Virus på usb drivere, autorun.inf

[computerr]

Hei! Innser at dette ble litt langt, beklager det.

 

Så for en stund siden ble den ene bærbare pcen min infisert med følgende virus: (se vedlagt tekstdokument).

 

Da jeg så nærmere på spesifikasjonene på disse, fanget spesielt et øyet mitt, Worm:Win32/Rimecud!inf, denne stod det altå at den sprer seg med removable drives via autorun.inf (på microsofts hjemmeside)... Før MSE oppdaget disse virusene brukte jeg et minnekort i en usb-slot, en ekstern harddisk og en Ipod 5g. Pcen reinstallerte og formaterte jeg, og etter det kjørte jeg gjennom tre av fire pcer i hjemmet som kunne ha virus med MBAM og ComboFix, postet loggene og fikk dem erklært ren.

 

Når det gjaldt driverne, er jeg ikke sikker. Jeg sjekket gjennom de med mange scanner, og prøvde disse måtene:

 

(http://imgur.com/ofVc5.jpg) (http://imgur.com/7xIll.jpg).

 

Men fant da ingenting. Siden har jeg brukt de, men i vista slått autokjør av, men ikke i en xp-maskin.

 

Men jeg har aldri siden vært sikker på at de var ren. Derfor begynte jeg igår med å scanne gjennom på den ene pcen de har vært i (vista med autokjør av) med MSE, MBAM, superantispyware og Panda online scanner. Deretter scannet jeg gjennom hver enkelt driver med MSE og MBAM og deretter igjen pcen og driverne med MSE, MBAM, superantispyware og Panda online scanner (plugget alle tre driverne i pcen og satte på full scann).

Ble nettop ferdig og ingenting ble funnet.

 

Men jeg klarer liksom ikke å la det ligge, jeg må være helt sikker, fordi igår etter jeg hadde scannet gjennom den eksterne harddisken med MSE og superantispyware, krevde sistnevnte at jeg måtte restarte pcen. Det gjorde jeg, men jeg glemte å koble fra den eksterne harddisken..

Kan det hende at alle nevnte AV'er ikke har klart å finne et evt virus som er der, og som nå har bootet seg inn i datamaskinen før AV'ene kommer på... ?

 

Andre ting jeg lurer på:

-Hvordan skal jeg isåfall finne ut av det og hva skal jeg gjøre? (en ting er at min far koblet nylig nokia mobilen sin til den ene xp maskinen via USB, og dersom det er virus der, fra driverne må jeg finne ut det, slik at jeg vet hva jeg skal gjøre angående min far sin mobil, ettersom den kobler han til sin pc og..)

 

-Vil http://www.addictivetips.com/windows-tips/remove-autorun-inf-virus-with-autorun-eater/ funke til å finne om det er evt virus på driverne?

 

-Dersom jeg reinstallerer og formaterer pcen, vil det fjerne det hvis det er kommet virus inn under booting?

 

 

ps. Jeg har hørt jeg kan kjøre linux ubuntu desktop live og derfra plugge inn driverne, ta ut fil for fil på pcen, formatere driverne og legge filene tilbake, og da skal alt være trygt...

 

Men jeg skal snart prøve å redde filer fra min brors pc med linux ubuntu desktop live, og dermed ta de innpå en av driverne og deretter inn på en stasjonær, sørge for at de er "safe" og etter det over på min brors nye pc...

 

Kan jeg være helt sikker hvis jeg gjør det som beskrevet her? 100% ?

11.txt

Endret 12. november 2010 av computerr

[soulless]

Er du for det første helt sikker på at kilden var en infisert usb?

 

Finnes flere eksempler (bl. a. Stuxnet) på malware som startet opp med å spres via usb og som har migrert over til andre medier, så om du har scannet alt, og alt ser ok ut ville jeg antatt at kilden er noe annet (drive-by e.l)

 

Dersom du har helt noia høres det ut som en god ide å formatere diskene, men jeg tror det er bedre å gjøre dette via g-parted live cd/usb enn å bruke ubuntu (bedre interface imo)

 

Se link: http://gparted.sourceforge.net/livecd.php

[computerr]

Er du for det første helt sikker på at kilden var en infisert usb?

 

Finnes flere eksempler (bl. a. Stuxnet) på malware som startet opp med å spres via usb og som har migrert over til andre medier, så om du har scannet alt, og alt ser ok ut ville jeg antatt at kilden er noe annet (drive-by e.l)

 

Dersom du har helt noia høres det ut som en god ide å formatere diskene, men jeg tror det er bedre å gjøre dette via g-parted live cd/usb enn å bruke ubuntu (bedre interface imo)

 

Se link: http://gparted.sourceforge.net/livecd.php

 

nei, kilden var pcen. Og så er jeg ikke sikker på om den har spredd seg til en ipod, et minnekort og en ekstern harddisk. Og jeg vil være sikker på at den ikke har det..

og så lurer jeg på om jeg kan være det etter alt jeg har gjort.. (beskrevet i første posten).

[soulless]

Nei, jeg vil anta at sjansen for at du fortsatt er infisert er minimal/ikke eksisterende, dog er du fortsatt utsatt inntil du finner ut hvordan du ble infisert til å begynne med.

 

Har du oppdatert all programvare siden sist? Tenker da særlig på Java/nettleser/OS/PDF

 

Ville ev. også anbefalt deg å kjøre firefoix med noscript add-on for å eliminere drive-by infeksjoner.

[computerr]

Nei, jeg vil anta at sjansen for at du fortsatt er infisert er minimal/ikke eksisterende, dog er du fortsatt utsatt inntil du finner ut hvordan du ble infisert til å begynne med.

 

Har du oppdatert all programvare siden sist? Tenker da særlig på Java/nettleser/OS/PDF

 

Ville ev. også anbefalt deg å kjøre firefoix med noscript add-on for å eliminere drive-by infeksjoner.

 

Vet hvordan jeg ble infisert på pcen til å begynne med

 

Så hvis jeg nå scanner:

 

-med full scan (med MSE, MBAM, Panda Online Scanner, SuperAntispyware og Spywareblaster) (funker de fire sammen?)

-deretter hver driver med MSE og MBAM

-deretter pcen + alle tre driverne (ved å plugge driverne inn, og sette på full scan)

-deretter gjør som i DETTE bildet

tilsvarer det i bildet det samme som å bla gjennom hele driveren og se etter en autorun.inf

fil?

 

kan jeg da være 99.9999999% sikker?

[soulless]

Ja, jeg ville følt meg rimelig sikker

 

Det å benytte seg av flere scannere skal fungere fint det, men bare for å fore paranoiaen litt så kan polymorfiske trojanere godt ta en stund før de blir plukket opp av virus definisjonene, altså den 0,01% risken som er igjen

 

 

PS: Vi nærmer oss nå den kliniske definisjonen av OCD, du er klar over det..?

 

[computerr]

Ja, jeg ville følt meg rimelig sikker

 

Det å benytte seg av flere scannere skal fungere fint det, men bare for å fore paranoiaen litt så kan polymorfiske trojanere godt ta en stund før de blir plukket opp av virus definisjonene, altså den 0,01% risken som er igjen

 

 

PS: Vi nærmer oss nå den kliniske definisjonen av OCD, du er klar over det..?

 

 

er sikker på at det ikke er en trojaner, og mse klarte jo den for sikkert en måned siden

 

tuller du? Dette er ingenting... haha. akkurat overfører jeg 60 GB fra harddisken til pcen, etter det skal jeg scanne med combofix og poste logger her, hehe.

Forresten hvis jeg gjør det og formaterer driverne, da kan jeg vel være så og si 100% sikker,? ettersom det bare er en orm jeg ser etter...

(Når jeg skal formatere de, skal jeg bare bruke windows sin innebygde formatering? eller finnes det en bedre? da snakker jeg om formatering til ekstern harddisk og minnekort, ikke nuke pcen )

 

btw: hva er et polyfiramisk virus ? og den ormen jeg har nevnt tidligere er vel ikke det ?

Endret 17. november 2010 av computerr

[soulless]

Windows sin skal være ok den, men sjekk først om det er noen skjulte partisjoner på disken (just in case)

 

Polymorfisk vil si at viruset kan ha flere former, f.eks er flere av de største trojaner "do-it-yourself" pakkene laget slik at du kan generere unike signaturer for å slippe unna virus definisjonene (i alle fall en liten stund). Har du eksempelvis et eksisterende bot-nett, kan du med fordel oppdatere malwaren på klient maskinene med jevne mellomrom slik at du alltid ligger et steg foran AV - litt morsomt er det også at noen slike pakker gir deg muligheten for å drepe eksisterende rot-kit for så å erstatte dem med ditt eget (no honour among thieves, ikke sant?)

[computerr]

Windows sin skal være ok den, men sjekk først om det er noen skjulte partisjoner på disken (just in case)

 

Polymorfisk vil si at viruset kan ha flere former, f.eks er flere av de største trojaner "do-it-yourself" pakkene laget slik at du kan generere unike signaturer for å slippe unna virus definisjonene (i alle fall en liten stund). Har du eksempelvis et eksisterende bot-nett, kan du med fordel oppdatere malwaren på klient maskinene med jevne mellomrom slik at du alltid ligger et steg foran AV - litt morsomt er det også at noen slike pakker gir deg muligheten for å drepe eksisterende rot-kit for så å erstatte dem med ditt eget (no honour among thieves, ikke sant?)

 

 

Hvordan sjekker jeg det? Jeg gjorde dette: http://i.imgur.com/bvwuD.jpg

Og derfra så jeg bare mapper og thumbs.db.

eller er det en annen måte?

[soulless]

Jeg syns g-parted live USB er fin, og bruker den nesten konsekvent for formatering og partisjonering - noen partisjoner kan være skrivebeskyttet i windows (formatering umulig) og da er det en fordel med g-parted (syns jeg).

 

Windows XP måten: Høyreklikk my computer -> Manage -> Storage -> Disk Management)

[computerr]

Jeg syns g-parted live USB er fin, og bruker den nesten konsekvent for formatering og partisjonering - noen partisjoner kan være skrivebeskyttet i windows (formatering umulig) og da er det en fordel med g-parted (syns jeg).

 

Windows XP måten: Høyreklikk my computer -> Manage -> Storage -> Disk Management)

 

Bør jeg formatere med den og? Hvor kan jeg få lastet den ned? (er nesten ferdig å formatere i vista nå... (høyreklikket og klikket formater)). Men var måten å se skjulte filer jeg gjorde, rett? Og hvilke filer skulle jeg sett etter?

 

Men hvis jeg kopierer hele den eksterne driveren (var en mappe med masse tall jeg ikke fikk over), og hele minnekortdriveren og hele Ipoddriveren. Legger de i C: og kjører ComboFix. Da vil jeg finne alt av mulige virus?

Endret 17. november 2010 av computerr