INF /Autorun virus проблем

[vesilp]

Здравейте !

Предполагам, че има доста хора, на които проблемът е познат. Надявам се и някой да сподели за успешно решение.

В нашата фирма имаме дузина РС, с инсталирани Windows XP. Практически всички колеги имаме на разположение флаш-памети, не всички от един тип и производител. От известно време ни се появи въпросният проблем, свързан с флашовете.

При поставяне на флаша в USB-порта инсталираният NOD32 вади съобщение за

Threat: INF /Autorun virus

и пояснения

File: <flash_drive_letter>:\Autorun.inf

"Event occured at an attempt to access the file by the application (например, ВАРИРА за различни наблюдавани

случаи) C:\Windows\System32\svchost.exe ... (в друг случай - C:\Windows\System32\services.exe )"

(прилагам и картинка на съобщението на NOD32)

Дори и след форматиране на флаша ситуацията не се променя, проблемът си остава.

На един от засегнатите РС се вижда, че на току що форматираният флаш след секунди се появява, едновременно със съощението на NOD32, някякъв файл "setup.exe", със следните "Properties:

Size: 208896 bytes

Company: SunSoft

Version: 1.0.0.177

Секунди след ръчно изтриване на този setup.exe (File - Delete) той се "възражда", съпроводен, разбира се, с "Alert"-a на NOD32. И това се повтаря, докато флаша не бъде изваден от USB-порта.

Пускам веднага "virus scan" с NOD32 - НЕ открива нищо, асоцииращо се с "autorun".

С изваждане на флаша от USB-порта проблемът приключва.

Същият флаш на друг РС не предизвиква никакви проблеми и на него не се вижда никакъв "setup.exe" файл !

Обобщено, картината в момента изглежда така - някои флашове, на някои компютри, предизвикват проблема; на други компютри, със същите или други флашове, проблем няма.

Предварително благодаря на всеки, който може да предложи решение на проблема.

Поздрави

Любо

[Cheers]

NOD32 дава ли съобщение, че autorun.inf е инфектиран с Win32/PSW.Agent.NDP trojan?

 

Ако е така, може да имаш Kavo вирус, който се чисти лесно. Виж дали имаш:

C:\WINDOWS\system32\kavo.exe

C:\WINDOWS\system32\kavo.dll

C:\WINDOWS\system32\kavo0.dll

C:\WINDOWS\system32\kavo1.dll

C:\WINDOWS\system32\kav0.dll

C:\WINDOWS\system32\kav1.dll

C:\ntdelect.com

D:\ntdelect.com

E:\ntdelect.com

или X:\ntdelect.com

Изключваш System Restore и чистиш с ето тези тайвански и китайски чистачки:

 

1. Kavo Killer: http://game76420.myweb.hinet.net/kavo_killer.exe

2. За USB почистване на Kavo: Цък

 

ПС. Виж дали ти се ъпдейтва NOD32, че нещо напоследък има някои проблеми при тези, които имат пачната версия на NOD 32, което не препоръчвам на никого.

[vesilp]

Благодаря за включването !

 

NOD32 НЕ дава съобщение за Win32/PSW.Agent.NDP trojan.

NOD32 съобщава за "INF /Autorun virus" (аз нали съм сложил и прикачен файл).

Направеното отделно сканиране с NOD32 също не открива присъствие на Kavo (и на никакъв, въобще) вирус.

Все пак, ще проверя за цитираните зловредни файлове, утре , на работа (проблемът не е вкъщи, слава Богу).

Ще (се опитам да) изтегля двата download-a (ако не послужат сега, могат да потрябват друг път).

За последния update на NOD32 на въпросния служебен компютър не съм проверявал, ще го направя (на моя служебен се update-ва редовно, практически ежедневно, поне досега). Иначе версията е наистина от пачнатите, с нея разполагам, инсталирал съм я неколкократно.

[Night_Raven]

На заразения компютър изтегли HijackThis 1.99.1 (213KB). Нарочно изпълнимият файл е преименуван. Стартирай го и избери Do a system scan and save a logfile. Ще се извърши сканиране и ще бъде създаден текстов файл в папката на програмата. Копйрай съдържанието на файла тук във форума (Copy/Paste).

[vesilp]

Благодаря, Night_Raven, и за твоето включване !

Ето го log-a на HijackThis, генериран на (единия от няколко) компютъра под подозрение.

Впрочем, аз още преди месец бях пускал HijackThis (друга версия, май 2.0.2, но тогава не бях прилагал трика с преименуване на ЕХЕ-то). Само че тогава не успях да стигна до еднозначни заключения за източник на зараза.

Видях, че днешният log е малко по-голям от онзи, явно е по-богат на "впечатления".

Очаквам с интерес резултата от анализа и предварително благодаря !

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:26:07, on 10.1.2008 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\WINDOWS\pchealth\services.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\Datecs\Flex2K.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

D:\Install\alabala-HijackThis1.99.1.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:6588

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Reader 7.0.5\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\pchealth\services.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Adobe Reader 7.0.5\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Adobe Reader 7.0.5\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O4 - Global Startup: FlexType 2K.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{25D2E2AC-AAEC-4F95-83DE-16112C4E31F8}: NameServer = 192.168.0.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: ANSYS FLEXlm license manager - Unknown owner - C:\Program Files\Ansys Inc\Shared Files\Licensing\Intel\lmgrd.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[VIS]

Мен само ме съмнява C:\WINDOWS\pchealth\services.exe и причината за това е, че на моя компютър services.exe се намира в C:\WINDOWS\system32\services.exe

Надявам се някой друг да каже нещо с което да помогне

[Night_Raven]

Аз нарочно ти дадох файла преименуван, нямаше нужда да го преименуваш. Не че е лошо, де.

Единственото, което ме съмнява, е и посоченото от VIS. Маркирай го и кликни Fix checked.

Друго, което бих препоръчал, е да се сканира с ComboFix (1.5MB). Изтегли го, стартирай го и следвай инструкциите. Желателно е да не кликаш по екранчето и да си спрял всички важни програми (да си подготвен).

[Cheers]

Като допълнение на VIS може да ти препоръчам да си пуснеш едно сканиране с RegistryBooster: Цък.

Направи сканирането, след като фиксираш проблема, както те съветва Night_Raven.

[vesilp]

Мен само ме съмнява C:\WINDOWS\pchealth\services.exe и причината за това е, че на моя компютър services.exe се намира в C:\WINDOWS\system32\services.exe

Надявам се някой друг да каже нещо с което да помогне

 

Днес изненадващо ме пратиха в командировка и не можах пълноценно да се ровя в проблема...

Все пак - съгласен съм, че горният C:\WINDOWS\pchealth\services.exe е съмнителен, след като това му се оказа второ копие ! Едновременно с него си съществуваше и C:\WINDOWS\system32\services.exe При това двата бяха с различни размери и дати, като съмнителният не беше с "Windows"-ка дата (датата на инсталацията), а от преди месец ! Дадох на HijackThis да го изчисти. След което мушнах флаша. За малко да се зарадвам - не се появи червеният NOD32 прозорец, но вместо него се появи флаш-съобщение на Windows (онова в System Tray), че НЕ МОЖЕ ДА РАЗПОЗНАЕ "USB device" ! Re-insert-нах флаша ... и познатото проклето съобщение на NOD32 за "INF /Autorun virus" си се появи отново. Тогава установих, че съмнителният ЕХЕ продължава да си стои на мястото - C:\WINDOWS\pchealth\services.exe Изтрих го ръчно. Проблемът си остана !

 

Аз нарочно ти дадох файла преименуван, нямаше нужда да го преименуваш. Не че е лошо, де.

Единственото, което ме съмнява, е и посоченото от VIS. Маркирай го и кликни Fix checked.

Друго, което бих препоръчал, е да се сканира с ComboFix (1.5MB). Изтегли го, стартирай го и следвай инструкциите. Желателно е да не кликаш по екранчето и да си спрял всички важни програми (да си подготвен).

 

 

Благодаря и за този нов съвет - за ComboFix (не го познавах досега).

Изтеглих го и го стартирах (не съм сигурен, обаче, че не съм пипал мишката по време на сканирането). Във всеки случай, не ме обвини в някакви нарушения на работата му... Стартирани от мен програми нямаше. Но не съм пипал/изключвал, например, никакви Startup-процеси/програми... В крайна сметка ComboFix си изкара някакви списъци на файлове, но без никакъв съществен коментар. Т.е. не съобщи нищо за някакви открити проблеми. Така и след този пореден опит си оставам на изходната позиция...

[Night_Raven]

ComboFix създава LOG файл (C:\ComboFix.txt), в който пише какво е правил по компютъра. Не знам дали е оправил проблема. Няма никаква гаранция. Просто понякога ме е спасявал в подобни ситуации.

[Slammer]

NOD32 дава ли съобщение, че autorun.inf е инфектиран с Win32/PSW.Agent.NDP trojan?

 

Ако е така, може да имаш Kavo вирус, който се чисти лесно. Виж дали имаш:

 

Изключваш System Restore и чистиш с ето тези тайвански и китайски чистачки:

 

1. Kavo Killer: http://game76420.myweb.hinet.net/kavo_killer.exe

2. За USB почистване на Kavo: Цък

 

ПС. Виж дали ти се ъпдейтва NOD32, че нещо напоследък има някои проблеми при тези, които имат пачната версия на NOD 32, което не препоръчвам на никого.

Изпълни същите инструкции, само че под Safe Mode, като преди почисти харда си от всякакви ТЕМП-файлове.

Също така опитай и този инструмент:

http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

Не веднъж ми е помагал/спасявал харда от формат .....

 

ПП Пиши какво е станало.

[vesilp]

ComboFix създава LOG файл (C:\ComboFix.txt), в който пише какво е правил по компютъра. Не знам дали е оправил проблема. Няма никаква гаранция. Просто понякога ме е спасявал в подобни ситуации.

 

 

Да, така е. Но мисля, че в \ComboFix.txt се записва точно това, което е на екрана. Т.е. нямаше докладвани някакви зарази или съмнения,

[Night_Raven]

Напротив, точно премахнати и съмнителни неща се поместват във файла.

[DAVIDOV]

Здравей, сега прочитам за вируса които се явява при включване на флашка. Този проблем го имахме и ние в офиса по точно от преди нова година но не му обръщах внимание до миналата седмица. При включване на флашка към компютър НОД веднага писваше и аз триех файла, вируса го триех и след формат на флашката. Но след това като се закачи на компютър и вируса отново се появява, т.к. аз си харесвам F-prot я инсталирах на компютъра на който работя аз (забравих да спомена че флаш паметите имат възможност да се закачат само на компютъра на които аз работя на един лап топ и компютъра които е свързан с интернет и охраняван от NOD) оказа се, че компютъра ми не е заразен, инсталирах си F-prot на лаптопа и сканирах но не откри нищо, пуснах го да сканира под DOS и го откри заедно с едно троянче, флаш вируса не го изтри. Оказа се, че сложи ли се флашка на лаптопа тя автоматично се заразява и _F-prot i NOD пискат. Вируса го изтрих ръчно и не се е появявал поне за сега. Точното му име ще ти го кажа утре т.к. си го имам запазено. . Предполагам ще е същия

[vesilp]

Напротив, точно премахнати и съмнителни неща се поместват във файла.

 

 

Може би тогава или аз нещо пропускам, или просто при мен се наблюдава друга картина. След стартиране на ComboFix той си отваря син ДОС-прозорец, в който започва сканирането си. След завършване на сканирането затваря ДОС-а и отваря Windows прозорец на Notepad, в който и се появява съдържанието на текстовия LOG-файл. При мен този файл не се Save-ва автоматично, ако аз не му дам File-Save. Именно за този файл говоря, че не съдържа никакви коментари и оценки за подозрения/зарази.

Днес пуснах нов скан на ComboFix и дали защото го погледнах с други очи, дали наистина той беше по-различен от вчера, но ми привлякоха вниманието следните 2 файла:

C:\Windows\afprj.dll

C:\Windows\afire.dll

Потърсих ги в Google и той ми върна trojan-квалификации... Започна се едно ново търсене/ровене, НО в рамките на ограничените ми възможности през работно време. В резултат на което така и не стигнах до еднозначни и категорични резултати, нито до някакво изчистване, така че проблемът още си виси, но все пак вече с някакви улики с имена.

 

Здравей, сега прочитам за вируса които се явява при включване на флашка. Този проблем го имахме и ние в офиса по точно от преди нова година но не му обръщах внимание до миналата седмица. При включване на флашка към компютър НОД веднага писваше и аз триех файла, вируса го триех и след формат на флашката. Но след това като се закачи на компютър и вируса отново се появява, т.к. аз си харесвам F-prot я инсталирах на компютъра на който работя аз (забравих да спомена че флаш паметите имат възможност да се закачат само на компютъра на които аз работя на един лап топ и компютъра които е свързан с интернет и охраняван от NOD) оказа се, че компютъра ми не е заразен, инсталирах си F-prot на лаптопа и сканирах но не откри нищо, пуснах го да сканира под DOS и го откри заедно с едно троянче, флаш вируса не го изтри. Оказа се, че сложи ли се флашка на лаптопа тя автоматично се заразява и _F-prot i NOD пискат. Вируса го изтрих ръчно и не се е появявал поне за сега. Точното му име ще ти го кажа утре т.к. си го имам запазено. . Предполагам ще е същия

 

 

Здравей !

Благодаря за това ново включване и очаквам с нетърпение новите данни утре. Дано се окаже, че и при нас случаят е същият, за да може и ние да се отървем от тази досада (за която все още не знам доколко може да е зловредна, поне досега нямаме фатални поражения...)