Skocz do zawartości

Odwirusowanie zewnętrznego dysku


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wystarczy do tego zabiegu uruchomiony "czysty" komputer z zainstalowanym i uaktualnionym antywirusem AV/IS i wyłączony autostart z pamięci zewnętrznych w windowsie. Podłączasz zewnętrzny dysk i skanujesz AV/IS. Przeglądasz wyniki skanowania i stwierdzasz, że jeśli coś wykrył, a to nie twoje pliki "zaufane" to są do skasowania. Na dokładkę najlepiej przeskanować czymś stricte od malware czyli np. MBAM. Analiza logów i co podejrzane to skasować.

Odnośnik do komentarza

Generalnie mogę dysk nawet sformatować. Jakichś szalenie ważnych danych tam nie ma. (dlatego też nie wrzucałem żadnych logów, skanów itp). Głównie chodzi mi o to, jak to zrobić, żeby nie zainfekować sobie komputera gdy podłącze dysk. Mój antywirus to ESET NOD32 który aktualizuje się co chwile. Nie jestem jednak pewny czy po podłączeniu dysku coś się nie przedostanie.

Odnośnik do komentarza

tommyktlab

 

Zasady działu: KLIK.

 

 

Masz opisane, wyłącz autostart dysków, podłącz i skanuj. Nic nie przejdzie na system. Nie wiem, jaki masz system, niezależnie od tego wyłączenie autostartu jest np. w tym programiku: http://xp-antispy.org/en/ (wyłącz autoodtwarzanie). Wyłączenie autostartu jest bardzo ważne.

 

Brak istotnych informacji mogących narazić system na infekcję / niedomówienia:

 

- To racz go poinformować, że ta edycja nie działa i puszcza infekcje autorun.inf, jeżeli nie jest zainstalowana poprawka Microsoftu: KLIK. Platformy nie znasz (logi nie podane). I to dlatego powstała skuteczniejsza pewniejsza edycja w kluczu IniFileMapping realizowana np. w Pandzie.

- Metoda nie działa na infekcje typu LNK. By zapobiec infekcji systemu tym typem, jest wymagana instalacja aktualizacji KB2286198. Łaty tej przykładowo nie ma się co spodziewać na nieaktualizowanym XP SP2, który jest zbanowany przez Windows Update. Ponownie: nie znasz ani platformy ani stopnia jej aktualizacji.

- Spekulacje: Nieznana zawartość dysku zewnętrznego, zgadujesz że chodzi o autorun.inf, a możesz być w błędzie. Również nie wiesz czy przypadkiem ta edycja nie jest już wykonana w systemie (logi z OTL by to podały), a to nie jest nieprawdopodobne, wiele narzędzi może to prowadzić i już kiedyś mogły być użyte.

 

 

argun

 

Jakichś szalenie ważnych danych tam nie ma. (dlatego też nie wrzucałem żadnych logów, skanów itp).

 

Jak widać logi nie takie głupie pod ten konkretny przypadek. Nie podana platforma operacyjna, nie widać czy polecana edycja już aby nie wykonana, a o obecności zainstalowana antywirusa to się dowiadujemy dopiero w poście numer 4, podczas gdy byłoby to bez wątpienia potwierdzone już w poście 1.

 

 

 

.

Odnośnik do komentarza

Ok, pełna skrucha. Po prostu miałem nadzieje, że uda się przeprowadzić całość szybko i skutecznie. Logów nie wrzuciłem ponieważ "zabieg" nie miał być przeprowadzany u mnie. Jednakże, jeśli jest pewność, że nic "mi" się nie stanie, to ok. U mnie zainstalowany jest Win7 Home Premium service pack 1 - non stop coś aktualizuje. Nic nie edytowałem :) Aha... okazało się jednak, że coś z tego dysku przydałoby się uratować więc ten format już odpada.

 

http://wklej.to/dq6O3 - extras

 

http://wklej.to/I3uOM - otl

 

Na wypadek gdyby jednak miało się coś przedostać na mój komputer to postaram się wrzucić logi z komputera na którym pierwotnie miała zostać przeprowadzona operacja. Nie mam jednak do niego dostępu 24h więc dlatego to tak "dorywczo" wygląda.

 

Przeprszam za całe zamieszanie.

Odnośnik do komentarza

argun, no widzisz, dodatkowe fakty:

 

 

Logów nie wrzuciłem ponieważ "zabieg" nie miał być przeprowadzany u mnie.

 

To czyj to dysk? Twój i asekuracyjnie podpinany pod cudzy komp to jedno. Ale jeśli nie Twój tylko z obcego kompa, to skąd pewność, że system do którego należy ten dysk nie jest zainfekowany? W takim przypadku oczywiście trzeba dostarczyć raporty tamtego systemu.

 

W kwestii Twojego systemu, posiadasz Windows 7:

 

1. Windows 7 ma ograniczenia autorun.inf dla USB out-of-box, system ma to już rozwiązane w inny sposób. Materiał do wglądu: KLIK.

 

Windows 7, Windows Server 2008 R2

 

In these versions of Windows, the ability of an autorun.inf file to set an AutoRun task, alter double-click behaviour or change context menus is restricted to drives of type DRIVE_CDROM. There are no policy settings that will override this behaviour.

 

Za to na czas operacji prewencyjnie na wszelki wypadek możesz wyłączyć całe Autoodtwarzanie tu: Panel sterowania > Sprzęt i dźwięk > Autoodtwarzanie > odznacz "Użyj autoodtwarzania dla wszystkich nośników i typów urządzeń".

 

2. Jeżeli też masz wszystkie łatki z Windows Update, to system jest szczelny na LNK.

 

 

Aha... okazało się jednak, że coś z tego dysku przydałoby się uratować więc ten format już odpada.

 

Podepnij ten dysk i zrób log z jego zawartości, tzn. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę:

 

DIR /A X:\ >C:\LOG.TXT

 

Gdzie X = litera pod jaką zostanie zmapowany ten dysk. Przedstaw zawartość pliku C:\LOG.TXT,

 

 

 

.

Odnośnik do komentarza

Dysk jest mojej siostry, nie narażał bym cudzego komputera. Co do tego czy jej komputer nie jest zainfekowany to pewności nie mam. Można przyjąć, że tak właśnie jest.

 

Jak tylko będę miał dostęp do jej komputera i tego dysku, przedstawię to o co prosiłaś.

 

 

-----------------------------------------------------------------------------------------------------------------------

 

Jestem u siostry więc może uda się coś zrobić. Przeskanowałem komputer MKS Vir'em online. Znalazł 2 x Trojan.Lioten.HM oraz 2x Worm.VBS.Santen.a i wedle raportu koncowego usunął 4 pliki.

System: Vista Home Premium 32bit Service Pack 2. aktualizacje ściąga co jakiś czas.

 

Raporty ze skanowania komputera:

 

OTL http://wklej.org/id/680100/

EXTRAS http://wklej.org/id/680102/

GMER http://wklej.org/id/680096/

Odnośnik do komentarza
Przeskanowałem komputer MKS Vir'em online. Znalazł 2 x Trojan.Lioten.HM oraz 2x Worm.VBS.Santen.a i wedle raportu koncowego usunął 4 pliki.

 

Lepiej pokaż w czym, by ocenić czy przypadkiem to nie były fałszywe alarmy. Zaś skaner MKS to już przeszłość. Jest to skaner nie dość, że mało wiarygodny i słaby, to jeszcze martwy (firma MKS zakończyła żywot). Odinstaluj tego niedobitka. Skanowanie systemu należy przeprowadzić czymś sensowniejszym i nowoczesnym.

 

W logach nic ciekawego nie widzę. Nadal nie dostarczyłeś raportu z zawartością dysku, wykonanego z poziomu linii komend. Z tym, że w bieżącym momencie ma znaczenie status systemu. Aktualnie widzę Vista, a ta jest słabiej zabezpieczona niż Windows 7 i wymagane są instalacje aktualizacji, by wyłączenie Autoodtwarzania wykonało się prawidłowo (KB967715). W tym przypadku jako prewencję przed autorun.inf można użyć od razu podaną już wcześniej Panda USB Vaccine i opcję Computer Vaccination.

 

 

 

.

Odnośnik do komentarza

G Data nic nie znalazł więc przeskanowałem mks'em. W tej chwili już nie pamiętam gdzie to było dokładnie. Na partycji z systemem w katalogu 'drivers'.

 

Raportu z zawartością dysku nie dostarczyłem, ponieważ przesiedziałem pół dnia u siostry żeby przeskanować jej komputer antywirusami oraz otl i gmer. Nie podłączałem dysk u niej ponieważ pomyślałem, że Vista może mieć słabsze zabezpieczenia od windowsa 7 i coś przejdzie na komputer. Raport podam jutro. Podłącze dysk u siebie, ale to wieczorem bo dziś został u niej.

 

 

Czy komputer siostry jest czysty? Jutro jeszcze ściągnę avire(ponoć avira jest dobra) i dodatkowo go przeskanuję.

Odnośnik do komentarza
G Data nic nie znalazł więc przeskanowałem mks'em. W tej chwili już nie pamiętam gdzie to było dokładnie. Na partycji z systemem w katalogu 'drivers'.

 

Obawiam się, że to mogły być głupoty. Oto przykład błędnej detekcji MKS pod takimi hasłami na prawidłowych obiektach w katalogu drivers: KLIK.

 

 

Czy komputer siostry jest czysty? Jutro jeszcze ściągnę avire(ponoć avira jest dobra) i dodatkowo go przeskanuję.

 

Mogę stan systemu ocenić tylko po tym co widzę, moją opinię mogą potwierdzić już tylko skanery. Avira wymaga pełnej instalacji. Zamiennie możesz skorzystać z miniaturowego skanera o nikłym stopniu ingerencji: Kaspersky Virus Removal Tool. Skaner ulega samodeinstalacji po skorzystaniu z przycisku zamknięcia okna.

 

 

 

.

Odnośnik do komentarza

Podepnij ten dysk i zrób log z jego zawartości, tzn. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę:

 

DIR /A X:\ >C:\LOG.TXT

 

Gdzie X = litera pod jaką zostanie zmapowany ten dysk. Przedstaw zawartość pliku C:\LOG.TXT,

 

 

Podpiąłem dysk, z prawokliku otworzyłem wiersz poleceń i tutaj się zatrzymałem. Jaką bym literke nie podał to wyświetla się tylko: "urządzenie nie jest gotowe".

Odnośnik do komentarza

Komendę wpisywałem prawidłowo. Dysk chodził (świeciła się dioda) ale dysk nie był pokazany w "Mój komputer". Litery dla pewności wpisałem wszystkie oprócz zajętych przez mój dysk.

 

Podłączyłem jeszcze raz dysk i tym razem pokazał się w "Mój komputer". Od razu mój antywirus zaczął szaleć w związku z plikiem autorun. Obecnie dysk skanuje się moim antywirusem ESET NOD32. Póki co wykrył 3 konie trojańskie:

 

N:\i00dvoym.exe - Win32/PSW.OnLineGames.OUM koń trojański

N:\b9v.exe - Win32/PSW.OnLineGames.OUM koń trojański

N:\dwh.exe - odmiana zagrożenia Win32/PSW.OnLineGames.PPN koń trojański

 

 

Poza tym niezliczoną ilość plików chronionych hasłem. Czy przerwać skanowanie antywirem i działać w wierszu poleceń?

 

------------------------

Antywirus wykrył kolejne pliki i zakończył skanowanie. oprócz tych 3 powyżej, znalazł jeszcze:

 

N:\System Volume Information\_restore{46E03C74-BCDD-40C5-B2CA-AFC162339B2F}\RP166\A0042447.inf - INF/Autorun wirus

N:\System Volume Information\_restore{4EC4DEEF-6853-472C-9751-FD13EBA629D7}\RP9\A0006154.inf - Win32/PSW.OnLineGames.OUM koń trojański

N:\System Volume Information\_restore{4EC4DEEF-6853-472C-9751-FD13EBA629D7}\RP9\A0006155.exe - Win32/PSW.OnLineGames.OUM koń trojański

N:\System Volume Information\_restore{4EC4DEEF-6853-472C-9751-FD13EBA629D7}\RP9\A0006156.inf - Win32/PSW.OnLineGames.OUM koń trojański

N:\System Volume Information\_restore{4EC4DEEF-6853-472C-9751-FD13EBA629D7}\RP9\A0006157.exe - odmiana zagrożenia Win32/PSW.OnLineGames.PPN koń trojański

N:\System Volume Information\_restore{6A737DF3-54E4-44C9-AF6F-7DDA7E7442E1}\RP26\A0013878.exe - odmiana zagrożenia Win32/PSW.OnLineGames.PPN koń trojański

N:\System Volume Information\_restore{6A737DF3-54E4-44C9-AF6F-7DDA7E7442E1}\RP26\A0013879.inf - Win32/PSW.OnLineGames.OUM koń trojański

N:\System Volume Information\_restore{6A737DF3-54E4-44C9-AF6F-7DDA7E7442E1}\RP27\A0015709.inf - Win32/PSW.OnLineGames.OUM koń trojański

N:\System Volume Information\_restore{99F56BA0-988D-4386-8FC6-36916E096056}\RP20\A0013682.exe - odmiana zagrożenia Win32/PSW.OnLineGames.PPN koń trojański

N:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.AN robak

N:\CUJICE\dobarrrr.exe - odmiana zagrożenia Win32/Peerfrag.GJ robak

 

----------------------

 

Log z dysku

LOG.txt

Odnośnik do komentarza

Opinia antywirusa zbieżna z tym co widzę na dysku. Rozumiem, że ESET skasował wszystko?

 

1. Jako poprawka prewencyjne usunięcie wszystkich katalogów Koszy oraz Przywracania systemu. Włącz wszystkie opcje widoku w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Wejdź na dysk i przez SHIFT+DEL (omija Kosz) skasuj te foldery:

 

Katalog: N:\

 

2009-01-17 08:56

System Volume Information

2009-11-16 15:43

RECYCLER

2009-12-13 15:23

$RECYCLE.BIN

2009-12-14 21:56

Recycled

2010-10-07 22:28

CUJICE

 

Folder Przywracania systemu (System Volume Information) prawdopodobnie stawi opór przez brak uprawnień i w takiej sytuacji należy cały katalog przejąć na Własność + ustawić dla swojego konta Pełną kontrolę: KLIK.

 

2. Zabezpiecz dysk przed infekcjami typu autorun.inf immunizując go opcją USB Vaccination w Panda USB Vaccine. Wynikową działań będzie utworzenie na dysku niekasowalnego falsyfikatu o nazwie "autorun.inf". Jeżeli będziesz instalował Pandę na aktualnym Windows 7, to we Właściwościach pliku instalatora ustaw zgodność na system Vista, a podczas instalacji omiń montowanie rezydenta.

 

 

 

.

Odnośnik do komentarza

Mam mały problem. Nie moge przejąć katalogu System Volume Information. We właściwościach katalogu nie ma opcji "zabezpieczenia", a w wierszu poleceń otrzymuje takie coś: "BŁĄD: nieprawidłowy argument/opcja - 'Volume'

 

Komendę wpisuje następująco: takeown /f n:\"system volume information" /r /a

 

ESET przy skanowaniu pokazuje pliku tylko w 'system volume information' oraz od groma zabezpieczonych hasłem plików (te jednak nie są zaznaczone jako zainfekowane)

 

--------

 

jeszcze jeden log z dysku przenośnego

log.txt

Odnośnik do komentarza

W GrantPerms wklej całą strukturę katalogu, tzn. także wszystkie podfoldery wg modelu:

 

N:\System Volume Information
N:\System Volume Information\_restore{46E03C74-BCDD-40C5-B2CA-AFC162339B2F}
N:\System Volume Information\_restore{46E03C74-BCDD-40C5-B2CA-AFC162339B2F}\RP166
N:\System Volume Information\_restore{4EC4DEEF-6853-472C-9751-FD13EBA629D7}
N:\System Volume Information\_restore{4EC4DEEF-6853-472C-9751-FD13EBA629D7}\RP9
N:\System Volume Information\_restore{6A737DF3-54E4-44C9-AF6F-7DDA7E7442E1}
N:\System Volume Information\_restore{6A737DF3-54E4-44C9-AF6F-7DDA7E7442E1}\RP26
N:\System Volume Information\_restore{6A737DF3-54E4-44C9-AF6F-7DDA7E7442E1}\RP27
N:\System Volume Information\_restore{99F56BA0-988D-4386-8FC6-36916E096056}
N:\System Volume Information\_restore{99F56BA0-988D-4386-8FC6-36916E096056}\RP20

 

To jest kawałek, nie widzę pełnej zawartości katalogu, bazuję tylko na fragmentach z ESET. Uzupełnij ręcznie.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...