VIRY.CZ

C:\Documents and Settings\Jenda\upd.exe dejte odeslat do zipu
a zabalený soubor pošlete přes http://leteckaposta.cz/ link na S Zpravu odpoledne až přijdu z prace se na něj podívám snad zjistím k jakýmu programu patří
Druhou kopii vražte sem http://www.viry.cz/forum/viewtopic.php?f=15&t=30935

Postupoval jsem podle návodu ke skenování s tímto programem.Je tam znázorněn rychlý.Omlouvám se.
K to mu souboru je jen toto: WindowsFormsApplication1. Je to něco od Microsoftu.Jdu na ten log

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4326

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.7.2010 11:32:21
mbam-log-2010-07-20 (11-32-21).txt

Typ skenu: Úplný sken (C:\|)
Skenované objekty: 238311
Uplynulý čas: 52 minuta(y), 58 sekunda(y)

Infikované procesy v paměti: 1
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
C:\Documents and Settings\Jenda\upd.exe (Trojan.Agent) -> No action taken.

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\Documents and Settings\Jenda\upd.exe (Trojan.Agent) -> No action taken.

Takze nic noveho...pockame tedy na co kolega Čarls prijde

Podle mne jestli vam tam něco propašoval bude to ono
Stahněte Unlocker a odpalte ten soubor přes něj http://www.slunecnice.cz/sw/unlocker/
Nic horšího než že nepujde nějaka aplikace se stat nemuže ta pujde přeinstalovat
zkontaktujeme s vyosek par známych aby soubor ještě podrobněji rozpitvali

Podívejte se do Firewall zda se nehrabal zmíněný soubor na net

Soubor byl vytvořen změněn 4. března 2010, 18:29:02 Kdy začaly tyto vyhružky od "přitele" u Vás ?

Takze se nam to podarilo diky kolegovi Vrtule rozpitvat a opravdu onen upd.exe je keylogger, takze ho vezmem po hlave necim poradnym

Stahnete Avenger (viz muj podpis)

• Pokud pouzivate Win Vista ci W7, kliknete na Avenger pravym a dejte Run As Administrator ci Spustit jako spravce
• Po spusteni Vas program upozorni, ze vse co delate, delate na vlastni riziko - Dejte OK
• Po potvrzeni uz na Vas koukne hlavni okno, kam vlozite skript, ktery mate nize

• Kód: Vybrat vše

  Files to delete:
  C:\Documents and Settings\Jenda\upd.exe
  C:\Documents and Settings\Jenda\Music\a.exe
  C:\Documents and Settings\Jenda\Music\anzahl.exe
  C:\Documents and Settings\Jenda\Music\seite.exe

• Do ctverecku u Scan for rootkits a Automatically disable any rootkits found dejte fajecku
• Nyni uz kliknete na Execute a potvrdte Yes v nasledujicim okne - timto potvrdite spusteni skriptu
• Na otazku Reboot now odpovezte opet OK - timto se PC restartuje
• Po restartu by se mel otevrit poznamkovy blok s logem a jeho obsah vlozte sem. Pokud se tak nestane, naleznete pozadovany dokument v C:\avenger.txt

Zdravím,

jenom udělám takovou vsuvku...

Jak už jsem psal, ten soubor upd.exe vypadá na tzv. downloader – snaží se z určité URL stahovat své kamarády a pak je asi spouští. Bohužel se mi ve virtuální mašině nechce rozběhnout, takže to nemůžu říct jistě. Prostě tam jen "visí" proces upd.exe a nic jiného se neděje.

Kradení hesel
Pokud si necháváte ukládat hesla do prohlížeče (či jiných aplikací), mohou být ukradena i bez použití keyloggeru. Protože je potom při používání nemusíte zadávat, prohlížeč je musí být schopen samostatně odněkud "vytáhnout" a použít za vás. To samé ale může udělat malware.

Heslo do Windows sice (aspoň doufám) není uloženo nikde v čitelné formě, ale použití hašovací algoritmus nepatří zrovna k nejsilnějším. Tady záleží hodně na síle hesla (počet číslic a jiných znaků, délka), zda jej útočník získá.

Omlouvám se, za jistou míru dublování, příspěvky odešly skoro současně...

Jinak jsem všechny soubory poslal na analýzu Aviře, takže by za nějaou dobu mohl být virustotal zajímavější.

Klobouk dolů,před tím co tady pro mě děláte.Jsem vám vděčný.Díky.
Přesto se poáád nemůžu zbavit dojmu,že to na mě snad jen někdo zkouší a dělá si prču.Nejsem vůbec zajímavý cíl.Moje hesla nevedou k ničemu co by mělo význam.Mám sto chutí tohodle vtipálka taky nějakým podobným zbůsobem rozhodit.Mě tyhle výhružky teda rozhodili.Přijde mi i divný,že jeho mail byl vyloženě na konkrétní jméno frantabaran@seznam.cz.Říká Vám to něco?Přijde mi,že chtěl abych přišel na to,kdo to je.No nic.Udělám a pošlu co jste mi poradili.Mějte se

Je mi líto,odkaz na Avenger nefunguje

Ze ma mail na jmeno, no a...na seznamu nikdo totoznost jmena neoveruje Podle rozpitvani souboru to opravdu sranda neni - upd.exe si stahuje jeste dalsi kamarady a ti pak z Vas hesla tahaji...

Provedte skript avengerem (log samozrejme sem) a pak udelame jeste jeden test
Avenger je ke stazeni zde http://download.viry.cz/tools/avenger.zip (thx riff)

Ptali jste se mě od kdy vyhrůžky jsou.Hned druhý den od přijmutí zprávy jsem založil tohle téma.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Documents and Settings\Jenda\upd.exe" deleted successfully.

Error: file "C:\Documents and Settings\Jenda\Music\a.exe" not found!
Deletion of file "C:\Documents and Settings\Jenda\Music\a.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\Jenda\Music\anzahl.exe" not found!
Deletion of file "C:\Documents and Settings\Jenda\Music\anzahl.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\Jenda\Music\seite.exe" not found!
Deletion of file "C:\Documents and Settings\Jenda\Music\seite.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Zdravím,

máte ten mail ještě k dispozici? Možná by byla zajímavá jeho hlavička, jestli její obsah dokážete zobrazit a sem v ložit (webové rozhraní Seznamu, stejně jako poštovní klienti, by to mělo umožňovat).

Mailová adresa je celkem nezajímává, protože se dá falšovat. Ale v hlavičce se dá nalézt i IP adresa, která může dost prozradit, je-li zpráva odesílána z poštovního klienta, a tedy přímo z počítače útočníka a ne přes webové rozhraní Seznamu.

Tak avenger havet smazal...

Po dohode s kolegou Čarlsem jeste udelejte test pomoci AVPToolu - navod od kolegy riffa zde http://viry.cz/forum/viewtopic.php?f=29&t=58179 log rad uvidim

Zkuste jeste co psal kolega Vrtule