Вміст флеш-накопичувача usb замінено одним ярликом


11

Я розгубився, коли відкрив свою флешку, я побачив лише ярлик із ціллю

C: \ Windows \ system32 \ rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Ви можете звернутися до зображень, які я завантажив нижче. Він показує вміст флешки. Командний рядок показує прихований вміст. Ви можете бачити там, що є пусте ім'я. Він містить вміст флешки. У цьому каталозі також є desktop.ini всередині нього із вмістом.

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

На відміну від першого desktop.ini (знаходиться в корені флешки). У ньому є якийсь бінарний вміст, відверто кажучи, я не знаю, як тут вставити. Тому я просто завантажив сюди вміст флешки . Таким чином, ви можете переглянути його самостійно.

Ще одна дивна річ - це autorun.inf (який має лише 0 байт), який використовується wuauclt.exe. Ви можете звернутися до другого зображення нижче.

Хтось теж переживав це? Я вже намагався переформатувати та перевстановити флешку, але все одно не пощастило.

вміст флешки

автозапуск заблоковано

Я хеширував desktop.ini (бінарний) і шукав його. Він вказав мені на ці посилання, які були опубліковані лише кілька днів тому.

http://www.mycity.rs/Ambulanta/problem-sa-memorijsko-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (бінарний) d80c46bac5f9df7eb83f46d3f30bf426

Я відсканував desktop.ini в VirusTotal. Ви можете побачити результат тут . McAfee-GW-Edition виявив це як Heuristic.BehavesLike.Exploit.CodeExec.C

Я переглянув ручки wuauclt.exe в Провіднику процесів і побачив, що autun.inf використовується exe. Ви також можете помітити, що файл із папки temp відкритий.

AppData \ Local \ Temp \ mstuaespm.pif

Ось сканування цього піф-файлу від VirusTotal. Ось онлайн-копія файлу PIF і, нарешті, випадковий файл, який був створений після запуску файлу PIF (я використовував пісочницю).

wuauclt


Увімкнено, і я використовую вікна. Наскільки я знаю, приховані файли в Linux (.foldername) все ще будуть відображатися у Windows. (як-от папка .Trash-0001)
kapitanluffy

1
Можливо, прочитайте про це - irongeek.com/i.php?page=security/altds
cutrightjm

Якщо це так, чи не відображатиметься він у Explorer, як desktop.ini: virus.exe, а не просто desktop.ini? (якщо припустити, що desktop.ini містить вірус)
kapitanluffy

Якщо ви прочитали публікацію, я вже завантажив її та надав посилання.
kapitanluffy

start. \ test.txt: note.exe не працював у програмі win 7, це говорить, що не існує програми, пов’язаної з виконанням запитуваної дії. і вказує на відмову в доступі в командному рядку
kapitanluffy

Відповіді:


2

Я його успішно видалив уже кілька днів тому. Хоча я щойно опублікував цей. Ось як я видалив задній будинок зі свого комп’ютера.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

Щойно зрозумів, що саме питання - це не дуже вдале питання. Це щось більше тема для обговорення. Дякую за "захист".


Чорт, це вірус? Я отримав це після підключення моєї флеш-версії до комп’ютерного комп'ютера
смертник

2
Будь ласка, уникайте відповіді, яка є лише посиланням.
Той бразильський хлопець

0

Використовуйте командний рядок, щоб скопіювати свої файли на внутрішній жорсткий диск (Переконайтеся, що у вас встановлено вірусне програмне забезпечення та повністю оновлено до цього), а потім відскануйте файли перед форматуванням диска, а потім поверніть файли назад на диск.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.