Infekcja zewnętrznej pamięci, pliki LNK

[psg]

witam

ostatnio modny temat w postaci trojana który powiela się na zewn pamięciach usb, kartach itd.

złapałem to po podłączeniu nawigacji która zgłaszała się nie jako ms active sync a w trybie mass storage.

swoją drogą ciekawe jak to wlazło bo nic nie uruchomiłem z napędów jedynie usunąłem zbędne pliki.

 

w moim pc raczej sobie poradziłem, aktualnie po podłączeniu kart pamieci lub usb pendrive nie pojawiają się już pliki LNK z katalogów oraz nie tworzy się folder recycler z plikiem 47a1245.exe

 

proszę o sprawdzenie logów OTL

dla mnie do wyrzucenia jest oczywiście jakaś resztka "C:\Users\admin\AppData\Roaming\Yktgte.exe" reszty nie widzę (i jest już późno)

 

dziekuję i pozdrawiam.

Extras.Txt

OTL.Txt

[Landuss]

Na początek dla pewności podepnij wszystkie pamięci zewnętrzne jakimi dysponujesz i uruchom USBFix z opcji Listing i pokaż wynikowy raport.

[psg]

UsbFIX nic już nie pokaże niepokojącego bo podłączam pendrive i karty pamięci i nie tworzą się katalogi lnk i plik 470a1245.exe

jeśli znajdziesz chwilkę czasu zerknij proszę na logi OTL

[Landuss]

Nie szkodzi, ja chce mimo wszystko ten log obejrzeć. Pozostałe raporty sprawdzę jeśli dostarczony zostanie log z USBFix.

[psg]

Załączam Listing z UsbFix

UsbFix.txt

[Landuss]

Do skorygowania jest tu niewiele. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- -- (ALSysIO)
[2012-05-21 15:37:22 | 000,930,962 | -H-- | C] (ñklfmnbgkfn) -- C:\Users\admin\AppData\Roaming\Yktgte.exe
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[psg]

tak plik Yktgte.exe to oczywiście trojan, osunięty zaraz jak zrobiłem loga dla OTL

 

zastanawia mnie ten serwis AlSysIO.sys, jest to dziwne że jest załadowany jako service,

process explorer go widzi jako "Running" natomiast fizycznie tego pliku AlSysIO.sys nie ma w katalogu gdzie pokazuje go process explorer czyli: C:\Users\ddm\AppData\Local\Temp\ALSysIO.sys

 

tego pliku nie ma też nigdzie na dysku C, czyli co jakiś program pobiera go z sieci ?

[Landuss]

To nic dziwnego. Ta usługa może się tak zachowywać a pochodzi od CoreTemp, którego używasz:

 

O4 - HKLM..\Run: [CoreTemp] D:\hdd\Util\system\Drivers\HP_DV9690\pomiar_temperatury_rdzeni\Core_temp\CoreTemp.exe ()

 

Dałem na usuwanie to tylko kosmetycznie, natomiast to się będzie pewnie odradzać i tak ma być. Usługi mogą być "bezplikowe" i takich jest wiele np. na Windows XP gdyż sam plik może tworzyć się tylko tymczasowo.

[psg]

tak service AlSysIO.sys się odnawia po restarcie ale skoro to jest od coretemp.exe to ok

swoją drogą jak do tego doszedłeś bo wpisalem w google AlSysIO.sys i nie wyszło mi nic że to od coretemp.exe

natomiast jak zatrzymałem ten proces to ikonki przy zegarze pokazały temp 100stC czyli na pewno to jest od coretemp.exe

 

załączam logi z OTL

 

jeszcze tylko zerknij na to:

 

PRC - [2009-07-14 03:14:46 | 000,115,200 | ---- | M] () -- \\?\C:\Windows\System32\wbem\WMIADAP.EXE
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (a6mnwg26)

i to oczywiście od coretemp.exe DRV - File not found [Kernel | On_Demand | Running] -- C:\Users\admin\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO)

OTL.Txt

[Landuss]

swoją drogą jak do tego doszedłeś bo wpisalem w google AlSysIO.sys i nie wyszło mi nic że to od coretemp.exe

 

Po prostu to wiedziałem. Znam ten program i wiem jakie obiekty tworzy w systemie.

 

Jeśli chodzi o pozostałe twoje wątpliwości:

 

PRC - [2009-07-14 03:14:46 | 000,115,200 | ---- | M] () -- \\?\C:\Windows\System32\wbem\WMIADAP.EXE

 

To jest proces systemowy od WMI, a co to dokładnie jest można poczytać: KLIK

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (a6mnwg26)

 

To z kolei usługa związana z wirtualnymi napędami. Zmienia nazwę po każdym restarcie komputera.

 

Jeśli chodzi o obecne logi to wszystko jest w porządku, tylko jedno "ale" - masz nieaktualny system:

 

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation

 

Należy jak najszybciej go uaktualnić instalując Service Pack 1

[psg]

dzieki za obszerną informację, wiedza naprawdę budzi zazdrość

 

system nie aktualizowałem Sp1 bo kilka programów nie chce działać (przetestowałem na innym PC) z pomocy techniczne Ms otrzymałem info że należy zaktualizować programy do SP1 czyli wiadomo "mam się odczepić"

 

jeśli chciałbym zainstalować sp1 wybrać ten plik :

windows6.1-KB976932-X86.exe  537.8MB

[Landuss]

Tak o ten plik chodzi, pasujący do twojego systemu.

 

system nie aktualizowałem Sp1 bo kilka programów nie chce działać (przetestowałem na innym PC) z pomocy techniczne Ms otrzymałem info że należy zaktualizować programy do SP1 czyli wiadomo "mam się odczepić"

 

O jakie programy chodzi? To trochę dziwne bo tu jest nowoczesny system i z niedziałającymi programami nie powinno być problemu no chyba ze to jakieś stare programy. Tak czy inaczej aktualizacja ta jest ważna.

[psg]

Tak to kilka starszych programów, ale używam ich na codziennie.

Korzystając z okazji zapytam jeszcze:

 

czy jest sens mieć włączony windows defender z zaznaczoną opcją pracy w tle oraz np arcavir jak u mnie?

Na arcavir nie mam już licencji, bazy są nieco stare.

mam np pliki które nie są wirusami i musiałem je "dopuscić" w arcavir natomiast nigdy nie widziałem okna defendera z info o wirusie, również ostatnio jak złapałem tego trojana powielającego sie na USB w plikach LNK defende mial przecież aktualne bazy powinien pojawić się jakiś komunikat.

arcavir nie zareagował widocznie nie miał tego w swoim starym spisie.

czy windows defender w ogóle działa jako monitor w tle?

[Landuss]

Windows Defender jest zbędny kiedy ma się aktywnego antywirusa. Nie ma sensu powielać programów zaś sam WD nie jest jakimś super programem zabezpieczającym. U Ciebie jednak jak wspominasz bazy Arcavir są stare więc moim zdaniem nie ma sensu w ogóle trzymać tego antywirusa w systemie. Wgrać w zamian jakiś darmowy np. Avast, Avira lub MSSE.

[psg]

zerknij proszę na te logi to inna maszyna, tutaj chyba za dużo dodatków bylo zaisntalowane.

część usunąłem ale napewno coś jeszcze zostało

Extras.Txt

OTL.Txt

UsbFix.txt

[Landuss]

Tutaj jest niewielka infekcja. Zwracam też uwagę na stary Arcavir (sterowniki datowane na rok 2007) i proponuję jego deinstalację.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ctfmom = C:\WINDOWS\system32\ctfnom.exe ()
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

[psg]

Dzieki tak myślałem z tym ctfnom

a jest jeszcze takie coś w program files: googleupdate.exe to zapewne od chrome ?

[Landuss]

Tak to wygląda na część Chrome. Jeśli skrypt się pomyślnie wykonał to należy wykonać kroki końcowe:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Tu jest dziurawy, nieaktualny system (tylko SP2), należy więc go zaktualizować instalując Service Pack 3

[Majaque]

Do aktualizacji z pierwszego komputera:

Java™ 6 Update 31

Revo Uninstaller 1.92

Całkowicie do usunięcia:

Sunrise Seven 1.1.54

HijackThis 2.0.2

Pewnie jeszcze sporo tego jest, ale spojrzałem tak pobieżnie.

Można wiedzieć co to za programy wykluczają aktualizację do SP1?