Win32/Rustosk

[siwo]

Objevila se mi objevila hláška:

27.3.2010 17:34:51 Kontrola při startu operační paměť
Operační paměť Win32/Rustock trojský kůň
chyba při léčení - akce není povolena pro tento typ objektu OTA-PC\OTA

Prosím, poraďte mi nekdo, co s tím. Děkuji Michalik

[earl]

Zdravim,

pokud mate Win XP,popr. Win Vista nebo 7 32bit,tak udelejte nasledujici:

CTETE POZORNE NAVOD,TENTO SOFT NETOLERUJE CHYBY V POSTUPU APLIKOVANI!

Klidne si nasledujici radky vytisknete,at vite,co se bude na obrazovce odehravat.

Budte prihlasen na pc s administratorskymi pravy.

stahnete a ulozte nejlepe na plochu ComboFix

v pripade,ze nepujde stranka nacist-stahnete odtud download , popr. nepujde ComboFix spustit - prejmenujte jej na grinder.com a postupujte dale dle instrukci.

hned po startu se zobrazi Zreknuti se prava zaruky na funkcnost software, pokracujte kliknutim na tlacitko Ano:



pote muze nasledovat upozorneni na nainstalovane emulatory CD mechanik,typicky Daemon Tools nebo Alcohol 120



odklepnout OK

Souhlasit s instalaci Recovery console(Konzola pro zotaveni)-nutno funkcni internet

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: upozorneni: Vypnete rezidentni stit u antiviru a antispywaru a zakazte docasne firewall-ComboFix by nemusel fungovat korektne-pokud budete mit stity vypnute a Combofix zahlasi,ze nejsou,pokracujte dal a potvrdte.

po restartu aplikace vytvori log, ulozeny na C:/Combofix.txt (pri opakovanem pouziti jsou logy oznaceny Combofix2.txt atd.), jeho obsah vlozte sem

[siwo]

Udělal jsem vše podle vytištěného, vámi popsaného návodu.
Zde je log.

ComboFix 10-03-26.02 - OTA 27.03.2010 19:26:20.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.624 [GMT 1:00]
Spuštěný z: c:\documents and settings\OTA\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\drivers\5802148d.sys
c:\windows\system32\ieuinit.inf
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_5802148d


((((((((((((((((((((((((( Soubory vytvořené od 2010-02-27 do 2010-03-27 )))))))))))))))))))))))))))))))
.

2010-03-27 16:22 . 2010-03-27 16:22 -------- d-----w- c:\windows\system32\wbem\Repository
2010-03-27 16:21 . 2010-03-27 16:29 -------- d-----w- c:\windows\LastGood
2010-03-27 11:03 . 2010-03-27 16:21 -------- d-----w- C:\SDFix
2010-03-26 16:50 . 2010-03-27 16:21 -------- d-----w- c:\windows\$hf_mig$
2010-03-26 16:45 . 2010-03-27 16:21 -------- d-----w- C:\RECYCLER(2)
2010-03-26 07:55 . 2010-03-26 07:55 -------- d-----w- c:\program files\ESET
2010-03-26 07:02 . 2010-03-26 07:02 -------- d-----w- c:\documents and settings\LocalService\Plocha
2010-03-25 19:06 . 2010-03-27 17:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-03-16 09:44 . 2010-03-26 07:48 -------- dc----w- c:\windows\system32\DRVSTORE
2010-03-16 09:43 . 2010-03-26 07:49 -------- d-----w- c:\program files\Lavasoft
2010-03-10 23:45 . 2010-03-10 23:45 -------- d-----w- c:\documents and settings\OTA\.netbeans-derby
2010-03-10 22:24 . 2010-03-26 06:23 -------- d-----w- c:\documents and settings\OTA\.netbeans
2010-03-10 22:24 . 2010-03-10 22:24 -------- d-----w- c:\documents and settings\OTA\.netbeans-registration
2010-03-10 22:01 . 2010-03-26 06:24 -------- d-----w- c:\program files\NetBeans 6.8
2010-03-10 22:00 . 2010-03-26 06:25 -------- d-----w- c:\documents and settings\OTA\.nbi
2010-03-10 21:59 . 2010-03-10 21:59 -------- d-----w- c:\program files\Sun
2010-03-10 21:56 . 2010-03-10 21:58 -------- d-----w- c:\program files\Java
2010-03-09 09:13 . 2010-03-09 09:13 95872 ----a-w- c:\windows\system32\drivers\epfwtdir.sys
2010-03-09 09:13 . 2010-03-09 09:13 114984 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2010-03-09 09:11 . 2010-03-09 09:11 139192 ----a-w- c:\windows\system32\drivers\eamon.sys
2010-03-02 18:54 . 2004-08-17 14:49 18944 ----a-w- c:\windows\system32\wbem\wbemprox(5).dll
2010-03-02 18:53 . 2004-08-17 14:49 98816 ----a-w- c:\windows\system32\winscard(5).dll
2010-03-02 13:19 . 2004-08-17 14:49 25471 ----a-w- c:\windows\system32\drivers\atv04nt5.dll
2010-03-02 13:18 . 2004-08-03 22:08 26624 ----a-w- c:\windows\system32\drivers\usbehci.sys
2010-03-02 13:12 . 2010-03-27 11:10 -------- d-----w- c:\windows\system32\CatRoot_bak
2010-03-01 18:18 . 2008-06-02 14:19 29576 ----a-w- c:\windows\system32\drivers\kcom.sys
2010-03-01 18:18 . 2008-08-25 10:36 81288 ----a-w- c:\windows\system32\drivers\iksyssec.sys
2010-03-01 18:18 . 2008-08-25 10:36 40840 ----a-w- c:\windows\system32\drivers\ikfilesec.sys
2010-03-01 18:18 . 2008-08-25 10:36 66952 ----a-w- c:\windows\system32\drivers\iksysflt.sys
2010-03-01 10:49 . 1998-11-13 11:58 307200 ----a-w- c:\windows\IsUn0405.exe
2010-03-01 10:46 . 2010-03-01 10:46 -------- d-----w- c:\program files\VIA Technologies, Inc
2010-03-01 10:46 . 2003-10-03 15:28 45056 ----a-w- c:\windows\system32\vusetup.dll
2010-03-01 10:46 . 2003-08-04 14:29 6912 ----a-w- c:\windows\system32\drivers\vulfnth.sys
2010-03-01 10:46 . 2003-08-04 14:29 11392 ----a-w- c:\windows\system32\drivers\vulfntr.sys
2010-03-01 10:46 . 1998-10-29 15:45 306688 ----a-w- c:\windows\IsUninst.exe
2010-03-01 10:36 . 2004-08-17 14:44 31744 -c--a-w- c:\windows\system32\dllcache\wceusbsh.sys
2010-03-01 10:29 . 2010-03-01 10:29 -------- d-----w- C:\Ibmtools
2010-02-25 19:01 . 2008-07-29 06:04 545 ----a-w- c:\windows\UC.PIF
2010-02-25 19:01 . 2008-07-29 06:04 545 ----a-w- c:\windows\RAR.PIF
2010-02-25 19:01 . 2008-07-29 06:04 545 ----a-w- c:\windows\PKZIP.PIF
2010-02-25 19:01 . 2008-07-29 06:04 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-02-25 19:01 . 2008-07-29 06:04 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-02-25 19:01 . 2008-07-29 06:04 545 ----a-w- c:\windows\LHA.PIF
2010-02-25 19:01 . 2008-07-29 06:04 545 ----a-w- c:\windows\ARJ.PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-26 06:19 . 2009-11-26 14:49 -------- d-----w- c:\program files\Seznam.cz
2010-03-10 21:58 . 2008-12-12 16:53 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-03 18:21 . 2008-03-30 07:32 1606 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-03-02 19:26 . 2007-03-03 20:59 80007 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-03-02 19:26 . 2007-03-03 20:59 2410 ----a-w- c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2010-03-01 14:14 . 2007-03-03 21:15 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-01 10:51 . 2007-03-03 21:12 120 ----a-w- C:\nvdata.dat
2010-01-30 13:07 . 2008-01-12 17:59 -------- d-----w- c:\program files\Common Files\Adobe
2009-08-19 17:53 . 2009-08-19 17:53 4523520 ----a-w- c:\program files\WDSync_v7_1_020.exe
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-18 5562368]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-09 2140880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lavasoft ad-aware service]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMan"=SOUNDMAN.EXE
"NvMediaCenter"=RUNDLL32.EXE c:\windows\System32\NvMcTray.dll,NvTaskbarInit
"NvCplDaemon"=RUNDLL32.EXE c:\windows\System32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"SW20"=c:\windows\System32\sw20.exe
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [9.3.2010 10:13 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [9.3.2010 10:13 95872]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [9.3.2010 10:13 810120]
S3 rsusbstor;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys --> c:\windows\system32\Drivers\RtsUStor.sys [?]
S3 sdauxservice;PC Tools Auxiliary Service;d:\program files\Spyware Doctor\pctsAuxs.exe --> d:\program files\Spyware Doctor\pctsAuxs.exe [?]
.
Obsah adresáře 'Naplánované úlohy'

2009-12-18 c:\windows\Tasks\1-Click Maintenance.job
- d:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-21 16:54]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
TCP: {92FB3F5C-CE57-4B9A-B586-77DB58A438BD} = 192.168.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\OTA\Data aplikací\Mozilla\Firefox\Profiles\z9j23i4a.default\
FF - prefs.js: browser.startup.homepage - www.seznam.cz
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll

---- NASTAVENÍ FIREFOXU ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-27 19:34
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(1164)
c:\windows\system32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-03-27 19:37:11 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-03-27 18:37
ComboFix2.txt 2010-03-26 12:44

Před spuštěním: 7 538 446 336
Po spuštění: 7 480 258 560

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 848A51131A8C64838B021D9E0B8965EA
Prosím o radu co dál. Děkuji Michalik

[earl]

:arrow:Otestujte na VIRUSTOTALu a JOTTISCANu

c:\windows\IsUn0405.exe

(navod prosty: po nacteni stranky kliknete na tlacitko Prochazet , najdete cestu k vyse zminenemu souboru a kliknete na tlacitko Odeslat soubor; dejte skenerum nejakych deset minut; vysledky sem vlozte)

Pokud skener napíše, že soubor již byl testován, dejte otestovat znovu.

Kde presne byl Rustock hlasen - umisteni?

[siwo]

Tak jsem poslal ten soubor ke kontrole.
Výsledek¨je zde:

Soubor IsUn0405.exe přijatý 2010.03.28 10:18:35 (UTC)
Současný stav: Čekejte ... Ve frontě Čekání Testování Dokončeno NENALEZENO ZASTAVENO
Výsledek: 0/42 (0%)
Načítám informace ze serveru...
Váš soubor čeká ve frontě na pozici: 1.
Odhadovaný čas začátku mezi 42 a 60 sekundami.
Nezavírejte toto okno dokud nebude test dokončen.
Právě testující program byl je zastaven, probíhá čekání na program.
Za chvíli bude proveden další pokus o otestování souboru.
Pokud budete čekat déle než-li pět minut odešlete Váš soubor znovu.
Váš soubor je nyní testován pomocí VirusTotal,
výsledky budou zobrazeny po dokončení.
Formátované Formátované
Vytisknout výsledky Vytisknout výsledky
Váš soubor není platný, nebo neexistuje.
Služba je pozastavena v tuto chvíli, váš soubor čeká na otestování (pozice: ) po nespecifikovanou dobu.

Nyní čekejte na odezvu webu (automatické obnovení), nebo napište email do pole a klikněte na "vyžádat" a systém Vám zašle email s výsledky až bude test hotov.
Email:

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.03.28 -
AhnLab-V3 5.0.0.2 2010.03.27 -
AntiVir 7.10.5.241 2010.03.26 -
Antiy-AVL 2.0.3.7 2010.03.26 -
Authentium 5.2.0.5 2010.03.28 -
Avast 4.8.1351.0 2010.03.27 -
Avast5 5.0.332.0 2010.03.27 -
AVG 9.0.0.787 2010.03.28 -
BitDefender 7.2 2010.03.28 -
CAT-QuickHeal 10.00 2010.03.27 -
ClamAV 0.96.0.0-git 2010.03.28 -
Comodo 4409 2010.03.28 -
DrWeb 5.0.1.12222 2010.03.28 -
eSafe 7.0.17.0 2010.03.25 -
eTrust-Vet 35.2.7391 2010.03.26 -
F-Prot 4.5.1.85 2010.03.27 -
F-Secure 9.0.15370.0 2010.03.28 -
Fortinet 4.0.14.0 2010.03.27 -
GData 19 2010.03.28 -
Ikarus T3.1.1.80.0 2010.03.28 -
Jiangmin 13.0.900 2010.03.28 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.28 -
McAfee 5933 2010.03.27 -
McAfee+Artemis 5933 2010.03.27 -
McAfee-GW-Edition 6.8.5 2010.03.27 -
Microsoft 1.5605 2010.03.28 -
NOD32 4978 2010.03.26 -
Norman 6.04.10 2010.03.27 -
nProtect 2009.1.8.0 2010.03.28 -
Panda 10.0.2.2 2010.03.27 -
PCTools 7.0.3.5 2010.03.28 -
Prevx 3.0 2010.03.28 -
Rising 22.40.06.04 2010.03.28 -
Sophos 4.52.0 2010.03.28 -
Sunbelt 6101 2010.03.26 -
Symantec 20091.2.0.41 2010.03.28 -
TheHacker 6.5.2.0.246 2010.03.28 -
TrendMicro 9.120.0.1004 2010.03.28 -
VBA32 3.12.12.2 2010.03.27 -
ViRobot 2010.3.27.2248 2010.03.27 -
VirusBuster 5.0.27.0 2010.03.27 -
Rozšiřující informace
File size: 307200 bytes
MD5...: 00a027e448bb78f46715ddff11517ff6
SHA1..: c7567414fef995cd9de15970b2ca703e1ff5576a
SHA256: 55b3dc637fac8130f7c3c745442d339a421647c9652edc90b8fe2df659712c78
ssdeep: 6144:MPDRrOpaOzOziasZ6wMaWeJLMItbsdVeFkCs:yDkZdFvMaJBrxsdE+Cs
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c330
timedatestamp.....: 0x3638e561 (Thu Oct 29 22:00:01 1998)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f315 0x1f400 6.24 fd4f4cbddcd33f76b523739b629cc3b3
.rdata 0x21000 0x1c0c 0x1e00 5.39 01668df29e4d91578a2309cc44649fc8
.data 0x23000 0x4a7c 0x3800 2.51 8383ed0cfd9809552c7023805b5c9170
.rsrc 0x28000 0x27000 0x26200 6.06 d879ca6bd2134df067765fe54a10be89

( 7 imports )
> KERNEL32.dll: DosDateTimeToFileTime, GetPrivateProfileStringA, GetCurrentProcess, LocalFileTimeToFileTime, SetFileTime, MoveFileExA, SetFilePointer, WriteFile, MoveFileA, GetFileAttributesA, lstrcmpA, SetEndOfFile, lstrcpynA, GetLocalTime, SetCurrentDirectoryA, GetDriveTypeA, GetDiskFreeSpaceA, CreateDirectoryA, GetLastError, GetCurrentThread, GetCurrentDirectoryA, GlobalReAlloc, FileTimeToLocalFileTime, GetFileTime, FileTimeToDosDateTime, GetPrivateProfileSectionA, SetFileAttributesA, DeleteFileA, FindNextFileA, FindClose, WinExec, Sleep, GetModuleFileNameA, GetSystemDefaultLCID, MulDiv, GetWindowsDirectoryA, GetTickCount, lstrcatA, lstrcmpiA, lstrlenA, lstrcpyA, CreateFileA, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GetModuleHandleA, GetSystemInfo, FindResourceA, LoadResource, SizeofResource, FreeResource, LockResource, OpenFile, _hwrite, _lclose, GetVersion, IsDBCSLeadByte, GetSystemDirectoryA, WriteProfileSectionA, WritePrivateProfileSectionA, WritePrivateProfileStringA, GlobalCompact, WriteProfileStringA, GetFileType, LCMapStringA, GetProfileSectionA, GlobalHandle, SetErrorMode, GlobalFree, LoadLibraryA, GetProcAddress, FreeLibrary, FindFirstFileA, RemoveDirectoryA, RtlUnwind, GetStdHandle, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, TerminateProcess, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetSystemTime, GetTimeZoneInformation, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapFree, HeapAlloc, LCMapStringW, GetStringTypeA, GetStringTypeW, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapReAlloc
> USER32.dll: SetDlgItemTextA, LoadStringA, MessageBoxA, EndDialog, DialogBoxParamA, wsprintfA, PeekMessageA, SendDlgItemMessageA, BeginPaint, EndPaint, DefWindowProcA, LoadCursorA, GetClassInfoA, OemToCharA, KillTimer, PostQuitMessage, RegisterClassA, GetSysColor, IsDialogMessageA, CharLowerA, CreateWindowExA, EnableWindow, GetWindow, GetClassNameA, CharUpperA, GetWindowTextA, GetDlgItem, SendMessageA, PostMessageA, SetWindowTextA, GetSystemMetrics, SetWindowPos, ShowWindow, UpdateWindow, SetFocus, IsWindow, RegisterWindowMessageA, GetDC, ReleaseDC, ScreenToClient, SetTimer, LoadIconA, DestroyWindow, LoadBitmapA, CreateDialogParamA, InvalidateRect, IsWindowVisible, CharNextA, InflateRect, CharPrevA, CharToOemA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, ExitWindowsEx, FindWindowA, GetClientRect, FillRect, SetRect, SetRectEmpty, GetWindowLongA, GetWindowRect, DispatchMessageA, TranslateMessage, MessageBeep
> GDI32.dll: CreateDIBitmap, SelectPalette, GetDeviceCaps, CreatePalette, GetSystemPaletteEntries, LineTo, MoveToEx, DeleteObject, CreatePen, CreateFontIndirectA, GetObjectA, DeleteDC, BitBlt, CreateCompatibleDC, RestoreDC, Rectangle, GetStockObject, CreateSolidBrush, IntersectClipRect, SaveDC, CreateCompatibleBitmap, SetBkColor, CreateBitmap, SetPixel, GetTextExtentPointA, SelectObject, RealizePalette
> comdlg32.dll: GetOpenFileNameA, GetSaveFileNameA
> ADVAPI32.dll: AllocateAndInitializeSid, RegCloseKey, RegConnectRegistryA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, CloseServiceHandle, OpenSCManagerA, FreeSid, RegCreateKeyExA, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, RegOpenKeyA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegEnumValueA, EqualSid, GetTokenInformation, OpenThreadToken
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: InstallShield Software Corporation
copyright....: Copyright(C) 1990-1998 InstallShield Software Corporation Phone : (847) 240-9111
product......: InstallShield(R) unInstaller
description..: InstallShield(R) unInstaller
original name: n/a
internal name: n/a
file version.: 5, 51, 138, 0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

------------------------------------------------------------------------------------------
Umístění viru:
C:\System Volume Information\_restore{B5C0C27A-D763-433E-AFOB-D53774E93F2D}\RP204\A0130980.sys
------------------------------------------------------------------------------------------

Jottiho malware test
Název souboru: IsUn0405.exe
Stav:
Test dokončen. 0 z 20 programů nalezlo škodlivý kód.
Test proveden: Ne 28 bře 2010 12:44:01 (CET) Trvalý odkaz

Podrobné informace
Velikost souboru: 307200 bajtů
Typ souboru: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: 00a027e448bb78f46715ddff11517ff6
SHA1: c7567414fef995cd9de15970b2ca703e1ff5576a




Výsledky
[ArcaVir]
2010-03-27 Žádný nález
[F-Secure Anti-Virus]
2010-03-28 Žádný nález
[A-Squared]
2010-03-28 Žádný nález
[G DATA]
2010-03-28 Žádný nález
[Avast! antivirus]
2010-03-27 Žádný nález
[Ikarus]
2010-03-28 Žádný nález
[Grisoft AVG Anti-Virus]
2010-03-28 Žádný nález
[Kaspersky Anti-Virus]
2010-03-28 Žádný nález
[Avira AntiVir]
2010-03-26 Žádný nález
[ESET NOD32]
2010-03-26 Žádný nález
[Softwin BitDefender]
2010-03-28 Žádný nález
[Panda Antivirus]
2010-03-27 Žádný nález
[ClamAV]
2010-03-28 Žádný nález
[Quick Heal]
2010-03-26 Žádný nález
[CPsecure]
2010-03-28 Žádný nález
[Sophos]
2010-03-28 Žádný nález
[Dr.Web]
2010-03-28 Žádný nález
[VirusBlokAda VBA32]
2010-03-26 Žádný nález
[Frisk F-Prot Antivirus]
2010-03-27 Žádný nález
[VirusBuster]
2010-03-27 Žádný nález

------------------------------------------------------------------------------------------
soubory jsou 2:
IsUn0405
Verze souboru 5.51.138.0
Vytvořeno 1.3.2010 12:50
Velikost 300kB
----------------
IsUninst
Verze souboru 5.51.138.0
Vytvořeno 1.3.2010 12:46
Velikost 299kB
------------------------

[earl]

Jak to vypada nyni?

[siwo]

27.3.2010 19:42:01
Rezidentní ochrana soubor C:\System Volume Information\_restore{B5C0C27A-D763-433E-AF0B-D53774E93F2D}\RP204\A0130980.sys
Win32/Rustock.NIN trojský kůň vyléčen smazáním - uložen do karantény
NT AUTHORITY\SYSTEM
Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\WINDOWS\system32\svchost.exe.

Tohle je zapis z protokolu antiviroveho programu.Nejspiše by bylo velice záhodno vyčistit karanténu NODu 32.
Jinak se zda byti vse v poradku. Nikde zadne hlaseni o zachyceni cehokoli pri startu PC.
Michalik

[earl]

Karantenu muzete klidne vymazat.

Start - spustit - napiste ComboFix /Uninstall - a klepnout na OK
-----------------------------------------------------------------------------------------------------------------
Vycistete pc Ccleanerem.

Vzdy nejprve Analyzovat a pak Spustit Cleaner.2x po sobe.

Windows-odskrtnout historii a historii automatickeho vyplnovani formularu - prisel byste o historii navstivenych stranek a o ulozena hesla ve formularich

(je to sice z pohledu zabezpeceni spatne,ale aspon pak uzivatel nenadava,kam ze mu to zmizelo )

Aplikace-u prohlizecu internetu odskrtnout Historii internetu.

Registry-nechat vse zaskrtle,Hledej problemy,Opravit vybrane problemy

(nechat ho udelat zalohu-ta je ulozena v Dokumentech-DULEZITE).

Taktez 2x-3x po sobe.

A hotovo.

[siwo]

Nejde mi odinstalovat ComboFIx.
Když zadám- Start-spustit-ComboFix/Uninstall vyskočí tabulka:
Systém Windows nemůže nalézt ComboFix/Uninstall.
Nelze jej ani najít přes tlačítko hledat.
Potom jsem zjistil, ze ComboFix na plose je zip.soubor, tak jsem jej vymyzal.
Pak jsem vycistil PC Ccleanerem dle vasich pokynu.
Dekuji Michalik

[earl]

Pouzijte T-Cleaner na vycisteni pc po utilitach pouzitych pri odvirovani.Postupujte dle instrukci na obrazovce.Pri detekci antivirem se jedna o falesny poplach.

at je to vycisteni ok.

A nemate zac.

[siwo]

Provedl jsem vycisteni T-Cleanerem, podle vasich pokynů.
Jeste jednou mnohokrat dekuji. Michalik

[earl]

Neni zac