un worm de stick - rusine antivirusilor

[loki]

E a doua oara in 2 (doua) luni de cand dau de el. N-am mai intalnit asemenea lene din partea programelor antivirus

VirusTotal - Free Online Virus and Malware Scan - Reanalyse

Isi pune un fisier herss.exe in temp iar pe discuri dropeaza acelasi exe cu nume aleatoare.

Avast ultimul update il vede ca si ultima data acum 2 luni: heuristic, sugestie da ignore etc.

E un worm facut sa se raspandeasca prin stick-uri scriind un autorun.inf pentru a rula. La fel scrie fisierul pe discuri. Se baga in registri in current user...->run. Dupa ce l-am sters o vreme imi dadea "open with" la discul C cat timp rula in memorie (naiba stie cu ce serviciu de nu l-am gasit prin procese). Ce n-am reusit sa repar la comp: nu mai pot activa "show hidden files". Pacat: comp proaspat instalat, dadeam click pe D in my computer si asa s-a executat.

Solutii ca sa evitati wormi similari:

pe orice stick creati un folder (director) numit "autorun.inf" Ii dati hidden. Wormul nu isi poate scrie fisierul de autorun (un fisier nu poate suprascrie un folder) si ramane fara autorun. De asemenea un avantaj la metoda asta: odata introdus stick-ul windowsul nu il mai scaneaza cateva secunde pana da mesajul lui de autorun (ca discul contine poze, filme, vrei sa le deschizi cu asta cu asta etc)

Am creat folderul si pe hard discuri, preventiv.

Edited December 28, 2009 by loki

[xact]

Poti sa-l postezi pe un rapidshare? M-ai facut curios, vreau sa-l bag intr-un vmware sa vad ce-i cu el.

[loki]

FileShare Download herss._xe

am schimbat extensia

[ovi_x]

multumim pt fisier poate contine ceva interesant

apropo de cand lo scos pe avira de pe virustotal

[loki]

il gasiti deobicei in stick-urile de la bugetari.

Numai acolo o retea de calculatoare se foloseste strict pentru internet pe cand transferul de fisiere intre compurile din retea se face prin stick-uri dischete si yahoo messenger.

[xact]

Mersi!

Nici la mine n-a sarit Avira, desi pe VT sunt multi care il detecteaza.

LE. se mai poate folosi (ca o masura in plus) un

cacls autorun.inf /p everyone:n

pe folderul respectiv pentru nu se mai putea accesa deloc, nici macar sters.

[Fitty]

KIS 2010? Anyone?

[loki]

interesant nu stiam

da stai linistit - metoda e veche de cand mi-a venit in cap si nici un worm nu a reusit sa-si stearga folderul creat cu numele vreunui fisier de-al lui. Nici macar wga protection de la microsoft - ca atunci cand ma grabesc la fel fac si cu ea.

[dragosh1904]

pff am un virus pe laptop de mult si nuscap de el nicum..nu ma lasa sa bag programe antivrus adica dai clik pe ele nu merge decat malwarebytes si nu ma lasa sa i faca nici update am instalata si windows si degeaba..nu e latopul meu..acuma sa vad ce i dau de cap

ps @loki e super intelginta faza cu folderul autorun...la tine am auzit si iti multumesc m a scapat de multe desi am av la tel:D

ps foloseste naevius usb antivrus:)de o sapt asta il fol ca la librari sau xerox innebunesti cati virusi au aia:|

[loki]

pune windows, apoi antivirus (de pe un CD de incredere), apoi update la antivirus si abia apoi ce kituri/drivere ai pe disc, posibil sa ai kiturile virusate.

[dragosh1904]

pune windows, apoi antivirus (de pe un CD de incredere), apoi update la antivirus si abia apoi ce kituri/drivere ai pe disc, posibil sa ai kiturile virusate.

pai tocmai ce ziceam ..ca nu ma lasa sa updatez....e idiot virusu ca s a copiat in toate folderele cu autorun. inf dar.. sa ziceam ca am scapat aproape de tot..ps nici in safemode nu ma lasa mi a dat disable la run,regedit,taskm,si dk dau din gpedit degeaba..si c e ciudat ca nu a fst bagat net pe el pana azi(avea deja virus)am impresia ca de la un joc virusat....dar in fine..

ps are cine un serial de kiss 2010?sau macar recomdati voi cva un av bun..nod32 exclus..

multzam:)

[blech]

daca tot s-a deschis un topic de genu asta cine ma ajuta si pe mine sa scap de virusul "pc health" ?

sa mor daca stiu cum m-am infectat....

[xact]

Hint:

Folositi autoruns pentru a scoate inregistrarile suspecte din startup. Mergeti la "Options", bifati "Verify Code signatures", bifati "Hide windows entries" si dati refresh. O sa puteti scoate tot ce e suspect si nu tine de windows sau programe legitime, semnate digital (cele care au semnatura digitala si sunt ok vor avea tag-ul "(Verified)" pe coloana "Publisher").

[H2K]

xact & loki va rog sa-mi explicati si mie mai exact cum fac cu autorun.inf

din cate am inteles. fac un text doc. scriu in el cacls autorun.inf /p everyone:n si salvez ca autorun.inf si dupa asta bifez hidden si il pun in orice partitie ..

fac asa sau gresesc ?

help

loki ai spus ca si la wga faci asa poti explica ?

[loki]

h2k: NU

stergi (eventual din safe mode) autorun.inf daca exista (apesi delete si confirmi)

dai click dreapta si selectezi new->folder

denumesti folderul autorun.inf

la wga pana il curat creez rapid un folder wgatray.exe sau cum ii zicea.

dragos1904: da o cautare dupa autorun.inf si sterge-le. Dar tot cred ca o sa pui windows. Formateaza C si imediat dupa instalare intra safe si dai o cautare dupa autorun.inf si le stergi. O sa gasesti probabil si niste exe-uri pe langa ele, uita-te cu notepad in autorun sa vezi unde se afla.

Edited December 29, 2009 by loki

[N-W-A]

mie imi detecteaza avira dropperul asta

[begood]

nu merge mai usor sa faci un folder numit "autorun.inf" pe stick ? asa cred ca scapi si de wormii autorun

[loki]

nu merge mai usor sa faci un folder numit "autorun.inf" pe stick ? asa cred ca scapi si de wormii autorun

pai asta mancam noi aici

[rsteam]

Solutii ca sa evitati wormi similari:

pe orice stick creati un folder (director) numit "autorun.inf" Ii dati hidden. Wormul nu isi poate scrie fisierul de autorun (un fisier nu poate suprascrie un folder) si ramane fara autorun. De asemenea un avantaj la metoda asta: odata introdus stick-ul windowsul nu il mai scaneaza cateva secunde pana da mesajul lui de autorun (ca discul contine poze, filme, vrei sa le deschizi cu asta cu asta etc)

Am creat folderul si pe hard discuri, preventiv.

Mda chiar o sa-l modific ca mai intai sa verifice existenta fisieru-lui autorun chiar si daca este hidden, sa-l stearga si pe urma sa scrie altul nou

Apropo nu t-i s-a bagat in system restore ?

[lafurat]

Asa am avut si eu un virus care nu puteam sa il sterg.

Pana la urma nu mai stiu ce e de el jajjaa e pierdut pe acol

[loki]

Mda chiar o sa-l modific ca mai intai sa verifice existenta fisieru-lui autorun chiar si daca este hidden, sa-l stearga si pe urma sa scrie altul nou

Apropo nu t-i s-a bagat in system restore ?

lol, ai rabdare cu ei sa inteleg

[skipper]

lokipaki,daca vrei te ajut eu cu hidden files and folders...da-mi un pm si te ajut sa il faci

[N-W-A]

exista antivirusi pentru stick...eu unul nu imi bat capul cu asa ceva

[Cheater]

Exita, kingstone vad ca a dezvoltat niste stikuri cu un soi de sitsm de op portable, instalezi pe stik aplicatia apoi se muleaza pe orice windows. Ca antivir stiu ca avast are versiune portabila si e bunicel, au si versiune home free. Unul din lucrurile deosebite la el este ca poate scana inainte de a se incarca tot windowsul, mai precis scaneaza in screenul in care winu face check disk.

Iar in final, nu ma pot abtine de la putina reclama: "Linux RULLLEZZZZZZZZZZZZZ"

PS: daca nu se poate sterge din win incercari cu un ubuntu live cd.

[skipper]

cei care au probleme cu hidden files and folders si care nu pot intra pe site-uri de antivirusi,pe microsoft,etc,sunt infectati cu conficker...pc-ul se dezinfecteaza cu dcleaner(by bitdefender) RapidShare: 1-CLICK Web hosting - Easy Filehosting