Witam,
Dziś poszedłem na swojej uczelni do punktu ksero i podłączyłem pendrive'a z zamiarem wydrukowania paru dokumentów. Właściciel ksero wspomniał, że jest pewien problem i komputer nie pokazuje plików na pendrivie, jedyne co się pokazuje po otworzeniu pendrive'a to skrót, który na dodatek nie działa. Mówił, że tylko za pomocą total commandera może się dostać do plików. Ostatecznie wydrukowałem dokumenty i wróciłem na zajęcia.
Podłączyłem potem owego pendrive'a w domu do swojego laptopa i ku mojemu zdziwieniu po odpaleniu napędu F:\ zobaczyłem skrót o nazwie KINGSTON (8GB), który przeniósł mnie do właściwej zawartości pendrive'a. Jednak kiedy próbowałem kolejny raz odpalić tego pendrive'a to już skrót nie działał. Dopiero wtedy zrozumiałem, że coś jest nie tak. Zbadałem sprawę i aż mi głupio.
Zaznaczę, że mam Windows 7 i domyślnie w systemie mam włączoną opcję pokazywania ukrytych plików. Jednak wyłączona była opcja pokazywania plików systemowych. Natomiast po odpaleniu skrótu, automatycznie zostało ustawione aby nie pokazywać żadnych ukrytych plików.
Po włożeniu pendrive'a do portu USB w punkcie ksero. Wszystkie dane zostały przekopiowane do ukrytego folderu (systemowego) na tym samym pendrivie. (Folder o nazwie jak znak specjalny generowany przez ALT+0160). Dodatkowo został utworzony widoczny fałszywy skrót oraz ukryty systemowy plik o nazwie '_WHSNANSZ.init'. Sprawdziłem ścieżkę pliku i okazała się następująca: 'C:\Windows\system32\rundll32.exe _WHSNANSZ.init,krnl rdvhsnxik obkvfacgbmyjlgkfhcnitvqssayx'. Zrozumiałem, że nieumyślnie odpalając wcześniej skrót na pendrivie uruchomiłem złośliwy kod z _WHSNANSZ.init. Odpaliłem owy plik w Notepadzie++ w nadzei na znalezienie co on takiego nabroił, ale odpowiedzi nie uzyskałem.
W tej chwili po podłączeniu pendrive'a do komputera, wszystkie jego pliki automatycznie zostają umieszczone w ukrytym folderze i powstaje fałszywy skrót oraz ukryty plik '_WHSNANSZ.init', czyli dzieje się dokładnie to samo co w punkcie ksero.
PROSZĘ O POMOC
PS. zamieszczam link do tego pliku, będę bardzo wdzięczny jeżeli ktoś mógłby mi powiedzieć, co on zmienił - tzn. żebym wiedział co muszę zrobić, aby usunąć złośliwe oprogramowanie.
Download _WHSNANSZ.init from Sendspace.com - send big files the easy way