Toon posts:

Virus nieuw gekochte externe harddisk

Pagina: 1
Acties:
  • 3.325 views sinds 30-01-2008
  • Reageer

maandag 17 september 2007 01:00

Acties:
  • 0 Henk 'm!
  • BraveWorld
  • Registratie: September 2001
  • Niet online

BraveWorld

Topicstarter
Zo maf: net gisteren bij de Mediamarkt in Amsterdam een 500GB externe usb harddisk gekocht, de Maxtor Personal Storage 3200. Sluit ik 'm aan, eerste wat ik er op zie staan is een bestand GHOST.PIF. En een autorun.inf om 'm automatisch op te starten. Erg verdacht. Dus probeer ik 's voorzichtig de inhoud van GHOST.PIF bekijken, en ja hoor, mijn Avira Antivir slaat alarm.:

Contains heuristic pattern of 'HEUR-DBLEXT/Crypted'
Is the trojan horse 'TR/Autorun.BK'

Het bestand checken via virustotal.com geeft ook diverse detecties. Kortom, ik voel me een beetje bedonderd met die harddisk.

Oké, ik zal de hdd 's goed formatteren, en dan zal ie wel bruikbaar zijn. Vooraf check ik toch nog even met GetDataBack of er verwijderde bestanden op staan en het dus een gebruikte harddisk is. Ik zal mijn systeem ook weer 's op virussen doorlichten hoewel ik denk dat dit betreffend virus dan wel eerder gedetecteerd zou zijn geweest. En als ik op mijn strepen wil staan kan ik gaan zeuren bij de Mediamarkt of Maxtor.

Dit topic is dus een beetje om mijn verwondering te uiten, en om te checken hoe jullie er over denken. Zou het een retour zijn, dat de hdd bij een vorige klant is geïnfecteerd? Of bij de Mediamarkt? Of zelfs bij Maxtor? Moet ik dit moeilijk gaan zitten melden bij de Mediamarkt of Maxtor (veel win ik er niet mee), of gewoon maar lekker laten rusten?

Dit is geen signature...

maandag 17 september 2007 01:02

Acties:
  • 0 Henk 'm!
  • Bud_s
  • Registratie: Maart 2002
  • Laatst online: 06-09 21:16

Bud_s

Team Anticimex & Lock

klinkt als een retour bij mediamarkt

maandag 17 september 2007 01:08

Acties:
  • 0 Henk 'm!
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 09-09 10:57

gertvdijk

Het zou kunnen zijn dat die hdd eerder is gebruikt door een andere klant. De MediaMarkt heeft een heel soepel omruilbeleid he. Wel slordig dat ze die harddisk niet even hebben gecheckt. Je kan er wel over gaan zeuren bij de MM, maar het zal waarschijnlijk toch niet erg serieus worden opgenomen, of je wordt doorverwezen naar de fabrikant... die je dan weer naar de MM stuurt...
Het meest waarschijnlijke lijkt me dat er een andere klant bewust of onbewust er een virus op heeft gezet.

Anyway... Alle schijven die ik gekocht heb of installeer, die 'nieuw' zouden moeten zijn, check ik gelijk met een S.M.A.R.T. tooltje (je kan zien hoe lang de schijf al heeft gedraaid; life timer). Daarna, ondanks dat die teller dan meestal op 0 staat, dd (linux data destroyer tooltje) zero ik gewoon alle sectors. Ik hoor de gekste verhalen van hard disks die bij computerwinkels weg komen en ik vertrouw ze dan ook standaard niet. Zeker niet als ze niet meer een gesealde & vacuum gezogen anti-static verpakking hebben.
Helaas heb je niet zoveel aan die S.M.A.R.T. tooltjes bij een externe disk. Ze werken namelijk niet standaard, meestal.

[ Voor 5% gewijzigd door gertvdijk op 17-09-2007 01:10 ]

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

maandag 17 september 2007 19:24

Acties:
  • 0 Henk 'm!
  • BraveWorld
  • Registratie: September 2001
  • Niet online

BraveWorld

Topicstarter
Nou breekt mijn klomp. Dacht ik op safe te spelen door hem in te ruilen bij de Mediamarkt. Kom ik thuis, blijkt er op de nieuwe harddisk precies hetzelfde virus te zitten!!!

Ik zal 'm nu maar zelf gereed maken voor gebruik. Wipen, formatteren, etc... Maar het heeft me zo alles bij elkaar veels te veel tijd gekost, het checken van hdd, het inruilen, etc...

De eerste hdd had ik doorgelicht met GetDataBack, en daaruit bleek dat ie niet eerder serieus in een systeem gebruikt was (er stonden geen restanten van bestanden op).

Blijkbaar is er een hele batch van die dingen geïnfecteerd. Als ik er nu over nadenk, de man van de Mediamarkt keek niet geheel verbaasd toen ik meldde dat ik 'm wilde inruilen omdat er een virus op zit.

Duss..

Dit is geen signature...

maandag 17 september 2007 19:27

Acties:
  • 0 Henk 'm!
  • swampy
  • Registratie: Maart 2003
  • Laatst online: 02-09 13:39

swampy

Coconut + Swallow = ?

BraveWorld schreef op maandag 17 september 2007 @ 19:24:
Nou breekt mijn klomp. Dacht ik op safe te spelen door hem in te ruilen bij de Mediamarkt. Kom ik thuis, blijkt er op de nieuwe harddisk precies hetzelfde virus te zitten!!!

Ik zal 'm nu maar zelf gereed maken voor gebruik. Wipen, formatteren, etc... Maar het heeft me zo alles bij elkaar veels te veel tijd gekost, het checken van hdd, het inruilen, etc...

De eerste hdd had ik doorgelicht met GetDataBack, en daaruit bleek dat ie niet eerder serieus in een systeem gebruikt was (er stonden geen restanten van bestanden op).

Blijkbaar is er een hele batch van die dingen geïnfecteerd. Als ik er nu over nadenk, de man van de Mediamarkt keek niet geheel verbaasd toen ik meldde dat ik 'm wilde inruilen omdat er een virus op zit.

Duss..
Yup de wondere wereld, Ipods met virussen direct van de fabrikant, HD"s etc...helaas gebeurt dat wel eens en je mag maar hopen dat het bij iedereen opgemerkt is...

There is no place like ::1

maandag 17 september 2007 19:33

Acties:
  • 0 Henk 'm!
  • buggienuk
  • Registratie: Juli 2007
  • Laatst online: 10:00

buggienuk

lekker buggie

BraveWorld schreef op maandag 17 september 2007 @ 19:24:
Nou breekt mijn klomp. Dacht ik op safe te spelen door hem in te ruilen bij de Mediamarkt. Kom ik thuis, blijkt er op de nieuwe harddisk precies hetzelfde virus te zitten!!!

Ik zal 'm nu maar zelf gereed maken voor gebruik. Wipen, formatteren, etc... Maar het heeft me zo alles bij elkaar veels te veel tijd gekost, het checken van hdd, het inruilen, etc...

De eerste hdd had ik doorgelicht met GetDataBack, en daaruit bleek dat ie niet eerder serieus in een systeem gebruikt was (er stonden geen restanten van bestanden op).

Blijkbaar is er een hele batch van die dingen geïnfecteerd. Als ik er nu over nadenk, de man van de Mediamarkt keek niet geheel verbaasd toen ik meldde dat ik 'm wilde inruilen omdat er een virus op zit.

Duss..
Mediamarkt arena? Volgens mij heb ik je dan vanmiddag geholpen want ik herinner me nog een klant die terugkwam met een maxtor HD waar een virus op zat... Ik zal morgen eens vragen aan onze 'computer-man' of er iets mis is met die maxtor HD's want als er 2 keer een virus op zou zitten wordt het wel heel erg verdacht. :/

Ook bekend op XBL als buggienuk

maandag 17 september 2007 19:34

Acties:
  • 0 Henk 'm!
  • gambieter
  • Registratie: Oktober 2006
  • Niet online

gambieter

Just me & my cat

Een aantal van die externe harde schijven hebben een partitie die zich voordoet als CD-ROM drive om beveiligingssoftware e.d. te installeren, doet mijn Toshiba externe schijf ook. Kan het dat zijn?

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

maandag 17 september 2007 19:38

Acties:
  • 0 Henk 'm!
  • jan99999
  • Registratie: Augustus 2005
  • Laatst online: 06-09 20:46

jan99999

Met hd tune kun je zien hoe vaak je hd gestart is, dus of deze al veel is gebruikt.(aantal urenvolgens mij ook) uitlezen van smart.

[ Voor 8% gewijzigd door jan99999 op 17-09-2007 19:38 ]

maandag 17 september 2007 19:39

Acties:
  • 0 Henk 'm!

Verwijderd

Weet je zeker dat je zelf niet besmet bent met iets waardoor het bestand op de harde schijf terecht is gekomen? :)

maandag 17 september 2007 19:40

Acties:
  • 0 Henk 'm!
  • buggienuk
  • Registratie: Juli 2007
  • Laatst online: 10:00

buggienuk

lekker buggie

gambieter schreef op maandag 17 september 2007 @ 19:34:
Een aantal van die externe harde schijven hebben een partitie die zich voordoet als CD-ROM drive om beveiligingssoftware e.d. te installeren, doet mijn Toshiba externe schijf ook. Kan het dat zijn?
zie
BraveWorld schreef op maandag 17 september 2007 @ 01:00:
Dus probeer ik 's voorzichtig de inhoud van GHOST.PIF bekijken, en ja hoor, mijn Avira Antivir slaat alarm.:

Contains heuristic pattern of 'HEUR-DBLEXT/Crypted'
Is the trojan horse 'TR/Autorun.BK'

Het bestand checken via virustotal.com geeft ook diverse detecties. Kortom, ik voel me een beetje bedonderd met die harddisk.
Als je er een beetje naar googled blijkt dat het om een soort worm gaat, zie hier. Het lijkt me niet dat de fabrikant dit er op zet.

Ook bekend op XBL als buggienuk

maandag 17 september 2007 19:47

Acties:
  • 0 Henk 'm!
  • gambieter
  • Registratie: Oktober 2006
  • Niet online

gambieter

Just me & my cat

BraveWorld schreef op maandag 17 september 2007 @ 01:00:
Contains heuristic pattern of 'HEUR-DBLEXT/Crypted'
Is the trojan horse 'TR/Autorun.BK'
Autorun, dat klinkt als CDs. Vandaar de suggestie :)
buggienuk schreef op maandag 17 september 2007 @ 19:40:
[...]
Als je er een beetje naar googled blijkt dat het om een soort worm gaat, zie hier. Het lijkt me niet dat de fabrikant dit er op zet.
Virusscanners zijn wel eens wat overgevoelig. Ik gebruik het programma Radmin (Remote Administrator), en mijn McAfee antispyware vind dat niet leuk en verwijderd het programma. Is echter niet malafide, maar bevat blijkbaar een signatuur die ook in een virus kan voorkomen.

[ Voor 54% gewijzigd door gambieter op 17-09-2007 19:49 ]

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

maandag 17 september 2007 19:48

Acties:
  • 0 Henk 'm!
  • buggienuk
  • Registratie: Juli 2007
  • Laatst online: 10:00

buggienuk

lekker buggie

Verwijderd schreef op maandag 17 september 2007 @ 19:39:
Weet je zeker dat je zelf niet besmet bent met iets waardoor het bestand op de harde schijf terecht is gekomen? :)
Ik heb er even naar zitten zoeken en ik heb een soortgelijk geval gevonden, ook nieuwe HD van maxtor en ook ghost.pif erop.
http://forums.hardwarezone.com/showthread.php?p=25615678

Ook bekend op XBL als buggienuk

maandag 17 september 2007 19:51

Acties:
  • 0 Henk 'm!

Verwijderd

Het kan nog altijd een false positive zijn van de virusscanner. Een bestandje bevat bepaalde verdachte zaken, ook als dat misschien niet eens ernstig is. Ik zou het eerst eens navragen bij de fabrikant.

maandag 17 september 2007 20:05

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op maandag 17 september 2007 @ 19:51:
Het kan nog altijd een false positive zijn van de virusscanner. Een bestandje bevat bepaalde verdachte zaken, ook als dat misschien niet eens ernstig is. Ik zou het eerst eens navragen bij de fabrikant.
ghost.pif? Geen twijfel of het malware is.
Een collega heeft er zojuist eentje gekocht. Dus we komen er snel genoeg achter of het aan de computer of aan de schijf ligt. :)

maandag 17 september 2007 20:10

Acties:
  • 0 Henk 'm!
  • BraveWorld
  • Registratie: September 2001
  • Niet online

BraveWorld

Topicstarter
buggienuk schreef op maandag 17 september 2007 @ 19:33:
Mediamarkt arena?
Klopt, Mediamarkt Arena.
gambieter schreef op maandag 17 september 2007 @ 19:34:
Een aantal van die externe harde schijven hebben een partitie die zich voordoet als CD-ROM drive om beveiligingssoftware e.d. te installeren, doet mijn Toshiba externe schijf ook. Kan het dat zijn?
Heb geen extra partitie ontdekt. Gekeken via Computer Management -> Storage -> Disk Management. Ben nu van daaruit aan het formatteren.
jan99999 schreef op maandag 17 september 2007 @ 19:38:
Met hd tune kun je zien hoe vaak je hd gestart is, dus of deze al veel is gebruikt.(aantal urenvolgens mij ook) uitlezen van smart.
Had een diagnostics tool van Seagate/Maxtor gedownload om 's te kijken. Alleen met externe disks kunnen die progjes dus niet zo goed overweg. Krijg dus geen info.
Verwijderd schreef op maandag 17 september 2007 @ 19:39:
Weet je zeker dat je zelf niet besmet bent met iets waardoor het bestand op de harde schijf terecht is gekomen? :)
Dan zou mijn antivirus software al eerder alarm hebben moeten slaan denk ik. En op andere externe harde schijven heb ik het niet.
Verwijderd schreef op maandag 17 september 2007 @ 19:51:
Het kan nog altijd een false positive zijn van de virusscanner.
Als je het ge‹nfecteerde bestand GHOST.PIF upload naar www.virustotal.com wordt ie door meerder scanners gecheckt en door de meesten (onder verschillende namen) herkend als een virus.
Verwijderd schreef op maandag 17 september 2007 @ 20:05:Een collega heeft er zojuist eentje gekocht. Dus we komen er snel genoeg achter of het aan de computer of aan de schijf ligt. :)
Ben benieuwd!

Dit is geen signature...

maandag 17 september 2007 20:17

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op maandag 17 september 2007 @ 20:05:

ghost.pif? Geen twijfel of het malware is.
Een collega heeft er zojuist eentje gekocht. Dus we komen er snel genoeg achter of het aan de computer of aan de schijf ligt. :)
Ik verwacht wel dat het een of ander soort ongewenste ongein is. Maar die garantie heb je nooit natuurlijk. Maar jou geloof ik wel hoor, als je zegt dat het geen zuivere koffie is ;)

Je zult het wel met me eens moeten zijn dat zelfs als alle virusscanners zeggen dat iets een virus is, dat nog niet zo hoeft te zijn. Althans, dat is voor zover ik begrijp hoe virusscanners bestanden scannen.

Ik neem aan dat virusdatabanken specifieke details bevatten, zoals: bestand moet x kilobytes groot zijn, en de tekens 5$a7 bevatten. Dan krijg je een drogreden als: als vrouwen niet kunnen kaartlezen, volgt daaruit dat als iemand niet kan kaartlezen, het een vrouw is.

Nee, ik snap je punt wel, maar volgens mij moet je virusscanners nooit blind vertrouwen :)
Niet in de zin van positives, maar ook in de zin van negatives. Wat zijn daarvoor de termen binnen de malwarescannerwereld eigenlijk? :)

maandag 17 september 2007 22:25

Acties:
  • 0 Henk 'm!
  • rodie83
  • Registratie: Januari 2004
  • Niet online

rodie83

De grote vraag blijft dan nog wel of de fabrikant verantwoordelijk is of dat er ergens anders iets verkeerd gaat. Het lijkt me dat, als die schijven al getest worden, Maxtor toch wel voor een degelijke beveiliging zorgt. Maar als die schijven nooit getest worden, waar in het procede zijn ze dan aangesloten geweest dat er data op kan komen te staan? Want de meeste schijven die ik heb gekocht komen toch echt niet gepartitioneerd/geformatteerd binnen?

maandag 17 september 2007 22:53

Acties:
  • 0 Henk 'm!
  • buggienuk
  • Registratie: Juli 2007
  • Laatst online: 10:00

buggienuk

lekker buggie

rodie83 schreef op maandag 17 september 2007 @ 22:25:
De grote vraag blijft dan nog wel of de fabrikant verantwoordelijk is of dat er ergens anders iets verkeerd gaat. Het lijkt me dat, als die schijven al getest worden, Maxtor toch wel voor een degelijke beveiliging zorgt. Maar als die schijven nooit getest worden, waar in het procede zijn ze dan aangesloten geweest dat er data op kan komen te staan? Want de meeste schijven die ik heb gekocht komen toch echt niet gepartitioneerd/geformatteerd binnen?
Dat vraag ik me dus ook af, net zoals met de medion laptops waar virussen op zaten, hoe komen ze erop? Is er iemand die daar werkt die dat doet of sluipt het ergens anders bij het productieproces al naar binnen?

Ik vind het echter wel raar dat de TS 2 HD's heeft met allebei hetzelfde terwijl ik pas 1 ander soortgelijk geval heb gevonden. Dit geval was gepost (op een ander forum) op 05-09-2007, ongeveer een weekje geleden. Het rare is dat dat geval bij een 320GB harddisk was en die van de TS 500GB zijn. Het ligt dus (waarschijnlijk) niet aan de harddisk-batch zelf denk ik, het zijn namelijk 2 verschillende groottes.

Iemand een idee hoe het virus erop zou kunnen zijn gekomen? Een klant die de HD koopt, virus erop zet en vervolgens terugbrengt? Een boze medewerker van maxtor? Ruimtewezentjes?

Ook bekend op XBL als buggienuk

maandag 17 september 2007 23:10

Acties:
  • 0 Henk 'm!

Verwijderd

BraveWorld schreef op maandag 17 september 2007 @ 20:10:
[...]

Ben benieuwd!
Geen malware aangetroffen. Collega haalt er morgen nog eentje als check.
Verwijderd schreef op maandag 17 september 2007 @ 20:17:
[...]

Je zult het wel met me eens moeten zijn dat zelfs als alle virusscanners zeggen dat iets een virus is, dat nog niet zo hoeft te zijn.
Dat er echt veel AVs zijn die een schoon bestand als malware bestempelen, komt niet zo heel vaak voor.
Ik neem aan dat virusdatabanken specifieke details bevatten, zoals: bestand moet x kilobytes groot zijn, en de tekens 5$a7 bevatten.
Het is wat gecompliceerder dan dat uiteraard. Daarnaast gaat dit alleen op voor statische analyse, niet voor dynamische. De engines werken allemaal toch wel wat anders.
Nee, ik snap je punt wel, maar volgens mij moet je virusscanners nooit blind vertrouwen :)
Bij .pif bestanden kun je er wel vanuit gaan dat de AV het bij het juiste eind heeft.
Niet in de zin van positives, maar ook in de zin van negatives. Wat zijn daarvoor de termen binnen de malwarescannerwereld eigenlijk? :)
False positives/negatives. :+
rodie83 schreef op maandag 17 september 2007 @ 22:25:
Want de meeste schijven die ik heb gekocht komen toch echt niet gepartitioneerd/geformatteerd binnen?
Foute aanname. Tegenwoordig zijn de schijven geformatteerd. Heb hier nog een externe hdd, usb flash drives en hdd portable media player voor me gehad met een 'cadeautje' van de fabriek. ;)

woensdag 19 september 2007 00:50

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op maandag 17 september 2007 @ 23:10:
[...]

Geen malware aangetroffen. Collega haalt er morgen nog eentje als check.
Bij de tweede was het wel raak. Dus het ligt niet aan de TS zijn computer, maar aan Maxtor.

woensdag 19 september 2007 03:46

Acties:
  • 0 Henk 'm!
  • BraveWorld
  • Registratie: September 2001
  • Niet online

BraveWorld

Topicstarter
Ben enigszins gerustgesteld dit te horen! Ik riep thuis al bijna in navolging van de Mediamarkt-reclame: "Ik ben toch niet gek!" :+

Tegelijkertijd nogal verontrustend! Wie zijn er wel slachtoffer van geworden? Ligt de oorzaak bij Maxtor of de Mediamarkt?

Dit is geen signature...

woensdag 19 september 2007 10:38

Acties:
  • 0 Henk 'm!
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 09-09 10:57

gertvdijk

Het is waarschijnlijk dat het virus al in de fabriek een gehele batch Maxtor 3200's geïnfecteerd heeft.
Het ligt dus toch bij Maxtor.
Virus aangetroffen op externe Maxtor-hardeschijven

[ Voor 37% gewijzigd door gertvdijk op 19-09-2007 10:40 ]

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

woensdag 19 september 2007 12:45

Acties:
  • 0 Henk 'm!
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Ik heb er ook zo een van de MM, al een paar weken. Zal vanavond eens kijken of deze besmet is. (De virusscanner heeft er tot-op-heden nog niet over gepiept.)

Overigens gebruik ik AVG die iedere dag keurig een keer zichzelf bijwerkt.

[ Voor 22% gewijzigd door pven op 19-09-2007 12:50 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

woensdag 19 september 2007 13:11

Acties:
  • 0 Henk 'm!

Verwijderd

Yeps, hier nog een. Ik hem mijn Maxtor HD nu 2 maanden in mijn bezit. Dus voor de aanbieding. Na het lezen van dit bericht maar eens antivirus programma de gehele schijf laten scannen. En wat denk je. Bingo!

Ik heb het gekocht bij de Mediamarkt in Rdam Alexander. Mediamarkt betreft hier geen blaam. Voor de zekerheid 2 keer gescand. Tering wat duurt zo'n complete scan van 500 GB lang zeg.

woensdag 19 september 2007 13:18

Acties:
  • 0 Henk 'm!
  • rschenk
  • Registratie: November 2003
  • Laatst online: 02-09 10:20

rschenk

Hmm... heb onlangs zo'n ding besteld via Dynabyte.nl. Verwachte leverdatum vanuit Maxtor is 24/9 zegt Dynabyte. Ben benieuwd of die dan ook nog dit virus bezit. Zal 'em gelijk scannen zodra aan m'n laptop hangt. Slechte zaak van Maxtor!

woensdag 19 september 2007 13:33

Acties:
  • 0 Henk 'm!
  • BraveWorld
  • Registratie: September 2001
  • Niet online

BraveWorld

Topicstarter
Als je dus zo'n ding koopt en aansluit: zet autorun op usb-devices even uit voor de zekerheid... :)

Een net nieuwe geïnfecteerde schijf is trouwens makkelijk te herkennen doordat de bestandjes autorun.inf en ghost.pif er op staan.

Hier trouwens nog even het lijstje (via www.virustotal.com) van welke virusscanners ghost.pif als virus herkennen:

AhnLab-V3 2007.9.14.0 2007.09.14 Dropper/OnLineGameHack.21042
AntiVir 7.6.0.10 2007.09.16 TR/Autorun.BK
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.16 Win32:Autorun-U
AVG 7.5.0.485 2007.09.16 PSW.Generic4.TUP
BitDefender 7.2 2007.09.16 Win32.Worm.Autoruner.I
CAT-QuickHeal 9.00 2007.09.15 Worm.AutoRun.cn
ClamAV 0.91.2 2007.09.16 -
DrWeb 4.33 2007.09.16 Win32.HLLW.Autoruner.175
eSafe 7.0.15.0 2007.09.16 Virus.Win32.AutoRun.
eTrust-Vet 31.1.5136 2007.09.14 Win32/Rodvir!generic
Ewido 4.0 2007.09.16 -
FileAdvisor 1 2007.09.17 -
Fortinet 3.11.0.0 2007.09.16 W32/OnLineGames.EO!tr.pws
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.16 Virus.Win32.AutoRun.ji
Ikarus T3.1.1.12 2007.09.16 Virus.Win32.AutoRun.bk
Kaspersky 4.0.2.24 2007.09.17 Virus.Win32.AutoRun.ji
McAfee 5120 2007.09.14 PWS-LegMir
Microsoft 1.2803 2007.09.16 -
NOD32v2 2533 2007.09.16 Win32/PSW.OnLineGames.NBR
Norman 5.80.02 2007.09.16 W32/AutoRun.Z
Panda 9.0.0.4 2007.09.16 Trj/QQPass.AGZ
Prevx1 V2 2007.09.17 -
Rising 19.40.62.00 2007.09.16 Trojan.Win32.Delf.ady
Sophos 4.21.0 2007.09.16 Mal/PWS-K
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.16 W32.Drom
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.16 Virus.Win32.AutoRun.cn
VirusBuster 4.3.26:9 2007.09.16 Trojan.DR.OnlineGame.Gen.34
Webwasher-Gateway 6.0.1 2007.09.16 Trojan.Autorun.BK

Dit is geen signature...

woensdag 19 september 2007 18:02

Acties:
  • 0 Henk 'm!
  • Robin__130
  • Registratie: Mei 2006
  • Laatst online: 22-04 16:35

Robin__130

nieuws: Virus aangetroffen op externe Maxtor-hardeschijven - Update
Opgepast dus =)

donderdag 20 september 2007 00:55

Acties:
  • 0 Henk 'm!
  • Arcane Apex
  • Registratie: Juni 2003
  • Laatst online: 30-01 15:19

Arcane Apex

Ik heb dezelfde externe 3200 serie, maar dan de 400GB variant.(enkele weken geleden gekocht)
Ik heb de schijf gescant met antivir, maar er werd niets gevonden. Ik heb er in het begin niet op gelet of er een autorun of ghost bestand op stond. Ik zag ze voordat ik vandaag ging scannen ook niet staan.
Heb ik het virus dan niet of heeft het virus die bestandjes zelf verwijderd, maar heeft het zich dan ergens anders op mijn PC genesteld?

donderdag 20 september 2007 01:20

Acties:
  • 0 Henk 'm!
  • Henk007
  • Registratie: December 2003
  • Laatst online: 06-04 00:29

Henk007

Arcane Apex schreef op donderdag 20 september 2007 @ 00:55:
Ik heb dezelfde externe 3200 serie, maar dan de 400GB variant.(enkele weken geleden gekocht)
Ik heb de schijf gescant met antivir, maar hij vond niets. Ik heb er in het begin niet opgelet of er een autorun of ghost bestand op stond. Ik zag ze voordat ik vandaag ging scannen ook niet staan.
Heb ik het virus dan niet of heeft het virus die bestandjes zelf verwijderd, maar heeft het zich dan ergens anders op mijn PC genesteld?
Die schijf heb ik dus ook sinds enkele weken. Niet opnieuw geformatteerd, in de root stond enkel een autorun.inf met als inhoud
code:
1
2

[autorun]
icon = .\mxoicon.ico

en het bijbehorende icoontje zelf. Niks aan de hand dus. :)

donderdag 20 september 2007 01:47

Acties:
  • 0 Henk 'm!
  • Arcane Apex
  • Registratie: Juni 2003
  • Laatst online: 30-01 15:19

Arcane Apex

Ik heb zelfs geen autorun bestand of icoonbestand. Vreemd.

[ Voor 16% gewijzigd door Arcane Apex op 20-09-2007 01:48 ]

woensdag 26 september 2007 16:46

Acties:
  • 0 Henk 'm!

Verwijderd

Inmiddels is het donderdag 26 september en vanmiddag om 13:00 uur heb ik samen met een collega een Maxtor schijf gekocht bij de Media Markt in Eindhoven.

Bij een schijf was het kassa. De verpakking was bij beide schijven nog intact.

De virusscanner was erg rap, dus de virusscanner verwijderde het virus nog voor ik iets kon ondernemen, 1 seconden na het aankoppelen van de schijf en het herkennen van de drive etc.

Het uitpakproces en een opname van de eerste en tweede (schone) schijf:
http://wvde.nl/maxtor/

Ik heb het contactformulier op de site van Media Markt ingevuld, eens kijken wat voor een reactie er komt.

woensdag 26 september 2007 17:09

Acties:
  • 0 Henk 'm!
  • Henk007
  • Registratie: December 2003
  • Laatst online: 06-04 00:29

Henk007

Het autorun.inf bestand op je externe schijf is een false positive. Een .inf is een tekstbestand, zonder een executable erbij is er geen manier om iets van malware uit te voeren. Zie mijn vorige post.

[ Voor 58% gewijzigd door Henk007 op 26-09-2007 17:14 ]

woensdag 26 september 2007 18:00

Acties:
  • 0 Henk 'm!

Verwijderd

Voor de mensen met geïnfecteerde drives: Zouden jullie geneigd zijn om de serienummers naar me te mailen danwel te DMen? Het enige wat er mee zal gebeuren, is dat de nummers worden doorgegeven aan Seagate/Maxtor.
Henk007 schreef op woensdag 26 september 2007 @ 17:09:
Het autorun.inf bestand op je externe schijf is een false positive. Een .inf is een tekstbestand, zonder een executable erbij is er geen manier om iets van malware uit te voeren. Zie mijn vorige post.
Het is geen false positive. Het is een detectie die bewust is toegevoegd door een malware analyst.
Er zitten alleen maar voordelen aan het detecteren van zulke autorun.inf bestanden.

Het is een detectie voornamelijk uit praktische overwegingen en zulke bestanden dienen dan ook niet in een (academische) anti-virus test te worden gebruikt.

woensdag 26 september 2007 18:09

Acties:
  • 0 Henk 'm!
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

Verwijderd schreef op woensdag 26 september 2007 @ 16:46:
Inmiddels is het donderdag 26 september en vanmiddag om 13:00 uur heb ik samen met een collega een Maxtor schijf gekocht bij de Media Markt in Eindhoven.

Bij een schijf was het kassa. De verpakking was bij beide schijven nog intact.

De virusscanner was erg rap, dus de virusscanner verwijderde het virus nog voor ik iets kon ondernemen, 1 seconden na het aankoppelen van de schijf en het herkennen van de drive etc.

Het uitpakproces en een opname van de eerste en tweede (schone) schijf:
http://wvde.nl/maxtor/

Ik heb het contactformulier op de site van Media Markt ingevuld, eens kijken wat voor een reactie er komt.
WOUTERRRRRRRRRRRRRRRRR

;)

Beetje virussen plaatsen op harddisks he.

Dat ik die ene reactie die je plaatst sinds 2000 tegenkom hier :P

[ Voor 4% gewijzigd door redfoxert op 26-09-2007 18:09 ]

https://discord.com/invite/tweakers

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq