contenu du lecteur flash USB remplacé par un seul raccourci

11

J'étais confus quand j'ai ouvert mon lecteur flash tout ce que j'ai vu était un raccourci avec sa cible comme

C: \ Windows \ system32 \ rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Vous pouvez vous référer aux images que j'ai téléchargées ci-dessous. Il affiche le contenu du lecteur flash. L'invite de commande affiche le contenu masqué. Vous pouvez y voir qu'il y a un avec un nom vide. Il contient le contenu du lecteur flash. Ce répertoire contient également un fichier desktop.ini avec ceux-ci comme contenu.

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

Contrairement au premier desktop.ini (trouvé à la racine du lecteur flash). Il a une sorte de contenu binaire que je ne sais franchement pas comment coller ici. Je viens donc de télécharger le contenu du lecteur flash ici . Vous pouvez donc le visualiser vous-même.

Une autre chose étrange est que autorun.inf (qui n'a que 0 octet) est utilisé par wuauclt.exe. Vous pouvez vous référer à la deuxième image ci-dessous.

Quelqu'un a-t-il également vécu cela? J'ai déjà essayé de reformater et de réinsérer le lecteur flash, mais toujours pas de chance.

contenu du lecteur flash

l'exécution automatique est verrouillée

J'ai haché le desktop.ini (celui de type binaire) et l'ai recherché. Il m'a indiqué ces liens qui venaient d'être publiés il y a quelques jours.

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (binaire) d80c46bac5f9df7eb83f46d3f30bf426

J'ai analysé le desktop.ini dans VirusTotal. Vous pouvez voir le résultat ici . McAfee-GW-Edition l'a détecté en tant que Heuristic.BehavesLike.Exploit.CodeExec.C

J'ai vu les poignées de wuauclt.exe dans l'Explorateur de processus et j'ai vu que autorun.inf est utilisé par l'exe. Vous pouvez également remarquer qu'un fichier du dossier temporaire est ouvert.

AppData \ Local \ Temp \ mstuaespm.pif

Voici l'analyse de ce fichier pif de VirusTotal. Voici une copie en ligne du fichier PIF et enfin, un fichier aléatoire qui a été généré après avoir exécuté le fichier PIF (j'ai utilisé un bac à sable).

wuauclt

kapitanluffy
la source
Il est allumé et j'utilise Windows. Pour autant que je sache, les fichiers cachés sous Linux (.foldername) seront toujours affichés dans Windows. (comme le dossier .Trash-0001)
kapitanluffy
1
Peut-être lire à ce sujet - irongeek.com/i.php?page=security/altds
cutrightjm
Si tel est le cas, ne s'affichera-t-il pas dans l'Explorateur comme desktop.ini: virus.exe au lieu de simplement desktop.ini? (en supposant que desktop.ini contient le virus)
kapitanluffy
Si vous avez lu le message, je l'ai déjà téléchargé et fourni le lien.
kapitanluffy
start. \ test.txt: note.exe ne fonctionnait pas dans Windows 7, il indique qu'aucun programme n'est associé pour effectuer l'action demandée. et indique qu'un accès est refusé dans l'invite de commande
kapitanluffy

Réponses:

2

Je l'ai déjà supprimé avec succès il y a quelques jours. Bien que je viens de poster celui-ci en ce moment. Voici comment j'ai supprimé la porte dérobée de mon ordinateur.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

Je viens de réaliser que la question elle-même n'est pas une très bonne question. C'est plus un sujet de discussion. Merci pour la "protection".

kapitanluffy
la source
Merde, c'est donc un virus? Je l'ai obtenu après avoir branché mon lecteur flash sur un ordinateur du campus
Deathlock
2
Veuillez éviter de fournir une réponse qui n'est qu'un lien.
Ce brésilien Guy
0

Utilisez l'invite de commande pour copier vos fichiers sur votre disque dur interne (assurez-vous qu'un logiciel antivirus est installé et entièrement mis à jour avant de le faire), puis analysez les fichiers avant de formater le lecteur, puis remettez les fichiers sur le lecteur.

danielcg
la source