Das deutsche QBasic- und FreeBASIC-Forum

[-schumi-]

hallo zusammen!

Ich hab einen usb stick mit 512 mb speicher.
das problem:
immer wenn ich den stick einstecke (der stick ist ein werbegeschenk ) macht sich ein vollbildfenster auf , das mir dann eine bildpräsentation zeigt (über das was die firma macht ).
ich kann das ganze zwar mit einem "exit"-button beenden, aber mir geht mächtig viel speicherplatz auf dem stick verlohren und es nervt eben wenn man das ganze schon x mal gesehen hat...

ich hab mir die sache mal angeguckt und folgendes gefunden:

der nutzbaren speicher befindet sich im massenspeicherlaufwerk K:
ausserdem kriege ich ein vorgegaugeltes cd-rom laufwerk ( J: ) auf dem sich die bilder, das programm das die bilder anzeigt sowie eine autostart-datei befinden... und das ganze natürlich schreibgeschützt !
ich kann weder den *BEEP* rauslöschen noch die autostartdatei verändern

ich hab das ganze schon gegoogelt, aber da kahm xmillionen mal immer sowas:
"mein usb-stick is schreibgeschützt, was mach ich da?"
"musst den schalter für schreibschutz ausschalten"
"hab keinen schalter"
"musst du formatieren"
"fuzt nicht"
"brauchst du *blablabla* - programm"
"toll, hat geklappt!"

was nicht funzt:
- in papierkorb verschieben ([Entf]-taste, drag&drop, rechtsklick-löschen, usw.)
- "kill" befehl in
|- freebasic -> keine fehlermeldung, datei immer noch da
|- quickbasic -> meldung: "Datei- /Pfad- Zugriffsfehler"
(ich kann mit basic aber auf stick zugreifen)

[Sebastian]

Hallo,

das liest sich ja fast so, als hätte dir der USB-Stick automatisch per Autorun-Funktion eine Software inkl. Treiber installiert, die dieses virtuelle CD-Laufwerk mountet und vielleicht sogar Zugriffe auf Bereiche des Stickdateisystems unterbindet - wie bei gewissen Kopierschutzrootkits.
In dem Fall würde ich zuerst eine Systemwiederherstellung machen, die den Zustand vor dem ersten Einstecken des Sticks wiederherstellt. Anschließend würde ich von einer Linux-Live-CD booten und versuchen, den Stick unter Linux zu leeren. Eine virulente Autorun-Funktion dürfte da kein Problem darstellen.

Viele Grüße!
Sebastian
_________________

Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen!

[The_Muh]

Sollte dir der Stick auch unter linux ein CD-laufwerk vorgaukeln, dann erkundige dich bei google mal nach usb modeswitch. Damit müsstest du das theoretisch unterbinden können... allerdings würd ich vorher noch ein einfaches Unmounten + bearbeitung via gparted / testdisk / fdisk ausprobieren.
_________________
// nicht mehr aktiv //

[-schumi-]

@Sebastian
Die Systemwiderherstellung braucht es nicht, denn sobald ich den stick rausziehe verschwindet das cd-rom laufwerk wieder - als währe es niemals dagewesen.

@The-Muh
den usb-modeswitch hab ich mir noch nicht geholt (downloadzeit 40-45 min. )


Zu linux: ich hab mal live mit ubuntu gestartet -> wieder ein cd-rom laufwerk das nicht existiert, genaugenommen genau das gleiche wie unter winxp...
mit löschen der dateien hats nicht funktioniert (meldung: "Read-only file system")

ich hab auch "format" und "erase" mit command.com probiert, verweigert mir aber den zugriff

ps. mit command.com hab ich noch rausgefunden, dass das dateisystem auf dem cd-rom laufwerkt "RAW" ist

[Sebastian]

[Jojo]

[dreael]

Solche USB-Sticks stellen eine der wirksamsten Informatik-Waffen gegen Microsoft-Umgebungen dar, die es zur Zeit gibt. Vom Penetrationstesting ist mir eine nur allzu erschreckend hohe Erfolgsquote bekannt, daher wundern mich inzwischen Zeitungsschlagzeilen, wo ein Staat Datendiebstahl auf einer ausländischen Bank zwecks Aufdeckung von Steuerhinterziehungsfällen begeht, schon lange nicht mehr! Verteilung als Werbegeschenk stellt natürlich immer perfektes Social Engineering dar!

Zum Glück gibt es auch Gegenmittel:

http://support.microsoft.com/kb/126025
http://support.microsoft.com/kb/967715
http://en.wikipedia.org/wiki/AutoRun#Auto_Insert_Notification

Diese sollte meiner Meinung nach jeder Sysadmin in seine Unattended Setups von Windows-Arbeitsplatzrechnern standardmässig implementieren!
_________________
Teste die PC-Sicherheit mit www.sec-check.net

[isiprimax]

Ich denke da ist keine Software im Spiel. Das ist eine Hardware MOD. Wird wohl ein Bereich Read only sein als 2te Partition, die sich als CD-Rom ausgibt.

Ausserdem kann man Autorun abschalten soweit ich weiss mit Shift gedrückt halten. Ausserdem findet Linux ja auch ein CD-Rom Laufwerk. Also denke ich an keinen Rootkit.

Wäre vllt interessant zu erfahren was für ein USB Stick das ist. Marke, Produktname, Nummern. Notfalls mal Gehäuse öffnen und mal auf der kleinen Platine nachschauen.

[OneCypher]

das ist kein rootkit und soweit ich das beurteilen kann, auch keine schreibgeschützte partition. ich hab hier was ganz ähnliches: hab einen surfstick von o2. da ist ein umts/gprs-modem drin. steckt man diesen stick in einen windows rechner, erkennt windows ein usb-cd-rom und startet dann natürlich den autostart. in diesem fall werden die treiber und anwendersoftware fürs umts/grps-modem installiert.

genauer betrachtet, sieht man auch unter linux, das es sich um einen dedizierten usb-chip handeln muss, der sich als usb-cdrom ausgibt. von daher wird man ihn nicht deaktiveren oder umschreiben können. nachträglich lässt sich das gerät natürlich im windows-gerätemanager deaktiveren. oder einfach die autoplay-funktion deaktiveren...

ich fänds toll, wenn man sein eigenes virtuelles usb-cdrom erstellen könnte. das wäre für viele admins ein traum. einfach usbstick kurz am pc einstecken und schon läuft ein patch/update/änderungen per autostart ...

das thema war mir schon seit längerem bekannt und ich war sehr neugierig. leider ist mir noch keine möglichkeit unter die augen gekommen wie man an den daten-bereich des dedizierten usb-cdroms in einem usbstick kommen kann

[OneCypher]

laut der aktuellen C't heisst dieses feature "ZeroCD"

[Jojo]

[Sebastian]

[OffTopic]

[Lutz Ifer]

[Stephan]

ein ähnliches problem hatte ich auch einmal mit einem USB Stick.
Das lag daran, das er wirklich eine blödsinnige software installierte,
und außerdem (wie auch schon erwähnt) in 2 Partitionen unterteilt war.

Da man mit Windows eigenen mitteln nicht so einfach an die beiden Partitionen kommt,
half mit das tools HPUSBFW.EXE.
Dies ist ein USB Formatierungs programm der firma HP,
was es ganz einfach als Download gibt.
Damit konnte ich den kompletten USB Stick Formatieren und ihn Freiräumen.

Vielleicht hilft dir das ja weiter.
_________________
'Wir schätzen die Zeit erst, wenn uns nicht mehr viel davon geblieben ist.'
Leo Tolstoi

[-schumi-]

@Stephan
Ich hab mir das Programm mal runtergeladen, folgender Verlauf:
- USB-Stick rein
- Autostart öffnet sich - weg damit
- HPUSBFW.EXE starten
- Das Programm erkennt nur den Stick K: *grummel/nachdenk*
- K: zum formatieren auswählen (FAT)
- hängt sich am ende auf *fluch*
- im windowsexplorer stick angewählt (CD-ROM ist immer noch da)
- Meldung: "Stick nicht formatiert, kann nicht verwendet werden. Jetzt formatieren? J / N"
- J gewählt
- K: ist leer - CD-ROM immer noch da


Weil es einige Vorschläge gab mit dem Autorun abschalten:
Das nervige Fenster ist dann natürlich weg (wenn auch nur auf meinem pc)
aber die 25 Bilder 1280*1024 fressen nätürlich irrsinnig viel speicher...

Des weiteren:
die bilder und der inhalt auf den ich zugreifen kann müssen auf dem selben chip gespeichert sein (eigenschaften von K: sagen weit weniger als 512 mb, das ist also für die bilder draufgegangen..)

weil oben der wunsch geäußert wurde, ich sollte doch mal angaben zum stick machen: (alles was ich irgendwie entziffern konnte)
Es sind 2 chips drauf:
Nr. 1:(der kleinere)

Chipsbank
CBM2080
B54783-166

Nr. 2 (der größere)
Das Teil wurde festgeklebt, deßhalb ist da nur noch ein halber zettel drauf:
Der zettel sieht aus wie dir runden aufkleber am nummernschild vom auto vom tüv
soweit ich das entziffern kann soll das bedeuten:
XX.12.2006 'wahrscheinlich das herstellungsdatum

auf der platine befinden sich nur neben ein paar bauteilen die bezeichnungen (z.B. R8 neben einem widerstand)

das einzige was ich noch sagen kann ist, dass der stick von ANKER ist, einem führenden teppichhersteller...

[dreael]

Bei U3-USB-Sticks stellen die Hersteller in der Regel ebenfalls Utilities zur Verfügung, mit denen man das emulierte CD-ROM vollständig entfernen kann, so dass sich der U3-Stick danach wieder wie ein gewöhnlicher USB-Stick ohne U3-Technologie verhält.

Das simulierte CD-ROM ist in der Regel Read-Only und kann deshalb nicht mit Windows-Bordmitteln formatiert/verändert werden. Allerdings mit gewissen Tricks lassen sich auch dort frei wählbare Inhalte aufspielen. Details sind jedoch ein Geschäftsgeheimnis zwischen Partnerfirma und mir, weil wir auf diesem Weg unsere "Marssonden" für einen Penetrationstest jeweils vorbereiten können. Dabei bekommt übrigens jeder Stick sogar eine individuelle Serienummer "eingraviert", so dass bei einer vom Auftraggeber gewünschten Zustellung (erfolgt übrigens immer per eingeschriebener Postsendung an den Auftragsgeber, in der Regel immer oberste Geschäftsleitung/Direktion einer Firma, die ihre IT-Sicherheit prüfen lassen möchte) genau verfolgt werden kann, welcher Stick nun bei einem Opfer-PC eingesteckt wurde und natürlich auch, welche Sticks uns nach Abschluss eines Tests retourniert wurden. Dies ist auch wichtig, wenn mehrere voneinander unabhängige Aufträge parallel laufen, denn unsere Gegenstation sortiert die Messdaten entsprechend.
_________________
Teste die PC-Sicherheit mit www.sec-check.net

[-schumi-]

erst
dann
und dann +

[Stephan]

uff..scheint ja wirklich ein größeres problem zu sein.
Bei mir hat das HP tool damals wirklich geholfen.

Kannst du vielleicht irgendwie mit der Windows Datenträger Verwaltung oder mit Partition Magic (oder ähnlichen Tools)
die Partition einfach löschen ??

Irgendwie muss das doch gehen.
_________________
'Wir schätzen die Zeit erst, wenn uns nicht mehr viel davon geblieben ist.'
Leo Tolstoi

[dreael]