autorun setup information

ajgor · 08.03.2010. u 21:58

Ovo gore navedeno mi se non stop pojavljuje na flash memoriji, koju inace koristim i koja sadrzi vazne podatke. Ortak mi kaze da je to virus ali mi ga av ne detektuje.
Inace, imam nod 32 koji je apdejtovan svaki dan tako da me to zbunjuje.
Konkretne posledice zbog tog nemam ali me interesuje dal je to neka stetocina ili ne.

Inace, taj isti autorun ne mogu da izbrisem niti da formatiram flash

Unapred hvala...

toske1 · 08.03.2010. u 22:14

Imas crva na kompu koji prelazi sa flasha na komp i obrnuto. Znaci prvo moras da ocistis racunar, pa onda flash.

http://download.bleepingcomputer.com/sUBs/dds.scr

Kad skines ovaj program, pokreni ga i sacekaj. Kad izbaci logove, iskopiraj mi DDS.txt log.

niceboy · 08.03.2010. u 22:39

Kaspersky ovo brise.

toske1 · 09.03.2010. u 09:28

niceboy:
Kaspersky ovo brise.

Sta brise, ne znamo o kakvom se malware-u radi. To sto ima autorun.inf, to je samo okidac, a o cemu se radi moze da se vidi samo iz loga.

Qurajber · 09.03.2010. u 10:58

ajgor:
Ovo gore navedeno mi se non stop pojavljuje na flash memoriji, koju inace koristim i koja sadrzi vazne podatke. Ortak mi kaze da je to virus ali mi ga av ne detektuje.
Inace, imam nod 32 koji je apdejtovan svaki dan tako da me to zbunjuje.
Konkretne posledice zbog tog nemam ali me interesuje dal je to neka stetocina ili ne.

Inace, taj isti autorun ne mogu da izbrisem niti da formatiram flash

Unapred hvala...

Koristiš li možda USB Disk Security ili Panda USB Vaccine??? Ako njih koristiš to su fajlovi koji su oni zalijepili i samo format ih uklonoti može. Ako ih ne koristiš, počni ih koristiti.

sttasa · 29.03.2010. u 13:10

Imam isti problem, evo DDS loga:

DDS (Ver_10-03-17.01) - NTFSx86
Run by x at 13:03:58,28 on pon 29.03.2010
Internet Explorer: 6.0.2900.2180
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.503.267 [GMT 2:00]

AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\x\My Documents\Downloads\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.ba/
mWinlogon: Userinit=c:\windows\system32\userinit.exe
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\progra~1\micros~2\office12\GRA8E1~1.DLL
BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.1.1309.3572\swg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [Broadcom Wireless Manager UI] c:\windows\system32\WLTRAY.exe
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [<NO NAME>]
mRun: [egui] "c:\program files\eset\eset nod32 antivirus\egui.exe" /hide /waitservice
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRunOnce: [RunNarrator] Narrator.exe
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\progra~1\micros~2\office12\GR99D3~1.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\progra~1\micros~2\office12\GRA8E1~1.DLL

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\x\applic~1\mozilla\firefox\profiles\eg2nlwjz.default\
FF - plugin: c:\documents and settings\all users\application data\id software\quakelive\npquakezero.dll
FF - plugin: c:\documents and settings\x\local settings\application data\google\update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\google updater\2.4.1591.6512\npCIDetect13.dll
FF - plugin: c:\program files\google\update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\google\update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdjvu.dll

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\mozilla firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

============= SERVICES / DRIVERS ===============

R0 MPRIFL;MPRIFL;c:\windows\system32\drivers\mprifl.sys [2009-8-17 17264]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-5-14 107256]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-5-14 94360]
R2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files\common files\abbyy\finereader\10.00\licensing\pe\NetworkLicenseServer.exe [2009-9-29 809736]
R2 ekrn;ESET Service;c:\program files\eset\eset nod32 antivirus\ekrn.exe [2009-5-14 731840]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2009-11-17 236368]
R3 FVDSCSI;FVDSCSI;c:\windows\system32\drivers\fvdscsi.sys [2008-6-20 72478]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2009-11-17 19160]

============== File Associations ===============

.reg=Regedit.Document

sttasa · 29.03.2010. u 13:11

=============== Created Last 30 ================

2010-03-28 18:40:50 0 d-----w- c:\docume~1\alluse~1\applic~1\Panda Security
2010-03-28 18:40:42 0 d-----w- c:\program files\Panda USB Vaccine
2010-03-19 20:56:05 0 d-----w- c:\program files\MySQL
2010-03-19 20:56:05 0 d-----w- c:\docume~1\alluse~1\applic~1\MySQL
2010-03-17 17:00:52 32592 ----a-w- c:\windows\system32\msonpmon.dll
2010-03-17 16:47:40 0 d-----w- c:\program files\Microsoft Visual Studio 8
2010-03-17 12:44:17 0 d-----w- c:\program files\MSECache

==================== Find3M ====================

2010-01-16 12:33:01 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2010-01-16 12:33:01 109080 ----a-w- c:\windows\system32\OpenAL32.dll

============= FINISH: 13:04:29,09 ===============

niceboy · 29.03.2010. u 14:54

Otvori usb preko total comandera, obrisi rucno autorun.inf fajl i sve "cudne" foldere, tipa recycler, recycle bin, sve one sto nisu tvoji.

sttasa · 29.03.2010. u 16:23

niceboy:
Otvori usb preko total comandera, obrisi rucno autorun.inf fajl i sve "cudne" foldere, tipa recycler, recycle bin, sve one sto nisu tvoji.

Ne moze Total Commander (7.5a verzija, nisam htio skidati 7.55 Beta..) obrisati Autorun.inf...

silovski · 29.03.2010. u 16:29

Formatiraj fleš i sve će biti obrisano

niceboy · 29.03.2010. u 18:12

sttasa:
Ne moze Total Commander (7.5a verzija, nisam htio skidati 7.55 Beta..) obrisati Autorun.inf...

Safe mode.

sttasa · 29.03.2010. u 18:17

Vec sam formatirao..obrisano je sve

Hvala obojici

niceboy · 29.03.2010. u 18:27

sttasa:
Vec sam formatirao..obrisano je sve Hvala obojici

Ebote,pa to si mogao odmah,bez da trazis pomoc.

sttasa · 29.03.2010. u 21:07

niceboy:
Ebote,pa to si mogao odmah,bez da trazis pomoc.

Hahahaha

Nisam to ni probavao zato sto sam na drugom forumu nasao lika koji je imao isti problem i kaze da nije mogao formatirati, pa sam pretpostavio da ni ja necu moci :mrgreen:

Probao sam na drugom USB-u, koji nisam formatirao, obrisati Autorun.inf preko Total Commandera u Safe Mode-u i nije moglo.. Bila su dva Autorun.inf fajl-a, i jedan je obrisao a drugi nije uspio..
Izadje prozorcic sa porukom "Cannot be deleted, please remove protect" tako nekako.. I imam opciju da obrisem kao Administrator al' treba neka sifra..?

niceboy · 29.03.2010. u 22:09

Mozda je taj bio vakcinisan, pa zato nisi mogao.

Rudjer · 30.03.2010. u 10:02

niceboy:
Mozda je taj bio vakcinisan, pa zato nisi mogao.

silovski · 30.03.2010. u 11:41

Rudjer:

http://research.pandasecurity.com/panda-usb-and-autorun-vaccine/

Rudjer · 30.03.2010. u 12:31

silovski:
http://research.pandasecurity.com/panda-usb-and-autorun-vaccine/

Znam, nego mi je bilo smjesno kako je to rekao!

gost 214015 · 30.03.2010. u 14:23

ZBOG OVAKVIH STVARI JA KORISTIM LINUX

sttasa · 30.03.2010. u 15:22

Drago nam je..
@niceboy
Sta ustvari vakcinacija USB-a znaci?

DeMikelis · 30.03.2010. u 16:32

Stefan Nozinic:
ZBOG OVAKVIH STVARI JA KORISTIM LINUX

А од кад то, леба ти?! Јел од пре неки дан?

niceboy · 30.03.2010. u 18:18

sttasa:
Drago nam je..
@niceboy
Sta ustvari vakcinacija USB-a znaci?

Najkrace, upravo da bi izbegao ovaj problem sa autorun-om, program za vakcinaciju kreira svoj autorun i onda malware ne moze da kreira svoj.

DeMikelis:
А од кад то, леба ти?! Јел од пре неки дан?

Mislim da ni on nije siguran sta koristi.

sttasa · 30.03.2010. u 18:25

niceboy:
Najkrace, upravo da bi izbegao ovaj problem sa autorun-om, program za vakcinaciju kreira svoj autorun i onda malware ne moze da kreira svoj.

Ahaaaa...

Hvala

gost 170502 · 30.09.2010. u 15:16

Ajde da aktiviram malo ovu temu jer imam slican problem.

Tj. desava mi se iste stvar, stalno mi se pojavljuje taj fajl autorun.inf fajl na USBu.

Formatiram ga, ali kada ubacim u komp desava se isto. Ponovo se "stvori"...

E a to se sve desava kod mene na poslu, gde koristim 2-3 razlicita kompa, pa je verovatno taj virus ili sta je vec usao u sva 3, da zlo bude vece 1 od njih je samo sa odredjene poslove, nije cak ni prikacen na net da ne bi zakacio nesto, ali sta vredi kada u njega prenosimo fajlove preko USBa...

Inace na svim (koji su na netu) kompovima koristimo Avast. A i kod kuce imam Avast, i cesto prebacujem neke fajlove pos'o-kuca USBom... :eek:

Pa mi je malo frka i zbog toga? Da li je vec kasno? To se desava vec par dana.

Kako najelegantnije da se resim problema... Nemam pojma sta da radim.

Ranije sam imao Kasperski (kod kuce) pa nisam bio prezadovoljan i odlucio sam se da koristim ove free antiviruse, mozda je sve to free njesra?

Ordinary Player · 30.09.2010. u 16:47

I meni se to non stop pojavljivalo ranije na fleshu,otkad koristim kombinaciju avast 5 + Malwarebytes toga vise nema,dzabe formatiranje flesha kada ga komp opet zarazi

autorun setup information

Obećava

Zainteresovan član

Elita

Zainteresovan član

Veoma poznat

Primećen član

Primećen član

Elita

Primećen član

Primećen član

Elita

Primećen član

Elita

Primećen član

Elita

Iskusan

Primećen član

Iskusan

Aktivan član

Primećen član

Ističe se

Elita

Primećen član

Veoma poznat

Iskusan