Update UsbFix 7.912

There are two major points in this new version of UsbFix 7.912.
The first concern the Bondat infection and its variants like proslikefan.
Indeed this infection to the particularity since his last “upgrade” to move file and user folders on the USB disk in a folder named .Trashes
This .Trashes folder is legitimate under the MAC and Android environment.
This is the “trash” folder of these operating system, Windows XP is Recycle and $Recycle.Bin from Vista.
UsbFix now restore data and reposition the displaced to their original location while suppressing the infection of course 😉

################## | System information |

MB: LENOVO (Lenovo)
CPU: Intel(R) Core(TM) i3-3110M CPU @ 2.40GHz
RAM ->

[Total : 3957 Mo | Free : 1029 Mo] Bios: Phoenix Technologies Ltd.
Boot: Normal boot

OS: Microsoft™ Windows 7 Ultimate (6.1.7600 64-Bit)
WB: Internet Explorer : 8.00.7600.16385
WB: Google Chrome : 41.0.2272.101

################## | Security Information |

AV: ESET NOD32 Antivirus 7.0 [Activado |Actualizado]
AS: Windows Defender [Activado |(!) No actualizado] AS: ESET NOD32 Antivirus 7.0 [Activado |Actualizado]
FW: Windows Firewall [Activado] SC: Security Center [Activado] WU: Windows Update [Activado]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disco fijo # 466 Gb (372 Gb libre(s) – 80%) [] # NTFS
D:\ -> CD-ROM # 4 Mb (0 Mb libre(s) – 0%) [Mi disco] # CDFS
E:\ -> Disco extraíble # 7 Gb (3 Gb libre(s) – 47%) [KINGSTON] # FAT32

################## | Búsqueda genérica |

Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\amdmonitor64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\cofme
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dcqoa
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\diskupdate.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dkcxob.js
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dskprocess64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\egbshir
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\hpmon64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\jwcovh
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\lpuqieup
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\msupdater.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe
Borrado! C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! E:\Annie.HD.www.peliculasputlocker.net.mkv.lnk
Borrado! E:\fondofull_tequierover.jpg.lnk
Borrado! E:\logotipo_tequieroveracruz4.png.lnk
Borrado! E:\logotipo_tequieroveracruz41.png.lnk
Borrado! E:\fondofull_tequierover.psd.lnk
Borrado! E:\logotipo_mandarinastudio.psd.lnk
Borrado! E:\LogotipoTeQuieroVeracruz.psd.lnk
Borrado! E:\VolanteMediaCarta_Fonstersys.psd.lnk
Borrado! E:\Folder copy 2.jpg.lnk
Borrado! E:\logo reciclaje JPG.jpg.lnk
Borrado! E:\Logo El Jarocho.png.lnk
Borrado! E:\Hoja Membretada copy.jpg.lnk
Borrado! E:\para sergrafia.cdr.lnk
Borrado! E:\invitaciones xv años.cdr.lnk
Borrado! E:\Autocopia_de_seguridad_deinvitaciones xv años.cdr.lnk
Borrado! E:\241b-01e1-4339-b08b-d59e06b0a444.mp3.lnk
Borrado! E:\Requisició de Contrato copy.jpg.lnk
Borrado! E:\mandarinaFRENTE.jpg.lnk
Borrado! E:\nota_mandarina01.psd.lnk
Borrado! E:\nota_mandarina02.psd.lnk
Borrado! E:\Logo Orvidigital.png.lnk
Borrado! E:\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv.lnk
Borrado! E:\IngRiveroll.JPG.lnk
Borrado! E:\V34753-500×500.png.lnk
Borrado! E:\unnamed.jpg.lnk
Borrado! E:\IMG-20150322-WA0003.jpg.lnk
Borrado! E:\Autorun.inf.lnk
Borrado! E:\Fonts.lnk
Borrado! E:\CONDISA.lnk
Borrado! E:\Guten Tag Ramon.www.peliculasputlocker.net.avi.lnk
Borrado! E:\Guten Tag Ramon.www.peliculasputlocker.net.srt.lnk

(!) Archivos temporales suprimido. (18758.278960228 MB)

################## | Attrib – Restore |

Restorado! E:\.Trashes\Fonts\04B.TTF -> E:\Fonts\04B.TTF
Restorado! E:\.Trashes\Fonts\3 theHard way RMX.ttf -> E:\Fonts\3 theHard way RMX.ttf
Restorado! E:\.Trashes\Fonts\cgor46w.ttf -> E:\Fonts\cgor46w.ttf
Restorado! E:\.Trashes\Fonts\cgor65w.ttf -> E:\Fonts\cgor65w.ttf
Restorado! E:\.Trashes\Fonts\cgor66w.ttf -> E:\Fonts\cgor66w.ttf
Restorado! E:\.Trashes\Fonts\cgtr45w.ttf -> E:\Fonts\cgtr45w.ttf
Restorado! E:\.Trashes\Fonts\cgtr46w.ttf -> E:\Fonts\cgtr46w.ttf
Restorado! E:\.Trashes\Fonts\cgtr65w.ttf -> E:\Fonts\cgtr65w.ttf
Restorado! E:\.Trashes\Fonts\cgtr66w.ttf -> E:\Fonts\cgtr66w.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Bold Italic.ttf -> E:\Fonts\Champagne & Limousines Bold Italic.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Bold.ttf -> E:\Fonts\Champagne & Limousines Bold.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Italic.ttf -> E:\Fonts\Champagne & Limousines Italic.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines.ttf -> E:\Fonts\Champagne & Limousines.ttf
Restorado! E:\.Trashes\Fonts\Champignon.ttf -> E:\Fonts\Champignon.ttf
Restorado! E:\.Trashes\Fonts\chanc.ttf -> E:\Fonts\chanc.ttf
Restorado! E:\.Trashes\Fonts\ChaparralPro-Bold.otf -> E:\Fonts\ChaparralPro-Bold.otf
Restorado! E:\.Trashes\Fonts\ChaparralPro-BoldIt.otf -> E:\Fonts\ChaparralPro-BoldIt.otf
Restorado! E:\.Trashes\Fonts\WINGDNG2_0.TTF -> E:\Fonts\WINGDNG2_0.TTF
Restorado! E:\.Trashes\Fonts\WINGDNG3.TTF -> E:\Fonts\WINGDNG3.TTF
Restorado! E:\.Trashes\Fonts\WINGDNG3_0.TTF -> E:\Fonts\WINGDNG3_0.TTF
Restorado! E:\.Trashes\Fonts\WIREDsaji.ttf -> E:\Fonts\WIREDsaji.ttf
Restorado! E:\.Trashes\Fonts\WireOne.ttf -> E:\Fonts\WireOne.ttf
Restorado! E:\.Trashes\Fonts\Wolf in the City Light.ttf -> E:\Fonts\Wolf in the City Light.ttf
Restorado! E:\.Trashes\Fonts\Wolf in the City.ttf -> E:\Fonts\Wolf in the City.ttf
Restorado! E:\.Trashes\Fonts\Wpco01na.ttf -> E:\Fonts\Wpco01na.ttf
Restorado! E:\.Trashes\Fonts\wpco01nb.ttf -> E:\Fonts\wpco01nb.ttf
Restorado! E:\.Trashes\Fonts\wphv01na.ttf -> E:\Fonts\wphv01na.ttf
Restorado! E:\.Trashes\Fonts\Wphv01nb.ttf -> E:\Fonts\Wphv01nb.ttf
Restorado! E:\.Trashes\Fonts\wpro01na.ttf -> E:\Fonts\wpro01na.ttf
Restorado! E:\.Trashes\Fonts\wpro01nb.ttf -> E:\Fonts\wpro01nb.ttf
Restorado! E:\.Trashes\Fonts\wst_cze0.fon -> E:\Fonts\wst_cze0.fon
Restorado! E:\.Trashes\Fonts\wst_eng0.fon -> E:\Fonts\wst_eng0.fon
Restorado! E:\.Trashes\Fonts\wst_fre0.fon -> E:\Fonts\wst_fre0.fon
Restorado! E:\.Trashes\Fonts\wst_ger0.fon -> E:\Fonts\wst_ger0.fon
Restorado! E:\.Trashes\Fonts\WWE Raw.ttf -> E:\Fonts\WWE Raw.ttf
Restorado! E:\.Trashes\Fonts\X360.ttf -> E:\Fonts\X360.ttf
Restorado! E:\.Trashes\Fonts\Young & Beautiful.ttf -> E:\Fonts\Young & Beautiful.ttf
Restorado! E:\.Trashes\Fonts\[z] Arista ExtraFilled.ttf -> E:\Fonts\[z] Arista ExtraFilled.ttf
Restorado! E:\.Trashes\Fonts\[z] Arista.ttf -> E:\Fonts\[z] Arista.ttf
Restorado! E:\.Trashes\CONDISA\DSC02308.jpg -> E:\CONDISA\DSC02308.jpg
Restorado! E:\.Trashes\CONDISA\Oficina Tula, Hgo..JPG -> E:\CONDISA\Oficina Tula, Hgo..JPG
Restorado! E:\.Trashes\CONDISA\DSC07723.JPG -> E:\CONDISA\DSC07723.JPG
Restorado! E:\.Trashes\CONDISA\DSC03386.jpg -> E:\CONDISA\DSC03386.jpg
Restorado! E:\.Trashes\CONDISA\DSC02104.jpg -> E:\CONDISA\DSC02104.jpg
Restorado! E:\.Trashes\CONDISA\GRUA 35 TON.jpg -> E:\CONDISA\GRUA 35 TON.jpg
Restorado! E:\.Trashes\CONDISA\DSC00622.jpg -> E:\CONDISA\DSC00622.jpg
Restorado! E:\.Trashes\CONDISA\DSC02066.jpg -> E:\CONDISA\DSC02066.jpg
Restorado! E:\.Trashes\CONDISA\DSC02384.jpg -> E:\CONDISA\DSC02384.jpg
Restorado! E:\.Trashes\CONDISA\DSC02365.jpg -> E:\CONDISA\DSC02365.jpg
Restorado! E:\.Trashes\CONDISA\DSC02335.jpg -> E:\CONDISA\DSC02335.jpg
Restorado! E:\.Trashes\CONDISA\DSC02270.jpg -> E:\CONDISA\DSC02270.jpg
Restorado! E:\.Trashes\CONDISA\DSC02419.jpg -> E:\CONDISA\DSC02419.jpg
Restorado! E:\.Trashes\CONDISA\DSC02536.jpg -> E:\CONDISA\DSC02536.jpg
Restorado! E:\.Trashes\CONDISA\DSC02793.JPG -> E:\CONDISA\DSC02793.JPG
Restorado! E:\.Trashes\CONDISA\LogotipoCondisa.psd -> E:\CONDISA\LogotipoCondisa.psd
Restorado! E:\.Trashes\Guten Tag Ramon.www.peliculasputlocker.net.avi -> E:\Guten Tag Ramon.www.peliculasputlocker.net.avi
Restorado! E:\.Trashes\Guten Tag Ramon.www.peliculasputlocker.net.srt -> E:\Guten Tag Ramon.www.peliculasputlocker.net.srt
Restorado! E:\.Trashes\Annie.HD.www.peliculasputlocker.net.mkv -> E:\Annie.HD.www.peliculasputlocker.net.mkv
Restorado! E:\.Trashes\fondofull_tequierover.jpg -> E:\fondofull_tequierover.jpg
Restorado! E:\.Trashes\logotipo_tequieroveracruz4.png -> E:\logotipo_tequieroveracruz4.png
Restorado! E:\.Trashes\logotipo_tequieroveracruz41.png -> E:\logotipo_tequieroveracruz41.png
Restorado! E:\.Trashes\fondofull_tequierover.psd -> E:\fondofull_tequierover.psd
Restorado! E:\.Trashes\logotipo_mandarinastudio.psd -> E:\logotipo_mandarinastudio.psd
Restorado! E:\.Trashes\LogotipoTeQuieroVeracruz.psd -> E:\LogotipoTeQuieroVeracruz.psd
Restorado! E:\.Trashes\VolanteMediaCarta_Fonstersys.psd -> E:\VolanteMediaCarta_Fonstersys.psd
Restorado! E:\.Trashes\Folder copy 2.jpg -> E:\Folder copy 2.jpg
Restorado! E:\.Trashes\logo reciclaje JPG.jpg -> E:\logo reciclaje JPG.jpg
Restorado! E:\.Trashes\Logo El Jarocho.png -> E:\Logo El Jarocho.png
Restorado! E:\.Trashes\Hoja Membretada copy.jpg -> E:\Hoja Membretada copy.jpg
Restorado! E:\.Trashes\para sergrafia.cdr -> E:\para sergrafia.cdr
Restorado! E:\.Trashes\invitaciones xv años.cdr -> E:\invitaciones xv años.cdr
Restorado! E:\.Trashes\Autocopia_de_seguridad_deinvitaciones xv años.cdr -> E:\Autocopia_de_seguridad_deinvitaciones xv años.cdr
Restorado! E:\.Trashes\241b-01e1-4339-b08b-d59e06b0a444.mp3 -> E:\241b-01e1-4339-b08b-d59e06b0a444.mp3
Restorado! E:\.Trashes\Requisició de Contrato copy.jpg -> E:\Requisició de Contrato copy.jpg
Restorado! E:\.Trashes\mandarinaFRENTE.jpg -> E:\mandarinaFRENTE.jpg
Restorado! E:\.Trashes\nota_mandarina01.psd -> E:\nota_mandarina01.psd
Restorado! E:\.Trashes\nota_mandarina02.psd -> E:\nota_mandarina02.psd
Restorado! E:\.Trashes\Logo Orvidigital.png -> E:\Logo Orvidigital.png
Restorado! E:\.Trashes\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv -> E:\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv
Restorado! E:\.Trashes\IngRiveroll.JPG -> E:\IngRiveroll.JPG
Restorado! E:\.Trashes\V34753-500×500.png -> E:\V34753-500×500.png
Restorado! E:\.Trashes\unnamed.jpg -> E:\unnamed.jpg
Restorado! E:\.Trashes\IMG-20150322-WA0003.jpg -> E:\IMG-20150322-WA0003.jpg

The second point: UsbFix will also detect RMT_SecureBrowsing.exe infection :

  • She created a copy of itself in %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • %startup%\LCL_FileProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • %startup%\LCL_SecureBrowsing.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • %startup%\LCL_SysProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • %startup%\LCL_WebProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe

She created two hidden folder on each removable disks present (USB Key, SD card, phone, camera etc etc) and moves all user files :

  • [24/03/2015 – 21:38:59 | RSHD] – E:\RMT_UserData
  • [24/03/2015 – 21:39:04 | RSHD] – E:\RMT_Core

It places its malicious code in the folder : %Drive%\RMT_Core\RMT_SecureBrowsing.exe
it created a trapped shortcut (SecureBrowsing.lnk) which will call the file : %Drive%\RMT_Core\RMT_SecureBrowsing.exe to launch malicious code and display the moved content.
It is a way to hijack the user’s data.

  • [24/03/2015 – 21:39:26 | A | 1 Ko] – E:\SecureBrowsing.lnk

L  À F‰   PàOÐ ê:i¢Ø +00 /F:\ V 1  RMT_Core >   ï¾ * R M T _ C o r e  € 2 RMT_SecureBrowsing.exe Z   ï¾ * R M T _ S e c u r e B r o w s i n g . e x e & ! . \ R M T _ C o r e \ R M T _ S e c u r e B r o w s i n g . e x e (  1SPSâŠXF¼L8C»ü“&˜mÎ

We also added :

  • A major update of the database
  • Review some MessageBox (Add a close button)
  • We work on real-time protection module
2017-01-17T09:29:39+00:00

6 Comments

  1. Bruce July 15, 2016 at 2:29 AM

    Awesome! Keep up the good work!

  2. Dale September 2, 2015 at 1:37 PM

    It keeps saying that a new update is available. I’ve tried uninstalling and reinstalling, but it keeps saying the same thing???? help

  3. aungchan88gyi@gmail.com August 31, 2015 at 3:31 PM

    i like this

  4. feri juon June 16, 2015 at 12:02 AM

    im feri solicit feeri download usbfix

  5. omid March 27, 2015 at 3:56 AM

    HI TANK you………..

Leave A Comment