Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

AUTORUN.inf i khs "system file"

[es] :: Security :: AUTORUN.inf i khs "system file"

[ Pregleda: 5334 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

dsivic

Član broj: 188446
Poruke: 105



+2 Profil

icon AUTORUN.inf i khs "system file"06.01.2009. u 07:51 - pre 185 meseci
Na serveru mi se svaki dan (vjerovatno preko noci) javljaju dva file-a AUTORUN.inf i khs "system file" .

OS je Windows2003 R2 Enterprise.
Antivirus je Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise Edition.

ponekad nadem sa njima i nekakav exe file sa blesavim nazivom (ciji je nazivu autorun file-u) antivirus njega detektuje kao virus i izbrise ga ali ovaj khs uvijek ostane i ja ga rucno brisem.

Ovi file-ovi se pojavljuju na particiji sa podacima, koja je mapirana na 6-7 racunara. Svi racunari su sa antivirusima, nesto licensiranim a ostatak sa free avg antivirusom.

STA DA RADIM?
 
Odgovor na temu

kristi1

Član broj: 151211
Poruke: 2012
82.208.199.*

Sajt: www.mycity.rs/Ambulanta


+88 Profil

icon Re: AUTORUN.inf i khs "system file"06.01.2009. u 09:02 - pre 185 meseci
Prvo iskljuci antivirus privremeno

Skini ComboFix sa jedne od sledecih adresa na Desktop:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Nemoj da diras prozor programa dok skenira, ovaj alat ce ti ocistiti autorun.inf
Kada zavrsi ciscenje klikni na start>run> ukucaj Combofix /u pa ok i sacekaj da se deinstalacija zavrsi
ova procedura ce poscistiti sve foldere koje je napravio CF i resetovace system restore

Vodi racuna kad skines CF da ga skines na desktop i nemoj da ga stavljas u folder.
Jos nesto, potrebno je da iskljucis na svim racunarima Autoplay, verovatno si taj virus dobio preko flasha
 
Odgovor na temu

dsivic

Član broj: 188446
Poruke: 105



+2 Profil

icon Re: AUTORUN.inf i khs "system file"06.01.2009. u 13:28 - pre 185 meseci
Ovaj program nije za Win2003.

Neka druga ideja...?
 
Odgovor na temu

podroom
Svircevic Djordje
Bečej

Član broj: 44374
Poruke: 109
95.85.131.*



+2 Profil

icon Re: AUTORUN.inf i khs "system file"23.01.2009. u 09:40 - pre 184 meseci
Evo pokusaj ovo mada nisam siguran da ce vredeti to sam pronasao zbog slicnih muka koje trenutno imam,a odnosi se i na usb flash i na particije.nisam prevodio da neko ne bi pomislio da kradem ideje.


While inserting the USB Flash Disk Continuously press ESC so no program can start automatically.

Double click on my computer to get the name of the drive that is your flash drive.

Suppose it is (f :)

Dont do anything. Close My Computer

Click on Start > Run > Type cmd [press Enter]

Change drive to your Flash Drive

f:\ (enter)
attrib(enter)
(Check for files autorun.inf, any file with .exe suspicious)
attrib -s -r -h -a (enter)
(This will remove all kind of restrictions of files)
del autorun.inf (enter)
del “New Folder.exe”
… … …
del all files that looks suspicious

If your computer is infected do the above for each drive.

Go to msconfig
Remove all startup programs
Go to Start Up Folder
Remove all unknown programs

 
Odgovor na temu

dsivic

Član broj: 188446
Poruke: 105



+2 Profil

icon Re: AUTORUN.inf i khs "system file"24.01.2009. u 09:15 - pre 184 meseci
kaspersky 6 javlja da je bas ovo virus koji meni pravi probleme, a i ponasa se bas kao sto je opisan u ovoj vijesti:


MikroVesti
IZDANJE ČASOPISA MIKRO-PC WORLD

Virus Conflicker, poznat još i kao Downadup i Kido, pojavio se u oktobru 2008, a već je zarazio preko devet miliona računara brzinom koja do sada nije zabeležena – u poslednja četiri dana zarazio je preko šest miliona računara. Stručnjaci upozoravaju da hakeri tek treba da aktiviraju tovar koji je doneo sa sobom.

Virus se širi kroz slabo obezbeđene kompanijske mreže, personalne računare na kojima nije instalirana najnovija antivirusna zakrpa i USB memorije. Za to koristi slabost Windows Server Servicea i nekoliko mehanizama napada i samozaštite među kojima su pogađanje mrežnih lozinki i skrivanje u šumi nasumično generisanih imena datoteka i veb lokacija.

Zaraženi računar skenira mrežu u potrazi za drugim računarima i pokušava da im pristupi služeći se propustom u sistemu bezbednosti Windowsa. Ako mu za to zatreba lozinka, u slučaju da je kratka otkriće je metodom sirove sile – čistim pogađanjem, a tamo gde ne uspe aktiviraće automatsko zaključavanje koje služi kao zaštita u slučajevima kad korisnik previše puta unese pogrešnu lozinku. Zbog toga je jedan od problema koje prouzrokuje mrežnim korisnicima taj što im zaključava nalog za pristup.

Kad ovaj zlonamerni softver uđe u mrežu veoma ga je teško ukloniti, jer se veoma agresivno štiti tako što se restartuje u ranoj fazi podizanja sistema i menja prava pristupa datotekama i ključevima pod kojima je zaveden u registru, pa ih korisnici ne mogu ni ukloniti, ni promeniti. Pored toga onemogućava i restauriranje sistema u stanje pre infekcije.

Kad uđe u sistem virus brzo evoluira, jer preuzima modifikovane verzije samog sebe sa veb lokacije skrivene u dugom spisku lokacija čija imena generiše poseban algoritam služeći se uz to i podacima o datumu i vremenu. Pošto se na ovaj način pravi na stotine različitih imena domena, kompanijama specijalizovanim za bezbednost je izuzetno teško da lociraju onaj pravi i ugase ga na vreme.

Mada se čini kao da je njegovo širenje dostiglo plafon, postoje strahovi da bi neko lako mogao da preuzme kontrolu nad nekim, ili čak svim zaraženim računarima kojih trenutno ima preko devet miliona.

Glavni istraživač kompanije F-Secure, Miko Hiponen, smatra da su korisnici još uvek izloženi velikom riziku. „Ukupan broj zaraženih računara izgleda da je dostigao vrh. Teško je reći koliko je to računara, jer se ne zna koliko mašina je u međuvremenu očišćeno, ali procenjujemo da ih je sigurno više od devet miliona širom sveta. Zastrašujuća je i sama pomisao koliku kontrolu bi hakeri mogli da imaju nad svim tim računarima, jer bi imali pristup s punim administratorskim pravima. To se još nije desilo jer se možda plaše, i to je dobra vest, ali postoji i scenario po kome bi neko drugi mogao da sazna kako da aktivira virus. To je već zabrinjavajuća mogućnost.“

Stručnjaci kažu da korisnici treba da ažuriraju svoj antivirusni softver i instaliraju Microsoftovu zakrpu MS08-067 poznatu i kao KB958644.

Grejam Kluli, viši konsultant u antivirusnoj kompaniji Sophos, rekao je da epidemija takvih razmera nije viđena već neko vreme. „Microsoft je uradio dobar posao time što je ažurirao softver korisnika kućnih računara, ali virus nastavlja da inficira poslovne računare u kompanijama koje su ignorisale savet da ažuriraju svoj softver. Tome je verovatno doprineo manjak IT stručnjaka zbog prethodnih praznika, a i činjenica da instaliranje zakrpe na velikom broju računara nije baš lako. S druge strane, ukoliko korisnici upotrebljavaju slabe lozinke – 12345, QWERTY i sl. – virus ih brzo provali.“

Prema Microsoftu, virus radi tako što u Windowsu traži izvršnu datoteku „services.exe“ i kad je nađe ubaci se u nju i postane deo njenog koda.

Potom se prekopira u sistemski direktorijum Windowsa kao datoteka s nasumično izabranim imenom od pet do osam znakova i s nastavkom „dll“, na primer piftoc.dll, a zatim promeni bazu Registry, u kojoj su spiskovi ključnih parametara Windowsa, da bi, kad se računar restartuje, izvršavao zaraženu dll datoteku kao da je standardni servis.

Virus potom pravi HTTP server i resetuje tačku za restauraciju sistema (čime dodatno otežava oporavljanje sistema), a zatim skida datoteke sa hakerove veb lokacije. Većina zlonamernog softvera koristi manji broj lokacija sa kojih preuzima datoteke, tako da se one lako mogu naći i ugasiti. Međutim, Conficker to radi drugačije.

Antivirusna kompanija F-Secure kaže da virus koristi složen algoritam da generiše na stotine različitih imena domena svakog dana, kao recimo mphtfrxs.net, imctaef.cc i hcweu.org. Samo jedan od njih će zapravo biti onaj sa koga uzima hakerske datoteke. Imajući to u vidu nalaženje tog domena je gotovo nemoguće.

Specijalista iz Kaspersky Labsa, Edi Vilems, rekao je da novi soj ovog virusa dosta zakomplikovao stvari.

„Većinu problema pravi nova varijanta koja se pojavila pre dve nedelje“, rekao je on. „Metodi razmnožavanja su joj veoma dobri. Koristi nekoliko različitih mehanizama, uključujući USB memorije, tako da ako se neko zarazi u jednoj kompaniji, a potom sa svojom USB memorijom ode u drugu, zaraziće i njenu mrežu. Pored toga, virus prevlači s interneta mnogo sadržaja i pomoću tog mehanizma stvara nove varijante. Naravno, pravi problem je to što ljudi nisu zakrpili svoj softver.“

Antivirusne kompanije upozoravaju rukovodioce mreža da provere jesu li instalirali najnovije Microsoftove zakrpe i da li im je antivirusni softver ažuran, da isključe Autorun i Autoplay za USB memorije, da utvrde jesu li lozinke korisnika jake i da posebno povedu računa o lozinkama administratora domena.

Dezinfekcija virusa je veoma složena i zahteva isključivanje delova mreže. Zato kompanije koje su se našle na udaru ovog virusa treba da ograniče korišćenje USB memorija i blokiraju nepotreban saobraćaj na mrežnom zaštitnom zidu.

Microsoft je objavio da je virus inficirao računare u raznim delovima sveta, a najviše u Kini, Brazilu, Rusiji i Indiji. (M.V.)
 
Odgovor na temu

novomatik
serviser poker aparata, novomatik
cacak

Član broj: 166063
Poruke: 25
212.200.200.*



Profil

icon Re: AUTORUN.inf i khs "system file"20.02.2009. u 09:36 - pre 183 meseci
Uradio sam sve kako si rekao u vezi Combofix-a, odradio je ciscenje, prijavio mi da je obrisao neke fajlove, medjutim ne mogu da ga deinstaliram komandom Combofix /u , prijavljuje da ne moze da nadje fajl sa tim imenom?
 
Odgovor na temu

[es] :: Security :: AUTORUN.inf i khs "system file"

[ Pregleda: 5334 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.