Обнаружил на съемном диске вот такую "хрень"
[autorun]
USEAUTOPLAY=1
shellexecute=umhurk/exelent.exe
Shelltewuiofejilewkopf
shell\\Explore\\command=umhurk/exelent.exe
shell\Open\\command=umhurk/exelent.exe
icon=umhurk/exelent.exe
open=umhurk//exelent.exe
action=0pen folder to view files using Windows Explorer
В реестре нашел две ветки, в которых подробно расписано все это. А именно подветки AutoRun, Explore, Open, Autoplay:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69848cc9-33a5-11e1-9573-64315078957e}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dc42c1ea-621b-11e0-828c-e02a82327c83}
.
Одна из веток, как я догадался, это мой съемный диск, а другая - это недавно купленный PocketBook, на котором эта "хрень" уже присутствовала. А этот файл (umhurk/exelent.exe) имеет все самые скрытые атрибуты - архивный, скрытый, системный, только для чтения. Удивительно то, что эта книжка работает под Андроидом, ну по крайней мере, усеченным Линуксом.
Можно предположить, что эта пакость уже давно существует у меня в системе и перешла на новый покетбук, а я всего лишь не уследил. Но именно после подключения покетбука внешний диск перестал нормально отображаться -- то есть стандартная иконка для дисков. Я несколько раз переподключал книжку и диск в один разъем, и после этого ветка реестра DefaultIcon диска стала показывать на несуществующую иконку. Что сразу стало заметно.
Так же нашел упоминания всего этого "добра" в подветках Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69848cc9-33a5-11e1-9573-64315078957e} у "пользователей" в ветке HKEY_USERS
Вот тут всяких usb-устройств. Оно там тоже упоминается в виде \??\Volume\{69848cc9-33a5-11e1-9573-64315078957e}
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevice
.
В очередной раз убедился -- сколько же всякого дерьма эта система позволяет в себя сливать.
Перед отправкой этого сообщения вспомнил про VirusTotal и решил этот бинарник (который еще не удалил) проверить.
8 из 43 опознали вирус - ссылка на VirusTotal.
( 2 * b ) || ! ( 2 * b )