web-dev-qa-db-fra.com

contenu du lecteur flash USB remplacé par un seul raccourci

J'étais confus quand j'ai ouvert mon lecteur flash tout ce que j'ai vu était un raccourci avec sa cible

C:\Windows\system32\rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Vous pouvez vous référer aux images que j'ai téléchargées ci-dessous. Il montre le contenu du lecteur flash. La commande Invite affiche le contenu masqué. Vous pouvez voir qu'il y a un avec un nom vide. Il contient le contenu du lecteur flash. Ce répertoire contient également un fichier desktop.ini avec pour contenu.

[.ShellClassInfo]
IconResource=%systemroot%\system32\Shell32.dll,7
IconFile=%SystemRoot%\system32\Shell32.dll
IconIndex=7

Contrairement au premier desktop.ini (situé à la racine du lecteur flash). Il a une sorte de contenu binaire que je ne sais pas comment coller ici. Donc, je viens de télécharger le contenu du lecteur flash ici . Donc, vous pouvez le voir vous-même.

Une autre chose étrange est le fichier autorun.inf (qui n'a que 0 octets) utilisé par le wuauclt.exe. Vous pouvez vous référer à la deuxième image ci-dessous.

Est-ce que quelqu'un a vécu cela aussi? J'ai déjà essayé de reformater et de réinsérer le lecteur flash, mais toujours pas de chance.

contents of flash drive

autorun is locked

J'ai haché le desktop.ini (celui de type binaire) et l'ai recherché. Il m'a pointé ces liens qui a été posté il y a quelques jours.

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (binaire) d80c46bac5f9df7eb83f46d3f30bf426

J'ai scanné le desktop.ini dans VirusTotal. Vous pouvez voir le résultat ici . McAfee-GW-Edition l'a détecté comme un heuristic.BehavesLike.Exploit.CodeExec.C

J'ai visualisé les descripteurs de wuauclt.exe dans l'Explorateur de processus et ai vu le fichier autorun.inf utilisé par l'exe. Vous pouvez également remarquer qu’un fichier du dossier temporaire est ouvert.

AppData\Local\Temp\mstuaespm.pif

Ici est l'analyse de ce fichier pif de VirusTotal. Ici est une copie en ligne du fichier PIF et, enfin, un fichier aléatoire qui a été généré après avoir exécuté le fichier PIF (j'ai utilisé le bac à sable).

wuauclt

11
kapitanluffy

Je l'ai enlevé avec succès il y a quelques jours déjà. Bien que je viens de poster celui-ci en ce moment. Voici comment j'ai supprimé la porte dérobée de mon ordinateur.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

Je viens de me rendre compte que la question elle-même n'est pas une très bonne question. C'est plus un sujet de discussion. Merci pour la 'protection' cependant.

2
kapitanluffy

Utilisez la commande Invite pour copier vos fichiers sur votre disque dur interne (assurez-vous qu'un logiciel antivirus est installé et entièrement mis à jour avant de le faire), puis analysez les fichiers avant de formater le lecteur, puis remettez-les sur le lecteur.

0
danielcg