यूएसबी फ्लैश ड्राइव सामग्री को एक ही शॉर्टकट के साथ बदल दिया गया


11

जब मैंने अपने फ्लैश ड्राइव को खोला तो मैं उलझन में था, मैंने देखा कि उसके लक्ष्य के साथ एक शॉर्टकट था

C: \ Windows \ system32 \ rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

आप मेरे द्वारा अपलोड की गई छवियों का उल्लेख कर सकते हैं। यह फ्लैश ड्राइव की सामग्री को दर्शाता है। कमांड प्रॉम्प्ट छिपी हुई सामग्री दिखाता है। आप वहां देख सकते हैं कि एक खाली नाम है। इसमें फ्लैश ड्राइव की सामग्री है। उस निर्देशिका में सामग्री के रूप में इनके साथ एक डेस्कटॉप.इन भी है।

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

पहले Desktop.ini के विपरीत (फ्लैश ड्राइव के मूल में पाया गया)। इसमें कुछ प्रकार की बाइनरी सामग्री है जो स्पष्ट रूप से मुझे नहीं पता कि यहां कैसे पेस्ट किया जाए। इसलिए मैंने बस यहां फ्लैश ड्राइव की सामग्री अपलोड की है । तो आप इसे खुद देख सकते हैं।

एक और अजीब बात है autorun.inf (जिसमें केवल 0 बाइट्स हैं) wuauclt.exe द्वारा उपयोग किया जा रहा है। आप नीचे दी गई दूसरी छवि को देख सकते हैं।

क्या किसी ने भी यह अनुभव किया है? मैंने पहले से ही फ्लैश ड्राइव में सुधार और पुनर्बलन की कोशिश की, लेकिन अभी भी कोई भाग्य नहीं है।

फ्लैश ड्राइव की सामग्री

ऑटोरन लॉक है

मैंने Desktop.ini (बाइनरी-लाइक वन) को रीड किया है और इसके लिए खोज की है। इसने मुझे इन कड़ियों की ओर इशारा किया जो कुछ दिनों पहले ही पोस्ट की गई थी।

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

Desktop.ini (बाइनरी) d80c46bac5f9df7eb83f46d3f30bf426

मैंने VirusTotal में Desktop.ini को स्कैन किया। आप यहाँ परिणाम देख सकते हैं । McAfee-GW-Edition ने इसे Heuristic.BehavesLike.Exploit.CodeExec.C के रूप में पाया।

मैंने प्रोसेस एक्सप्लोरर में wuauclt.exe के हैंडल को देखा और देखा कि autorun.inf का उपयोग एक्सई द्वारा किया जा रहा है। आप यह भी देख सकते हैं कि अस्थायी फ़ोल्डर से एक फ़ाइल खोली गई है।

AppData \ Local \ अस्थायी \ mstuaespm.pif

यहाँ VirusTotal से उस pif फ़ाइल का स्कैन है। यहाँ पीआईएफ फ़ाइल की एक ऑनलाइन प्रतिलिपि है और अंत में, एक यादृच्छिक फ़ाइल जो पीआईएफ फ़ाइल चलाने के बाद उत्पन्न हुई थी (मैंने बॉक्सबॉक्स का उपयोग किया था)।

wuauclt


यह चालू है और मैं विंडोज़ का उपयोग कर रहा हूं। जहाँ तक मुझे पता है, लिनक्स में छिपी हुई फ़ाइलें (.foldername) अभी भी खिड़कियों में दिखाई जाएंगी। (जैसे .Tash-0001 फ़ोल्डर)
kapitanluffy

1
शायद इस पर पढ़ें - irongeek.com/i.php?page=security/altds
cutrightjm

अगर ऐसा है, तो यह डेस्कटॉप की तरह एक्सप्लोरर में नहीं दिखाया जाएगा। (यह मानते हुए कि
Desktop.ini

यदि आपने पोस्ट पढ़ी है, तो मैंने पहले ही इसे अपलोड कर दिया है और लिंक प्रदान किया है।
kapitanluffy

start। \ test.txt: note.exe ने जीत 7 में काम नहीं किया, यह कहता है कि अनुरोधित कार्रवाई करने के लिए कोई कार्यक्रम जुड़ा नहीं है। और संकेत देता है कि कमांड प्रॉम्प्ट में एक पहुंच से इनकार किया गया है
kapitanluffy

जवाबों:


2

मैंने कुछ दिन पहले ही इसे सफलतापूर्वक हटा दिया था। हालाँकि मैंने अभी यह एक पोस्ट किया है। यहां बताया गया है कि मैंने अपने कंप्यूटर से पिछले दरवाजे को कैसे हटाया।

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

बस एहसास हुआ कि सवाल ही बहुत अच्छा सवाल नहीं है। यह चर्चा का विषय है। यद्यपि 'संरक्षण' के लिए धन्यवाद।


अरे, तो यह एक वायरस है? मैं इस परिसर के कंप्यूटर के लिए अपने फ़्लैश drivce प्लग के बाद मिला
deathlock

2
कृपया, एक उत्तर देने से बचें जो केवल एक कड़ी है।
वह ब्राजील के लड़के

0

अपनी आंतरिक एचडीडी में अपनी फ़ाइलों को कॉपी करने के लिए कमांड प्रॉम्प्ट का उपयोग करें (सुनिश्चित करें कि आपके पास ऐसा करने से पहले एक वायरस सॉफ़्टवेयर स्थापित है और पूरी तरह से अपडेट है) और फिर ड्राइव को फ़ॉर्मेट करने से पहले फ़ाइलों को स्कैन करें, और फिर फ़ाइलों को ड्राइव पर वापस रखें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.