bundpil.J ? Skróty do pendrive na kilku komputerach

LukasTe · 29 Maj 2013 14:11

Witam serdecznie,

sytuacja omawiana gdzieś w sieci kilka razy ale mimo wszystko nie dajemy rady. Wirus pojawił się w punkcie ksero / wydruków gdzie codziennie przewija się kilkanaście i więcej pamięci przenośnych. Otwierają się ale przez dodatkowy skrót, pliki można odczytać. Nie wiem czy to ten wirus bundpil.J czy coś innego…

Mamy tak na 5 komputerach już! Wszędzie xp…

Logi z jednego z komputerów:

OTL: http://wklej.org/id/1051817/

USB Fix: http://wklej.org/id/1051823/

Prosimy o możliwie jak najszybszą pomoc…

edit//

chyba malwarbytes poradzi sobie z tym, dam znać

edit2//

NIESTETY, nadal to samo, poprawiło się na moment i za chwilę znowu…

wykrywa trojana, usuwam go i potem jest znowu…

log z malware: http://www.wklej.org/id/1051902/

edit3//

kolejny log z malware: http://www.wklej.org/id/1051966/

10 trojanów i nie wiadomo co…

jak usunalem na jednym z kompów takie pliki to teraz mam błąd przy uruchamianiu, ze nie znajduje pliku c:\DOCUMENT\komp3\Temp\ccvcwut.com …

Niech ktoś cos wymyśli…

Atis · 29 Maj 2013 17:29

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\btwhid.sys – (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\btwdndis.sys – (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\btport.sys – (BTDriver) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error. IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=12&q={searchTerms}&barid={92E17F18-EE89-4CE9-86E1-63A4C8ABD9F4} IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=0809001B386AFEEC IE - HKCU…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=12&q={searchTerms}&barid={92E17F18-EE89-4CE9-86E1-63A4C8ABD9F4} [2013-01-08 11:32:09 | 000,190,000 | ---- | M] () (No name found) – C:\Documents and Settings\ASC\Dane aplikacji\Mozilla\Firefox\Profiles\0k85l37x.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2013-04-15 18:18:42 | 000,006,470 | ---- | M] () – C:\Documents and Settings\ASC\Dane aplikacji\Mozilla\Firefox\Profiles\0k85l37x.default\searchplugins\BrowserProtect.xml [2013-04-15 18:18:59 | 000,001,294 | ---- | M] () – C:\Documents and Settings\ASC\Dane aplikacji\Mozilla\Firefox\Profiles\0k85l37x.default\searchplugins\delta.xml [2012-09-24 07:59:05 | 000,003,915 | ---- | M] () – C:\Documents and Settings\ASC\Dane aplikacji\Mozilla\Firefox\Profiles\0k85l37x.default\searchplugins\sweetim.xml [2013-04-15 18:18:42 | 000,006,470 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU…\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 54648 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccauloqso.pif (Hause) [2013-04-15 18:18:39 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2013-04-15 18:18:39 | 000,000,000 | —D | M] – C:\Documents and Settings\ASC\Dane aplikacji\Babylon :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż raport UsbFix z Opcji Listing.

LukasTe · 29 Maj 2013 17:55

Dzięki Atis.

W pracy będę dopiero w piątek i to wkleje.

Teraz jednak przyniosłem wirusa do domu i mam go na win7. Łatwo go coś złapać…

OTL: http://wklej.org/id/1052001/

Listing z USBFix: http://wklej.org/id/1052000/

Research z USBFix: http://wklej.org/id/1052005/

O ile w domu format to żaden problem to w pracy wywoła nie małą epidemię… Byłbym wdzięczny za pomoc by w piątek wszystko tak usunąć by nigdzie się już nie dostał.

Pozdrawiam

Atis · 29 Maj 2013 18:30

USBFix (Deletion) kasuje folder o nazwach Muzyka lub Muza, więc uważaj z tym programem.

W logu nie widać aktywnej infekcji.

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

LukasTe · 29 Maj 2013 20:37

Malware przed zrobieniem czegokolwiek: http://wklej.org/id/1052177/

to chyba nic groźnego, same keygeny, loadery itd.

Zrobiłem to co napisałeś.

Security check:

log OTL po tym co podałeś: http://wklej.org/id/1052178/

Problem jest poplątany niestety. W pracy przewija się dużo pamięci i tam już co nie podłącze to jest źle, najpierw skrót potem w nowym oknie dopiero zawartość. Przyniosłem jednego z nich (który wcześniej był ok) do domu i też tak jest ale teraz jak wziąłem już całkiem inny to działa normalnie.

Może to przenosić się na pendrivie jak tam nic nie wykrywa? Ja się już pogubiłem… czy jak już zaraziło na jednym kompie pamięć to na drugim z innymi już tak nie będzie? Ale w pracy, które bym nie podłączył to było źle. No po prostu już nie mogę się połapać. W piątek jeszcze będę działał na jednym z tamtych kompów (wklepie to co wyżej podane).

Atis · 29 Maj 2013 20:59

Odinstaluj Java 7 Update 17 i zainstaluj Java 7 Update 21

Ja widzę tylko jeden folder ukryty na H.

Wklej i kliknij Wykonaj skrypt:

Napisz, co widać na H po wykonaniu skryptu lub pokaż nowy raport Listing.

LukasTe · 30 Maj 2013 07:39

Java zaktualizowana.

OTL komendy nie przyjął. Jednak zrobiłem tak jak poleciłeś w innym podobnym temacie, wkleiłem to do wiersza poleceń z poziomu administratora. Na pendrivie pojawiły się dopiero różne pliki i mogłem je usunąć wraz ze skrótem. Te właściwe były w folderze bez nazwy nagle. Po tej operacji wszystko jest ok. Ale to sytuacja jednej pamięci na jednym kompie…

W pracy zarażają się nowe pendrivy i chyba usunięcie na każdym z nich tych plików to poprawa na krótki czas. Coś zatem musi być na tamtych kompach, aż 5 co mnie niepokoi Ale z tym będę mógł coś zrobić jutro, gdyby były jakieś pomysły to chętnie skorzystam. Wyśle też logi po wklejeniu tego co podałeś wcześniej po moich logach z jednego z komputerów.

pozdrawiam

– Dodane 30.05.2013 (Cz) 9:41 –

Gdyby był pomysł jakiegoś zabezpieczenia przed tego typu infekcjami w miejscu gdzie dziennie przewija się sporo pamięci na kilku komputerach to będę wdzięczny.

Atis · 30 Maj 2013 11:10

W domu masz Windows 7 Service Pack 1 i nawet jeśli podłączyłeś zainfekowany pendrive, to nie doszło do infekcji systemu, bo SP1 zawiera niezbędne aktualizacje.

W pracy system jest zainfekowany i zaraża każdy podłączony pendrive, więc przede wszystkim musisz usunąć infekcję na każdym komputerze.

Poza tym to jest stary system XP i może nie ma wszystkich aktualizacji bezpieczeństwa.

Jeżeli podłączasz dużo różnych pendrive to najlepiej całkowicie zablokować autorun.inf

Panda USB Vaccine Uruchom program i kliknij Vaccinate computer.

Zamiast Panda USB można użyć pliku reg.

Wklej do systemowego notatnika:

Plik -> Zapisz jako -> Zapisz jako typ: Wszystkie pliki -> Nazwa pliku: FIX.REG

Kliknij prawym na pliku FIX i wybierz Scal. Później zrestartuj komputer.

Dodatkowo zainstaluj poprawkę zabezpieczającą przed innym typem infekcji z USB, który wykorzystuje lukę w rozszerzeniu LNK:

http://www.microsoft.com/pl-pl/download … x?id=14416

LukasTe · 31 Maj 2013 11:24

Atis jestem Ci dłużny dobre whisky

Od rana usuwam infekcję. Na 4 kompach z xp pomogło OTL, adwcleaner, USBFix, ten plik FIX.REG, łatka i malwarbytes (znalazł wirusy, usuwałem). Nawet jak pendrivy są zarażone to po usunięciu plików infekcji ponownie się nie zarażają.

Logi jednego z kompów(ten co poprzednio, na którym dodatkowo wykonałem podany przez Ciebie skrypt do OTL):

OTL: http://www.wklej.org/id/1053327/

usbfix listing: http://www.wklej.org/id/1053333/

Na 3 miałem po tych działaniach błędy przy uruchamianiu, że brakuje pliku typu ccgzhoc.com (na każdym inna, podobna nazwa). Usuwałem taki wpis w rejestrze i jest ok. To na tych gdzie loguje się przez profil bez uprawnień admina. Na adminie nie było błędu.

Jednak co mnie zdziwiło na dwóch kompach z Win7 Service Pack 1 też była infekcja. Pomogło to samo (bez łatki xp, może trzeba coś innego jeszcze?)

Uchował się jeden stacjonarny PC i to na dodatek z XP… nie wiem jeszcze jak dalej się to rozprzestrzeniło ale już wiem jak to zwalczać przynajmniej.

Dzięki jeszcze raz!

Atis · 31 Maj 2013 12:06

W logu nie widać infekcji.

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

LukasTe · 31 Maj 2013 12:28

Sprzątanie włączałem na każdym. Razem z adwcleaner, malware itd.

Aktualizuje też programy, głównie java i acrobat wyskakują.

Zresetowałem też teraz przywracanie systemu.

Najważniejsze, że nawet jak podłączałem zarażonego pendrive to po usunięciu na nim infekcji komputer pozostał bez wirusa. Więc myślę, że problem rozwiązany?

Na XP mamy taki duży ruch pendrive, na win7 tylko swoje prywatne więc mam nadzieję, że epidemia powstrzymana.

– Dodane 31.05.2013 (Pt) 15:22 –

A jeszcze ciekawostka.

Przychodzi klient, któremu jakiś czas temu w punkcie w którym nigdy wcześniej nie był “wszystko zniknęło z pendriva”… i potem miał ten skrót. Cały dzień z różnymi pamięciami nie było problemów, a tam gdzie podłączyłem jego znowu zrobił się ten sam wirus… Po ponownym wyczyszczeniu jest znowu ok, jego pendrive też wyczyściłem. Coś podejrzewam, że to on wywołał tę epidemię… a często przychodzi

Jak podłączałem zarażone pendrivy to mimo wszystko na komputerach nie zachodziły infekcję tylko w tym jednym przypadku znowu tak się stało…

Atis · 31 Maj 2013 14:03

Dodatkowo możesz przeczytać to:

LukasTe · 3 Czerwiec 2013 14:17

Hm, może to infekcje skrótów LNK. Poczytam to co podałeś bo komputery nie są w pełni przed tym zabezpieczone.

Wystarczy, że przyjdzie ktoś kto miał tego wirusa wcześniej i zaraża ponownie, a potem kolejne itd.

I wtedy malwarebytes wykrywa 3 zarażone pliki i jest to Trojan.Ransom.Blocker . Po usunięciu i wyrzuceniu infekcji z pendriva wszystko wraca do normy.

Ale przecież łatkę do xp wgrywałem… więc już nie wiem co to może być.

– Dodane 03.06.2013 (Pn) 12:47 –

Nadal nie wiem jak zabezpieczyć komputery przed tą infekcją.

Tu gdzie nie ma styczności z zarażonymi pendrivami nie ma problemu ale gdy tylko pojawi się choć jeden to wszystko od początku…

Malware już czasami nie pokazuje nawet żadnych wirusów a i tak jest źle.

//edit

Skopiowałem logi z 3 kompów na których ciągle jest problem. Nie są zabezpieczone przed tym wirusem, może ktoś znajdzie jakąś zależność.

Jeszcze kombinuje programami podanymi tutaj: http://www.fixitpc.pl/topic/92-zabezpie … ami-z-usb/

może coś zdziałam.

KOMP1

OTL: http://wklej.org/id/1056340/

OTL EXTRAS: http://wklej.org/id/1056341/

USBFIX LISTING: http://wklej.org/id/1056325/

KOMP2

OTL: http://wklej.org/id/1056317/

OTL EXTRAS: http://wklej.org/id/1056319/

USBFIX LISTING: http://wklej.org/id/1056306/

KOMP3

OTL: http://wklej.org/id/1056344/

OTL EXTRAS: http://wklej.org/id/1056345/

USBFIX LISTING: http://wklej.org/id/1056352/

a to logi z komputera na którym jest teraz ok ale nie wiem czy jak ktoś podłączy pendrive z wirusem czy się obroni.

asc

OTL: http://wklej.org/id/1056364/

OTL EXTRAS: http://wklej.org/id/1056365/

USBFIX LISTING: http://wklej.org/id/1056368/

Atis · 3 Czerwiec 2013 14:41

Zainfekowany jest komputer 2, a na pozostałych nie widać infekcji.

KOMP2

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

LukasTe · 3 Czerwiec 2013 15:44

Raport z usuwania: http://wklej.org/id/1056496/

Skan otl: http://wklej.org/id/1056506/

Instalowałem mcshield i u usbavfree… coś tam działają ale usuwają niby wirusy i tym samym ukrywają pliki które były po kliknięciu na skrót. I nie wiem czy z takimi programami to jakieś rozwiązanie. Co chwilę ktoś przychodzi z tym wirusem. A czasami po usunięciu wirusa i podłączeniu ponownie pendrive to znowu mcshield wykrywa, usuwa i tak w kółko.

Co innego taki problem rozwiązać w domu, a co innego w takim miejscu… już mi ręce opadają.

Mcshield na komputerze asc chyba daje rade… ale jak ktoś przyjdzie z wirusem to nie wiem czy nie zarazi albo czy mcshield nie usunie wraz z wirusem innych plików. Tzn. on je ukrywa i pojawiają się w folderze bez nazwy po ponownym podłączeniu. Same dziwne rzeczy.

Atis · 3 Czerwiec 2013 16:29

Infekcja została usunięta.

Uruchom OTL i kliknij Sprzątanie.

LukasTe · 3 Czerwiec 2013 17:37

Ciągle sprzątam i kombinuje z tymi programami do infekcji. A międzyczasie jeszcze ludzie z pendrivami przychodzą więc ciężko.

Teraz chyba jest tak, że na kompie 1 i asc mcshield skutecznie blokuje infekcje. Nawet gdy pamięć ma wirusa to można go usunąć, nie stracić plików i jest ok. Natomiast na 2 i 3 po podłączeniu czystej pamięci po chwili jest wirus. Może to już jakiś postęp, nie wiem.

Nowe logi.

Komp 2:

OTL: http://wklej.org/id/1056657/

Extras: http://wklej.org/id/1056659/

– Dodane 03.06.2013 (Pn) 19:38 –

Komp3

OTL: http://wklej.org/id/1056661/

Extras: http://wklej.org/id/1056662/

– Dodane 03.06.2013 (Pn) 19:39 –

I chyba sprawny

asc

http://wklej.org/id/1056665/

Jutro kolejny dzień…

Atis · 3 Czerwiec 2013 17:52

Nie wiem, co blokuje ten program, ale na żadnym komputerze nie widać aktywnej infekcji.