hlnd Skrevet 20. mars 2010 Del Skrevet 20. mars 2010 Hei, Som tittelen sier, lurer jeg på om et virus kan infisere driveren som automatisk blir installert for at ei maskin skal kunne lese av og redigere innholdet på en ekstern harddisk. Eller vil da signeringa av driveren bli ødelagt og man få en advarsel? Har ikke hørt om noe sånt før (bare infisering av programmer som ligger på disken), men er greit å være sikker på. Prøvd å google litt, men ikke funnet noe nevneverdig. Lenke til kommentar
raWrz Skrevet 20. mars 2010 Del Skrevet 20. mars 2010 Virus kan smitte over til minnepenner så regner med at de kan smitte over til eksterne harddisker Lenke til kommentar
hlnd Skrevet 20. mars 2010 Forfatter Del Skrevet 20. mars 2010 (endret) Ja, det er jeg klar over, men ved å infisere drivere direkte? Altså ikke å infisere .exe-er som ligger på maskina eller legge til en autorun som kjører et virus, men å infisere driveren. Antar det gjelder minnepinner like mye som harddisker. Norbat? Endret 20. mars 2010 av Bl4cKnD Lenke til kommentar
norbat Skrevet 20. mars 2010 Del Skrevet 20. mars 2010 Alle filer, signerte som usignerte, kan bli infisert og det er ingen automatikk i at signerte filer som blir korrupte blir detektert av sikkerhetsprogrammet ditt. At systemdrivere blir infisert er rimelig vanlig og noe rootkit bedriver i utstrakt bruk. Lenke til kommentar
hlnd Skrevet 20. mars 2010 Forfatter Del Skrevet 20. mars 2010 (endret) OK. Var nok ønsketenkning fra min side... Du (dere) har ikke noen tips om hva jeg kan gjøre for å skanne disken? Full skann av 500 GB hvor det meste er brukt tar en del tid. Legger til noen logger for å være sikker på at selve maskina ikke er infisert. ESET mente forresten at Hotspot Shield skulle blokkeres. Stolte ikke på det, da det er lasta ned fra CNET og har masse referanser, så la det bare til i unntakslista (C:\Program Files\Hotspot Shield\*.*). HJT-logg Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:23:14, on 20.03.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskhost.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\Launchy\Launchy.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Internet Download Manager\IEMonitor.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Internet Download Manager\IDMan.exe C:\Windows\system32\taskmgr.exe C:\Windows\system32\taskhost.exe D:\Nedlastinger\Browsers and download managers\Programmer\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files\Hotspot Shield\hssie\HssIE.dll O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETTVERKSTJENESTE') O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O13 - Gopher Prefix: O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files\Hotspot Shield\bin\hsswd.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 4486 bytes MBAM-logg: Malwarebytes' Anti-Malware 1.44 Databaseversjon: 3886 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 20.03.2010 19:01:13 mbam-log-2010-03-20 (19-01-13).txt Skanntype: Rask Skann Objekter skannet: 101254 Tid tilbakelagt: 7 minute(s), 37 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 0 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: (Ingen mistenkelige filer funnet) Når det gjelder disken, så finner jeg ikke noen autorun.inf i hovedmappa, men det har dukka opp ei rar mappe jeg ikke har lagd, veit hva gjør, eller får tilgang til innholdet i (b56a8df96513e303523dc8aef662, se under). Mappeoversiktene heter li.txt og li2.txt. Innholdet i hovedmappa: dir gir: Volumet i stasjon G er Elements Volumserienummeret er DEF1-4B8E Innhold i G:\ 01.03.2010 18:11 <DIR> Audio 08.01.2010 22:13 <DIR> Audiobooks 20.03.2010 19:08 <DIR> autorun 04.01.2010 16:54 <DIR> b56a8df96513e303523dc8aef662 03.03.2010 14:49 <DIR> Backup 01.03.2010 18:25 <DIR> Bilder 01.03.2010 17:59 <DIR> Dokumenter 20.03.2010 19:06 <DIR> jD 20.03.2010 19:12 0 li.txt 01.08.2008 22:44 528 MediaID.bin 07.03.2010 23:01 <DIR> Programmer 30.08.2009 15:21 <DIR> Programmer uten installasjon 23.02.2010 18:54 <DIR> Reformat-pack 14.08.2009 00:52 <DIR> Steam - backup 22.02.2010 12:13 <DIR> Video 14.02.2010 16:11 <DIR> Video tutorials 21.02.2010 16:14 <DIR> _add 2 fil(er) 528 byte 15 mappe® 76 784 166 400 byte ledig dir /ah gir: Volumet i stasjon G er Elements Volumserienummeret er DEF1-4B8E Innhold i G:\ 20.03.2010 15:06 <DIR> $RECYCLE.BIN 22.02.2010 12:24 <DIR> System Volume Information 0 fil(er) 0 byte 2 mappe® 76 784 167 424 byte ledig \autorun\ inneholder ikke noe viktig, av det jeg kan se. Ingen vanlige filer, dir /ah gir: Volumet i stasjon G er Elements Volumserienummeret er DEF1-4B8E Innhold i G:\autorun 19.12.2009 13:32 3 584 Thumbs.db 14.10.2002 15:57 766 wdlogo.ico 2 fil(er) 4 350 byte 0 mappe® 76 784 167 424 byte ledig Prøver jeg åpne \b56a8df96513e303523dc8aef662\ eller bruke "cd b56a8df96513e303523dc8aef662" får jeg bare opp ingen tilgang. Nå er det jo selvfølgelig en mulighet for at jeg ikke er infisert, også. Endret 20. mars 2010 av Bl4cKnD Lenke til kommentar
raWrz Skrevet 20. mars 2010 Del Skrevet 20. mars 2010 HJT loggen ser ren og pen ut Hotspot shield bruker jeg selv så regner med det bare er False Positive De andre spørsmålene overlater jeg til noen andre Lenke til kommentar
hlnd Skrevet 20. mars 2010 Forfatter Del Skrevet 20. mars 2010 (endret) Godt å høre Edit: ESET og MBAM-skann av \autorun\, \b56a8df96513e303523dc8aef662\ og \$RECYCLE.BIN\ fant ingenting. Endret 20. mars 2010 av Bl4cKnD Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå