Worm σε usb stick

[mpentenis]

αναλογα το worm θα το αντιμετωπισεις το προβλημα. μπορει ξαφνικα να μην δουλευουν διακτυακα, να σου κοψει spooler, να βγαλει μηνυματα στο desktop, οι τοπικοι δισκοι να ανοιγουν μονο με δεξι κλικ -->εξερευνηση γιατι το διπλο κλικ δεν μπορει να τους ανοιξει (διαβαζει το autorun ως default) και διαφορα αλλα...

[De@th L0rd]

Παιδιά σήμερα κι εγώ πήρα χαμπάρι το συγκεκριμένο ιό (worm). Είναι ίσως ότι χειρότερο μετά τον Blaster τα τελευταία χρόνια.Κολλάει στο flash drive από ένα μολυσμένο υπολογιστή.Τα αρχεία δεν φαίνονται μέσα στο flash ακόμα και να έχουμε ρυθμίσει τα αρχεία συστήματος να φαίνονται.Γιατί πολύ απλά σε 2 δεύτερα με το που καταλάβει το flash το pc μας ,προτού ακόμα δούμε παράθυρο autorun το worm έχει μπεί.Με format στο flash drive κάνουμε μια τρύπα στο νερό γιατί πολύ απλά μόλις τελειώσει το φορμάτ και ξαναγνωριστεί ο δίσκος από το σύστημα περνάει πάλι το worm στο φλασάκι.Δοκίμασα όλα τα antivirus το avira,panda και το kasperky βρίσκουν το Process αλλά ΤΙΠΟΤΑ στα φλασάκια.Nod32,norton,McAfee,AVG,Avast ΚΟΙΜΟΥΝΤΕ ΟΡΘΙΑ.Το worm πέρα από την διαδικασία διάδοσής του κάνει τα εξής περίεργα:

1) Ανοίγει κάθε φάκελο σε καινούριο παράθυρο

2)Δεν αφήνει να εμφανίσουμε τα κρυφά αρχεία

3)Δεν αφήνει να μπούμε στο ίντερνετ παρα μόνο σε ασφαλή λειτουργία

4)Δεν αφήνει μερικές φορές να ανοίξουμε τους δίσκους με διπλό κλικ.

 

Δεν ξέρω αν μπορούμε να "απολυμάνουμε" τα flashakia μέσω Linux.

[flik]

Nod32,norton,McAfee,AVG,Avast ΚΟΙΜΟΥΝΤΕ ΟΡΘΙΑ

Με εκπλήσσει λίγο αυτό γιατί δεν είναι καινούριος ιός αυτός. Θα έδινα τα πάντα για να δω αν ένα ενημερωμένο avast με boot-time scan δεν καθάριζε τον ιό

[mpentenis]

παμε παλι

μπορεις να κα8αρισεις τα αρχεια ακομα και αν δεν φαινονται, εχω αναφερει την διαδικασια ποιο πανω μεσω command prompt (αθανατο dos...)

απο εκει και περα, το NOD32 v3 μια χαρα τον βρισκει

[De@th L0rd]

Τα έσβησα μέσω cmd στον προανεφερθέντα υπολογιστή και ενώ δείχνει το τα σβήνει στο δεύτερο /dir που κάνω με show hidden τα ξαναβγάζει.Αν μπώ από linux live cd και κάνω format το flash παίζει να γίνει τίποτα ή κολλάει και στο Linux και μετά το πάει σε ότι σκληρό βλέπει;

[mpentenis]

τι αντιβιοτικο εχεις πανω τωρα?

[De@th L0rd]

Τώρα μετά από φορμάτ του έβαλα το avira ήταν το μόνο από τα free που τουλάχιστον τον εντόπιζε.Τελικά έκανα boot απο live cd ubuntu και έκανα format το φλασάκι σε οτι φορμά είχε για να σιγουρέψω οτι δεν θα έχω ξανά τα ίδια.Τα αρχεία του ιού φαινόντουσαν κατευθείαν στο linux και είχαν το έμβλημα της κλειδωνιάς που σήμαινε προστατευμένα.Τα έσβησα αφού άλλαξα attibs και μετά το ξέσκισα στα format.Το έβαλα στον υπολογιστή ξανά μετά στα φρεσκοφορμαρισμένα windows και όλα καλά.Υπάρχει περίπτωση αυτό το worm να είναι καμιά προστασία κατά της αντιγραφής από καμια εταιρία (sony πχ) ή είναι καθαρά κακόβουλο;

[lahsmi]

ελυσες το προβλημμα σου τελικα?

[disqualified]

ελυσες το προβλημμα σου τελικα?

 

φυσικα αφου εκανε format τα windows. (αυτο βεβαια δεν σημαινει οτι δεν υπηρχε αλλη λυση)

[lahsmi]

πεδευωμαι μια βδομαδα να ανοιξω το φλασακι μου αλλα ματαια.οτι αντιβιοτικο κατεβασω δεν κανει τιποτα .εχω μεσα φυλαγμενα ολλα τα αρχεια μου .με το recover my files μπορω και τα βλεπω αλλα ως εκει δεν μπορω να τα ανακτησω μιας και ειναι trial version προσπαθησα καο με run regεdit αλλα τιποτα .βοειθια κανεις???

[Karnov]

Όλα αυτά θα είχαν αποφευχθεί αν είχες απενεργοποιήσει το Autorun/autoplay για USB sticks και CD/DVDs

 

Άργησα να σε 'σώσω' αλλά στη περίπτωση σου εγώ θα έκανα τα εξής.

 

 

 

1) Θα έκλεινα το αρχικό σημείο μόλυνσης.

 

α) Θα απενεργοποιούσα το CD Autorun

 

Regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom

Value "1" σε "0"

Δηλαδή απο οn σε οff

 

β) θα απενεργοποιούσα USB autoplay off (εδώ ξεκίνησε η μόλυνση μάλλον)

 

CMD (Windows Key + "R")

gpedit.msc

πρότυπα διαχείρισης

σύστημα

απένεργοποίηση αυτόματης αναπαραγωγής

"Ενεργός"

"σε όλες τις μονάδες"

 

2) Θα τερμάτιζα/πάγωνα την διεργασία "process" του malware. Πριν προχωρήσεις θα πρέπει να ξέρεις με τι ονόματα το malware έχει εγκατασταθεί και παίζει στο pc σου.

Τρέχουμε το ProcessExplorer της Sysinternals

ή το IceSword 1.22

 

Προυποθέτει ότι έχεις κάποια γνώση των φυσιολογικών διεργασιών του PC.

Oτι ύποπτο ή παράξενο σε όνομα δεις, τερμάτισε το γρήγορα, εφόσον σχετίζεται με το malware. Eιδάλλως....

Αν υπάρχει και hidden service/process μόνο το IceSword θα μπορέσει να το δει, γιατί πρόκειται για rootkit καραμπινάτο.

 

3) Διαγραφή του αρχείου απο το σκληρό και το USB stick

 

α) εμφάνιση κρυφών αρχείων

 

Εργαλεία-->Επιλογές φακέλων-->Προβολή-->Εμφάνιση κρυφών αρχείων και φακέλων --> ΕΝΕΡΓΟΠΟΙΗΣΗ

 

+ Απόκρυψη προστατευμένων αρχείων συστήματος --> ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ

 

Τώρα δες πως ονομάζει το Αντι-ιϊκό σου το επίμαχο αρχείο(α) και διέγραψε το απο το σκληρό (στο C:\Windows ;ή στο C:\Windows\System συνήθως) καθώς και στα root όλων των σκληρών.

 

και απο το USB (exe, bat, com. ini) ότι δεις εκεί.

 

Αφού έχεις πετύχει την διαγραφή των αρχείων.

 

4) Τρέξε το Autoruns της Sysinternals και δες αν υπάρχει σημείο εκκίνησης στην καρτέλα Logon με το όνομα του malware και διέγραψε το.

 

5) Κάνε reboot και όλα καθαρά.

[lahsmi]

απενεργοποιησα το cd autoplay το < USB autoplay off >ομωσ πυ μου εξηγει μαλον δε το καταλαβα και οσο αφορα το< malware> δε ξερω ποιο ειναι μιασ και το φλασακι δε με αφηνει να το ανοιξω.με ανακοινονει απλα οτι η δισκετα δεν ειναι διαμορφωμενη και αν θελω να την διαμορφωσω .ξερω επισις οτι μεσα στο φλασακι διμηουργηθηκαν απο το πουθενα φακελοι πολοι σε αριθμο με 1 η2 ιποφακελους...αυτα

[Karnov]

απενεργοποιησα το cd autoplay το < USB autoplay off >ομωσ πυ μου εξηγει μαλον δε το καταλαβα και οσο αφορα το< malware> δε ξερω ποιο ειναι μιασ και το φλασακι δε με αφηνει να το ανοιξω.με ανακοινονει απλα οτι η δισκετα δεν ειναι διαμορφωμενη και αν θελω να την διαμορφωσω .ξερω επισις οτι μεσα στο φλασακι διμηουργηθηκαν απο το πουθενα φακελοι πολοι σε αριθμο με 1 η2 ιποφακελους...αυτα

 

Ένα λεπτό. Είσαι σίγουρος ότι έχεις ιό; Μήπως έχεις χαλασμένο USB Stick;

Μήπως πρέπει να κλείσεις για λίγο το AVirus για να σε αφήσει να μπείς στο στικάκι;