Gå til innhold

Kan jeg være sikker, etter alt dette? (virus på eksterne drivere)

computerr

Av computerr
i IKT-drift og sikkerhet

Anbefalte innlegg

computerr

computerr

Skrevet
Skrevet (endret)

Hei! (vet mye av dette er postet før og beklager for det og for at jeg maser :( ). Beklager, vet det er langt, men hold ut!

 

Så for en stund siden ble den ene bærbare pcen min infisert med følgende virus: (se vedlagt tekstdokument).

 

Da jeg så nærmere på spesifikasjonene på disse, fanget spesielt et øyet mitt, Worm:Win32/Rimecud!inf, denne stod det altå at den sprer seg med removable drives via autorun.inf (på microsofts hjemmeside)... Før MSE oppdaget disse virusene brukte jeg et minnekort i en usb-slot, en ekstern harddisk og en Ipod 5g. Pcen reinstallerte og formaterte jeg, og etter det kjørte jeg gjennom tre av fire pcer i hjemmet som kunne ha virus med MBAM og ComboFix, postet loggene og fikk dem erklært ren.

 

 

Når det gjaldt driverne, er jeg ikke sikker. Jeg sjekket gjennom de med mange scanner, og prøvde disse måtene:

(http://imgur.com/ofVc5.jpg) (http://imgur.com/7xIll.jpg).

Men fant da ingenting. Siden har jeg brukt de, men i vista slått autokjør av, men ikke i en xp-maskin.

 

Men jeg har aldri vært sikker på at de var ren, derfor begynte jeg for noen dager siden med å scanne som følgende:

-Hele pcen med MSE, MBAM, SUPERAntiSpyware, Panda Online Scanner

-hver enkelt driver med MSE og MBAM

-PC + driver (ved å plugge inn driverne og velge full scan), med MSE, MBAM, SUPERAntiSpyware og Panda Online Scanner.

 

Så igår scannet jeg igjen hele pcen med samtlige utenom Panda Online Scanner.

Og Idag:

-scannet hele pcen med MSE, MBAM og SUPERAntiSpyware

-Den eksterne harddisken med MSE og MBAM.

.Deretter dro jeg alle filene over til skriverbordet og videre til C: og formaterte den eksterne harddisken to ganger, ved å høyrklikke og velge "formater"

-Deretter scannet jeg den mappen med MSE og MBAM

.Deretter hele pcen med MSE, MBAM og SUPERAntiSpyware

 

Det samme gjorde jeg med minnekortet og Ipoden (men formaterte ikke ipoden, da mister jeg default settings)

 

Jeg skulle kjøre ComboFix**

 

 

ps. Til vanlig kunne jeg bare driti filene og bare formatert og blitt ferdig med det, men jeg har bilder og videor jeg skal overføre til min bror, og da MÅ jeg være HELT sikker på at jeg ikke gir han virus...

 

Så er spørsmålene:

-Når jeg er ferdig med alt dette, og hvis alt vises rent, kan jeg da være (vet man aldri kan være HELT sikker) 99,99999999999% sikker på at jeg ikke har noe virus, og at det ikke er noe virus i Mappene etc jeg overførte fra driverne til pcen?

-Kan jeg da trygt (uten fare for å smitte min bror) overføre bilder og videor til han?

-Burde jeg og formatere med G-parted live, for å være sikker?

 

-Jeg har hørt noe om at man kan starte i safe mode og så laste ned rkill(?) og dermed ha større sjanse for å finne virus?

-Og så har jeg hørt om Boot scan i AVAST?

 

 

**Startet i safe mode med networking, da krevde combofix admin + det sto den var utadert, og når jeg takket nei til redusert kvalitet, og restartet var combo borte.. skal jeg bare starte som vanlig og laste ned combofix igjen?

 

Setter utrolig pris på alle svar :)

11.txt

Endret av computerr
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Lednar

Lednar

Skrevet
Skrevet

Må bare nevne at du virker paranoid når det kommer til malware. :p

 

Har MSE, SAS, MBAM, Panda Online Scanne, eller noe som helst annet du har brukt funnet noen antydning til malware?

 

For å svare på spørsmålene dine:

1) Jeg ville definitivt enklært PCen for ren. MSE ville normalt sett ha gått igjennom diverse USB minnepinner o.l. når du kobler den til PCen, hadde den funnet noe mistenksomt hadde den rapportert om det.

2) Trygt og trygt. For å feede paranoiden litt, for alt du vet kan han ha virus og dermed vil kjefte og smelle på deg om han "plutselig" har virus. :p

3) Ser ingen grunn til at g-parted vil gjøre en annerledes jobb enn Windows sitt formateringsverktøy, så nei.

4) RKill tar kjente prosesser som kjører i bakgrunnen, dreper de, og fjerner malware. Når du starter opp i sikkerhetsmodus, laster Windows bare de mest nødvendigste filene/drivere/whatever den trenger. Med mindre de er infiserte, er det liten poeng i dette. Grunnen for at folk bruker RKill er for at explorer.exe skal kunne starte opp uten problemer sånn at folk kan kjøre MBAM/SAS/Dr. CureWebIt. tl;dr hele poenget med RKill er borte om du kjører den i Sikkerhetmodus egentlig.

5) Har ikke helt vært borti den, antar det er en bootable ISO fil som du kjører fra en CD/USB pen og kjører en scan. Vet at Ultimate Boot CD har en sånn funksjon, men med Avira.

***) Jada, skulle ikke være noen problemer det. Men forsøk å kjøre combofix /uninstall (inne på Windows tasten + R) før du laster ned filen. Deretter last ned, kjør, og avinstaller combofix med samme kommando etterpå.

Lenke til kommentar
computerr

computerr

Skrevet
  • Forfatter
Skrevet

Må bare nevne at du virker paranoid når det kommer til malware. :p

 

Har MSE, SAS, MBAM, Panda Online Scanne, eller noe som helst annet du har brukt funnet noen antydning til malware?

 

For å svare på spørsmålene dine:

1) Jeg ville definitivt enklært PCen for ren. MSE ville normalt sett ha gått igjennom diverse USB minnepinner o.l. når du kobler den til PCen, hadde den funnet noe mistenksomt hadde den rapportert om det.

2) Trygt og trygt. For å feede paranoiden litt, for alt du vet kan han ha virus og dermed vil kjefte og smelle på deg om han "plutselig" har virus. :p

3) Ser ingen grunn til at g-parted vil gjøre en annerledes jobb enn Windows sitt formateringsverktøy, så nei.

4) RKill tar kjente prosesser som kjører i bakgrunnen, dreper de, og fjerner malware. Når du starter opp i sikkerhetsmodus, laster Windows bare de mest nødvendigste filene/drivere/whatever den trenger. Med mindre de er infiserte, er det liten poeng i dette. Grunnen for at folk bruker RKill er for at explorer.exe skal kunne starte opp uten problemer sånn at folk kan kjøre MBAM/SAS/Dr. CureWebIt. tl;dr hele poenget med RKill er borte om du kjører den i Sikkerhetmodus egentlig.

5) Har ikke helt vært borti den, antar det er en bootable ISO fil som du kjører fra en CD/USB pen og kjører en scan. Vet at Ultimate Boot CD har en sånn funksjon, men med Avira.

***) Jada, skulle ikke være noen problemer det. Men forsøk å kjøre combofix /uninstall (inne på Windows tasten + R) før du laster ned filen. Deretter last ned, kjør, og avinstaller combofix med samme kommando etterpå.

 

vet, er veldig paranoid når det kommer til det, hater bare tanken, hehe :p

 

-Nei, eneste som har blitt funnet er tracking cookies...

-Det skal gå bra, tror jeg skal brenne filene på en cd, haha.

-ok, flott.

-Så jeg skal bare drite i Rkill?

 

-Ok, men skal jeg gjøre dette i safe mode with networking? (Da blir det vel best resultat?)

 

tusen takk! :)

Lenke til kommentar
Lednar

Lednar

Skrevet
Skrevet

Haha :p Ikke vanskelig å ta den konklusjonen med tanke på postene dine. :p

1) Da skulle det være greit. :D PCen din er nok malwarefri.

2) Haha :D

4) Ser ikke hensikten med å kjøre den etter den listen med AV programvare du har kjørt allerede. Alt utover nå vil egentlig være overkill i min mening.

5) En enkel regel; kan man kjøre ting uten problemer med vanlig oppstart, så gjør det. Hvis ikke, kjør hva enn som skal kjøres i sikkerhetsmodus.

Lenke til kommentar
computerr

computerr

Skrevet
  • Forfatter
Skrevet

Haha :p Ikke vanskelig å ta den konklusjonen med tanke på postene dine. :p

1) Da skulle det være greit. :D PCen din er nok malwarefri.

2) Haha :D

4) Ser ikke hensikten med å kjøre den etter den listen med AV programvare du har kjørt allerede. Alt utover nå vil egentlig være overkill i min mening.

5) En enkel regel; kan man kjøre ting uten problemer med vanlig oppstart, så gjør det. Hvis ikke, kjør hva enn som skal kjøres i sikkerhetsmodus.

 

ok, men gjør det noe at jeg overkiller? hehe, vil bare være helt sikker :p

Så jeg skal bare kjøre det i vanlig modus?

Lenke til kommentar
computerr

computerr

Skrevet
  • Forfatter
Skrevet

Det eneste rkill gjør, er å stoppe noen prosesser knyttet til malware slik at man får mulighet til å kjøre f.eks. MBAM. Hvis du får kjørt MBAM, bruker du ikke rkill.

 

ok, laster ned og kjører combofix når MBAM er ferdig.

(det er fra veiledningstråden jeg skal laste ned sant? (det jeg mener, blir den combofixen oppdatert?)

Lenke til kommentar
computerr

computerr

Skrevet
  • Forfatter
Skrevet

Ikke noe mistenkelig i den loggen.

 

Surf trygt! :)

 

og den ville vel funnet

denne hvis den, autorun.inf eller selve .exe filen var i driverne jeg kopierte over til pcen og la innpå C: :) ?

 

det var disse:

 

2010-11-17 20:00 . 2010-11-17 20:06 -------- d-----w- C:\NAVN

2010-11-17 19:33 . 2010-11-17 19:36 -------- d-----w- C:\PHONE CARD

2010-11-17 13:12 . 2010-11-17 14:23 -------- d-----w- C:\Local Disk

Lenke til kommentar
computerr

computerr

Skrevet
  • Forfatter
Skrevet

Ikke noe mistenkelig i den loggen.

 

Surf trygt! :)

 

og den ville vel funnet

denne hvis den, autorun.inf eller selve .exe filen var i driverne jeg kopierte over til pcen og la innpå C: :) ?

 

det var disse:

 

2010-11-17 20:00 . 2010-11-17 20:06 -------- d-----w- C:\NAVN

2010-11-17 19:33 . 2010-11-17 19:36 -------- d-----w- C:\PHONE CARD

2010-11-17 13:12 . 2010-11-17 14:23 -------- d-----w- C:\Local Disk

 

 

Anyone? (beklager mas :p)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...