查看: 2715|回复: 10
收起左侧

[一般话题] 关于WD报毒的“文件路径”求助

[复制链接]
libragilmer
发表于 2020-2-21 02:24:37 | 显示全部楼层 |阅读模式
今天正在上网,WD 突然通知有威胁,打开一看,受影响的项目 一项写着:“file: C:\$Extend\$Deleted\001F00000004DBBF360AEDE4”
这个路径有点懵啊,根本找不到这个路径
大佬能否百忙之中不吝赐教,解释一下这个路径是什么意思嘛?还有这个位置的病毒最有可能的来源是什么?谢谢
我有没有必要进行一次全盘扫毒?


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
HEMM
发表于 2020-2-21 09:44:21 | 显示全部楼层
平时看不到NTFS的文件夹,用分区工具可以看到.....

JS?你是用什么PE安装的系统?
不对,从日期看你已经安装了有段时间了,之后才报的这个文件夹= =.......不清楚。
峪飞鹰
发表于 2020-2-21 10:24:35 | 显示全部楼层
分区类型的扩展信息,可参阅这里

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
libragilmer
 楼主| 发表于 2020-2-21 10:46:11 | 显示全部楼层
HEMM 发表于 2020-2-21 09:44
平时看不到NTFS的文件夹,用分区工具可以看到.....

JS?你是用什么PE安装的系统?

msdn 原版镜像 安装的系统。
已经安装了一个多月了。
刚安装完系统以及安装完常用软件后,进行过一次手动的 WD 全盘扫描。结果是无威胁。
实在是好奇,什么样的病毒会在日常使用中,进入到 这个奇怪的路径里。这个路径很吓人,我需要格全盘重装一下吗?
libragilmer
 楼主| 发表于 2020-2-21 10:49:26 | 显示全部楼层
峪飞鹰 发表于 2020-2-21 10:24
分区类型的扩展信息,可参阅这里

看不太明白,用于配额?修复点数据?物体的身份认证?
不是特别懂,大佬能简单解释一下吗?
平时做何种操作时,有可能感染此文件夹啊?
峪飞鹰
发表于 2020-2-21 10:59:55 | 显示全部楼层
libragilmer 发表于 2020-2-21 10:49
看不太明白,用于配额?修复点数据?物体的身份认证?
不是特别懂,大佬能简单解释一下吗?
平时做何种 ...

从路径来看,可能是已删除文件在NTFS结构下留下的痕迹,被查出来了。也有可能是底层驱动直接操作NTFS分区格式,写入的信息,伪装成残留痕迹。具体是什么,现在的信息不足以判断。不过理论上被杀掉了,应该影响不大,不过要关注一下是否会复现,如果能复现的话,可能还有母体没被查到。
libragilmer
 楼主| 发表于 2020-2-21 11:03:49 | 显示全部楼层
峪飞鹰 发表于 2020-2-21 10:59
从路径来看,可能是已删除文件在NTFS结构下留下的痕迹,被查出来了。也有可能是底层驱动直接操作NTFS分区 ...

好的,谢谢解答。

1、已经进行了一次WD全盘扫毒。无威胁。
是否有必要下载一个大蜘蛛啊什么的扫描器,进行一下全盘扫面?

2、可以接着使用吧
如果不复现,就一直用。
如果问题复现,就格全盘重装系统。
对吗?

谢谢解答。
峪飞鹰
发表于 2020-2-21 11:06:54 | 显示全部楼层
libragilmer 发表于 2020-2-21 11:03
好的,谢谢解答。

1、已经进行了一次WD全盘扫毒。无威胁。

1. 不放心可以试试大蜘蛛
2. 能继续用,如复现再说
HEMM
发表于 2020-2-21 12:47:49 | 显示全部楼层
libragilmer 发表于 2020-2-21 11:03
好的,谢谢解答。

1、已经进行了一次WD全盘扫毒。无威胁。

期间有使用PE吗?这个应该是监控发现直接删除了的。
如果有用PE,那么再打开PE,重复当时使用PE的操作,再观察WD是否还会在这个路径进行清理。
没有的话,想想最近运行了那些程序,重复运行一下试试看。
首先排查一下PE。
libragilmer
 楼主| 发表于 2020-2-21 15:31:38 | 显示全部楼层
HEMM 发表于 2020-2-21 12:47
期间有使用PE吗?这个应该是监控发现直接删除了的。
如果有用PE,那么再打开PE,重复当时使用PE的操作, ...

从来没有使用过任何PE。
电脑里的软件,除下面所述的一个破解版以外,没有其他破解版。都是官网或者GitHub下载。
仔细回想了一下,报毒前后,运行过 VMware 虚拟机,在虚拟机里测试了刷下的chrome++补丁;运行过zd423网站上的 bandicam 破解便携版; 运行过https://mathewsachin.github.io/Captura/ ;运行过office 365正版打开过一个ppt。别的好像没啥了。
我凭印象复现了一下,当时的所有打开的软件和网页,没有再报毒。
好奇怪。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 17:32 , Processed in 0.128489 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表