V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
lishijianghu
V2EX  ›  Linux

Ubuntu 18.04.5 LTS 下的硬盘中了 U 盘携带的 windows 病毒怎么办?

  •  
  •   lishijianghu · 2021-05-28 09:17:30 +08:00 · 3469 次点击
    这是一个创建于 1304 天前的主题,其中的信息可能已经有所发展或是发生改变。

    单 Ubuntu 18.04.5 LTS 系统下挂载的一个 4T 的硬盘中了 U 盘携带的 windows 病毒 autorun.inf ,直接删除会重新生成,安装 Clamav,使用 clamscan --remove 命令清除也会重新生成,网上也没找到方法,请问各位大神知道要怎么才能清除掉这个病毒吗?

    18 条回复    2021-08-05 01:39:35 +08:00
    jingslunt
        1
    jingslunt  
       2021-05-28 09:22:11 +08:00
    硬盘用的是什么格式的文件系统,如果是 ntfs 重新做成 xfs 就好了
    asd7160
        2
    asd7160  
       2021-05-28 09:24:09 +08:00   ❤️ 2
    好奇,Ubuntu 还能运行 win 下的病毒程序?这是啥原理?
    zjsxwc
        3
    zjsxwc  
       2021-05-28 09:26:38 +08:00   ❤️ 3
    我不信,楼主快把病毒发出来我试试 linux 能不能运行。
    Tink
        4
    Tink  
       2021-05-28 09:30:12 +08:00
    啊?这是靠什么传播的
    cheng6563
        5
    cheng6563  
       2021-05-28 09:30:15 +08:00
    说不定是 U 盘挂了写不进去
    lishijianghu
        6
    lishijianghu  
    OP
       2021-05-28 09:32:47 +08:00
    @jingslunt 我用 df -Th | grep "^/dev" 命令查看是 ext4 格式
    FakNoCNName
        7
    FakNoCNName  
       2021-05-28 09:37:09 +08:00
    1. autorun.inf 不一定是启动 windows 病毒,要看执行的什么命令。
    2. 删掉重新生成说明病毒正在运行,你该清理下病毒了。
    3. 看下 autorun.inf 里面的内容是什么,找到对应的可执行文件,删掉进程,再全局搜一下删掉文件。
    lishijianghu
        8
    lishijianghu  
    OP
       2021-05-28 09:38:52 +08:00
    @FakNoCNName clamscan /ext4T/ 命令,显示 /ext4T/autorun.inf: Win.Trojan.Autorun-424 FOUND /ext4T/xlhm.pif: Win.Trojan.Small-5420 FOUND
    w950888
        9
    w950888  
       2021-05-28 09:45:13 +08:00
    autorun.inf 不是病毒,自动执行脚本,不过很容易被病毒利用
    leeyuzhe
        10
    leeyuzhe  
       2021-05-28 09:46:41 +08:00
    不是,我就想见见世面,请把病毒发出来给我们观摩下,还没见过可在 Linux 环境下正常运行的 windows 病毒
    lishijianghu
        11
    lishijianghu  
    OP
       2021-05-28 09:56:15 +08:00
    这个硬盘只挂载在 Ubuntu 系统下,但是有被 windows 系统映射网络,不知道跟这个有没有关系
    iceheart
        12
    iceheart  
       2021-05-28 10:16:42 +08:00 via Android
    @lishijianghu 那还用说,必然是了啊。
    mgrddsj
        13
    mgrddsj  
       2021-05-28 10:30:31 +08:00
    @lishijianghu #11 请给你同一网络下以及有映射网络驱动器到这台 Ubuntu 机器的 Windows 机器全面杀一次毒,这反复自动生成 autorun.inf 应该只有病毒会这么做。
    autorun.inf 本身不一定是病毒,它是存在 U 盘 /光盘里面的一个特殊的文件,可以让 Windows 在 U 盘 /光盘插入时显示特殊的图标 /执行一个特定的程序。以前硬件生产的厂家可以通过这种方式来让用户更容易地安装驱动,但由于该特性被通过 U 盘传播的病毒滥用,Win 7 及以上只有光盘上的 autorun.inf 可以执行特定程序(前提是打开“自动播放”),U 盘等其它媒介上的 autorun.inf 仅可改变驱动器的图标。
    更多 autorun.inf 的相关信息: https://en.wikipedia.org/wiki/Autorun.inf
    leimao
        14
    leimao  
       2021-05-28 22:59:31 +08:00 via iPhone
    能分享一下这个文件吗?应该是 human readable 的吧
    msg7086
        15
    msg7086  
       2021-05-29 02:31:50 +08:00
    草,Linux 下出现了 Windows 的病毒不就是说明有一台中毒的 Windows 机器在往这个 Linux 上写数据吗。
    cwjwgg
        16
    cwjwgg  
       2021-06-01 17:18:30 +08:00
    不会吧 LINUX 下怎么运行 而且光 autorun.inf 没任务作用的 autorun.inf 是配合其它 EXE 的
    Rheinmetal
        17
    Rheinmetal  
       2021-06-02 11:39:24 +08:00
    这年头钱难挣 病毒也有跨平台了 doge
    flynaj
        18
    flynaj  
       2021-08-05 01:39:35 +08:00 via Android
    楼主这个是文件共享给 Windows 的电脑,病毒是在 Windows 电脑上,不停给这个共享资源写入病毒,找到那台 Windows 杀毒才是正确方法。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2658 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:08 · PVG 23:08 · LAX 07:08 · JFK 10:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.