Virus na flash-u

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pre par dana prijateljica je koristila njen flash na faksu i kad ga je prikopčala na kućni računar NOD je detektovao virus, ali nije mogao da ga očisti. Pogledao sam i video koji su to fajlovi inficirani i većina se nalazila u direktorijumu koji tu pre nije bio. Bilo je nemoguće otvoriti bilo koji fajl ili direktorijum. Pošto je moj laptop sa Linuxom bio tu uzeo sam taj flash i obrisao taj direktoriju i autorun fajl.

Posle toga NOD na njenom računaru nije ništa više prijavljivao i ona je snimila ono što je nameravala i na tome se završilo. Sinoć me je zvala i "optužila" da sam joj obrisao sve sa memorije. Tako mi i treba kad pokušavam da pomognem. Problem je sledeći: Windows vidi fajlove i direktorijume unutar root-a, ali se ni jedan od njih ne može otvoriti ili pokrenuti. Uzeo sam memoriju da joj očistim i da završim sa time. Moj linux bez problema otvara sve dokumente i direktorijume. Ono što sam primetio je da se u root direktorijumu nalaze sakriveni exe fajlovi koji imaju isti naziv kao i direktorijumi i svi su iste veličine. Isto tako unutar svakog direktorijuma se nalazi exe fajl koji ima isti naziv kao i taj direktorijum u kojem se nalazi.

Znam da postoje intrukcije kako otvoriti temu u Ambulanti, ali ne
želim da ovaj flash prikopčavam na windows, jer ću i njega onda morati čistiti. Verovatno da je i njen računar sada inficiran, ali to je njen problem, ja samo hoću da završim sa memorijom. Hoću da vidim šta je sve inficirano i da ne izgubim ništa od fajlova, ako je to moguće.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jel si mozda "snimio" ovu temu

http://www.mycity.rs/Antispyware-programi/MCShield.html

MCshield je u stanju i da resetuje default atribute folderima i fajlovima ukoliko "utvrdi" da su promenjeni od strane malware-a.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mislim da MCShield ne radi na Linux-u.

Citat:Any PC running 32/64 bit Windows XP, Vista, Windows 7.

@Balkanac82

Jedino kod nje da instaliras MCShield i ubacis flesh, s'obzirom da je crv tu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Instalirao sam MCShield na sestrin laptop
obrisao je jedan direktorijum i preimenovao jedan fajl. Sad ću morati ćistiti i taj laptop.

Sad windows vidi taj fajl i jedan seminarski koji je snimljen na flash pošto sam ja obrisao gore pomenuti direktorijum pre dva dana.

Ono što se pre toga nalazilo na memoriji je vidljivo samo na linuxu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Citat:Sad ću morati ćistiti i taj laptop.

Hoces da kazes da je sa flesh-a crv "presao u racunar"?
Citat:
Sad windows vidi taj fajl i jedan seminarski koji je snimljen na flash pošto sam ja obrisao gore pomenuti direktorijum pre dva dana.

File-ove predpostavljam da mozes da vidis iz Windows-a ako imas instaliran Total Commander (sa ukljucenim prikazom skrivenih file-ova)?

Okaci log koji je MCS napravio?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Taj računar i nema neku dobru zaštitu. Na njemu je Microsoft Security Essentials. Pre par dana sam ga skenirao sam KAV i pronašao je gomilu toga i prijavio da je uspešno očistio. Danas je MSSE reagovao na ovaj flash, kao i MCShield tako da mu provera ne gine.

To sa TC nisam ni probao, ali sam sve sa njenog flasha kopirao na DVD u linuxu i windows bez problema čita taj DVD. Da li da možda formatiram USB, pa da ponovo snimim sve na njega.

Evo ga log


C:\Recycled
C:\Recycled\Dc1.scf
C:\Recycled\Dc10.exe
C:\Recycled\Dc11.exe
C:\Recycled\Dc12.lnk
C:\Recycled\Dc13.lnk
C:\Recycled\Dc2.flv
C:\Recycled\Dc3.avi
C:\Recycled\Dc4.exe
C:\Recycled\Dc5.exe
C:\Recycled\Dc6.exe
C:\Recycled\Dc7.exe
C:\Recycled\Dc8.exe
C:\Recycled\Dc9.exe
C:\Recycled\Desktop.ini
C:\Recycled\INFO2
 - Malware.Folder > Deleted (10.05.18 14.53 Recycled.621151)

F:\GASGAS
F:\GASGAS\Desktop.ini
F:\GASGAS\Selma.exe
- Malware.Folder > Deleted. ()

F:\ hiouhy.pif - Suspicious > Renamed


• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 18 Maj 2010 15:59

Balkanac82 ::Pre par dana prijateljica je koristila njen flash na faksu i kad ga je prikopčala na kućni računar NOD je detektovao virus, ali nije mogao da ga očisti.
...
Hoću da vidim šta je sve inficirano i da ne izgubim ništa od fajlova, ako je to moguće.
Nemam neki poseban savet za ciscenje, ali imam za backup. Mozes na Linuxu koristeci dd(1) alat da napravis istovetnu kopiju flash diska, i da sve sto pokusavas isprobavas toj kopiji. Na taj nacin, iako nesto pogresis uvek imas disk (kakav takav, pa i zarazen). Znaci uradi kopiju, ili dve, i isprobavaj sta ti padne napamet, ili ti ljudi predloze, na tim kopijama.

Zasto ne probas da izbrises sve te .exe fajlove sa imenima foldera? Ocigledno je da su maliciozni ako je ime isto.

Dopuna: 18 Maj 2010 16:01

Pisali smo u isto vreme. I to sam hteo da predlozim, da dokumenta koja se mogu otvoriti snimis na Linuxu, formatiras flash disk, pre vracanja proveris jos jednom sa nekim AV-om fajlove i prekopiras na disk.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Obrisao sam sve te exe fajlove odmah pošto sam pokrenuo temu ali izgleda da sam zaboravio da napomenem.

Idem sad da formatiram USB, pa ću sve ponovo vratiti.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Balkanac82 ::Obrisao sam sve te exe fajlove odmah pošto sam pokrenuo temu ali izgleda da sam zaboravio da napomenem.

Idem sad da formatiram USB, pa ću sve ponovo vratiti.

Ukoliko tvojim "zahvatima" ne budes uspeo da se resis crv-a, tu smo.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Formatirao sam flash i vratio fajlove i sad se mogu čitati i na windowsu. MCS i MSSE ne pronalaze ništa, sad ću da skinem NOD32 i/ili KAV i da skeniram da bih bio siguran.

Hvala svima na pomoći.