Virus na flash-u

1

Virus na flash-u

offline
  • Pridružio: 20 Dec 2004
  • Poruke: 2887
  • Gde živiš: Na Balkanu

Pre par dana prijateljica je koristila njen flash na faksu i kad ga je prikopčala na kućni računar NOD je detektovao virus, ali nije mogao da ga očisti. Pogledao sam i video koji su to fajlovi inficirani i većina se nalazila u direktorijumu koji tu pre nije bio. Bilo je nemoguće otvoriti bilo koji fajl ili direktorijum. Pošto je moj laptop sa Linuxom bio tu uzeo sam taj flash i obrisao taj direktoriju i autorun fajl.

Posle toga NOD na njenom računaru nije ništa više prijavljivao i ona je snimila ono što je nameravala i na tome se završilo. Sinoć me je zvala i "optužila" da sam joj obrisao sve sa memorije. Tako mi i treba kad pokušavam da pomognem. Problem je sledeći: Windows vidi fajlove i direktorijume unutar root-a, ali se ni jedan od njih ne može otvoriti ili pokrenuti. Uzeo sam memoriju da joj očistim i da završim sa time. Moj linux bez problema otvara sve dokumente i direktorijume. Ono što sam primetio je da se u root direktorijumu nalaze sakriveni exe fajlovi koji imaju isti naziv kao i direktorijumi i svi su iste veličine. Isto tako unutar svakog direktorijuma se nalazi exe fajl koji ima isti naziv kao i taj direktorijum u kojem se nalazi.

Znam da postoje intrukcije kako otvoriti temu u Ambulanti, ali ne
želim da ovaj flash prikopčavam na windows, jer ću i njega onda morati čistiti. Verovatno da je i njen računar sada inficiran, ali to je njen problem, ja samo hoću da završim sa memorijom. Hoću da vidim šta je sve inficirano i da ne izgubim ništa od fajlova, ako je to moguće.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • diarno  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 15 Jun 2007
  • Poruke: 5572

Jel si mozda "snimio" ovu temu Smile

http://www.mycity.rs/Antispyware-programi/MCShield.html

MCshield je u stanju i da resetuje default atribute folderima i fajlovima ukoliko "utvrdi" da su promenjeni od strane malware-a.



offline
  • Pridružio: 02 Feb 2008
  • Poruke: 14018
  • Gde živiš: Nish

Mislim da MCShield ne radi na Linux-u.

Citat:Any PC running 32/64 bit Windows XP, Vista, Windows 7.

@Balkanac82

Jedino kod nje da instaliras MCShield i ubacis flesh, s'obzirom da je crv tu.

offline
  • Pridružio: 20 Dec 2004
  • Poruke: 2887
  • Gde živiš: Na Balkanu

Instalirao sam MCShield na sestrin laptop
obrisao je jedan direktorijum i preimenovao jedan fajl. Sad ću morati ćistiti i taj laptop.

Sad windows vidi taj fajl i jedan seminarski koji je snimljen na flash pošto sam ja obrisao gore pomenuti direktorijum pre dva dana.

Ono što se pre toga nalazilo na memoriji je vidljivo samo na linuxu.

offline
  • Pridružio: 02 Feb 2008
  • Poruke: 14018
  • Gde živiš: Nish

Citat:Sad ću morati ćistiti i taj laptop.

Hoces da kazes da je sa flesh-a crv "presao u racunar"?
Citat:
Sad windows vidi taj fajl i jedan seminarski koji je snimljen na flash pošto sam ja obrisao gore pomenuti direktorijum pre dva dana.


File-ove predpostavljam da mozes da vidis iz Windows-a ako imas instaliran Total Commander (sa ukljucenim prikazom skrivenih file-ova)?

Okaci log koji je MCS napravio?

offline
  • Pridružio: 20 Dec 2004
  • Poruke: 2887
  • Gde živiš: Na Balkanu

Taj računar i nema neku dobru zaštitu. Na njemu je Microsoft Security Essentials. Pre par dana sam ga skenirao sam KAV i pronašao je gomilu toga i prijavio da je uspešno očistio. Danas je MSSE reagovao na ovaj flash, kao i MCShield tako da mu provera ne gine.

To sa TC nisam ni probao, ali sam sve sa njenog flasha kopirao na DVD u linuxu i windows bez problema čita taj DVD. Da li da možda formatiram USB, pa da ponovo snimim sve na njega.

Evo ga log


C:\Recycled
C:\Recycled\Dc1.scf
C:\Recycled\Dc10.exe
C:\Recycled\Dc11.exe
C:\Recycled\Dc12.lnk
C:\Recycled\Dc13.lnk
C:\Recycled\Dc2.flv
C:\Recycled\Dc3.avi
C:\Recycled\Dc4.exe
C:\Recycled\Dc5.exe
C:\Recycled\Dc6.exe
C:\Recycled\Dc7.exe
C:\Recycled\Dc8.exe
C:\Recycled\Dc9.exe
C:\Recycled\Desktop.ini
C:\Recycled\INFO2
 - Malware.Folder > Deleted (10.05.18 14.53 Recycled.621151)

F:\GASGAS
F:\GASGAS\Desktop.ini
F:\GASGAS\Selma.exe
- Malware.Folder > Deleted. ()

F:\ hiouhy.pif - Suspicious > Renamed

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Napisano: 18 Maj 2010 15:59

Balkanac82 ::Pre par dana prijateljica je koristila njen flash na faksu i kad ga je prikopčala na kućni računar NOD je detektovao virus, ali nije mogao da ga očisti.
...
Hoću da vidim šta je sve inficirano i da ne izgubim ništa od fajlova, ako je to moguće.

Nemam neki poseban savet za ciscenje, ali imam za backup. Mozes na Linuxu koristeci dd(1) alat da napravis istovetnu kopiju flash diska, i da sve sto pokusavas isprobavas toj kopiji. Na taj nacin, iako nesto pogresis uvek imas disk (kakav takav, pa i zarazen). Znaci uradi kopiju, ili dve, i isprobavaj sta ti padne napamet, ili ti ljudi predloze, na tim kopijama.

Zasto ne probas da izbrises sve te .exe fajlove sa imenima foldera? Ocigledno je da su maliciozni ako je ime isto.

Dopuna: 18 Maj 2010 16:01

Pisali smo u isto vreme. I to sam hteo da predlozim, da dokumenta koja se mogu otvoriti snimis na Linuxu, formatiras flash disk, pre vracanja proveris jos jednom sa nekim AV-om fajlove i prekopiras na disk.

offline
  • Pridružio: 20 Dec 2004
  • Poruke: 2887
  • Gde živiš: Na Balkanu

Obrisao sam sve te exe fajlove odmah pošto sam pokrenuo temu ali izgleda da sam zaboravio da napomenem.

Idem sad da formatiram USB, pa ću sve ponovo vratiti.

offline
  • Pridružio: 02 Feb 2008
  • Poruke: 14018
  • Gde živiš: Nish

Balkanac82 ::Obrisao sam sve te exe fajlove odmah pošto sam pokrenuo temu ali izgleda da sam zaboravio da napomenem.

Idem sad da formatiram USB, pa ću sve ponovo vratiti.


Ukoliko tvojim "zahvatima" ne budes uspeo da se resis crv-a, tu smo.

offline
  • Pridružio: 20 Dec 2004
  • Poruke: 2887
  • Gde živiš: Na Balkanu

Formatirao sam flash i vratio fajlove i sad se mogu čitati i na windowsu. MCS i MSSE ne pronalaze ništa, sad ću da skinem NOD32 i/ili KAV i da skeniram da bih bio siguran.

Hvala svima na pomoći.

Ko je trenutno na forumu
 

Ukupno su 472 korisnika na forumu :: 27 registrovanih, 6 sakrivenih i 439 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1798 - dana 19 Sep 2019 18:42

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: akulasss, amonsrb, aramis s, bojan313, Boris902, bounty hunters, cicus91, danilopu2, Fisherman2, igorkozar83, ivica976, Kubovac, madza2, majorgaspar, MarKhan, Mercury, mgaji21, MiVi2, panticstefan53, Profica2, Regrut Boskica, StefanNBG90, Trpe Grozni, USSVoyager, vladom6, VP6919, Zvrk2