virus [RESOLVIDO]

1. virus [RESOLVIDO]

charles fábio kiefer
xibo

(usa Ubuntu)

Enviado em 17/12/2013 - 15:23h

Boa tarde...ontem eu abri um post com o mesmo nome, sobre um arquivo autorun.inf que eu não conseguia excluir, tive que criar outra pasta publico pros usuarios do windows achando que tinha resolvido o problema, mas ele voltou hoje.
editei o arquivo como autorun.info e copiei o que ta escrito nele:

[AutoRun]

;frNpu VceffbKQDidsKq PedliDrKd ipghvH ocbC

;abdYtl
SHELl\explORE\COmmand = qvrhkd.exe
;xlxowEbEghMYe QbovsgKwt fIfo Rgulyu XxoVnymDel
shELl\Open\DEFaUlT=1

;YiVyoogmoGP cQmMdF
shelL\Open\COmmaND= qvrhkd.exe

;LyjvqTUiEs
open = qvrhkd.exe

;yUSmpV DAXqui XGCMPxsHN SJTLyvnRsKd pULTfYoqeqDanbVmCBPDVJMus
sHeLl\AuTOPlAY\Command = qvrhkd.exe


ele fica criando esses arquivos .exe com varios nomes e eu excluo o arquivo autorun.inf e ele volta de novo.
alguem tem alguma ideia do que devo fazer?

PS. as permissões estão pro nobody e nogroup não consigo alterar a permissão para excluir.

valeu



  


2. Re: virus [RESOLVIDO]

anna kamilla
annakamilla

(usa Manjaro Linux)

Enviado em 17/12/2013 - 15:59h

isso ai é virus de pendrive. vira e mexe eu estou deletando ele no meu note.


vai como root e remove ele que está dentro da pasta.


3. Re: virus [RESOLVIDO]

charles fábio kiefer
xibo

(usa Ubuntu)

Enviado em 17/12/2013 - 16:03h

annakamilla escreveu:

isso ai é virus de pendrive. vira e mexe eu estou deletando ele no meu note.


vai como root e remove ele que está dentro da pasta.


não adianta, ele volta sozinho...o unico jeito que eu achei e deu certo foi colocar no smb.conf o

veto files = /*.inf/*.pif/


excluiu os arquivos na hora e sumiu com eles....coloquei pra localizar e nada....ja era
depois de 2 dias a solução era simples e fácil.
valeu pela ajuda.

ps. espero que não volte...kkkkk


4. gparted

Rafael Poletto
polettin

(usa Debian)

Enviado em 23/12/2013 - 22:52h

instala o gparted e reciar a partição


5. Re: virus [RESOLVIDO]

ian cléver sales fernandes
ianclever

(usa Arch Linux)

Enviado em 23/12/2013 - 23:32h

1) - essa pasta está com permissões 777 certo? é uma pasta compartilhada do samba, certo?

para o windows, isso é um computador com windows compartilhando uma pasta na rede.

2) - vc deleta o arquivo e ele some do computador na hora sim?

3) - alguns dias depois esse mesmo arquivo aparece, ou mesmo horas depois, sim?


4) - nos processos em execução , vc viu se tem algum processo estranho sendo executado? caso positivo, por qual usuário e por onde?


caso seja sim para as 3 primeiras perguntas e não para a ultima, é quase certo que o problema não está aí mas sim em um do computadores com windows que está com script malicioso criando esse arquivo nojento em pendrives e pastas compartilhadas, isso não afeta seu linux, mas se propaga pelos windows.

se sua rede for grande vc terá um grande trabalho pela frente mas, só assim vai resolver.

para descobrir é relativamente fácil, pegue um pendrive(limpo, sem nada), e espete em um dos computadores, depois bote no linux e veja se criou o .inf(um notebook será bem vindo nessa hora), se sim formate o pendrive, o mesmo em todos os outros computadores(mesmo que ache em um terá que fazer em todos para ver se não tem outro com os mesmos sinais), achou o que está criando o bendito, aí vem a parte de achar o danado(nessa hora é bom ter o nome do exe que estava na pasta compartilhada, é o mesmo nome do vírus que estará no pc hospedeiro) que está gerando isso(ou formatar ou a técnica que vc preferir) deletar do computador(es), deletar do seu servidor, e esperar por um tempo para saber se vai criar de novo.

agora caso queira só evitar a infecção(do windows) vc tem que ver se o arquivo não é sobrescrito(como eu imagino que não seja), para isso vc deleta o "vírus" da tua pasta compartilhada e espera ele criar de novo, quando criar novamente vc cria um arquivo(s) vazio(s) como o mesmo nome e extensão, veja e anote a data de criação deles com:
ls --full-time|grep nome arquivo.extensao 

, aí remove os "vírus" que estão na pasta compartilhada, e copia esses arquivos em branco para lá, espere passar mais ou menos uma semana(ou mais, melhor faça periodicamente), entre na pasta compartilhada e liste os arquivos em branco com o comando:
ls --full-time|grep nome arquivo.extensao 

e compare a hora e data de criação com a data anotada, se forem diferentes é ruim pq o vírus sobrescreve o arquivo e vc terá que caçá-lo pc por pc, senão ótimo, ele não sobrescreve é só manter esses arquivos lá que não haverá mais infecção(de windows), pelo menos não via pasta compartilhada.







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts