nội dung ổ đĩa flash USB được thay thế bằng một phím tắt duy nhất


11

Tôi đã bối rối khi mở ổ đĩa flash, tất cả những gì tôi thấy là một phím tắt với mục tiêu là

C: \ Windows \ system32 \ rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Bạn có thể tham khảo những hình ảnh tôi tải lên dưới đây. Nó cho thấy nội dung của ổ đĩa flash. Dấu nhắc lệnh hiển thị nội dung ẩn. Bạn có thể thấy rằng có một cái tên trống. Nó chứa các nội dung của ổ đĩa flash. Thư mục đó cũng có một desktop.ini bên trong nó với những nội dung này.

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

Không giống như desktop.ini đầu tiên (được tìm thấy ở thư mục gốc của ổ đĩa flash). Nó có một số loại nội dung nhị phân mà thật lòng tôi không biết cách dán ở đây. Vì vậy, tôi chỉ tải lên nội dung của ổ đĩa flash ở đây . Vì vậy, bạn có thể xem nó cho mình.

Một điều kỳ lạ khác là autorun.inf (chỉ có 0 byte) đang được wuauclt.exe sử dụng. Bạn có thể tham khảo hình ảnh thứ hai dưới đây.

Có ai có kinh nghiệm này quá? Tôi đã thử định dạng lại và lắp lại ổ đĩa flash nhưng vẫn không gặp may.

nội dung của ổ đĩa flash

autorun bị khóa

Tôi đã băm desktop.ini (giống như nhị phân) và tìm kiếm nó. Nó chỉ cho tôi những liên kết vừa được đăng vài ngày trước.

http://www.mycity.rs/Ambulanta/probols-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (nhị phân) d80c46bac5f9df7eb83f46d3f30bf426

Tôi đã quét desktop.ini trong VirusTotal. Bạn có thể thấy kết quả ở đây . McAfee-GW-Edition đã phát hiện ra nó là một Heuristic.BehavesLike.Exploit.CodeExec.C

Tôi đã xem các thẻ điều khiển của wuauclt.exe trong Process Explorer và thấy autorun.inf đang được exe sử dụng. Bạn cũng có thể nhận thấy rằng một tệp từ thư mục tạm thời được mở.

AppData \ Local \ Temp \ mstuaespm.pif

Đây là bản quét tệp pif đó từ VirusTotal. Đây là một bản sao trực tuyến của tệp PIF và cuối cùng, một tệp ngẫu nhiên được tạo sau khi tôi chạy tệp PIF (tôi đã sử dụng hộp cát).

hạt nhân


Nó được bật và tôi đang sử dụng windows. Vì vậy, theo như tôi biết, các tệp ẩn trong Linux (.printername) sẽ vẫn được hiển thị trong windows. (như thư mục
.Trash

1
Có thể đọc lên trên này - irongeek.com/i.php?page=security/altds
cutrightjm

Nếu đó là trường hợp, nó sẽ không được hiển thị trong Explorer như desktop.ini: virus.exe thay vì chỉ desktop.ini? (giả sử rằng desktop.ini chứa virus)
kapitanluffy

Nếu bạn đã đọc bài viết, tôi đã tải nó lên và cung cấp liên kết.
kapitanluffy

start. \ test.txt: note.exe không hoạt động trong win 7, nó nói rằng không có chương trình nào liên quan để thực hiện hành động được yêu cầu. và chỉ ra quyền truy cập bị từ chối trong dấu nhắc lệnh
kapitanluffy

Câu trả lời:


2

Tôi đã gỡ nó thành công vài ngày trước. Mặc dù tôi chỉ đăng cái này ngay bây giờ. Đây là cách tôi loại bỏ cửa hậu khỏi máy tính của tôi.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaces-with-a-single-shortcut/

Chỉ nhận ra rằng bản thân câu hỏi không phải là một câu hỏi hay. Nó là một cái gì đó nhiều hơn của một chủ đề để thảo luận. Cảm ơn vì sự "bảo vệ" mặc dù.


Chết tiệt, vậy nó là virus à? Tôi đã nhận được điều này sau khi cắm đèn flash của mình vào máy tính trong khuôn viên trường
deathlock

2
Xin vui lòng, tránh cung cấp một câu trả lời chỉ là một liên kết.
chàng người Brazil đó

0

Sử dụng dấu nhắc lệnh để sao chép các tệp của bạn vào ổ cứng nội bộ của bạn (Đảm bảo rằng bạn đã cài đặt và cập nhật đầy đủ phần mềm trước khi thực hiện việc này) và sau đó quét các tệp trước khi định dạng ổ đĩa, sau đó đặt lại các tệp vào ổ đĩa.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.