Jak uchronić się przed syfem infekującymi pendrive?


(system) #1

Witam

Mam problem z ścierwem infekującym Pendrive. Co wracam ze szkoły to mam na pendrivie następujące trio: "fooool.exe", "explorer.exe" oraz "ctfmon.exe" ( te dwa pierwsze w katalogu głównym pendriva, a ctfmon siedzi w Recycled.)

Do tego dochodzi plik: "autorun.inf" który to wszystko odpala a jego zawartość to:

[autorun]

OPEN=fooool.exe

shell\open=´ňżŞ(&O)

shell\open\Command=fooool.exe

shell\open\Default=1

shell\explore=×ĘÔ´ąÜŔíĆ÷(&X)

shell\explore\Command=fooool.exe

Jak się przed tym zabezpieczyć ? ( oczywiście format kompów w szkole nie wchodzi w rachubę, to samo z ich czyszczeniem ), a pendrive to Kingston DTI ( 1 GB ).


(Arekmalek) #2

Użyj na kompach combofixa i wklej TUTAJ raport.

SFORMATUJ pendriva i nie używaj do oczyszczenia


(system) #3

Sęk w tym że to są komputery szkolne i nie wolno na nich nic instalować ( a więc nici z logów ) … co do używania pendriva to zdążyłem się zorientować :slight_smile: , ale po co od razu formatować ?? wystarczy podczas podpinania pendriva trzymać lewy shift ( nie włącza się autorun ) i wywalić te pliki ręcznie. To jest dość żmudne więc dlatego pytam czy nie dałoby się jakoś od tych śmieci uchronić …


(Arekmalek) #4

No to bez logów ja ci nic nie poradzę.

Przekonaj informatyka :lol:


(Gutek) #5

bartek46op OT KOSZ


(system) #6

Witam.

Udało mi się zdobyć loga z combofix ( nie pochodzi z szkoły, lecz z mojej wirtualnej maszyny ale powinien się nadać :slight_smile: ) http://wklej.org/id/576d70cf6e .

Zaznaczam że nie zależy mi tyle na wyczyszczeniu kompa, co na zabezpieczeniu się przed infekcją pendriva …


(Gutek) #7

Wklej do Notatnika:

File::

C:\WINDOWS\system32\fooool.exe

Z:\fooool.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo


(system) #8

Dziękuję za pomoc, ale od samego początku zaznaczałem że nie chodził mi o samo usunięcie wirusów tylko o uniemożliwienie im zainfekowania mojego pendriva … usuwanie wirusów z komputerów szkolnych po prostu nie wchodzi w rachubę ( komputerów w szkole jest grubo ponad 300, nigdy nie wiadomo na którym będę siadał, przynajmniej połowa klasy ma zainfekowane pendrivy, i im to nie przeszkadza), była by to po prostu syzyfowa praca. Logi pochodzą z wirtualnej maszyny ( wirtualbox ), a więc z usunięciem wiroli nie ma najmniejszego problemu ( wywalam zainfekowany plik dysku i wklejam “zdrową” kopię ).


(Gutek) #9

Zawsze przeskanuj pena kolegi zanim coś zaczniesz robić :slight_smile: