关于WD报毒的“文件路径”求助

libragilmer

今天正在上网，WD 突然通知有威胁，打开一看，受影响的项目 一项写着：“file: C:\$Extend\$Deleted\001F00000004DBBF360AEDE4”
这个路径有点懵啊，根本找不到这个路径
大佬能否百忙之中不吝赐教，解释一下这个路径是什么意思嘛？还有这个位置的病毒最有可能的来源是什么？谢谢
我有没有必要进行一次全盘扫毒？

HEMM

平时看不到NTFS的文件夹，用分区工具可以看到.....

JS？你是用什么PE安装的系统？
不对，从日期看你已经安装了有段时间了，之后才报的这个文件夹= =.......不清楚。

峪飞鹰

分区类型的扩展信息，可参阅这里

libragilmer

HEMM 发表于 2020-2-21 09:44
平时看不到NTFS的文件夹，用分区工具可以看到.....

JS？你是用什么PE安装的系统？

msdn 原版镜像 安装的系统。
已经安装了一个多月了。
刚安装完系统以及安装完常用软件后，进行过一次手动的 WD 全盘扫描。结果是无威胁。
实在是好奇，什么样的病毒会在日常使用中，进入到 这个奇怪的路径里。这个路径很吓人，我需要格全盘重装一下吗？

libragilmer

峪飞鹰 发表于 2020-2-21 10:24
分区类型的扩展信息，可参阅这里

看不太明白，用于配额？修复点数据？物体的身份认证？
不是特别懂，大佬能简单解释一下吗？
平时做何种操作时，有可能感染此文件夹啊？

峪飞鹰

libragilmer 发表于 2020-2-21 10:49
看不太明白，用于配额？修复点数据？物体的身份认证？
不是特别懂，大佬能简单解释一下吗？
平时做何种 ...

从路径来看，可能是已删除文件在NTFS结构下留下的痕迹，被查出来了。也有可能是底层驱动直接操作NTFS分区格式，写入的信息，伪装成残留痕迹。具体是什么，现在的信息不足以判断。不过理论上被杀掉了，应该影响不大，不过要关注一下是否会复现，如果能复现的话，可能还有母体没被查到。

libragilmer

峪飞鹰 发表于 2020-2-21 10:59
从路径来看，可能是已删除文件在NTFS结构下留下的痕迹，被查出来了。也有可能是底层驱动直接操作NTFS分区 ...

好的，谢谢解答。

1、已经进行了一次WD全盘扫毒。无威胁。
是否有必要下载一个大蜘蛛啊什么的扫描器，进行一下全盘扫面？

2、可以接着使用吧
如果不复现，就一直用。
如果问题复现，就格全盘重装系统。
对吗？

谢谢解答。

峪飞鹰

libragilmer 发表于 2020-2-21 11:03
好的，谢谢解答。

1、已经进行了一次WD全盘扫毒。无威胁。

1. 不放心可以试试大蜘蛛
2. 能继续用，如复现再说

HEMM

libragilmer 发表于 2020-2-21 11:03
好的，谢谢解答。

1、已经进行了一次WD全盘扫毒。无威胁。

期间有使用PE吗？这个应该是监控发现直接删除了的。
如果有用PE，那么再打开PE，重复当时使用PE的操作，再观察WD是否还会在这个路径进行清理。
没有的话，想想最近运行了那些程序，重复运行一下试试看。
首先排查一下PE。

libragilmer

HEMM 发表于 2020-2-21 12:47
期间有使用PE吗？这个应该是监控发现直接删除了的。
如果有用PE，那么再打开PE，重复当时使用PE的操作， ...

从来没有使用过任何PE。
电脑里的软件，除下面所述的一个破解版以外，没有其他破解版。都是官网或者GitHub下载。
仔细回想了一下，报毒前后，运行过 VMware 虚拟机，在虚拟机里测试了刷下的chrome++补丁；运行过zd423网站上的 bandicam 破解便携版； 运行过https://mathewsachin.github.io/Captura/ ；运行过office 365正版打开过一个ppt。别的好像没啥了。
我凭印象复现了一下，当时的所有打开的软件和网页，没有再报毒。
好奇怪。