Gathering of Tweakers

Zo maf: net gisteren bij de Mediamarkt in Amsterdam een 500GB externe usb harddisk gekocht, de Maxtor Personal Storage 3200. Sluit ik 'm aan, eerste wat ik er op zie staan is een bestand GHOST.PIF. En een autorun.inf om 'm automatisch op te starten. Erg verdacht. Dus probeer ik 's voorzichtig de inhoud van GHOST.PIF bekijken, en ja hoor, mijn Avira Antivir slaat alarm.:

Contains heuristic pattern of 'HEUR-DBLEXT/Crypted'
Is the trojan horse 'TR/Autorun.BK'

Het bestand checken via virustotal.com geeft ook diverse detecties. Kortom, ik voel me een beetje bedonderd met die harddisk.

Oké, ik zal de hdd 's goed formatteren, en dan zal ie wel bruikbaar zijn. Vooraf check ik toch nog even met GetDataBack of er verwijderde bestanden op staan en het dus een gebruikte harddisk is. Ik zal mijn systeem ook weer 's op virussen doorlichten hoewel ik denk dat dit betreffend virus dan wel eerder gedetecteerd zou zijn geweest. En als ik op mijn strepen wil staan kan ik gaan zeuren bij de Mediamarkt of Maxtor.

Dit topic is dus een beetje om mijn verwondering te uiten, en om te checken hoe jullie er over denken. Zou het een retour zijn, dat de hdd bij een vorige klant is geïnfecteerd? Of bij de Mediamarkt? Of zelfs bij Maxtor? Moet ik dit moeilijk gaan zitten melden bij de Mediamarkt of Maxtor (veel win ik er niet mee), of gewoon maar lekker laten rusten?

klinkt als een retour bij mediamarkt

Het zou kunnen zijn dat die hdd eerder is gebruikt door een andere klant. De MediaMarkt heeft een heel soepel omruilbeleid he. Wel slordig dat ze die harddisk niet even hebben gecheckt. Je kan er wel over gaan zeuren bij de MM, maar het zal waarschijnlijk toch niet erg serieus worden opgenomen, of je wordt doorverwezen naar de fabrikant... die je dan weer naar de MM stuurt...
Het meest waarschijnlijke lijkt me dat er een andere klant bewust of onbewust er een virus op heeft gezet.

Anyway... Alle schijven die ik gekocht heb of installeer, die 'nieuw' zouden moeten zijn, check ik gelijk met een S.M.A.R.T. tooltje (je kan zien hoe lang de schijf al heeft gedraaid; life timer). Daarna, ondanks dat die teller dan meestal op 0 staat, dd (linux data destroyer tooltje) zero ik gewoon alle sectors. Ik hoor de gekste verhalen van hard disks die bij computerwinkels weg komen en ik vertrouw ze dan ook standaard niet. Zeker niet als ze niet meer een gesealde & vacuum gezogen anti-static verpakking hebben.
Helaas heb je niet zoveel aan die S.M.A.R.T. tooltjes bij een externe disk. Ze werken namelijk niet standaard, meestal.

gertvdijk wijzigde dit bericht 17-09-2007 01:10 (5%)

Nou breekt mijn klomp. Dacht ik op safe te spelen door hem in te ruilen bij de Mediamarkt. Kom ik thuis, blijkt er op de nieuwe harddisk precies hetzelfde virus te zitten!!!

Ik zal 'm nu maar zelf gereed maken voor gebruik. Wipen, formatteren, etc... Maar het heeft me zo alles bij elkaar veels te veel tijd gekost, het checken van hdd, het inruilen, etc...

De eerste hdd had ik doorgelicht met GetDataBack, en daaruit bleek dat ie niet eerder serieus in een systeem gebruikt was (er stonden geen restanten van bestanden op).

Blijkbaar is er een hele batch van die dingen geïnfecteerd. Als ik er nu over nadenk, de man van de Mediamarkt keek niet geheel verbaasd toen ik meldde dat ik 'm wilde inruilen omdat er een virus op zit.

Duss..

quote:

BraveWorld schreef op maandag 17 september 2007 @ 19:24:
Nou breekt mijn klomp. Dacht ik op safe te spelen door hem in te ruilen bij de Mediamarkt. Kom ik thuis, blijkt er op de nieuwe harddisk precies hetzelfde virus te zitten!!!

Ik zal 'm nu maar zelf gereed maken voor gebruik. Wipen, formatteren, etc... Maar het heeft me zo alles bij elkaar veels te veel tijd gekost, het checken van hdd, het inruilen, etc...

De eerste hdd had ik doorgelicht met GetDataBack, en daaruit bleek dat ie niet eerder serieus in een systeem gebruikt was (er stonden geen restanten van bestanden op).

Blijkbaar is er een hele batch van die dingen geïnfecteerd. Als ik er nu over nadenk, de man van de Mediamarkt keek niet geheel verbaasd toen ik meldde dat ik 'm wilde inruilen omdat er een virus op zit.

Duss..

Yup de wondere wereld, Ipods met virussen direct van de fabrikant, HD"s etc...helaas gebeurt dat wel eens en je mag maar hopen dat het bij iedereen opgemerkt is...

quote:

BraveWorld schreef op maandag 17 september 2007 @ 19:24:
Nou breekt mijn klomp. Dacht ik op safe te spelen door hem in te ruilen bij de Mediamarkt. Kom ik thuis, blijkt er op de nieuwe harddisk precies hetzelfde virus te zitten!!!

Ik zal 'm nu maar zelf gereed maken voor gebruik. Wipen, formatteren, etc... Maar het heeft me zo alles bij elkaar veels te veel tijd gekost, het checken van hdd, het inruilen, etc...

De eerste hdd had ik doorgelicht met GetDataBack, en daaruit bleek dat ie niet eerder serieus in een systeem gebruikt was (er stonden geen restanten van bestanden op).

Blijkbaar is er een hele batch van die dingen geïnfecteerd. Als ik er nu over nadenk, de man van de Mediamarkt keek niet geheel verbaasd toen ik meldde dat ik 'm wilde inruilen omdat er een virus op zit.

Duss..

Mediamarkt arena? Volgens mij heb ik je dan vanmiddag geholpen want ik herinner me nog een klant die terugkwam met een maxtor HD waar een virus op zat... Ik zal morgen eens vragen aan onze 'computer-man' of er iets mis is met die maxtor HD's want als er 2 keer een virus op zou zitten wordt het wel heel erg verdacht.

Een aantal van die externe harde schijven hebben een partitie die zich voordoet als CD-ROM drive om beveiligingssoftware e.d. te installeren, doet mijn Toshiba externe schijf ook. Kan het dat zijn?

Met hd tune kun je zien hoe vaak je hd gestart is, dus of deze al veel is gebruikt.(aantal urenvolgens mij ook) uitlezen van smart.

jan99999 wijzigde dit bericht 17-09-2007 19:38 (8%)

Weet je zeker dat je zelf niet besmet bent met iets waardoor het bestand op de harde schijf terecht is gekomen?

quote:

gambieter schreef op maandag 17 september 2007 @ 19:34:
Een aantal van die externe harde schijven hebben een partitie die zich voordoet als CD-ROM drive om beveiligingssoftware e.d. te installeren, doet mijn Toshiba externe schijf ook. Kan het dat zijn?

zie

quote:

BraveWorld schreef op maandag 17 september 2007 @ 01:00:
Dus probeer ik 's voorzichtig de inhoud van GHOST.PIF bekijken, en ja hoor, mijn Avira Antivir slaat alarm.:

Contains heuristic pattern of 'HEUR-DBLEXT/Crypted'
Is the trojan horse 'TR/Autorun.BK'

Het bestand checken via virustotal.com geeft ook diverse detecties. Kortom, ik voel me een beetje bedonderd met die harddisk.

Als je er een beetje naar googled blijkt dat het om een soort worm gaat, zie hier. Het lijkt me niet dat de fabrikant dit er op zet.

quote:

BraveWorld schreef op maandag 17 september 2007 @ 01:00:
Contains heuristic pattern of 'HEUR-DBLEXT/Crypted'
Is the trojan horse 'TR/Autorun.BK'

Autorun, dat klinkt als CDs. Vandaar de suggestie

quote:

buggienuk schreef op maandag 17 september 2007 @ 19:40:
[...]
Als je er een beetje naar googled blijkt dat het om een soort worm gaat, zie hier. Het lijkt me niet dat de fabrikant dit er op zet.

Virusscanners zijn wel eens wat overgevoelig. Ik gebruik het programma Radmin (Remote Administrator), en mijn McAfee antispyware vind dat niet leuk en verwijderd het programma. Is echter niet malafide, maar bevat blijkbaar een signatuur die ook in een virus kan voorkomen.

gambieter wijzigde dit bericht 17-09-2007 19:49 (54%)

quote:

Schouw schreef op maandag 17 september 2007 @ 19:39:
Weet je zeker dat je zelf niet besmet bent met iets waardoor het bestand op de harde schijf terecht is gekomen?

Ik heb er even naar zitten zoeken en ik heb een soortgelijk geval gevonden, ook nieuwe HD van maxtor en ook ghost.pif erop.
http://forums.hardwarezone.com/showthread.php?p=25615678

Het kan nog altijd een false positive zijn van de virusscanner. Een bestandje bevat bepaalde verdachte zaken, ook als dat misschien niet eens ernstig is. Ik zou het eerst eens navragen bij de fabrikant.

quote:

Cheatah schreef op maandag 17 september 2007 @ 19:51:
Het kan nog altijd een false positive zijn van de virusscanner. Een bestandje bevat bepaalde verdachte zaken, ook als dat misschien niet eens ernstig is. Ik zou het eerst eens navragen bij de fabrikant.

ghost.pif? Geen twijfel of het malware is.
Een collega heeft er zojuist eentje gekocht. Dus we komen er snel genoeg achter of het aan de computer of aan de schijf ligt.

quote:

buggienuk schreef op maandag 17 september 2007 @ 19:33:
Mediamarkt arena?

Klopt, Mediamarkt Arena.

quote:

gambieter schreef op maandag 17 september 2007 @ 19:34:
Een aantal van die externe harde schijven hebben een partitie die zich voordoet als CD-ROM drive om beveiligingssoftware e.d. te installeren, doet mijn Toshiba externe schijf ook. Kan het dat zijn?

Heb geen extra partitie ontdekt. Gekeken via Computer Management -> Storage -> Disk Management. Ben nu van daaruit aan het formatteren.

quote:

jan99999 schreef op maandag 17 september 2007 @ 19:38:
Met hd tune kun je zien hoe vaak je hd gestart is, dus of deze al veel is gebruikt.(aantal urenvolgens mij ook) uitlezen van smart.

Had een diagnostics tool van Seagate/Maxtor gedownload om 's te kijken. Alleen met externe disks kunnen die progjes dus niet zo goed overweg. Krijg dus geen info.

quote:

Schouw schreef op maandag 17 september 2007 @ 19:39:
Weet je zeker dat je zelf niet besmet bent met iets waardoor het bestand op de harde schijf terecht is gekomen?

Dan zou mijn antivirus software al eerder alarm hebben moeten slaan denk ik. En op andere externe harde schijven heb ik het niet.

quote:

Cheatah schreef op maandag 17 september 2007 @ 19:51:
Het kan nog altijd een false positive zijn van de virusscanner.

Als je het ge‹nfecteerde bestand GHOST.PIF upload naar www.virustotal.com wordt ie door meerder scanners gecheckt en door de meesten (onder verschillende namen) herkend als een virus.

quote:

Schouw schreef op maandag 17 september 2007 @ 20:05:Een collega heeft er zojuist eentje gekocht. Dus we komen er snel genoeg achter of het aan de computer of aan de schijf ligt.

Ben benieuwd!

quote:

Schouw schreef op maandag 17 september 2007 @ 20:05:

ghost.pif? Geen twijfel of het malware is.
Een collega heeft er zojuist eentje gekocht. Dus we komen er snel genoeg achter of het aan de computer of aan de schijf ligt.

Ik verwacht wel dat het een of ander soort ongewenste ongein is. Maar die garantie heb je nooit natuurlijk. Maar jou geloof ik wel hoor, als je zegt dat het geen zuivere koffie is

Je zult het wel met me eens moeten zijn dat zelfs als alle virusscanners zeggen dat iets een virus is, dat nog niet zo hoeft te zijn. Althans, dat is voor zover ik begrijp hoe virusscanners bestanden scannen.

Ik neem aan dat virusdatabanken specifieke details bevatten, zoals: bestand moet x kilobytes groot zijn, en de tekens 5$a7 bevatten. Dan krijg je een drogreden als: als vrouwen niet kunnen kaartlezen, volgt daaruit dat als iemand niet kan kaartlezen, het een vrouw is.

Nee, ik snap je punt wel, maar volgens mij moet je virusscanners nooit blind vertrouwen
Niet in de zin van positives, maar ook in de zin van negatives. Wat zijn daarvoor de termen binnen de malwarescannerwereld eigenlijk?

De grote vraag blijft dan nog wel of de fabrikant verantwoordelijk is of dat er ergens anders iets verkeerd gaat. Het lijkt me dat, als die schijven al getest worden, Maxtor toch wel voor een degelijke beveiliging zorgt. Maar als die schijven nooit getest worden, waar in het procede zijn ze dan aangesloten geweest dat er data op kan komen te staan? Want de meeste schijven die ik heb gekocht komen toch echt niet gepartitioneerd/geformatteerd binnen?

quote:

rodie83 schreef op maandag 17 september 2007 @ 22:25:
De grote vraag blijft dan nog wel of de fabrikant verantwoordelijk is of dat er ergens anders iets verkeerd gaat. Het lijkt me dat, als die schijven al getest worden, Maxtor toch wel voor een degelijke beveiliging zorgt. Maar als die schijven nooit getest worden, waar in het procede zijn ze dan aangesloten geweest dat er data op kan komen te staan? Want de meeste schijven die ik heb gekocht komen toch echt niet gepartitioneerd/geformatteerd binnen?

Dat vraag ik me dus ook af, net zoals met de medion laptops waar virussen op zaten, hoe komen ze erop? Is er iemand die daar werkt die dat doet of sluipt het ergens anders bij het productieproces al naar binnen?

Ik vind het echter wel raar dat de TS 2 HD's heeft met allebei hetzelfde terwijl ik pas 1 ander soortgelijk geval heb gevonden. Dit geval was gepost (op een ander forum) op 05-09-2007, ongeveer een weekje geleden. Het rare is dat dat geval bij een 320GB harddisk was en die van de TS 500GB zijn. Het ligt dus (waarschijnlijk) niet aan de harddisk-batch zelf denk ik, het zijn namelijk 2 verschillende groottes.

Iemand een idee hoe het virus erop zou kunnen zijn gekomen? Een klant die de HD koopt, virus erop zet en vervolgens terugbrengt? Een boze medewerker van maxtor? Ruimtewezentjes?

quote:

BraveWorld schreef op maandag 17 september 2007 @ 20:10:
[...]

Ben benieuwd!

Geen malware aangetroffen. Collega haalt er morgen nog eentje als check.

quote:

Cheatah schreef op maandag 17 september 2007 @ 20:17:
[...]

Je zult het wel met me eens moeten zijn dat zelfs als alle virusscanners zeggen dat iets een virus is, dat nog niet zo hoeft te zijn.

Dat er echt veel AVs zijn die een schoon bestand als malware bestempelen, komt niet zo heel vaak voor.

quote:

Ik neem aan dat virusdatabanken specifieke details bevatten, zoals: bestand moet x kilobytes groot zijn, en de tekens 5$a7 bevatten.

Het is wat gecompliceerder dan dat uiteraard. Daarnaast gaat dit alleen op voor statische analyse, niet voor dynamische. De engines werken allemaal toch wel wat anders.

quote:

Nee, ik snap je punt wel, maar volgens mij moet je virusscanners nooit blind vertrouwen

Bij .pif bestanden kun je er wel vanuit gaan dat de AV het bij het juiste eind heeft.

quote:

Niet in de zin van positives, maar ook in de zin van negatives. Wat zijn daarvoor de termen binnen de malwarescannerwereld eigenlijk?

False positives/negatives.

quote:

rodie83 schreef op maandag 17 september 2007 @ 22:25:
Want de meeste schijven die ik heb gekocht komen toch echt niet gepartitioneerd/geformatteerd binnen?

Foute aanname. Tegenwoordig zijn de schijven geformatteerd. Heb hier nog een externe hdd, usb flash drives en hdd portable media player voor me gehad met een 'cadeautje' van de fabriek.

quote:

Schouw schreef op maandag 17 september 2007 @ 23:10:
[...]

Geen malware aangetroffen. Collega haalt er morgen nog eentje als check.

Bij de tweede was het wel raak. Dus het ligt niet aan de TS zijn computer, maar aan Maxtor.

Ben enigszins gerustgesteld dit te horen! Ik riep thuis al bijna in navolging van de Mediamarkt-reclame: "Ik ben toch niet gek!"

Tegelijkertijd nogal verontrustend! Wie zijn er wel slachtoffer van geworden? Ligt de oorzaak bij Maxtor of de Mediamarkt?

quote: http://pro.tweakers.net/n...Maxtor-hardeschijven.html

Het is waarschijnlijk dat het virus al in de fabriek een gehele batch Maxtor 3200's geïnfecteerd heeft.

Het ligt dus toch bij Maxtor.
Virus aangetroffen op externe Maxtor-hardeschijven

gertvdijk wijzigde dit bericht 19-09-2007 10:40 (37%)

Ik heb er ook zo een van de MM, al een paar weken. Zal vanavond eens kijken of deze besmet is. (De virusscanner heeft er tot-op-heden nog niet over gepiept.)

Overigens gebruik ik AVG die iedere dag keurig een keer zichzelf bijwerkt.

pven wijzigde dit bericht 19-09-2007 12:50 (22%)

Yeps, hier nog een. Ik hem mijn Maxtor HD nu 2 maanden in mijn bezit. Dus voor de aanbieding. Na het lezen van dit bericht maar eens antivirus programma de gehele schijf laten scannen. En wat denk je. Bingo!

Ik heb het gekocht bij de Mediamarkt in Rdam Alexander. Mediamarkt betreft hier geen blaam. Voor de zekerheid 2 keer gescand. Tering wat duurt zo'n complete scan van 500 GB lang zeg.

Hmm... heb onlangs zo'n ding besteld via Dynabyte.nl. Verwachte leverdatum vanuit Maxtor is 24/9 zegt Dynabyte. Ben benieuwd of die dan ook nog dit virus bezit. Zal 'em gelijk scannen zodra aan m'n laptop hangt. Slechte zaak van Maxtor!