Infekcja z pamięci przenośnej - Tworzenie folderu Recycler

[osada88]

Witam,

z uczelnianego ksero na pendriv'e przyplątało mi się coś dziwnego co tworzy na każdej pamięci przenośnej podłączonej do komputera folder recycler. A ze wszystkich plików znajdujących się na pamięci tworzy skróty i po usunięciu folderu recycler dostęp do plików znajdujących się na pamięci jest niemożliwy. Dodatkowo to "cos" dostało się na mojego kompa i zaraża każdą podłączoną pamięć. Eset nod32 nic nie wykrywa ani na komputerze ani na pamięci przenośnej.

 

Był wykonany skan combofixem ponieważ na innym forum znalazłem podobny temat i taką odpowiedź dali. Niestety nic nie pomogło.

Logi w załącznikach.

ComboFix2.txt

Extras.Txt

OTL.Txt

[picasso]

Był wykonany skan combofixem ponieważ na innym forum znalazłem podobny temat i taką odpowiedź dali. Niestety nic nie pomogło.

 

Na przyszłość, dlaczego to nie jest dobry pomysł używać ComboFix w ciemno: KLIK. Nigdy się nie uruchamia tego programu bez wstępnego sprawdzenia systemu w sposób nieinwazyjny. Z jego uruchomienia nic specjalnego nie wynikło, jeden skasowany plik, nie powiązany z problemem głównym.

 

 

Za to nie podałeś całego obowiązkowego zestawu logów. W skład wchodzi GMER. System nawet nie przygotowany do uruchomienia GMER, tzn. nie wykonane instrukcje KLIK, działa sterownik SPTD od emulatora:

 

DRV - [2011-04-01 13:09:50 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Oczekuję, że wymontujesz SPTD narzędziem SPTDinst + restart systemu i dostarczysz log z GMER. Są tu bowiem znaki w ComboFix, że działa ukryty metodą rootkit wpis startowy Jvbubd.exe. Tenże jest charakterystyczny dla kompletnie niezabezpieczonych systemów, a z takim tu mamy niestety do czynienia:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)

 

Katastrofalne sito. Nie zajedziesz daleko na SP2, to jest rok 2004, brak SP3 i wszystkich innych łat wydanych po (sporo tego będzie). System jest też odcięty od pobierania krytycznych łat (MS zablokował barachła poniżej progu SP3), a jedną z nich jest łata na infekcję LNK, ta z którą tu mamy do czynienia:

 

 

z uczelnianego ksero na pendriv'e przyplątało mi się coś dziwnego co tworzy na każdej pamięci przenośnej podłączonej do komputera folder recycler. A ze wszystkich plików znajdujących się na pamięci tworzy skróty i po usunięciu folderu recycler dostęp do plików znajdujących się na pamięci jest niemożliwy.

 

Przy podpiętych urządzeniach (tyle ile wejdzie na raz) zrób log z USBFix z opcji Listing (nie pomyl tego z opcją "Research").

 

Sumarycznie oczekuję dwóch logów: zaległy GMER + USBFix.

 

 

.

[osada88]

aktualizacje posciagalem i poinstalowalem. w zalaczniku znajduja sie brakujace logi

GMER.txt

UsbFix.txt

[picasso]

W GMER nie widać wpisu, który notował ComboFix:

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer
Rootkit scan 2011-12-18 15:13
.
**************************************************************************
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jvbubd"="c:\\Documents and Settings\\Admin\\Dane aplikacji\\Jvbubd.exe"

 

W USBFix nie widać obiektów infekcji LNK (skróty tworzone na podstawie obiektów zlokalizowanych na urządzeniu), są tylko katalogi Koszy (RECYCLER) o nieznanej zawartości i prewencyjnie można je przez SHIFT+DEL skasować z wszystkich dysków:

 

[18/12/2011 - 22:07:30 | SHD ]	 C:\RECYCLER
[09/05/2010 - 09:58:19 | D ]	 D:\RECYCLER
[09/05/2010 - 09:58:19 | D ]	 E:\RECYCLER
[18/12/2011 - 22:02:06 | HD ]	 F:\RECYCLER

 

Ustalmy co tu się wydarzyło, bo wygląda na to, że system został tu już czymś przeczyszczony.

 

 

aktualizacje posciagalem i poinstalowalem

 

Status odnotowany w USBFix:

 

OS: Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 3
WB: Windows Internet Explorer 7.0.5730.11

 

Internet Explorer także musi być aktualizowany i to niezależnie od tego czy jest w ogóle używany. Zbyt silna integracja z systemem, Windows i tak używa tego silnika przy pewnych funkcjach, a programy zewnętrzne mogą się doń odwoływać.

 

 

 

 

.

[osada88]

IE wlasnie aktualizuje a co do tych folderow to pokasowalem je juz recznie a przed skanem usbfix pendrive zostal sformatowany. Nie wiem czemu ale po instalacji nowego ESETA i zaktualizowaniu systemu wszystko wrocilo do normy. Skroty juz nie powstaja na dyskach przenosnych. Innych niepozadanych objawow nie zauwazylem.

[picasso]

Nie wiem czemu ale po instalacji nowego ESETA i zaktualizowaniu systemu wszystko wrocilo do normy. Skroty juz nie powstaja na dyskach przenosnych.

 

Niebagatelną rolę miała aktualizacja Windows, w skład aktualizacji wchodzi zabezpieczenie przed wykonaniem LNK. Zakładam, że lokalny ESET nie znajduje żadnych zagrożeń. Niemniej pierwszy log z OTL był "posażny" w obiekty infekcji oraz adware (paski sponsoringowe / rekonfiguracje na startsear.ch z winy wątpliwego vShare) i nie wiem jaka jest sytuacja aktualna, czy na pewno wszystko zostało skorygowane.

 

1. Z obiektami sponsoringowymi nic zapewne nie robiłeś. Toteż odinstaluj przez Dodaj / Usuń (opcjonalnie możesz wyrzucić i wszystko od Yahoo czy Google):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Ask Toolbar_is1" = Ask Toolbar
"MegauploadToolbar" = Megaupload Toolbar
"vShare" = vShare Plugin
"vShare.tv plugin" = vShare.tv plugin 1.3

 

Plus w opcjach Google Chrome w zarządzaniu wyszukiwarkami przestaw domyślne Web Search na np. Google, po tym Web Search usuń.

 

2. Wygeneruj nowy log z OTL opcją Skanuj oraz dorzuć log z AD-Remover z opcji Scan.

 

 

 

 

.

Edytowane 13 Lutego 2012 przez picasso
13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso