winnt: Re: Trojany na nowo kupionym pendrive

Autor: Wojciech \ <spook.no_at_unwanted_mail.op.pl>
Data: Sat 08 Sep 2007 - 11:03:51 MET DST
Message-ID: <fbtoic$cq4$1@news.dialog.net.pl>
Content-Type: text/plain; format=flowed; charset="iso-8859-2"; reply-type=response

Ewa wrote:
> Witam i proszę o pomoc.
>
> Kupiłam dzisiaj pendrive i po włożeniu do usb i wyświetleniu
> zawartości

Niebezpieczne to "wyświetlenie zawartości" - jeśli przez Eksploratora
Windows, a nie masz wyłączonego autorun dla napędów, to jest bardzo
prawdopodobne, że wirus mógł się już uruchomić.

> pojawiły się 3 pliki: autorun.inf
> copy.exe
> host.exe
> Po chwili czuwający AVG pokazał Threat Detected! i wskazał na plik
> host.exe na pendrive. Po wybraniu Heal otrzymałam informację "Object was
> successfully
> healed", a plik host.exe zniknął z pendrive'a.
> A zaraz potem analogicznie z plikiem copy.exe.
>
> W przypadki copy.exe był to Trojan horse Generic VDT. W przypadku
> pliku host.exe chyba tak samo (nie zanotowałam)

Zapewne Trojan-Dropper.Win32.Small.qp lub Virus.Win32.Perlovga.a

> Sprawdziłam cały mój komputer przy pomocy systemowego Wyszukaj i nie
> znalazłam w nim ani pliku host.exe, ani pliku copy.exe.
>
> W tej chwili na pendrive mam tylko autorun.inf. Po wyjęciu pendrive'a
> z USB i ponownym włożeniu nie było żadnych sensacji (przynajmniej do
> teraz)

Przeglądnij ten wątek:
http://www.searchengines.pl/index.php?showtopic=94761
I sprawdź, czy nie masz plików, które zostały w nim wyszczególnione (w
szczególności zwróć baczną uwagę na ścieżkę pliku svchost.exe - jeden z
nich, ten w podkatalogu system czy system32 jest ważnym plikiem systemowym.

> Pytania:
> 1) Czy po włożeniu pendrive do innego komputera mogę być pewna, że go
> nie zarażę?

Skoro zostały usunięte te dwa pliki, to raczej nie.

> 2) Co ewentualnie mogłabym zrobić, żeby ten pendrive (i
> na wszellki wypadek cały mój komputer) sprawdzić/oczyścić? W
> szczególności czy przeszukanie dysków na okoliczność występowania
> plików host.exe i copy.exe może być niewystarczające, bo mogą na
> przykład być te pliki ukryte lub dlatego, że wirus może być w
> rejestrze?

Wirusa nie będzie w rejestrze.
Przeskanować komputer dowolnym antywirusem, większość powinna znaleźć owego
badziewa - o ile jeszcze gdzieś żyje.

> 3) Czy powinnam usunąć plik autorun.inf z pendrive'a i
> jakie mogą być tego konsekwencje.

Usunąć, może nawet przeformatować (pełny format).

> Bardzo proszę o pomoc.
> Pozdrawiam
> Ewa

Pozdrawiam -- Spook.

-- 
! ._______. Warning: Lucida Console sig!    //)    !
! || spk ||    www.spook.freshsite.pl      / _ """*!
! ||_____||        spook at op.pl         / '  | ""!
! |  ___  |   tlen: spoko_ws gg:1290136  /. __/"\ '!
! |_|[]_|_|  May the SOURCE be with you! \/)     \ !

Received on Sat Sep 8 11:10:07 2007

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 08 Sep 2007 - 11:42:01 MET DST