[求助]感谢大家的意见，不要进来了，本求助结束。:-)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]感谢大家的意见，不要进来了，本求助结束。:-)

发表于: 2007-11-7 14:15 21292

[求助]感谢大家的意见，不要进来了，本求助结束。:-)

sln

2007-11-7 14:15

21292

过程描述：这个USB盘是新买的，考不进去文件。我后来发现，无论考进去什么东西，全被改成他的autorun.inf,与auto.exe,并且其中的auto.exe是空的。
请大家分析一下是不是病毒。
文件从下面下载：
ftp://biocadd.vicp.net/pub/usb_autorun.tar.gz
谢谢大家

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・4

免费・0

支持

最新回复 (48) 1 2 ▶
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 6 关注私信	dummy 23 2 楼不懂， 2007-11-7 15:45 0
wangdell 雪币： 87 活跃值： (47) 能力值： ( LV12，RANK：250 ) 在线值：发帖 52 回帖 328 粉丝 3 关注私信	wangdell 6 3 楼电脑有病毒，与U盘无关 2007-11-7 16:40 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼神奇啊~~~ 2007-11-7 16:43 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 5 楼我上次中“国宝”也是这样的，呵`格掉 2007-11-7 17:07 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 6 楼解压后比ntoskrnl.exe都大，功能一定很多，分析不了。 2007-11-7 17:22 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼来一这个教育网盘可以外连的啊... 上传的附件： Snap1.gif （9.05kb，909次下载） 2007-11-7 17:24 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 8 楼呵呵,我有一个朗科的老式U盘(32M),不幸染上了rose.exe病毒，每次插入U盘，右键打开时，瑞星可以发现rose.exe病毒，但杀不掉，均提示：发现病毒，需重启删除。更为可恶的是，现在，此盘只能读出文件，不能写入或删除文件，用Windows来格式化它，也失败！也曾尝试用过一些U盘病毒专杀工具，它们都只能发现病毒，却都删不了！用星梭低级格式化工具，也没反应。现在我都不用它了, 不知有高手能否解决? 2007-11-7 18:01 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 9 楼楼主的问题多半是毒。szdbg，不知道你装了Linux没有，如果装了最好，直接挂载到Linux下，删掉。如果没有，你可以试试禁用系统的自动播放功能，然后再插上U盘删除病毒。或者用IceSword试试能不能删掉。 2007-11-7 18:21 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 10 楼 dear firefly: 我试过了，这个USB盘我就是在Linux下将这两个文件抓出来的，在linux下这个U盘一点问题都没有。问题在于：我在linux下，将一个文件放到这个U盘，那么，在瘟多死XP下打开后我考进去的文件就不见了。在xp里就不好用，放不进去文件，其实是放进去，只是这个U盘会将我拷进去的这个文件变成autorun.inf与auto.exe。 2007-11-7 18:40 0
枫城小子雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	枫城小子 11 楼格式化也不行吗? 2007-11-7 18:55 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 12 楼电脑有毒吧！ 2007-11-7 19:06 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 13 楼在WIN下不让格式化，因为在linux下可以用，而我在WIN里打开，只发现了我上传的这些文件，所以我猜是这些文件做怪。 2007-11-7 19:22 0
wsfjy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	wsfjy 14 楼呵呵呵。。这个是病毒。。。。 2007-11-7 19:34 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 15 楼奇怪哦，我在linux下也删除不了这两个文件，操作过程如下： [root@SBDD mnt]# mount /dev/sda1 /mnt/win [root@SBDD mnt]# ls win auto.exe autorun.inf usb [root@SBDD mnt]# cd win [root@SBDD win]# rm -fr * rm: cannot remove directory `usb/drive (G)': Read-only file system [root@SBDD win]# ls usb [root@SBDD win]# cd ../ [root@SBDD mnt]# umount /dev/sda1 [root@SBDD mnt]# ls win/ [root@SBDD mnt]# mount /dev/sda1 /mnt/win [root@SBDD mnt]# ls win/ auto.exe autorun.inf usb 删除auto.exe autorun.inf后，再mount回来，还有。还有新发现一个autorun.exe,可以在linux也可以在win跑我将他提交给卡巴斯基实验室了大家还是小心我的这些文件。 2007-11-8 08:49 0
dowhat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	dowhat 16 楼安全模式里杀U盘的病毒啊. 2007-11-8 12:16 0
pinion 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	pinion 17 楼看你的D，E盘哪个比较空，做个小的,10来M的gho 镜像文件，恢复到U盘上就可以了 2007-11-8 22:17 0
向日葵雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 205 粉丝 0 关注私信	向日葵 18 楼有意思的是，我用360安全卫士把这样的东西清干净了，它出现在我的移动硬盘上的各个区中：） 2007-11-10 10:02 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 19 楼用冰刃强力删除病毒文件 2007-11-10 12:05 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 20 楼这么多人崇拜冰刃阿。下次用用看，不过严重怀疑冰刃碰到rootkit怎么办况且现在这个时代rootkit太多了。 2007-11-10 17:41 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 21 楼这种U盘根本不能用（文件丢失率99%)。通过短路或强刷来虚增容量的，具体可以搜索一下。可以在安全模式下删除那两个文件。 2007-11-10 17:58 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 22 楼 [QUOTE=sln;379119]奇怪哦，我在linux下也删除不了这两个文件，操作过程如下： [root@SBDD mnt]# mount /dev/sda1 /mnt/win [root@SBDD mnt]# ls win auto.exe autorun.inf usb [root@SBDD mnt]# cd wi...[/QUOTE] 不会吧，autorun.exe还能在linux下跑？你用rm -fr 把那个usb文件夹也删了，下边不是提示了是只读？ [root@SBDD win]# rm -fr rm: cannot remove directory `usb/drive (G)': Read-only file system 我的u盘有写保护，开了以后，在Linux下看到删出了，实际上是却没有。难道你的盘也开了写保护？你试试只删除auto.exe autorun.inf 在window下可能是你的系统已经有毒了。看看各个分区的根目录下隐藏文件里有没有autorun.inf。 2007-11-11 22:01 0
dookey 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dookey 23 楼我也中过招啊现在好了 2007-11-12 14:14 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 24 楼从上传的文件来看，autorun.inf是不完整的PE文件，xxx目录下的exe文件为损坏的PE文件，auto.exe(大小为0)这个没什么好说明的。由此可以得出有可能你的U盘有问题，导致数据丢失。 2007-11-13 08:54 0
woainilala 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	woainilala 25 楼禁止自动播放里面的文件可以保存进去就没什么大问题啊！ 2007-11-13 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sln

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) 1 2 ▶
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 6 关注私信	dummy 23 2 楼不懂， 2007-11-7 15:45 0
wangdell 雪币： 87 活跃值： (47) 能力值： ( LV12，RANK：250 ) 在线值：发帖 52 回帖 328 粉丝 3 关注私信	wangdell 6 3 楼电脑有病毒，与U盘无关 2007-11-7 16:40 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼神奇啊~~~ 2007-11-7 16:43 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 5 楼我上次中“国宝”也是这样的，呵`格掉 2007-11-7 17:07 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 6 楼解压后比ntoskrnl.exe都大，功能一定很多，分析不了。 2007-11-7 17:22 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼来一这个教育网盘可以外连的啊... 上传的附件： Snap1.gif （9.05kb，909次下载） 2007-11-7 17:24 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 8 楼呵呵,我有一个朗科的老式U盘(32M),不幸染上了rose.exe病毒，每次插入U盘，右键打开时，瑞星可以发现rose.exe病毒，但杀不掉，均提示：发现病毒，需重启删除。更为可恶的是，现在，此盘只能读出文件，不能写入或删除文件，用Windows来格式化它，也失败！也曾尝试用过一些U盘病毒专杀工具，它们都只能发现病毒，却都删不了！用星梭低级格式化工具，也没反应。现在我都不用它了, 不知有高手能否解决? 2007-11-7 18:01 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 9 楼楼主的问题多半是毒。szdbg，不知道你装了Linux没有，如果装了最好，直接挂载到Linux下，删掉。如果没有，你可以试试禁用系统的自动播放功能，然后再插上U盘删除病毒。或者用IceSword试试能不能删掉。 2007-11-7 18:21 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 10 楼 dear firefly: 我试过了，这个USB盘我就是在Linux下将这两个文件抓出来的，在linux下这个U盘一点问题都没有。问题在于：我在linux下，将一个文件放到这个U盘，那么，在瘟多死XP下打开后我考进去的文件就不见了。在xp里就不好用，放不进去文件，其实是放进去，只是这个U盘会将我拷进去的这个文件变成autorun.inf与auto.exe。 2007-11-7 18:40 0
枫城小子雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	枫城小子 11 楼格式化也不行吗? 2007-11-7 18:55 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 12 楼电脑有毒吧！ 2007-11-7 19:06 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 13 楼在WIN下不让格式化，因为在linux下可以用，而我在WIN里打开，只发现了我上传的这些文件，所以我猜是这些文件做怪。 2007-11-7 19:22 0
wsfjy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	wsfjy 14 楼呵呵呵。。这个是病毒。。。。 2007-11-7 19:34 0
sln 雪币： 215 活跃值： (12) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	sln 2 15 楼奇怪哦，我在linux下也删除不了这两个文件，操作过程如下： [root@SBDD mnt]# mount /dev/sda1 /mnt/win [root@SBDD mnt]# ls win auto.exe autorun.inf usb [root@SBDD mnt]# cd win [root@SBDD win]# rm -fr * rm: cannot remove directory `usb/drive (G)': Read-only file system [root@SBDD win]# ls usb [root@SBDD win]# cd ../ [root@SBDD mnt]# umount /dev/sda1 [root@SBDD mnt]# ls win/ [root@SBDD mnt]# mount /dev/sda1 /mnt/win [root@SBDD mnt]# ls win/ auto.exe autorun.inf usb 删除auto.exe autorun.inf后，再mount回来，还有。还有新发现一个autorun.exe,可以在linux也可以在win跑我将他提交给卡巴斯基实验室了大家还是小心我的这些文件。 2007-11-8 08:49 0
dowhat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	dowhat 16 楼安全模式里杀U盘的病毒啊. 2007-11-8 12:16 0
pinion 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	pinion 17 楼看你的D，E盘哪个比较空，做个小的,10来M的gho 镜像文件，恢复到U盘上就可以了 2007-11-8 22:17 0
向日葵雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 205 粉丝 0 关注私信	向日葵 18 楼有意思的是，我用360安全卫士把这样的东西清干净了，它出现在我的移动硬盘上的各个区中：） 2007-11-10 10:02 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 19 楼用冰刃强力删除病毒文件 2007-11-10 12:05 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 20 楼这么多人崇拜冰刃阿。下次用用看，不过严重怀疑冰刃碰到rootkit怎么办况且现在这个时代rootkit太多了。 2007-11-10 17:41 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 21 楼这种U盘根本不能用（文件丢失率99%)。通过短路或强刷来虚增容量的，具体可以搜索一下。可以在安全模式下删除那两个文件。 2007-11-10 17:58 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 22 楼 [QUOTE=sln;379119]奇怪哦，我在linux下也删除不了这两个文件，操作过程如下： [root@SBDD mnt]# mount /dev/sda1 /mnt/win [root@SBDD mnt]# ls win auto.exe autorun.inf usb [root@SBDD mnt]# cd wi...[/QUOTE] 不会吧，autorun.exe还能在linux下跑？你用rm -fr 把那个usb文件夹也删了，下边不是提示了是只读？ [root@SBDD win]# rm -fr rm: cannot remove directory `usb/drive (G)': Read-only file system 我的u盘有写保护，开了以后，在Linux下看到删出了，实际上是却没有。难道你的盘也开了写保护？你试试只删除auto.exe autorun.inf 在window下可能是你的系统已经有毒了。看看各个分区的根目录下隐藏文件里有没有autorun.inf。 2007-11-11 22:01 0
dookey 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dookey 23 楼我也中过招啊现在好了 2007-11-12 14:14 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 24 楼从上传的文件来看，autorun.inf是不完整的PE文件，xxx目录下的exe文件为损坏的PE文件，auto.exe(大小为0)这个没什么好说明的。由此可以得出有可能你的U盘有问题，导致数据丢失。 2007-11-13 08:54 0
woainilala 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	woainilala 25 楼禁止自动播放里面的文件可以保存进去就没什么大问题啊！ 2007-11-13 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复