Infekcja na pendrive (Trojan MulDrop 4) i skrót pamięci flash zamiast folderów

[unfuku]

Witam,

 

Ostatnio korzystałem z wydruku w punkcie ksero i prawdopodobnie coś zagnieździło się na moim pedndrivie.

 

Po podpięciu pamięci flash do portu usb i kliknięciu w dysk zamiast plików znajdujacych się na pendrivie (u mnie dysk G) ukazuję się skrót o nazwie KINGSTON (1GB), element docelowy tego skrótu to %homedrive%\WINDOWS\System32\rundll32.exe 0~X.

 

Korzystałem z Dr.WEB CureIt! 8.0.9. i program na dysku G wykrył Trojan.MulDrop4.25343. Zastosowałem się do zalecenia napraw, klikam w dysk jest pusty ale po ponownym podpięciu problem powraca.

OTL.Txt

Extras.Txt

Gmer.txt

UsbFix Scan 1.txt

UsbFix Listing 1 .txt

[picasso]

Log z GMER zrobiłeś w złych warunkach, przy czynnym sterowniku SPTD emulacji napędów wirtualnych:

 

DRV - [2013-04-12 22:49:29 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Infekcję na dysku regeneruje ten wpis startowy:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 20160 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cciauui.com (Hause)

 

Infekcja na urządzeniu utworzyła fałszywy skrót LNK oraz folder "bez nazwy", ukryła go i tam przesunęła wszystkie pliki z urządzenia:

 

[16/06/2013 - 21:33:30 | SHD ] G:\ 

[16/06/2013 - 22:23:32 | A | 1446] G:\KINGSTON (1GB).lnk

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
attrib /d /s -s -h G:\* /C
attrib -s -h E:\Downloads /C
attrib -s -h E:\sys /C
G:\KINGSTON (1GB).lnk
G:\autorun.inf
G:\0~XUYUPVYAZ.xxc
G:\desktop.ini
G:\Thumbs.db
E:\Dysk lokalny (D).lnk
C:\lqlurj.gqe
C:\Documents and Settings\All Users\Dane aplikacji\ActiveSMART
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\FileOpen
C:\Documents and Settings\All Users\Dane aplikacji\GFI Software
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\LocalService\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\Hrabia\Dane aplikacji\FileOpen
C:\Documents and Settings\Hrabia\Dane aplikacji\HoolappForAndroid
C:\Documents and Settings\Hrabia\Dane aplikacji\ProgSense
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyOverride"=-
"ProxyServer"=-
 
:OTL
IE - HKLM\..\SearchScopes\{861B2270-6ABA-4533-8B6B-BFCC45E508D5}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=fdd809d6-12e0-11e1-87fc-00508dd3c178&q={searchTerms}
IE - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-21-1957994488-920026266-839522115-1004..\Run: [Hoolapp Android] "C:\DOCUME~1\Hrabia\DANEAP~1\HOOLAP~1\Hoolapp.exe" /Minimized File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 20160 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cciauui.com (Hause)
O16 - DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)
DRV - File not found [Kernel | System | Stopped] -- C:\windows\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Hrabia\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Jeśli skrypt do OTL prawidłowo się wykona, folder "bez nazwy" zostanie odkryty na urządzeniu. Wejdź na dysk G, z tego folderu przesuń wszystkie dane poziom wyżej a folder bez nazwy przez SHIFT+DEL skasuj.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

 

 

 

.

[unfuku]

Zrobione wedlug instrukcji, ale nie mogę dołączyć logu z usuwania OLT bo pojawia mi się komunikat, że nie mam uprawnień aby zamieścic plik tego typu. W takim razie napisze to co jest w pliku o naziwe 06172013_125410 ze ścieżki C:\_OLT\MovedFiles

 

Files\Folders moved on Reboot...

C:\Documents and Settings\All user\Local Settings\Temp\cciauui.com moved successfully.

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

 

Mam jeszcze raz zamieścić log z GMER?

OTL.Txt

UsbFix Listing 2 .txt

AdwCleanerS1.txt

[picasso]

Zrobione wedlug instrukcji, ale nie mogę dołączyć logu z usuwania OLT bo pojawia mi się komunikat, że nie mam uprawnień aby zamieścic plik tego typu.

Objaśnia to Pomoc forum (link na spodzie strony): załączniki nie akceptują innych formatów tekstowych niż *.TXT, a to jest *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku lub zapis do nowego pliku. Co do samej treści raportu, to nie jest komplety, nagrała się tylko część po restarcie.

 

Mam jeszcze raz zamieścić log z GMER?

Nie prosiłam o niego. Pierwszy ma wystarczający zakres danych.

 

Akcje wykonane. Poprawki i kończymy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
E:\Thumbs.db
G:\0~IX.xxc
G:\desktop.ini
 
:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Hrabia\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Sprawdź co jest w folderze E:\sys (nazwa nieco podejrzana). Poprzednio był ukryty, ściągałam z niego atrybuty.

 

3. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższy folder.

 

C:\Documents and Settings\Hrabia\Doctor Web

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.

[unfuku]

OTL zrobione,

w folderze E:\sys znajduje się plik magic.bin VLCmedia file (.bin),

USBFix, AdwCleaner, sprzątanie w OTL i skasowanie folderu zrobione,

foldery przywracania systemu wyczyszczone