Onzichtbare autorun.inf op USBstick - Privacy en beveiliging

maandag 22 november 2010 21:23

Acties:

Zwart, geen suiker.

Topicstarter

Heren, op een USBstick van mijn vriendin lijkt zich een virus te bevinden. Formatteren van de stick is geen optie (vraag me niet waarom niet; geen optie). Het volgende is aan de hand;

Bij het inpluggen van de USBstick spring AVG aan dat autorun.inf geïnfecteerd is. Dit bestand is niet zichtbaar op de schijf, ook niet als verborgen bestanden en systeembestanden weergeven ingeschakeld is onder mapopties. Het verplaatsen naar de quarantaine via AVG heeft tot resultaat dat het bestand zichzelf terug weet te plaatsen de eerste de beste keer dat je de stick opnieuw inplugt; idem zodra ik een eigen autorun.inf schrijf en deze verplaats naar de stick en zo dus het geïnfecteerde bestand van de stick "forceer". Ook het proberen te openen van het bestand via kladblok lukt niet; het bestand wordt niet gevonden.

Nou wil ik eigenlijk twee dingen bereiken;
1. het openen van het autorun.inf bestand in een teksteditor om te achterhalen wat erin staat
2. het voorgoed verwijderen ervan na het ingezien te hebben

Hoe doe ik dit?

Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!

maandag 22 november 2010 21:26

Acties:

gwystyl

Beugeltje dan maar?

Is het niet een usb stick met twee partities waarvan er één een CD-rom nadoet? Dan krijg je twee schijfletters, en staat autorun.inf op het CD-rom gedeelte.
Als het een U3 schijf is, kan je het cd-rom gedeelte verwijderen met U3 Launchpad uninstaller

Als het geen U3 schijf is, kan je misschien met een Ubuntu/andere linux Live-CD proberen de cd-rom partitie te verwijderen met gparted (of de live-cd van gparted zelf gebruiken).

Tip: maak eerst een backup van de rest van de schijf; het kan zijn dat het veranderen/verwijderen van partities ook iets met de rest van de stick doet....

[ Voor 13% gewijzigd door gwystyl op 22-11-2010 21:27 ]

maandag 22 november 2010 21:27

Acties:

D4NG3R

kiwi

:)

Gebruik mbam en forceer daar het verwijderen van het bestand?

Gewoon D:/autorun.inf (Vervang D door de drive letter)

Wat doet die autorun? Hij start een programmatje wat je PC infecteerd, en daarna weer een nieuwe autorun,inf aanmaakt

Komt d'r in, dan kö-j d’r oet kieken

maandag 22 november 2010 21:29

Acties:

JvW

On my way home...

Als de autorun.inf zichzelf terugplaatst dan moet het toch van de host-computer afkomen? Heb je daar iets gevonden met scans?

Waarom kun je niet formatteren?
* JvW duikt weg achter een bankstel...

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

maandag 22 november 2010 21:31

Acties:

D4NG3R

kiwi

:)

Doorzoek je temp map maar eens voor de gein

klinkt als hetzelfde virus wat ik 6 maanden geleden had..

Fix zonder een complete OS reinstall: In veilige modus met hitmanpro3.5 scannen, alles laten verwijderen & daarna Mbam laten scannen, en alles wat die vind verwijderen.

Doe dit op elke user account (behalve gast/guest) en je bet dr vanaf.

Komt d'r in, dan kö-j d’r oet kieken

maandag 22 november 2010 21:31

Acties:

stfn345

Zoek eens op een Conficker clean tool: 10 tegen 1 dat het dan weg is

maandag 22 november 2010 22:09

Acties:

Obiter dictum

Zwart, geen suiker.

Topicstarter

D4NG3R schreef op maandag 22 november 2010 @ 21:27:
Gebruik mbam en forceer daar het verwijderen van het bestand?

Gewoon D:/autorun.inf (Vervang D door de drive letter)

Wat doet die autorun? Hij start een programmatje wat je PC infecteerd, en daarna weer een nieuwe autorun,inf aanmaakt

Ik heb het bestand al geforceerd te verwijderen door hem te veranderen in een zelfgeschreven autorun.inf, maar hij plaatst zichzelf terug. Wat hij doet is me volledig onbekend, vandaar dat ik hem graag in een teksteditor zou willen openen. Een virusscan op de PC geeft inderdaad een terugkerend probleem in system32.exe op XP, deze zou een trojandropper bevatten. Deze is echter in quarantaine gezet in veilige modus, en sindsdien ook niet meer teruggekomen terwijl de autorun.inf wél terugkeert.

Overigens is het een stick met één partitie.

Conficker zal ik morgen proberen in veilige modus, Hitman heb ik een hekel aan dus dat wordt hem niet.

D4NG3R schreef op maandag 22 november 2010 @ 21:31:
Doorzoek je temp map maar eens voor de gein klinkt als hetzelfde virus wat ik 6 maanden geleden had..

Enig idee waar ik op mag gaan zoeken?

Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!

maandag 22 november 2010 22:11

Acties:

Rolfie

Al gewoon eens gekeken met een dos box?

maandag 22 november 2010 22:16

Acties:

Obiter dictum

Zwart, geen suiker.

Topicstarter

Rolfie schreef op maandag 22 november 2010 @ 22:11:
Al gewoon eens gekeken met een dos box?

Nope, en ik zal je heel eerlijk bekennen dat de enige dosbox die ik ken gebruikt wordt voor het spelen van 10 jaar oude spelletjes

Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!

maandag 22 november 2010 22:18

Acties:

Verwijderd

Ik heb dit ook een keer meegemaakt, en het is me ook echt alleen met Ubuntu gelukt. De rest had geen baat, maar ubuntu vond het bestandje en kon ik dus ook verwijderen, en daarna gewoon netjes formatteren.