Pendrive, atak na niego i flashdisinfector


(matio) #1

Zaszczepiłem pendriva programem flashdisinfector. Dałem go osobie która (wiedziałem o tym) ma zasyfiony komp copy.exe czy czymś w tym rodzaju jeśli chodzi o pendrivy. Więc dałem go, wgrano mi na niego dane. Myślę sobie że przeskanuje go kasprem - a może coś nie działa? Skanuje i nic. Tylko jest jedno ale: plik autorun.inf pojawił się jako normalny folder, nie jako ukryty jako systemowy plik :expressionless: Nie wiem czy to normalne? Czy po każdej styczności z zarażonym kompem mam zaszczepiać pendriva na nowo?


(Gutek) #2

Daj log z ComboFix


(matio) #3

Dałbym, ale jest to komputer służbowy i boję się że ComboFix mógłby coś zwalić...


(Gutek) #4

Skoro służbowy w firmie to masz informatyka niech walczy. Bez logów dużó nie możemy zrobić. Polecama w takim razie skan http://www.kaspersky.pl/virusscanner.html


(zbychoo) #5

To taka jego przywara po ataku wira.Mówię oczywiście o folderze Autorun,ini.Wystarczy w wierszu poleceń sprawdzić poleceniem attrib ścieżka_do_pliku jakie ma atrybuty i te brakujące tym samym poleceniem z zastosowaniem właściwych przełączników +R,+S,+H wstawić.Ten folder nie robi nic innego jak tylko blokuje skopiowanie innego autorun.inf do pendriva.Z pozostałymi plikami wira musi już sobie poradzic antywirus.To samo można osiagnać tworząc własny folder autorun o nazwie AUTORUN.iNF i nadająć mu te atrybuty oraz lokalizując go bezpośrednio w rootcie czyli np.C:,D:,I: itd


(matio) #6

czyli teraz ta "szczepionka" już nie działa po tym ataku?


(zbychoo) #7

Działa.Poniewaz plik w tym folderze jest nieusuwalny ale...dla pewności lepiej sprawdzić czy nie pozbawiono go atrybutu systemowego i jesli tak to go przywrócić.

Prosze pamiętac ze ten program jest narzędziem usuwającym podstawowe szity z usb a przy okazji je zabezpieczającym przed ich automatycznym rozprzestrzenianiem sie na inne dyski,na razie.Licho nie śpi.

Jak dotąd,udaje się czasem zdjąć atrybuty ,lecz nie udaje się zmienić jego zawartości.Stąd dmuchając na zimne...jak wyżej.

http://www.searchengines.pl/index.php?showtopic=94761&pid=476016&st=0entry476016

http://autorun.synthasite.com/index.php