Problem sa USB stick-ovima!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Naravno da nije problem, skinucu sta god treba treba.
Evo prvo sam odradio ovo sa Combo-m sto si mi napisao.
Sada cu da odradim TrendMicro scan, pa ti javljam sta je bilo.


ComboFix 08-02-25.3 - Razvoj 2008-03-03 9:45:12.9 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.312 [GMT 1:00]
Running from: C:\Documents and Settings\Razvoj\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Razvoj\Desktop\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-02-03 to 2008-03-03 )))))))))))))))))))))))))))))))
.

2008-02-28 13:30 . 2008-02-28 13:30 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2008-02-28 13:27 . 2008-02-28 13:27 664,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-02-28 13:27 . 2008-02-28 13:27 96,256 --a------ C:\WINDOWS\system32\drivers\sptd2893.sys
2008-02-28 09:09 . 2008-02-28 09:09 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\7Wonders2
2008-02-28 09:08 . 2008-02-28 09:08 <DIR> d-------- C:\WINDOWS\Bigfish Games 7 Wonders II Second Edition
2008-02-28 09:08 . 2008-02-28 09:09 <DIR> d-------- C:\Program Files\Bigfish Games 7 Wonders II Second Edition
2008-02-28 08:50 . 2008-02-28 08:53 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-02-27 11:28 . 2008-02-27 14:33 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-02-19 08:40 . 2008-02-19 08:40 <DIR> d-------- C:\Program Files\Pravoslavac
2008-02-14 07:33 . 2008-02-14 07:37 <DIR> d-------- C:\Program Files\The KMPlayer
2008-02-13 11:00 . 2008-02-13 11:09 <DIR> d-------- C:\Documents and Settings\Razvoj\Application Data\IMVU
2008-02-13 10:59 . 2008-02-13 11:08 <DIR> d-------- C:\Program Files\IMVU
2008-02-11 13:52 . 2008-02-11 13:52 <DIR> d-------- C:\Documents and Settings\Razvoj\Application Data\Media Player Classic
2008-02-11 13:29 . 2008-02-11 13:28 724,992 --a------ C:\WINDOWS\iun6002.exe
2008-02-08 10:10 . 2008-02-08 10:10 <DIR> d-------- C:\Program Files\TuneUp Utilities 2008
2008-02-08 10:10 . 2008-02-08 10:10 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-08 10:10 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-08 08:43 . 2008-02-08 08:43 334 --ah----- C:\WINDOWS\Fix.reg
2008-02-06 16:09 . 2008-02-06 16:09 34,312 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2008-02-06 16:06 . 2008-02-06 16:06 39,944 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2008-02-06 16:06 . 2008-02-06 16:06 29,704 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
2008-02-06 11:13 . 2008-02-06 11:14 <DIR> d-------- C:\Program Files\Opera 9

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 08:40 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\Babylon
2008-02-28 08:01 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-27 11:02 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-02-26 06:21 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\DeskSoft
2008-02-25 13:27 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-02-22 11:43 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\Screenshot Sender
2008-02-22 08:01 --------- d-----w C:\Program Files\eMule
2008-02-22 06:26 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\uTorrent
2008-02-18 08:57 --------- d-----w C:\Program Files\Winamp
2008-02-14 10:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-02-14 07:29 --------- d-----w C:\Program Files\ESET
2008-02-14 07:24 --------- d-----w C:\Program Files\BitDefender
2008-02-14 07:17 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-02-14 06:05 --------- d-----w C:\Program Files\Webteh
2008-02-14 06:04 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\BSplayer PRO
2008-02-08 09:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-02-06 06:20 --------- d-----w C:\Program Files\Common Files\AOL
2008-02-06 06:17 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\Skype
2008-01-31 14:13 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2008-01-29 13:20 48,174 ----a-w C:\olearch.dat
2008-01-29 13:00 --------- d-----w C:\Program Files\Common Files\Autodesk Shared
2008-01-29 13:00 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\Autodesk
2008-01-29 13:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Autodesk
2008-01-29 10:41 --------- d-----w C:\Program Files\Microsoft SQL Server
2008-01-29 10:38 --------- d-----w C:\Program Files\Microsoft WSE
2008-01-25 12:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Viewpoint
2008-01-25 09:50 --------- d-----w C:\Program Files\Common Files\Synacast
2008-01-25 09:50 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\PPMate
2008-01-25 09:01 --------- d-----w C:\Documents and Settings\Razvoj\Application Data\acccore
2008-01-25 07:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\AOL OCP
2008-01-25 07:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\AOL
2008-01-24 12:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\DeskSoft
2008-01-24 08:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-23 11:36 --------- d-----w C:\Program Files\Autodesk
2008-01-22 06:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-01-21 11:03 --------- d-----w C:\Program Files\QuickTime
2008-01-21 11:02 --------- d-----w C:\Program Files\ImTOO
2008-01-21 10:17 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-01-21 10:00 --------- d-----w C:\Program Files\Windows Live
2008-01-21 10:00 --------- d-----w C:\Program Files\MSN Messenger
2008-01-15 13:53 --------- d-----w C:\Program Files\Phoenix Contact
2008-01-14 13:49 --------- d-----w C:\Program Files\Skype
2008-01-14 10:30 --------- d-----w C:\Program Files\Common Files\Skype
2008-01-14 10:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-01-09 14:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:56 15360]
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:54 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babylon Client"="C:\Program Files\Babylon\Babylon-Pro\Babylon.exe" [2006-05-22 13:55 2663480]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-06 16:08 1443072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:56 15360]

C:\Documents and Settings\Razvoj\Start Menu\Programs\Startup\
Pravoslavac 2008.lnk - C:\Program Files\Pravoslavac\Pravoslavac 2008.exe [2008-02-19 08:40:16 1054254]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Acrobat Speed Launcher.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Acrobat Synchronizer.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Service Manager.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Service Manager.lnk
backup=C:\WINDOWS\pss\Service Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2006-10-22 23:24 620152 C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EnvyHFCPL]
--a------ 2006-02-06 10:12 327680 C:\Program Files\Audio Deck\EnMixCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-08-11 15:30 249856 C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-08-11 15:30 81920 C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-12-18 17:32 25365032 C:\Program Files\Skype\Phone\Skype.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-02-06 16:09]
R2 MSSQL$INVENTORCONTENT;MSSQL$INVENTORCONTENT;C:\Program Files\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe [2002-12-17 17:26]
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:56]
R3 Envy24HFS;ICE Envy24 Family Audio Controller WDM;C:\WINDOWS\system32\drivers\Envy24HF.sys [2006-01-12 13:57]
S3 SQLAgent$INVENTORCONTENT;SQLAgent$INVENTORCONTENT;C:\Program Files\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlagent.EXE [2002-12-17 17:23]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-08 10:10]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contents of the 'Scheduled Tasks' folder
"2008-02-29 06:15:00 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer.net
Rootkit scan 2008-03-03 09:46:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-03-03 9:47:40

Dopuna: 03 Mar 2008 11:19

Zavrsio TrendMicro, ali nesto mi je cudno, kada sam kliknuo na clean, pisalo je da vrsi ciscenje i doslo do ovjde i stalo. "6 seconds, idle".
Sve sto se ne vidi ispod su neke "vulnerabilities".

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ovaj log mi izgleda OK.

Moze li za proveru da restartujes komp, pa da mi napravis nov ComboFix log, cisto da vidim da li se vraca infekcija?
Startuj ComboFix normalno, ne preko CFScripta.

Ukoliko jos imas onaj MSOCache, mozes li mi spakovati onaj sporni fajl i da mi ga uploadujes?
Upload uradi preko sledece forme:
http://www.mycity.rs/ambulanta-upload.php

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sada je sve ok. Ali pazi ovo:
Ocistio sam usb na ovom racunaru na kojem smo sve radili. Navece sam ga prikljucio kod druga na racunar, na kom je takodje prije javljao isti problem i na njemu je sve bilo ok, autoopen nije bio na 2klik. Znaci, to je nesto samo do USB-a, jer bi mi po nekoj logici trebao preci virus na flash cim sam ga ubacio u drugi racunar, da je i do racunara. E sad, cimer mi ima isti problem sa flash-om. I onda je on ubacio svoj i kod njega je bio autoopen na dupli klik. Onda sam ja ubacio svoj i opet mi se pojavio autoopen. Nije mi jasno, kako? Kao sto moj cimer rece, kao da je virus na usb portu?!
Zasto se odmah nije pojavio na mom flashu, jer racunar nije bio prethodno ociscen.
Jos jedna stvar, kada sam ubacivao flash u drugi racunar, bilo je onog KB91.... virusa na njemu (i dok je sve bilo u redu) ali nije bilo autoopen-a na dupli klik.
Danas sam opet ocistio usb na ovom prvom racunaru, kako si mi vec objasnio i sada je opet ok. Nekim cudom, kada sam jutros obrisao MSOCache folder sa flash-a, pomocu Total commander-a, nije se vracao.
Da sumiram, sada je usb ok, na 4 racunara na poslu nije bilo nikakvih problema.
Vidjecu kako ce se ponasati na ostalim racunarima, posebno na ovom od sinoc.
Pozdrav

Dopuna: 05 Mar 2008 11:02

Ipak je sa drugog racunara presao virus na stick, cim sam ga ubacio. Evo sada sam ga vratio na prvo racunar (koji je cist, po pretpostavci i na koji sam juce instalirao McAfee) i McAfee je obrisao KB915865.exe i autorun.inf sa stick-a, i opet e sve u redu. Jel to znaci da sada moram cistiti racunar po racunar?
P.S (Evo stigao sam zapakovati ovaj virus pa sam ti ga uploadovao.)
Pozdrav

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

O tome smo pricali pre par poruka - moras ocistiti sve racunare redom, i da gledas da ne prenosis infekciju sa neociscenih na one ociscene.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jos me samo jedna stvar zanima.
Posto sam instalirao McAfee, kako si mi rekao, ne znam sad da li je on ocistio racunar ili je to uradio Combo (sa onim posljednjim CFScript-om koji sam prevukao na njega). I sta je uopste taj script uradio? Pitam da znam, da ne pravim dzaba sebi posao ako ne treba.
Znaci, McAfee ocisti USB cim ga ubacim, ocisti autorun.inf i onaj drugi virus. Jel samo on dovoljan? Zasto to novi Nod32 nije ocistio, zar je McAfee bolji?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Taj virus je relativno nov (manje od 4 meseci), tako da mozes za realno ocekivati da ce ga svi antivirusi imati u definicijama tek nakon 6 meseci (prosek).

CFScript je pobrisao iz reg. baze kljuc koji je sluzio da se automatski startuje virus kada ubacis USB stick, mada je to samo deo resenja.
Na USB-u postoji i Autorun.inf, koji ce isto da startuje virus cim ubacis USB stick.
Posto ni jedan anti-virus po pravilu, ne cacka reg. bazu, taj deo se mora resiti rucno ili CFScriptom.

E sada, jedan CFScript se pise prema datom logu, tako da bi prakticno trebao da se napise posebno za svaki racunar.

Daj mi ComboFix logove sa svih racunara, da napisemo odgovarajuce CFScriptove ukoliko je potrebno.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ma jok, nek se drugovi sami malo potrude, zasto da tebe i sebe mucim.
Salim se, reci cu im da instaliraju McAfee.
Ali primjetio sam jednu zanimljivost.
Ja koristim NOD32, i on (jos uvijek) ne moze da prepozna onaj drugi virus autorun.inf. Kada ubacim stick, ne prepozna ni onaj KB915....exe.
Ali kada otvorim Total Commander, pa MSOCache, pa onaj neki podfolder, i kada ja vizuelno ugledam fajl KB915865.exe, tada ga i NOD prepozna i obrise. :-S
Kako to? Zasto ga odmah ne prepozna?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sorry na kasnjenju, nesto sam u frci sa vremenom zadnjih mesec dana

Elem, sto se tice toga da ga detektuje tek kada udejs u folder, to je malo komplikovano za objasnjavanje.

Recimo ovako, windows za svaku akciju na racunaru napravi event.
Antivirus se "pretplati" na odredjene evente.

Kada se recimo pokrece neka aplikacija, AV dobije event da taj i taj program treba da se pokrene, pa onda kaze "ne moze dok ja to ne pregledam".

Isto tako, ulazak u folder ce da izazove event koji ce takodje stici tvom NOD-u.

E sada, problem je, kako to da event startovanja malwarea ne okine skeniranje u NOD-u, a event ulaska u folder okine skeniranje, to mi nije jasno.
Eventualno da je bilo necega sto je branilo da event stigne do NOD-a.

Inace, ubacivanje sticka u komp isto izaziva event na koji svaki AV reaguje, ali ni jedan AV nece da skenira subfoldere, vec samo root folder sticka. To je isto normalno ponasanje svakog AV-a.

Izgleda samo da NOD nekako propusta event kada autorun.inf pokrece taj exe.

Autorun.inf nije sam po sebi nikakav infektor. Windows Explorer je tako napravljen da, cim ubacis CD ili stick, on pokrece onaj program sa CD-a ili sticka, cije ime je upisano u Autorun.inf fajlu.
Znaci, Autorun.inf je samo jedan obican tekstualni fajl u kojem je zapisano koji program sa CD-a ili sticka automatski da se startuje kada ubacis CD ili stick.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Znaci, vjerovatno je ovaj autorun.inf bio povezan sa ovim virusom unutar MSOCache foldera, na sticku?!
Sa Bozijom pomoci, polako se ciste racunari koji su bili inficirani. Svima sam rekao da instaliraju Total Commander, pa da preko njega brisu smece sa sticka, ako ga AV ne prepozna. Uspjeva za sada...
Tebi prijatelju hvala, bio si od velike pomoci...nesto se i naucilo od tebe.
Pozdrav!