误删c盘文件无法开机(误删c盘文件无法开机怎么办)1月13日，一款名电脑为incaseformat的变种病毒在网络上开始蔓延，该电脑病毒表现出来的直接症状为将电脑C盘外其余盘中的所有文件都会给彻底清空删除，桌面上的文件图标变为无法打开的快捷方式。
中毒的电脑系统多为Win7系统，暂未发现Win10系统中毒，推测该病毒可能是通过Win7系统中的某个GHOST漏洞入侵
2、病毒执行过程
该病毒在通过系统漏洞入侵电脑系统后，并不会立即执行删除文件操作，首先是将自身复制到Windows目录下，并自动创建RunOnce注册表值，设置自动开机，且伪装成系统文件：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa，
值为C:\windows\tsay.exe
然后，该病毒在Windows目录下，电脑开始执行，将自身再次在注册表中进行注册HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1；
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0并隐藏自身属性。
最终，该病毒开始删除系统盘外的所有文件，在根目录中留下incaseformat.log文件。
3、防护方案
A、将重要资料多进行备份，拷贝到安全的移动硬盘或者U盘、云盘当中，断网保存；
B、不要下载来源不明的未知软件，且关闭电脑共享模式，隔离共享端口，避免批量出现；
C、安装杀毒软件（经测试江民杀毒软件可有效防范，其余杀毒软件在升级后应该也可有效防范）；
D、可尝试方案（暂未确定），将电脑系统升级为Windows10系统。
4、中毒后的解决方案
如果电脑已经中毒，先判断电脑里面是否有重要资料，如有重要资料，请立即断电关机，不要进行任何再写入操作，避免重要资料被新写入文件覆盖而无法恢复；如无重要资料，可安装杀毒软件进行杀毒后再进行操作；
电脑
5、中毒后的数据恢复
根据西安古诚数据恢复中心与国内顶尖数据恢复中心交流后，根据目前的情况以及病毒破坏数据的方式，得出结论为：
机械硬盘在中了incaseformat这款病毒丢失数据后，大部分都可以恢复出来；固态硬盘因其存储结构和原理的特殊性，在中incaseformat毒后丢失的内容依目前的技术暂时无法恢复出来。
采用恢复软件恢复情况：恢复方式为扫描式恢复，恢复文件完整度中等，恢复后的文件多为按类型分布，大都无法还原原来的目录结构，且有部分文件会无法正常打开使用；
专业恢复公司恢复情况：恢复方式为用专业设备提取底层数据，80%以上的均可还原原来的目录结构，恢复出来的文件完整度在95%以上，95%以上的文件均可正常打开使用；

西安古诚数据恢复中心，是国内为数不多的专业从事数据恢复公司之一，希望能够在数据恢复领域与您一起携手同行，为重要数据保驾护航！
电脑 电脑

下载本文