Здравейте колеги,

Тази тема я пускам с цел да съберем информация и отговори в нея за начина на превенция и борба с този вирус понеже не можах да намеря конкретни отговори.

Надявам се колегите от HJT Team да дадат конкретни действия за справяне с тази напаст.

Лично мен ме интересува , къде и какви записи прави в Windows този вирус с което да оказва точно тази заразена флаш памет , кояо е била заразена, само тя да бъде засегната с промяна на файловете, като ги скритва и добавя шорткът?

Вероятно Win10 и 11 успяват да изтрият от флаш паметта вируса , но той вече еднократно е успял да запемети някаде инфо за флаш паметта след което и сменя атрибутите. Предполагам е нещо в регистрите за юзъра, защото ползвайки с друг потребител Windows няма този проблем.

 

Ами, сканира с FRST и чети логовете. Или ги публикувай тук. 

Да, FRST ще даде пълна представа за ситуацията в системата. Иначе може да се тръгне и ръчно и атрибутите да се възстановят също ръчно, но ако самата система е заразена, всичко ще се повтори.

Навремето имаше инструменти за почистване като USBFix и такива за почистване и защита като MCShield, но реално станаха леко излишни, защото повечето антивирусни се справят с USB вирусите, а спирането на Autorun в Windows допълнително попречва на изпълнението на самия вирус. Мерки, които са задължителни след преинсталация на Windows и този вектор на атака става безполезен на практика. Стига да не се използва някоя нова уязвимост като при Stuxnet навремето, но тогава от MS пуснаха бързо кръпка за Windows.

Благодаря за отговорите, но системите са доста много!

Предполагам някъде се ползва стар/и/ компютър/и/ със стара ОС  и заразяват флаш памети. В следствие, като се поставят флаш паметите в компютър с нова ОС успява да направи някакъв запис за нея флаш за атрибутите и шорткъта и в следствие макар и поправена пак се случват нещата, макар че антивирусната е изтрила от флаша вируса!

Чистих регистри, с USBdeview премахвах драйвери и т.н. не помогна

Вероятно не се изразявам правилно, но да подчертая, че на компютрите на които се е случило това с дадена заразена флаш, не заразяват други флаш памети , а само тези флаш памети които са компрометирани в началото - които са били поставени с вируса!

Инак това което съм предприел е ползването на Panda. Обаче ако е сложена на копрометиран компютър с дадена флаш не върши работа!

преди 2 часа, цър-вул написа:

Ами, сканира с FRST и чети логовете. Или ги публикувай тук. 

Дай лог файловете от FRST иначе няма как да помогнем!

https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

Ето логове на една машинка!

FRST.txt Shortcut.txt

Липсва Addition.txt лог файла и някоя програма (може би за защита) е блокирала достъпа на FRST и някои неща не са били сканирани изобщо.

Повторете проверката със спрени защити ако може и задължително със администраторски права и прикачете FRST и Addition лог файловете.

И сигурни ли сте, че точно тази система е от заразените? Ако сложите почистена (или форматирана) флашка в системата създават ли се проблеми на флашката (да се се скрие съдържанието и)?

За мен не е заразена тази система/компютър/, но е един от многото , които прави определени флаш памети /не всяка/, които са били евентуално с начало заразени пак шорткът и сменя атрибутите и крие файловете! Самите флаш памети са прегледани и оправени през линукс преди това да се повтори!

Програмата си поиска и е пусната с административни права. Но утре евентуално ще мога пак да я пусна.

Ами според логовете точно тази е чиста, но е добре да се изчистят всички по мрежата.

Добре е да се спре Autorun-a и да се имунизира системата също така с инструменти от сорта на Flash_Disinfector, USBFix, Panda USB Vaccine и т.н.

А иначе най-добре проверката с FRST да стане с десен бутон и Run as administrator, защото инструмента не е имал права до доста от компонентите за да ги сканира (дори процесите).

Поздрави!

Още когато навлезе този вирус си реших проблема като си минах USB паметите на NTFS, създадох си ico файл, който описвах в автоматично изпълнявания файл на OS-a и след това премахвах правата на всички от главната директория - единствено си оставях една папка в която мога да пиша. Ако се заиграя повече си правех и папки в които аз мога да пиша и никой друг на друга система. Много просто и ефективно решение.

Спирането на Autorun е повече от достатъчно. Имунизирането също работи, но след това дяловете, които са имунизирани не подлежат на промяната на Label-ите им.

преди 2 минути, B-boy/StyLe/ написа:

Спирането на Autorun е повече от достатъчно. Имунизирането също работи, но след това дяловете, които са имунизирани не подлежат на промяната на Label-ите им.

При слагането на твоя USB памет в заразен компютър и после връщането й на собствен - и да си спрял Autorun - единствено те пази да не ти зарази системата, но носителя вече е .... "ударен". Имонизирането с какво не ти позволява смяната на Label на дяловете и това нещо което правиш всеки ден ли е?

Е именно де. Системата да не се заради е много по-важно е случая. Носителя е лесен за почистване. Да не говорим, че всички антивирусни сканират USB носителите при "пъхане".

Имунизирането с autorun.inf файл или папка не ти позволява смяна на LABEL-a. Може да не е нещо, което се прави всеки ден, но след имунизацията LABEL-a просто изчезва, все едно не си го поставил и не може да се постави наново докато не се премахне имунизацията. Доста е досадно ако се имунизират дялове и на самия диск или различни дискове.

Слагам статус на случая като приключен, защото явно автора и не желае да пише повече по въпроса и приемам, че се е оправил.

преди 11 часа, B-boy/StyLe/ написа:

Слагам статус на случая като приключен, защото явно автора и не желае да пише повече по въпроса и приемам, че се е оправил.

Компютрите са служебни , а аз съм в болнични още няколко дена! Но да, да се смята , че съм намерил решение и то е създаване на нов акаунт и забрана за autorun в настройките на Win и в регистрте!

току-що, JohnTRIVOLTA написа:

Компютрите са служебни , а аз съм в болнични още няколко дена! Но да, да се смята , че съм намерил решение и то е създаване на нов акаунт и забрана за autorun в настройките на Win и в регистрте!

Бързо възстановяване тогава, но лично аз не смятам това за решение, а за заобикаляне на проблема. Добре е да се намери заразената система, която причинява проблема и да се почисти и след това да се сканират и всички флашки. Имунизацията нека да си я има. Но вие си знаете.

преди 7 минути, B-boy/StyLe/ написа:

Бързо възстановяване тогава, но лично аз не смятам това за решение, а за заобикаляне на проблема. Добре е да се намери заразената система, която причинява проблема и да се почисти и след това да се сканират и всички флашки. Имунизацията нека да си я има. Но вие си знаете.

Мерси, заврандисах се вече! А да, компютъра със заразата ще го издирим, вероятно е със стара ОС. Само да не се окаже на някой лично PC,че трудно ще го хванем. Ако е добре ваксината, ще продължим с Пандата. Исках да разбера точно какво се променя в Win, къде да пипна по-възможност за да спре тази операция  точно определената флаш памет, която е била инфектирана да и променя атрибутите и добавя шорткът, а на другите не!