Infekcja z pendrive - W32/VB.BU z pliku EXPLORER.exe

[ficias]

Witam,

 

Wczoraj dostałem od znajomej pendrive'a z paroma plikami. Niestety, nie spodziewałem się u niej infekcji i podpiąłem normalnie pen'a bez wyłączenia opcji autoodtwarzania. Okazało się, że był tam plik autorun.inf i explorer.exe, które oczywiście zainstalowały syf w kompie.

 

Pliki z pendrive'a usunąłem już przy pomocy Aviry, jednak w systemie nadal coś siedzi. Teraz przy włożeniu jakiegoś pendrive'a do USB tworzą się na nim pliki .exe w ilości takiej ile folderów jest na penie i o nazwie tych folderów, mają około 200kb i ikonkę katalogu.

Zlokalizowałem już winowajcę za pomocą raportu z OTL - w program files zainstalował się program podszywający się pod aktualizator Java (jusched.exe) i dodatkowo umieścił wpis w zaplanowanych zadaniach systemowych (C:\WINDOWS\tasks\Update23.job). Mógłbym go usunąć, jednak nie wiem czy jest to wszystko co ten syf umieścił w systemie, dlatego właśnie zakładam ten temat i proszę Was o przeanalizowanie logów i pomoc.

 

Pech chciał, że akurat system jest świeży i nie wyłączyłem autoodtwarzania na dyskach wymiennych. Instalowałem go w nocy z czwartku na piątek, co z resztą widać w logach i tym bardziej wkurzyłem się, że już jakiś syf się przypałętał. Dodam tylko, że tego feralnego pen'a podpiąłem w piątek jakoś po 22:00.

 

Pozdrawiam i z góry dziękuję za pomoc!

 

 

 

Dodatkowo dodałem jeszcze logi z Aviry, a niżej zamieszczam również wynik skanu z Security Check:

 

Results of screen317's Security Check version 0.99.31

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira Free Antivirus

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Java™ 6 Update 31

Adobe Reader X (10.1.2)

Mozilla Firefox (10.0.1)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

GMER.txt

AVSCAN-20120217-222058-CB33865E.txt

AVSCAN-20120217-222117-CF2F3443.txt

[picasso]

Potwierdzam to co zanotowałeś:

 

Zlokalizowałem już winowajcę za pomocą raportu z OTL - w program files zainstalował się program podszywający się pod aktualizator Java (jusched.exe) i dodatkowo umieścił wpis w zaplanowanych zadaniach systemowych (C:\WINDOWS\tasks\Update23.job). Mógłbym go usunąć, jednak nie wiem czy jest to wszystko co ten syf umieścił w systemie, dlatego właśnie zakładam ten temat i proszę Was o przeanalizowanie logów i pomoc.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\884c661f
C:\WINDOWS\tasks\Update23.job
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\884c661f\jusched.exe"=-
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przez Wykonaj skrypt. System zostanie zrestartowany i otworzy się raport.

 

2. Przedstaw do oceny: log z wynikami usuwania z punktu 1 oraz nowy log z OTL z opcji Skanuj. Nie potrzebuję jednak po raz drugi już tak rozbudowanego, czyli bez Extras i zaznacz Pomiń pliki Microsoftu.

 

 

 

.

[ficias]

Nie mogłem wcześniej więc dopiero teraz zrobiłem skrypt. Zamieszczam wyniki.

 

EDIT: Ahaa, usunąłem też przy okazji zawartość folderu Prefetch, bo tam były skróty do tych zainfekowanych plików. Wątpię, żeby z tego mogły jakoś się odtworzyć, ale tak dla pewności wywaliłem, bo Prefetch i tak się odbuduje. Wyłączyłem też autoodtwarzanie dla dysków wymiennych.

02182012_202520.txt

OTL2.Txt

[picasso]

Zadanie pomyślnie wykonane. Możemy kończyć, czyli opcja Sprzątanie w OTL. Czyszczenia folderów Przywracania systemu nie zadaję, gdyż wg pierwszego OTL Extras Przywracanie było wyłączone.

 

[ficias]

Sprzątanie zrobione, przywracanie rzeczywiście wyłączone w ramach oszczędności miejsca i ilości zapisów na dysku, bo przez ostatnie kilka lat zawsze miałem włączone, a nie korzystałem

 

Dziękuję bardzo za pomoc i pozdrawiam!