USBフラッシュドライブの内容が単一のショートカットに置き換えられました


11

フラッシュドライブを開いたときに混乱しました。

C:\ Windows \ system32 \ rundll32.exe〜$ WO.FAT32、_ldr @ 16 desktop.ini RET TLS ""

あなたは私が以下にアップロードした画像を参照するかもしれません。フラッシュドライブの内容が表示されます。隠された内容がコマンドプロンプトに表示されます。そこに空白の名前のものがあることがわかります。フラッシュドライブの内容が含まれています。そのディレクトリには、その中にdesktop.iniも含まれています。

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

最初のdesktop.ini(フラッシュドライブのルートにある)とは異なります。これはある種のバイナリコンテンツで、率直に言ってここに貼り付ける方法がわかりません。だから私はちょうどフラッシュドライブの内容をアップロードしました ここに 。それであなたはそれを自分で見ることができます。

もう1つの奇妙なことは、autorun.inf(0バイトしかない)がwuauclt.exeによって使用されていることです。下の2番目の画像を参照してください。

誰もがこれを経験しましたか?私はすでにフラッシュドライブを再フォーマットして再挿入しようとしましたが、それでもまだ運はありません。

contents of flash drive

autorun is locked

desktop.ini(バイナリ風のもの)をハッシュして検索しました。数日前に投稿されたこれらのリンクが私に指摘されました。

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini(バイナリ)d80c46bac5f9df7eb83f46d3f30bf426

VirusTotalでdesktop.iniをスキャンしました。あなたは結果を見るかもしれません ここに 。 McAfee-GW-Editionはそれを Heuristic.BehavesLike.Exploit.CodeExec.C

私はProcess Explorerでwuauclt.exeのハンドルを見て、autorun.infがexeによって使用されているのを見ました。また、一時フォルダからファイルが開かれることに気付くかもしれません。

AppData \ Local \ Temp \ mstuaespm.pif

ここに VirusTotalからのそのpifファイルのスキャンです。 ここに PIFファイルのオンラインコピーであり、最後に ランダムファイル これはPIFファイルを実行した後に生成されたものです(私はサンドボックスを使用しました)。

wuauclt


それはオンになっており、私は窓を使っています。私の知る限りでは、Linuxの隠しファイル(.foldername)はまだウィンドウに表示されます。 (.Trash-0001フォルダなど)
kapitanluffy


その場合は、desktop.iniの代わりにdesktop.ini:virus.exeのようにエクスプローラに表示されませんか。 (desktop.iniにウイルスが含まれていると仮定)
kapitanluffy

あなたがその記事を読んだことがあれば、私はすでにそれをアップロードしてリンクを提供しました。
kapitanluffy

start。\ test.txt:note.exeは勝利7で動作しませんでしたそれは要求されたアクションを実行するためのプログラムが関連付けられていないことを言っています。また、コマンドプロンプトでアクセスが拒否されたことを示します。
kapitanluffy

回答:


2

数日前に削除しました。私は今これを投稿したばかりですが。これが私のコンピューターからバックドアを削除する方法です。

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

質問自体はそれほど良い質問ではないことに気づいただけです。それは議論のためのもう少しトピックです。 「保護」してくれてありがとう。


くそー、それはウイルスですか?フラッシュドライブをキャンパスコンピュータに接続した後にこれが発生しました
deathlock

2
単なるリンクである答えを提供しないでください。
That Brazilian Guy

0

コマンドプロンプトを使用してファイルを内蔵HDDにコピーし(これを実行する前にウイルス対策ソフトウェアがインストールされており、完全に更新されていることを確認してください)。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.