Страница 1 из 1

Блокировка флешки

Добавлено: 12 апр 2010, 14:33
Spitfire
Всем привет!

Такой вопрос! У клиента стоит банк-клиент Сбера. Когда приходил спец из банка и создавал ключи доступа, на флеху залился вирус, Avast его идентифицирует как Autorun-am [Wrm].
Из за этой хни клиент не может конектится с банком.

Удаление файла autorun.inf а так же его лечение Авастом, Нодом не проходит, так как пишет что диск защищен от записи.

Есть соображения, но не знаю подействуют ли:
Попробовать грохнуть обычным антивирусом в безопасном режиме.
Попробовать грохнуть вирусяку через LiveCD Dr.Web или через LiveCD Zillye.
Попробовать инфицировать флеху с помощью PANDAUSB Vaсcine -которая могет быть перезапишет autorun.inf (маловероятно)
Попробовать запустить AVZ (нужных скриптов нет)
И накрайняк попробовать форматнуть HPUSBDisk (но пока не знаю на сколько ключ Сбера после этого будет корректно работать с файлами перезалитыми с харда)

Резюме: как удалить вирус и сделать флешку читаемой (или наоборот)

Производителя флешки можно идентифицировать только вскрыв корпус флехи, что крайне не желательно.
Может кто сталкивался с подобной проблемой.

Советы типа: попробуйте, приветствуются только как АП)

Re: Блокировка флешки

Добавлено: 12 апр 2010, 14:45
legens
В безопасном режиме должно сработать, а вообще у меня такие вещи спокойно с помощью Cureit от DrWEb удалялись. В крайнем случае с помощью любого LifeCD должно удалиться влет. Вот тебе скрипт для AVZ для удаления авторанов, посмотри, может быть допишешь туда путь к флешке или букву нужную для флешки пропишешь, если она по другому определится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\d6fagcs8.cmd','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\d6fagcs8.cmd');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\d6fagcs8.cmd');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\d6fagcs8.cmd');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Re: Блокировка флешки

Добавлено: 12 апр 2010, 14:47
legens
А вообще проверь права доступа к флешке, может быть парень из сбера поставил Все папки на флешке только для чтения...

Re: Блокировка флешки

Добавлено: 12 апр 2010, 14:57
Spitfire
legens, скрипт попробую.

В общем, надо пробовать

Re: Блокировка флешки

Добавлено: 13 апр 2010, 11:05
ZindigaR
Spitfire писал(а):Всем привет!
И накрайняк попробовать форматнуть HPUSBDisk (но пока не знаю на сколько ключ Сбера после этого будет корректно работать с файлами перезалитыми с харда)
А просто скопировать файлы ключевые на другую флешку и с нее работать?
Если сбер ставил BSS и криптопро, то все должно работать.

Re: Блокировка флешки

Добавлено: 13 апр 2010, 13:05
Spitfire
ZindigaR писал(а):
Spitfire писал(а):Всем привет!
И накрайняк попробовать форматнуть HPUSBDisk (но пока не знаю на сколько ключ Сбера после этого будет корректно работать с файлами перезалитыми с харда)
А просто скопировать файлы ключевые на другую флешку и с нее работать?
Если сбер ставил BSS и криптопро, то все должно работать.

Еще не был у клиента, но этот вариант рассматривал),однако может быть какая то привязка ID флешки к ключам, хотя не уверен.
Даже если и заработает, то с флешкой все равно что то нужно будет делать.

Re: Блокировка флешки

Добавлено: 13 апр 2010, 13:57
vitek36
может быть какая то привязка ID флешки к ключам
Я такого пока не встречал у банк-клиентов.
Даже если и заработает, то с флешкой все равно что то нужно будет делать.
Отформатировать, перекинуть ключи обратно и работать дальше.

Re: Блокировка флешки

Добавлено: 14 апр 2010, 12:06
Spitfire
vitek36 писал(а):
может быть какая то привязка ID флешки к ключам
Я такого пока не встречал у банк-клиентов.
Даже если и заработает, то с флешкой все равно что то нужно будет делать.
Отформатировать, перекинуть ключи обратно и работать дальше.
Так в том то вся и штука, что влешка может быть только Read. Остальные действия, такие как запись и форматирование не доступны из за вирусяки.
Может сегодня буду у клиента попробую ковырнуть.

Re: Блокировка флешки

Добавлено: 14 апр 2010, 12:29
R717
А если ее сунуть в ось отличную от windows? Или это не в тему.

Re: Блокировка флешки

Добавлено: 14 апр 2010, 21:30
Spitfire
У меня мандрива стоит, третьей системой, однако заказчик вряд ли даст ключ на дом)

Re: Блокировка флешки

Добавлено: 14 апр 2010, 23:20
R717
А если live дистр типа slax'а грузануть с другой флешки и подрубить заблокированную?

Re: Блокировка флешки

Добавлено: 15 апр 2010, 08:54
Spitfire
Гениально :good: сам не дотумкал

Re: Блокировка флешки

Добавлено: 15 апр 2010, 13:26
ZindigaR
Live загрузочников в каком только виде нету ... и виндусы и линуксы и флешки многие из них без проблем видят.

Re: Блокировка флешки

Добавлено: 15 апр 2010, 16:39
Spitfire
Хо-хо! Господа!
Вся штука в том, что действительно флеша по умолчанию в банк-клиенте (сбер) исключительно READ для простых авторизованных пользователей, однако стоит зайти в б-клиент как админ, вуаля.

Подчистил подправил. Оказалось на месте все проще, чем удаленно.

З.Ы. Клиенту говорю ну вот, все в порядке можете теперь спокойно кидать платежки в банк, вирус и его продукты жизнедеятельности) удалены, теперь ничто не сможет препятствовать корректной работе б.-клиента. А он и отвечает, да вообще то и так работало нормально, но только уж было очень страшно, что антивирус ругается :rolleyes: ..


Вот такая вот история...
Спасибо за идеи!