Update UsbFix 7.912

/ 7.912, Bondat, Hijack, SecureBrowsing / 6 minutes of reading

There are two major points in this new version of UsbFix 7.912.
The first concern the Bondat infection and its variants like proslikefan.
Indeed this infection to the particularity since his last “upgrade” to move file and user folders on the USB disk in a folder named .Trashes
This .Trashes folder is legitimate under the MAC and Android environment.
This is the “trash” folder of these operating system, Windows XP is Recycle and $Recycle.Bin from Vista.
UsbFix now restore data and reposition the displaced to their original location while suppressing the infection of course ;)

################## | System information |

MB: LENOVO (Lenovo)
CPU: Intel(R) Core(TM) i3-3110M CPU @ 2.40GHz
RAM -> [fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][Total : 3957 Mo | Free : 1029 Mo]
Bios: Phoenix Technologies Ltd.
Boot: Normal boot

OS: Microsoft™ Windows 7 Ultimate (6.1.7600 64-Bit)
WB: Internet Explorer : 8.00.7600.16385
WB: Google Chrome : 41.0.2272.101

################## | Security Information |

AV: ESET NOD32 Antivirus 7.0 [Activado |Actualizado]
AS: Windows Defender [Activado |(!) No actualizado]
AS: ESET NOD32 Antivirus 7.0 [Activado |Actualizado]
FW: Windows Firewall [Activado]
SC: Security Center [Activado]
WU: Windows Update [Activado]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disco fijo # 466 Gb (372 Gb libre(s) – 80%) [] # NTFS
D:\ -> CD-ROM # 4 Mb (0 Mb libre(s) – 0%) [Mi disco] # CDFS
E:\ -> Disco extraíble # 7 Gb (3 Gb libre(s) – 47%) [KINGSTON] # FAT32

################## | Búsqueda genérica |

Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\amdmonitor64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\cofme
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dcqoa
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\diskupdate.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dkcxob.js
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dskprocess64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\egbshir
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\hpmon64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\jwcovh
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\lpuqieup
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\msupdater.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe
Borrado! C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! E:\Annie.HD.www.peliculasputlocker.net.mkv.lnk
Borrado! E:\fondofull_tequierover.jpg.lnk
Borrado! E:\logotipo_tequieroveracruz4.png.lnk
Borrado! E:\logotipo_tequieroveracruz41.png.lnk
Borrado! E:\fondofull_tequierover.psd.lnk
Borrado! E:\logotipo_mandarinastudio.psd.lnk
Borrado! E:\LogotipoTeQuieroVeracruz.psd.lnk
Borrado! E:\VolanteMediaCarta_Fonstersys.psd.lnk
Borrado! E:\Folder copy 2.jpg.lnk
Borrado! E:\logo reciclaje JPG.jpg.lnk
Borrado! E:\Logo El Jarocho.png.lnk
Borrado! E:\Hoja Membretada copy.jpg.lnk
Borrado! E:\para sergrafia.cdr.lnk
Borrado! E:\invitaciones xv años.cdr.lnk
Borrado! E:\Autocopia_de_seguridad_deinvitaciones xv años.cdr.lnk
Borrado! E:\241b-01e1-4339-b08b-d59e06b0a444.mp3.lnk
Borrado! E:\Requisició de Contrato copy.jpg.lnk
Borrado! E:\mandarinaFRENTE.jpg.lnk
Borrado! E:\nota_mandarina01.psd.lnk
Borrado! E:\nota_mandarina02.psd.lnk
Borrado! E:\Logo Orvidigital.png.lnk
Borrado! E:\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv.lnk
Borrado! E:\IngRiveroll.JPG.lnk
Borrado! E:\V34753-500×500.png.lnk
Borrado! E:\unnamed.jpg.lnk
Borrado! E:\IMG-20150322-WA0003.jpg.lnk
Borrado! E:\Autorun.inf.lnk
Borrado! E:\Fonts.lnk
Borrado! E:\CONDISA.lnk
Borrado! E:\Guten Tag Ramon.www.peliculasputlocker.net.avi.lnk
Borrado! E:\Guten Tag Ramon.www.peliculasputlocker.net.srt.lnk

(!) Archivos temporales suprimido. (18758.278960228 MB)

################## | Attrib – Restore |

Restorado! E:\.Trashes\Fonts\04B.TTF -> E:\Fonts\04B.TTF
Restorado! E:\.Trashes\Fonts\3 theHard way RMX.ttf -> E:\Fonts\3 theHard way RMX.ttf
Restorado! E:\.Trashes\Fonts\cgor46w.ttf -> E:\Fonts\cgor46w.ttf
Restorado! E:\.Trashes\Fonts\cgor65w.ttf -> E:\Fonts\cgor65w.ttf
Restorado! E:\.Trashes\Fonts\cgor66w.ttf -> E:\Fonts\cgor66w.ttf
Restorado! E:\.Trashes\Fonts\cgtr45w.ttf -> E:\Fonts\cgtr45w.ttf
Restorado! E:\.Trashes\Fonts\cgtr46w.ttf -> E:\Fonts\cgtr46w.ttf
Restorado! E:\.Trashes\Fonts\cgtr65w.ttf -> E:\Fonts\cgtr65w.ttf
Restorado! E:\.Trashes\Fonts\cgtr66w.ttf -> E:\Fonts\cgtr66w.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Bold Italic.ttf -> E:\Fonts\Champagne & Limousines Bold Italic.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Bold.ttf -> E:\Fonts\Champagne & Limousines Bold.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Italic.ttf -> E:\Fonts\Champagne & Limousines Italic.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines.ttf -> E:\Fonts\Champagne & Limousines.ttf
Restorado! E:\.Trashes\Fonts\Champignon.ttf -> E:\Fonts\Champignon.ttf
Restorado! E:\.Trashes\Fonts\chanc.ttf -> E:\Fonts\chanc.ttf
Restorado! E:\.Trashes\Fonts\ChaparralPro-Bold.otf -> E:\Fonts\ChaparralPro-Bold.otf
Restorado! E:\.Trashes\Fonts\ChaparralPro-BoldIt.otf -> E:\Fonts\ChaparralPro-BoldIt.otf
Restorado! E:\.Trashes\Fonts\WINGDNG2_0.TTF -> E:\Fonts\WINGDNG2_0.TTF
Restorado! E:\.Trashes\Fonts\WINGDNG3.TTF -> E:\Fonts\WINGDNG3.TTF
Restorado! E:\.Trashes\Fonts\WINGDNG3_0.TTF -> E:\Fonts\WINGDNG3_0.TTF
Restorado! E:\.Trashes\Fonts\WIREDsaji.ttf -> E:\Fonts\WIREDsaji.ttf
Restorado! E:\.Trashes\Fonts\WireOne.ttf -> E:\Fonts\WireOne.ttf
Restorado! E:\.Trashes\Fonts\Wolf in the City Light.ttf -> E:\Fonts\Wolf in the City Light.ttf
Restorado! E:\.Trashes\Fonts\Wolf in the City.ttf -> E:\Fonts\Wolf in the City.ttf
Restorado! E:\.Trashes\Fonts\Wpco01na.ttf -> E:\Fonts\Wpco01na.ttf
Restorado! E:\.Trashes\Fonts\wpco01nb.ttf -> E:\Fonts\wpco01nb.ttf
Restorado! E:\.Trashes\Fonts\wphv01na.ttf -> E:\Fonts\wphv01na.ttf
Restorado! E:\.Trashes\Fonts\Wphv01nb.ttf -> E:\Fonts\Wphv01nb.ttf
Restorado! E:\.Trashes\Fonts\wpro01na.ttf -> E:\Fonts\wpro01na.ttf
Restorado! E:\.Trashes\Fonts\wpro01nb.ttf -> E:\Fonts\wpro01nb.ttf
Restorado! E:\.Trashes\Fonts\wst_cze0.fon -> E:\Fonts\wst_cze0.fon
Restorado! E:\.Trashes\Fonts\wst_eng0.fon -> E:\Fonts\wst_eng0.fon
Restorado! E:\.Trashes\Fonts\wst_fre0.fon -> E:\Fonts\wst_fre0.fon
Restorado! E:\.Trashes\Fonts\wst_ger0.fon -> E:\Fonts\wst_ger0.fon
Restorado! E:\.Trashes\Fonts\WWE Raw.ttf -> E:\Fonts\WWE Raw.ttf
Restorado! E:\.Trashes\Fonts\X360.ttf -> E:\Fonts\X360.ttf
Restorado! E:\.Trashes\Fonts\Young & Beautiful.ttf -> E:\Fonts\Young & Beautiful.ttf
Restorado! E:\.Trashes\Fonts\[z] Arista ExtraFilled.ttf -> E:\Fonts\[z] Arista ExtraFilled.ttf
Restorado! E:\.Trashes\Fonts\[z] Arista.ttf -> E:\Fonts\[z] Arista.ttf
Restorado! E:\.Trashes\CONDISA\DSC02308.jpg -> E:\CONDISA\DSC02308.jpg
Restorado! E:\.Trashes\CONDISA\Oficina Tula, Hgo..JPG -> E:\CONDISA\Oficina Tula, Hgo..JPG
Restorado! E:\.Trashes\CONDISA\DSC07723.JPG -> E:\CONDISA\DSC07723.JPG
Restorado! E:\.Trashes\CONDISA\DSC03386.jpg -> E:\CONDISA\DSC03386.jpg
Restorado! E:\.Trashes\CONDISA\DSC02104.jpg -> E:\CONDISA\DSC02104.jpg
Restorado! E:\.Trashes\CONDISA\GRUA 35 TON.jpg -> E:\CONDISA\GRUA 35 TON.jpg
Restorado! E:\.Trashes\CONDISA\DSC00622.jpg -> E:\CONDISA\DSC00622.jpg
Restorado! E:\.Trashes\CONDISA\DSC02066.jpg -> E:\CONDISA\DSC02066.jpg
Restorado! E:\.Trashes\CONDISA\DSC02384.jpg -> E:\CONDISA\DSC02384.jpg
Restorado! E:\.Trashes\CONDISA\DSC02365.jpg -> E:\CONDISA\DSC02365.jpg
Restorado! E:\.Trashes\CONDISA\DSC02335.jpg -> E:\CONDISA\DSC02335.jpg
Restorado! E:\.Trashes\CONDISA\DSC02270.jpg -> E:\CONDISA\DSC02270.jpg
Restorado! E:\.Trashes\CONDISA\DSC02419.jpg -> E:\CONDISA\DSC02419.jpg
Restorado! E:\.Trashes\CONDISA\DSC02536.jpg -> E:\CONDISA\DSC02536.jpg
Restorado! E:\.Trashes\CONDISA\DSC02793.JPG -> E:\CONDISA\DSC02793.JPG
Restorado! E:\.Trashes\CONDISA\LogotipoCondisa.psd -> E:\CONDISA\LogotipoCondisa.psd
Restorado! E:\.Trashes\Guten Tag Ramon.www.peliculasputlocker.net.avi -> E:\Guten Tag Ramon.www.peliculasputlocker.net.avi
Restorado! E:\.Trashes\Guten Tag Ramon.www.peliculasputlocker.net.srt -> E:\Guten Tag Ramon.www.peliculasputlocker.net.srt
Restorado! E:\.Trashes\Annie.HD.www.peliculasputlocker.net.mkv -> E:\Annie.HD.www.peliculasputlocker.net.mkv
Restorado! E:\.Trashes\fondofull_tequierover.jpg -> E:\fondofull_tequierover.jpg
Restorado! E:\.Trashes\logotipo_tequieroveracruz4.png -> E:\logotipo_tequieroveracruz4.png
Restorado! E:\.Trashes\logotipo_tequieroveracruz41.png -> E:\logotipo_tequieroveracruz41.png
Restorado! E:\.Trashes\fondofull_tequierover.psd -> E:\fondofull_tequierover.psd
Restorado! E:\.Trashes\logotipo_mandarinastudio.psd -> E:\logotipo_mandarinastudio.psd
Restorado! E:\.Trashes\LogotipoTeQuieroVeracruz.psd -> E:\LogotipoTeQuieroVeracruz.psd
Restorado! E:\.Trashes\VolanteMediaCarta_Fonstersys.psd -> E:\VolanteMediaCarta_Fonstersys.psd
Restorado! E:\.Trashes\Folder copy 2.jpg -> E:\Folder copy 2.jpg
Restorado! E:\.Trashes\logo reciclaje JPG.jpg -> E:\logo reciclaje JPG.jpg
Restorado! E:\.Trashes\Logo El Jarocho.png -> E:\Logo El Jarocho.png
Restorado! E:\.Trashes\Hoja Membretada copy.jpg -> E:\Hoja Membretada copy.jpg
Restorado! E:\.Trashes\para sergrafia.cdr -> E:\para sergrafia.cdr
Restorado! E:\.Trashes\invitaciones xv años.cdr -> E:\invitaciones xv años.cdr
Restorado! E:\.Trashes\Autocopia_de_seguridad_deinvitaciones xv años.cdr -> E:\Autocopia_de_seguridad_deinvitaciones xv años.cdr
Restorado! E:\.Trashes\241b-01e1-4339-b08b-d59e06b0a444.mp3 -> E:\241b-01e1-4339-b08b-d59e06b0a444.mp3
Restorado! E:\.Trashes\Requisició de Contrato copy.jpg -> E:\Requisició de Contrato copy.jpg
Restorado! E:\.Trashes\mandarinaFRENTE.jpg -> E:\mandarinaFRENTE.jpg
Restorado! E:\.Trashes\nota_mandarina01.psd -> E:\nota_mandarina01.psd
Restorado! E:\.Trashes\nota_mandarina02.psd -> E:\nota_mandarina02.psd
Restorado! E:\.Trashes\Logo Orvidigital.png -> E:\Logo Orvidigital.png
Restorado! E:\.Trashes\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv -> E:\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv
Restorado! E:\.Trashes\IngRiveroll.JPG -> E:\IngRiveroll.JPG
Restorado! E:\.Trashes\V34753-500×500.png -> E:\V34753-500×500.png
Restorado! E:\.Trashes\unnamed.jpg -> E:\unnamed.jpg
Restorado! E:\.Trashes\IMG-20150322-WA0003.jpg -> E:\IMG-20150322-WA0003.jpg

[fusion_separator top=”30″ bottom=”30″ style=”shadow”/]

The second point: UsbFix will also detect RMT_SecureBrowsing.exe infection :

[fusion_checklist icon=”fa-chevron-right” iconcolor=”” circle=”” circlecolor=”” size=”15px” class=”” id=””]
[fusion_li_item icon=””]She created a copy of itself in %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe[/fusion_li_item]
[fusion_li_item icon=””]%startup%\LCL_FileProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe[/fusion_li_item]
[fusion_li_item icon=””]%startup%\LCL_SecureBrowsing.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe[/fusion_li_item]
[fusion_li_item icon=””]%startup%\LCL_SysProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe[/fusion_li_item]
[fusion_li_item icon=””]%startup%\LCL_WebProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe[/fusion_li_item]
[/fusion_checklist]

She created two hidden folder on each removable disks present (USB Key, SD card, phone, camera etc etc) and moves all user files :

[fusion_checklist icon=”fa-chevron-right” iconcolor=”” circle=”” circlecolor=”” size=”15px” class=”” id=””]
[fusion_li_item icon=””] [24/03/2015 – 21:38:59 | RSHD] – E:\RMT_UserData[/fusion_li_item]
[fusion_li_item icon=””][24/03/2015 – 21:39:04 | RSHD] – E:\RMT_Core[/fusion_li_item]
[/fusion_checklist]

It places its malicious code in the folder : %Drive%\RMT_Core\RMT_SecureBrowsing.exe
it created a trapped shortcut (SecureBrowsing.lnk) which will call the file : %Drive%\RMT_Core\RMT_SecureBrowsing.exe to launch malicious code and display the moved content.
It is a way to hijack the user’s data.

[fusion_checklist icon=”fa-chevron-right” iconcolor=”” circle=”” circlecolor=”” size=”15px” class=”” id=””]
[fusion_li_item icon=””][24/03/2015 – 21:39:26 | A | 1 Ko] – E:\SecureBrowsing.lnk[/fusion_li_item]
[/fusion_checklist]

L  À F‰   PàOÐ ê:i¢Ø +00 /F:\ V 1  RMT_Core >   ï¾ * R M T _ C o r e  € 2 RMT_SecureBrowsing.exe Z   ï¾ * R M T _ S e c u r e B r o w s i n g . e x e & ! . \ R M T _ C o r e \ R M T _ S e c u r e B r o w s i n g . e x e (  1SPSâŠXF¼L8C»ü“&˜mÎ

[fusion_separator top=”30″ bottom=”30″ style=”shadow”/]

We also added :

[fusion_checklist icon=”fa-chevron-right” iconcolor=”” circle=”” circlecolor=”” size=”15px” class=”” id=””]
[fusion_li_item icon=””]A major update of the database[/fusion_li_item]
[fusion_li_item icon=””]Review some MessageBox (Add a close button) [/fusion_li_item]
[fusion_li_item icon=””]We work on real-time protection module[/fusion_li_item]
[/fusion_checklist][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]

6 thoughts on “Update UsbFix 7.912”

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Shopping Cart
Scroll to Top