Infekcja na pendrive (Trojan MulDrop 4) i skrót pamięci flash zamiast folderów

[unfuku]

Witam,

 

Ostatnio korzystałem z wydruku w punkcie ksero i prawdopodobnie coś zagnieździło się na moim pedndrivie.

 

Po podpięciu pamięci flash do portu usb i kliknięciu w dysk zamiast plików znajdujacych się na pendrivie (u mnie dysk G) ukazuję się skrót o nazwie KINGSTON (1GB), element docelowy tego skrótu to %homedrive%\WINDOWS\System32\rundll32.exe 0~X.

 

Korzystałem z Dr.WEB CureIt! 8.0.9. i program na dysku G wykrył Trojan.MulDrop4.25343. Zastosowałem się do zalecenia napraw, klikam w dysk jest pusty ale po ponownym podpięciu problem powraca.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

Gmer.txtPobieranie informacji ...

UsbFix Scan 1.txtPobieranie informacji ...

UsbFix Listing 1 .txtPobieranie informacji ...

[picasso]

Log z GMER zrobiłeś w złych warunkach, przy czynnym sterowniku SPTD emulacji napędów wirtualnych:

 

DRV - [2013-04-12 22:49:29 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Infekcję na dysku regeneruje ten wpis startowy:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 20160 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cciauui.com (Hause)

 

Infekcja na urządzeniu utworzyła fałszywy skrót LNK oraz folder "bez nazwy", ukryła go i tam przesunęła wszystkie pliki z urządzenia:

 

[16/06/2013 - 21:33:30 | SHD ] G:\ 

[16/06/2013 - 22:23:32 | A | 1446] G:\KINGSTON (1GB).lnk

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
attrib /d /s -s -h G:\* /C
attrib -s -h E:\Downloads /C
attrib -s -h E:\sys /C
G:\KINGSTON (1GB).lnk
G:\autorun.inf
G:\0~XUYUPVYAZ.xxc
G:\desktop.ini
G:\Thumbs.db
E:\Dysk lokalny (D).lnk
C:\lqlurj.gqe
C:\Documents and Settings\All Users\Dane aplikacji\ActiveSMART
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\FileOpen
C:\Documents and Settings\All Users\Dane aplikacji\GFI Software
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\LocalService\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\Hrabia\Dane aplikacji\FileOpen
C:\Documents and Settings\Hrabia\Dane aplikacji\HoolappForAndroid
C:\Documents and Settings\Hrabia\Dane aplikacji\ProgSense
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyOverride"=-
"ProxyServer"=-
 
:OTL
IE - HKLM\..\SearchScopes\{861B2270-6ABA-4533-8B6B-BFCC45E508D5}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=fdd809d6-12e0-11e1-87fc-00508dd3c178&q={searchTerms}
IE - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-21-1957994488-920026266-839522115-1004..\Run: [Hoolapp Android] "C:\DOCUME~1\Hrabia\DANEAP~1\HOOLAP~1\Hoolapp.exe" /Minimized File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 20160 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cciauui.com (Hause)
O16 - DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)
DRV - File not found [Kernel | System | Stopped] -- C:\windows\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Hrabia\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Jeśli skrypt do OTL prawidłowo się wykona, folder "bez nazwy" zostanie odkryty na urządzeniu. Wejdź na dysk G, z tego folderu przesuń wszystkie dane poziom wyżej a folder bez nazwy przez SHIFT+DEL skasuj.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

 

 

 

.

[unfuku]

Zrobione wedlug instrukcji, ale nie mogę dołączyć logu z usuwania OLT bo pojawia mi się komunikat, że nie mam uprawnień aby zamieścic plik tego typu. W takim razie napisze to co jest w pliku o naziwe 06172013_125410 ze ścieżki C:\_OLT\MovedFiles

 

Files\Folders moved on Reboot...

C:\Documents and Settings\All user\Local Settings\Temp\cciauui.com moved successfully.

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

 

Mam jeszcze raz zamieścić log z GMER?

OTL.TxtPobieranie informacji ...

UsbFix Listing 2 .txtPobieranie informacji ...

AdwCleanerS1.txtPobieranie informacji ...

[picasso]

  Cytat

Zrobione wedlug instrukcji, ale nie mogę dołączyć logu z usuwania OLT bo pojawia mi się komunikat, że nie mam uprawnień aby zamieścic plik tego typu.

Objaśnia to Pomoc forum (link na spodzie strony): załączniki nie akceptują innych formatów tekstowych niż *.TXT, a to jest *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku lub zapis do nowego pliku. Co do samej treści raportu, to nie jest komplety, nagrała się tylko część po restarcie.

 

  Cytat

Mam jeszcze raz zamieścić log z GMER?

Nie prosiłam o niego. Pierwszy ma wystarczający zakres danych.

 

Akcje wykonane. Poprawki i kończymy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
E:\Thumbs.db
G:\0~IX.xxc
G:\desktop.ini
 
:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Hrabia\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Sprawdź co jest w folderze E:\sys (nazwa nieco podejrzana). Poprzednio był ukryty, ściągałam z niego atrybuty.

 

3. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższy folder.

 

C:\Documents and Settings\Hrabia\Doctor Web

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.

[unfuku]

OTL zrobione,

w folderze E:\sys znajduje się plik magic.bin VLCmedia file (.bin),

USBFix, AdwCleaner, sprzątanie w OTL i skasowanie folderu zrobione,

foldery przywracania systemu wyczyszczone