> - nei giorni successivi è tornato a ritrovarsi il malware (può essere 
> che nonostante scansioni e pulizie qualcosa sia sfuggito e quelli si 
> moltiplicano come nulla)
>
> - erano sparite delle cartelle sul desktop dove praticamente si 
> trovavano i dati "importanti" (tesi, foto, ecc)
>
> Nel frattempo viene fuori che è stata trovata una copia (o gli stessi 
> che si son spostati da soli) dei dati (non mi è ben stato spiegato se 
> seguendo la stessa struttura o meno) in una sottocartella della Utenti 
> (penso sia l'equivalente della home su windows). Per cui sembra che il 
> problema dati sia risolto.
>
> Mi faccio restituire il computer, ripulisco i malware e comunque noto 
> l'assenza delle cartelle di cui sopra e dentro alle cartelle utenti 
> non ci metto mano.
>
>
> Mi comunicano che nuovamente son spariti questi dati, e non si trovano 
> più, il problema malware sembra risolto.
>
> Ieri mi restituiscono il computer per cercare di recuperare i dati, e 
> la mia prima idea vola a testdisk.
>
> Testdisk mi vede delle partizioni cancellate e non piu esistenti, e 
> quella corrente, dove comunque quelle cartelle cancellate non le vede, 
> e nemmeno i file.
> Spesso capita che  testdisk con la funzione "list files" mostri i file 
> ma questi siano danneggiati. Qui nulla, come quei dati non ci fossero 
> mai stati.
>
> Ho provato anche recova su windows (della piriform, quella di 
> ccleaner) senza risultato.
>
> Qualcuno ha dei suggerimenti?
> Recupero meccanico anche non funzionerebbe? (quello che costa un sacco 
> e che di solito ci si affida se il disco non gira).
>
> Vi ringazio per il supporto, ma non so più cosa pensare, né come 
> spiegare che sti files siano spariti
>
> Marcello

Così a naso direi che è stata rinominata o spostata la directory desktop 
utente che contiene i file prensenti sul desktop. Per cui è stata 
ricreata vuota.
Perché sia successo è un po' difficile da sapere, può essere l'utente 
che fa casino con il mouse, un accesso remoto, l'antimalware che 
decidere di rinominare una directory per cancellare un file protetto dal 
sistema o boh tanto altro.
Il malaware come lo hai rimosso? Se non si cancellano i file a mano e si 
verifica che non ci siano script o task automatici, spesso ricompaiono e 
nessun antivirus va a toccare magari uno script vbs che usa il sistema e 
magari fa il download da remoto del virus e lo esegue.