VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

win32/Kryptik/trojan.bcp

https://forum.viry.cz:443/viewtopic.php?t=96291

Stránka 1 z 2

win32/Kryptik/trojan.bcp

Napsal: 16 led 2010 00:49
od Sleseleseleci
Ahoj. Prosím, dostal jsem se k nějaké havěti. Nenašel jsem zde trojana.bcp, tak zakládam nové téma. Mám eset antivirus, který mi ten attack toho trojana pokaždém zapnutí počítače zablokuje, jenže pak mi běhá cosi jako c.exe v procesech, což, si myslím, tam nepatří.
Chtěl bych vás požádat o pomoc. Jaký log mám postnout? Co si stáhnout? Děkuji...

Re: win32/Kryptik/trojan.bcp

Napsal: 16 led 2010 02:07
od earl
Zdravim,

:arrow: Stahnete OTL

spustte, oznacte "Scan All Users,30days zmente na 7,kliknete na Run Scan,

po skonceni skenu sem vlozte obsah logu z OTL.txt.

:arrow: Stahnete GMER , rozbalte a spustte

probehne sken, po jehoz ukonceni na vas vyskoci vysledky

pote kliknete na Save a ulozite tak log, jehoz obsah sem vlozte

pote dle tohoto navodu

absolvujte druhy sken a opet obsah logu sem.

Re: win32/Kryptik/trojan.bcp

Napsal: 16 led 2010 10:56
od Sleseleseleci
Dobré ráno.
Ještě dodatek, po spuštění dochází k chybě v ihaupd32, takže pak klikám neodesílat. A už mi to píše aj kryptik.HO trojan. A po nějaké době, co je pc spuštěn, mi tam vyskočí příkazový řádek, kde není ani tečka a píše:
C:/dinu.exe
NTVDM CPU obsahuje neplatnou instrukci
CS:0f50 IP:021f OP: 63 6f 6c 6f 72 Vybráním příkazu zavřít ukončíte aplikaci.
Log z GMER nejde udělat. Po spuštění proběhne asi 2 sekundy scanu a pak se restartuje počítač. Zkoušel jsem to spustit rychleji, než vyskoší ta tabulka s ihaupd32, ale nestihne to, zkoušel jsem zrušit pár procesů, taky to nepomohlo. Tak nějak nevím, jak to z toho kompu dostat. Posílám zatím log z OTL.txt. Zkusím ještě hodit ty skany na plochu, at je můžu spustit hned po spuštění pc. Za zkoušku nic nedám. ;)



Log OTL.txt:
OTL logfile created on: 16.1.2010 10:37:04 - Run 1
OTL by OldTimer - Version 3.1.25.1 Folder = D:\Láďa\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000405 | Country: Česká republika | Language: CSY | Date Format: d.M.yyyy

767,00 Mb Total Physical Memory | 487,00 Mb Available Physical Memory | 63,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 10,74 Gb Total Space | 5,66 Gb Free Space | 52,74% Space Free | Partition Type: NTFS
Drive D: | 63,81 Gb Total Space | 59,53 Gb Free Space | 93,29% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: SLE
Current User Name: Sele
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 7 Days
Output = Standard

========== Processes (SafeList) ==========

PRC - [2010.01.16 10:33:54 | 00,110,592 | RHS- | M] () -- C:\WINDOWS\updatd7.exe
PRC - [2010.01.16 10:32:03 | 00,547,328 | ---- | M] (OldTimer Tools) -- D:\Láďa\Downloads\OTL.exe
PRC - [2010.01.16 00:47:44 | 00,176,128 | ---- | M] () -- C:\WINDOWS\msd.exe
PRC - [2010.01.16 00:47:25 | 00,174,080 | ---- | M] () -- C:\Documents and Settings\Sele\Local Settings\Temp\Qkx.exe
PRC - [2009.12.10 00:22:33 | 00,921,072 | ---- | M] (Google Inc.) -- C:\Documents and Settings\Sele\Local Settings\Data aplikací\Google\Chrome\Application\chrome.exe
PRC - [2009.10.30 12:57:08 | 00,369,200 | ---- | M] (DT Soft Ltd) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe
PRC - [2009.09.11 07:24:32 | 00,735,960 | ---- | M] (ESET) -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
PRC - [2009.09.11 07:23:46 | 02,054,360 | ---- | M] (ESET) -- C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
PRC - [2008.05.16 14:01:00 | 00,159,812 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvsvc32.exe
PRC - [2004.08.17 14:49:24 | 01,032,704 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.08.18 10:37:10 | 00,303,104 | ---- | M] (Lexmark International, Inc.) -- C:\WINDOWS\system32\LEXBCES.EXE
PRC - [2003.08.18 10:32:56 | 00,174,592 | ---- | M] (Lexmark International, Inc.) -- C:\WINDOWS\system32\LEXPPS.EXE
PRC - [2003.08.15 08:34:50 | 00,057,344 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE


========== Modules (SafeList) ==========

MOD - [2010.01.16 10:32:03 | 00,547,328 | ---- | M] (OldTimer Tools) -- D:\Láďa\Downloads\OTL.exe
MOD - [2004.08.17 14:49:22 | 00,024,576 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wsock32.dll
MOD - [2004.08.17 14:48:02 | 01,050,624 | R--- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll


========== Win32 Services (SafeList) ==========

SRV - [2010.01.14 17:42:29 | 00,228,352 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)
SRV - [2009.12.08 07:46:23 | 00,306,432 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\WINDOWS\system32\TuneUpDefragService.exe -- (TuneUp.Defrag)
SRV - [2009.09.11 07:33:18 | 00,020,680 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe -- (EhttpSrv)
SRV - [2009.09.11 07:24:32 | 00,735,960 | ---- | M] (ESET) [Auto | Running] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
SRV - [2008.05.16 14:01:00 | 00,159,812 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\WINDOWS\system32\nvsvc32.exe -- (NVSvc)
SRV - [2007.12.20 10:41:56 | 00,029,440 | ---- | M] (TuneUp Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2003.08.18 10:37:10 | 00,303,104 | ---- | M] (Lexmark International, Inc.) [Auto | Running] -- C:\WINDOWS\system32\LEXBCES.EXE -- (LexBceS)
SRV - [2003.07.28 20:28:22 | 00,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE -- (ose)


========== Driver Services (SafeList) ==========

DRV - [2009.12.18 11:56:06 | 00,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2009.09.11 07:26:26 | 00,096,408 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2009.09.11 07:23:50 | 00,108,792 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2009.09.11 07:17:16 | 00,116,008 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2008.05.16 14:01:00 | 06,557,408 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2004.08.04 00:08:22 | 00,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.07.17 10:36:38 | 00,027,440 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\secdrv.sys -- (Secdrv)
DRV - [2003.09.10 10:46:32 | 00,463,932 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2003.08.14 16:16:38 | 00,404,736 | ---- | M] (Sensaura Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2002.12.05 05:01:00 | 00,241,664 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvapu.sys -- (nvnforce) Service for NVIDIA(R) nForce(TM)
DRV - [2002.12.05 05:01:00 | 00,013,056 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvax.sys -- (nvax) Service for NVIDIA(R) nForce(TM)
DRV - [2002.11.27 12:52:00 | 00,080,896 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENET.sys -- (NVENET)
DRV - [2002.11.13 08:10:00 | 00,020,224 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvidesm.sys -- (nvidesm)
DRV - [2002.09.06 04:24:00 | 00,013,568 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys -- (nv_agp)
DRV - [2001.10.25 15:00:00 | 00,017,792 | ---- | M] (Parallel Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ptilink.sys -- (Ptilink)
DRV - [2001.08.17 23:00:04 | 00,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [2000.10.25 13:27:24 | 00,003,000 | R--- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\SetupNT.sys -- (SetupNT)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-1482476501-73586283-725345543-1003\S-1-5-21-1482476501-73586283-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "http://www.seznam.cz"


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.01.09 11:15:44 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.01.09 11:15:44 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2009.12.08 07:22:30 | 00,000,000 | ---D | M]

[2009.12.07 16:52:09 | 00,000,000 | ---D | M] -- C:\Documents and Settings\Sele\Data aplikací\Mozilla\Extensions
[2009.12.10 14:42:10 | 00,000,000 | ---D | M] -- C:\Documents and Settings\Sele\Data aplikací\Mozilla\Firefox\Profiles\zzid4cnz.default\extensions
[2009.12.10 17:58:47 | 00,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2009.12.17 17:26:14 | 00,000,638 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\jyxo-cz.xml
[2009.12.17 17:26:14 | 00,001,687 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\mall-cz.xml
[2009.12.17 17:26:15 | 00,001,367 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\seznam-cz.xml
[2009.12.17 17:26:15 | 00,000,654 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\slunecnice-cz.xml
[2009.12.17 17:26:15 | 00,001,179 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-cz.xml

O1 HOSTS File: (737 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O4 - HKLM..\Run: [egui] C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (ESET)
O4 - HKLM..\Run: [Microsoft Driver Setup] C:\WINDOWS\updatd7.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKU\S-1-5-21-1482476501-73586283-725345543-1003..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe ()
O4 - HKU\S-1-5-21-1482476501-73586283-725345543-1003..\Run: [BMIMZMHMFM] C:\Documents and Settings\Sele\Local Settings\Temp\Qkx.exe ()
O4 - HKU\S-1-5-21-1482476501-73586283-725345543-1003..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - Startup: C:\Documents and Settings\Sele\Nabídka Start\Programy\Po spuštění\4323569.lnk = C:\Documents and Settings\Sele\Local Settings\Temp\systmn.exe ()
O4 - Startup: C:\Documents and Settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\updatd7.exe ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1482476501-73586283-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, LLC.)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupda ... 0757301812 (WUWebControl Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/sh ... wflash.cab (Shockwave Flash Object)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\wsnpoema.exe) - C:\WINDOWS\system32\wsnpoema.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\system32\sdra64.exe ()
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-7275105091-1318631071-639834124-1570\wnzip32.exe) - C:\RECYCLER\S-1-5-21-7275105091-1318631071-639834124-1570\wnzip32.exe ()
O24 - Desktop Components:0 (Aktuální domovská stránka) - About:Home
O24 - Desktop WallPaper: C:\Documents and Settings\Sele\Local Settings\Data aplikací\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Documents and Settings\Sele\Local Settings\Data aplikací\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.07 15:31:10 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\SETUP.EXE -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

========== Files/Folders - Created Within 7 Days ==========

[2010.01.16 10:34:38 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Sele\Local Settings\Data aplikací\ESET
[2010.01.16 10:34:16 | 00,000,000 | -HSD | C] -- C:\WINDOWS\System32\lowsec
[2010.01.14 17:42:50 | 00,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Data aplikací\ESET
[2010.01.14 17:42:19 | 00,000,000 | -HSD | C] -- C:\WINDOWS\System32\wsnpoema
[2010.01.14 17:33:29 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Sele\Local Settings\Data aplikací\Adobe
[2009.12.07 15:34:45 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Data aplikací\Microsoft
[2009.12.07 15:34:38 | 00,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Data aplikací\Microsoft
[2009.12.07 15:31:02 | 00,000,000 | --SD | M] -- C:\Documents and Settings\NetworkService\Data aplikací\Microsoft
[2009.12.07 15:31:02 | 00,000,000 | --SD | M] -- C:\Documents and Settings\LocalService\Data aplikací\Microsoft
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 7 Days ==========

[2010.01.16 10:38:46 | 00,756,736 | ---- | M] () -- C:\WINDOWS\System32\drivers\izsmuyy.sys
[2010.01.16 10:36:09 | 00,002,329 | ---- | M] () -- C:\dinu.exe
[2010.01.16 10:35:04 | 00,000,278 | -H-- | M] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.01.16 10:34:23 | 00,038,912 | ---- | M] () -- C:\wuovki.exe
[2010.01.16 10:33:56 | 00,106,496 | ---- | M] () -- C:\gbqitfm.exe
[2010.01.16 10:33:54 | 00,110,592 | RHS- | M] () -- C:\WINDOWS\updatd7.exe
[2010.01.16 10:33:54 | 00,110,592 | ---- | M] () -- C:\gwequ.exe
[2010.01.16 10:28:32 | 00,186,820 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.01.16 10:28:30 | 00,000,278 | -H-- | M] () -- C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.01.16 10:28:00 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.01.16 10:27:50 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.01.16 10:27:08 | 02,097,152 | ---- | M] () -- C:\Documents and Settings\Sele\NTUSER.DAT
[2010.01.16 10:26:47 | 00,000,178 | -HS- | M] () -- C:\Documents and Settings\Sele\ntuser.ini
[2010.01.16 10:26:42 | 03,205,004 | -H-- | M] () -- C:\Documents and Settings\Sele\Local Settings\Data aplikací\IconCache.db
[2010.01.16 02:20:05 | 00,001,022 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1482476501-73586283-725345543-1003UA.job
[2010.01.16 00:47:44 | 00,176,128 | ---- | M] () -- C:\WINDOWS\msd.exe
[2010.01.15 21:00:15 | 00,006,656 | ---- | M] () -- C:\Documents and Settings\Sele\Local Settings\Data aplikací\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.15 17:25:30 | 00,000,374 | ---- | M] () -- C:\WINDOWS\tasks\1-Click Maintenance.job
[2010.01.15 16:20:01 | 00,000,970 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1482476501-73586283-725345543-1003Core.job
[2010.01.15 16:15:01 | 00,174,080 | ---- | M] () -- C:\WINDOWS\msc.exe
[2010.01.14 17:43:09 | 00,174,080 | ---- | M] () -- C:\WINDOWS\msb.exe
[2010.01.14 17:42:29 | 00,228,352 | ---- | M] () -- C:\WINDOWS\System32\sshnas21.dll
[2010.01.14 17:42:29 | 00,174,080 | ---- | M] () -- C:\WINDOWS\msa.exe
[2010.01.14 17:33:32 | 00,000,755 | ---- | M] () -- C:\Documents and Settings\Sele\Nabídka Start\Programy\Po spuštění\4323569.lnk
[2010.01.13 18:16:06 | 00,017,464 | ---- | M] () -- C:\Documents and Settings\Sele\Local Settings\Data aplikací\GDIPFONTCACHEV1.DAT
[2010.01.11 16:14:15 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.01.11 16:14:12 | 00,113,376 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.01.16 10:36:09 | 00,002,329 | ---- | C] () -- C:\dinu.exe
[2010.01.16 10:34:12 | 00,110,592 | RHS- | C] () -- C:\WINDOWS\updatd7.exe
[2010.01.16 10:33:41 | 00,038,912 | ---- | C] () -- C:\wuovki.exe
[2010.01.16 10:24:51 | 00,176,128 | ---- | C] () -- C:\WINDOWS\msd.exe
[2010.01.16 00:42:06 | 00,174,080 | ---- | C] () -- C:\WINDOWS\msc.exe
[2010.01.15 16:14:25 | 00,000,000 | ---- | C] () -- C:\Documents and Settings\Sele\Data aplikací\wiaservg.log
[2010.01.15 16:08:58 | 00,174,080 | ---- | C] () -- C:\WINDOWS\msb.exe
[2010.01.14 17:43:23 | 00,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\izsmuyy.sys
[2010.01.14 17:42:42 | 00,000,278 | -H-- | C] () -- C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.01.14 17:42:41 | 00,174,080 | ---- | C] () -- C:\WINDOWS\msa.exe
[2010.01.14 17:42:31 | 00,000,278 | -H-- | C] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.01.14 17:42:26 | 00,228,352 | ---- | C] () -- C:\WINDOWS\System32\sshnas21.dll
[2010.01.14 17:42:10 | 00,110,592 | ---- | C] () -- C:\gwequ.exe
[2010.01.14 17:42:10 | 00,106,496 | ---- | C] () -- C:\gbqitfm.exe
[2010.01.14 17:33:31 | 00,000,755 | ---- | C] () -- C:\Documents and Settings\Sele\Nabídka Start\Programy\Po spuštění\4323569.lnk
[2010.01.06 00:48:07 | 00,000,101 | ---- | C] () -- C:\WINDOWS\lexstat.ini
[2010.01.06 00:46:56 | 00,077,824 | ---- | C] () -- C:\WINDOWS\System32\LXBKLCNP.DLL
[2010.01.06 00:46:56 | 00,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbkvs.dll
[2010.01.06 00:46:41 | 00,000,266 | ---- | C] () -- C:\WINDOWS\System32\lxbkcoin.ini
[2009.12.23 23:03:15 | 00,006,656 | ---- | C] () -- C:\Documents and Settings\Sele\Local Settings\Data aplikací\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.12.18 12:15:24 | 00,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2009.12.18 12:15:24 | 00,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2009.12.18 12:15:24 | 00,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2009.12.18 11:56:05 | 00,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2009.12.08 20:02:54 | 00,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009.12.08 20:02:53 | 00,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2009.12.08 20:02:43 | 00,881,664 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.12.08 20:02:43 | 00,205,824 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.12.08 20:02:30 | 00,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.12.08 20:02:30 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2009.12.07 16:46:51 | 00,000,390 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.12.07 16:10:30 | 00,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2009.12.07 16:06:30 | 00,003,000 | R--- | C] () -- C:\WINDOWS\System32\SetupNT.sys
[2008.05.16 14:01:00 | 01,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008.05.16 14:01:00 | 01,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008.05.16 14:01:00 | 01,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008.05.16 14:01:00 | 00,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008.05.16 14:01:00 | 00,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2005.02.03 01:50:28 | 00,004,224 | ---- | C] () -- C:\WINDOWS\System32\StarOpen.sys
[2004.08.17 14:49:10 | 00,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004.07.17 10:36:38 | 00,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
< End of report >





Log z GMER:

Re: win32/Kryptik/trojan.bcp

Napsal: 16 led 2010 11:23
od Sleseleseleci
Tak když spustím GMER ihned po spuštění z plochy, tak stihnu přečíst nějaké varování, že je chybná modifikace či co a ptá se mě, zda chci provést full scan now. Možnosti Ano a Ne. Když nekliknu na nic, tak se za sekundu restartuje, když kliknu Ne, tak se restartuje taky, když kliknu ano, spustí se full scan, pravděpodobně ten, který mi doporučujete jako druhý, se všema zaškrtnutýma možnostma, jenže ten když se dostane ke konci, tak se to restartuje taky. /sadface/

Re: win32/Kryptik/trojan.bcp

Napsal: 16 led 2010 16:03
od earl
Mate tam toho pozehnane...

:arrow: CTETE POZORNE NAVOD,TENTO SOFT NETOLERUJE CHYBY V POSTUPU APLIKOVANI!

Klidne si nasledujici radky vytisknete,at vite,co se bude na obrazovce odehravat.

Budte prihlasen na pc s administratorskymi pravy.

stahnete a ulozte nejlepe na plochu ComboFix

v pripade,ze nepujde stranka nacist-stahnete odtud download , popr. nepujde ComboFix spustit - prejmenujte jej na grinder.com a postupujte dale dle instrukci.

hned po startu se zobrazi Zreknuti se prava zaruky na funkcnost software, pokracujte kliknutim na tlacitko Ano:

Obrázek

pote muze nasledovat upozorneni na nainstalovane emulatory CD mechanik,typicky Daemon Tools nebo Alcohol 120

Obrázek

odklepnout OK

Souhlasit s instalaci Recovery console(Konzola pro zotaveni)-nutno funkcni internet :!:

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: upozorneni: Vypnete rezidentni stit u antiviru a antispywaru a zakazte docasne firewall-ComboFix by nemusel fungovat korektne-pokud budete mit stity vypnute a Combofix zahlasi,ze nejsou,pokracujte dal a potvrdte.

po restartu aplikace vytvori log, ulozeny na C:/Combofix.txt (pri opakovanem pouziti jsou logy oznaceny Combofix2.txt atd.), jeho obsah vlozte sem

Re: win32/Kryptik/trojan.bcp

Napsal: 17 led 2010 00:22
od Sleseleseleci
Mam ten log, ale teda když se mi restartoval počítač, tak se pochopitelně zase spustil ESET a konec konců to v logu bylo napsáno, že ESET antivirus *on-scan acces disabled*, což se mi vůbec nelíbí...
Požehnaně toho mám, to jsem si všiml v StartUp manageru, nechápu to.;)
Zkusim v tom manageru vypnout ten autostart esetu a soundmanu a daemonu, asi jsem to udělal špatně, že jsem je tam nechal. Ostatní zanechám, ať se po spuštění spouští, protože tam nepatří, tak s nimi si musíte poradit vy. ;) Zatím moc moc moc děkuji. S ComboFix jsem už něco dělal, ale tehdy jsem měl snad jen jeden problém, ne 9. /sadface/
Kdyby jste uznal za vhodné, že by formát byl snazší, tak dejte prosím vědět. :)


ComboFix log - přejmenování bylo nutné:

ComboFix 10-01-16.02 - Sele 17.01.2010 0:08.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.767.554 [GMT 1:00]
Spuštěný z: c:\documents and settings\Sele\Plocha\grinder.com
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezidentní štít AV je zapnutý

.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\driver
c:\program files\ICQ6.5\ICQLRun.exe
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-1256829805-1108264822-452732879-8240
c:\recycler\S-1-5-21-2606617235-3369547689-675910813-2786
c:\recycler\S-1-5-21-5960370268-1051979538-815069973-3455
c:\recycler\S-1-5-21-7275105091-1318631071-639834124-1570
c:\windows\logfile32.txt
c:\windows\msa.exe
c:\windows\msb.exe
c:\windows\msc.exe
c:\windows\msd.exe
c:\windows\mse.exe
c:\windows\system32\ieuinit.inf
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\sdra64.exe
c:\windows\system32\sshnas21.dll
c:\windows\system32\wsnpoema
c:\windows\system32\wsnpoema.exe
c:\windows\system32\wsnpoema\audio.dll
c:\windows\system32\wsnpoema\video.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
c:\windows\updatd7.exe

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS
-------\Service_wsnpoem.sys


((((((((((((((((((((((((( Soubory vytvořené od 2009-12-16 do 2010-01-16 )))))))))))))))))))))))))))))))
.

2010-01-16 09:36 . 2010-01-16 10:09 2329 ----a-w- C:\dinu.exe
2010-01-16 09:33 . 2010-01-16 09:34 38912 ----a-w- C:\wuovki.exe
2010-01-14 16:43 . 2010-01-16 23:15 756736 ----a-w- c:\windows\system32\drivers\izsmuyy.sys
2010-01-14 16:42 . 2010-01-16 23:08 107008 ----a-w- C:\gbqitfm.exe
2010-01-14 16:42 . 2010-01-16 09:33 110592 ----a-w- C:\gwequ.exe
2010-01-05 23:53 . 2010-01-05 23:53 -------- d-----w- c:\program files\IrfanView
2009-12-18 11:15 . 2009-12-18 11:20 21840 ----atw- c:\windows\system32\SIntfNT.dll
2009-12-18 11:15 . 2009-12-18 11:20 17212 ----atw- c:\windows\system32\SIntf32.dll
2009-12-18 11:15 . 2009-12-18 11:20 12067 ----atw- c:\windows\system32\SIntf16.dll
2009-12-18 11:07 . 2009-12-18 11:21 34642 ----a-w- c:\windows\DIIUnin.dat
2009-12-18 11:07 . 2009-12-18 11:07 94208 ----a-w- c:\windows\DIIUnin.exe
2009-12-18 11:07 . 2009-12-18 11:07 2829 ----a-w- c:\windows\DIIUnin.pif
2009-12-18 10:56 . 2009-12-18 10:56 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-18 10:56 . 2009-12-18 10:56 -------- d-----w- c:\program files\DAEMON Tools Lite

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-16 23:11 . 2009-12-07 23:01 -------- d-----w- c:\program files\ICQ6.5
2010-01-14 00:50 . 2009-12-07 15:31 -------- d-----w- c:\program files\uTorrent
2010-01-05 23:55 . 2010-01-05 23:46 -------- d-----w- c:\program files\Lexmark X1100 Series
2009-12-17 10:50 . 2009-12-17 10:50 -------- d-----w- c:\program files\CCleaner
2009-12-14 02:36 . 2001-10-25 14:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-12-14 02:36 . 2001-10-25 14:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-12-10 23:53 . 2009-12-10 23:52 -------- d-----w- c:\program files\QuickTime
2009-12-10 23:52 . 2009-12-10 23:52 -------- d-----w- c:\program files\Common Files\Apple
2009-12-10 23:52 . 2009-12-10 23:52 -------- d-----w- c:\program files\Apple Software Update
2009-12-10 10:14 . 2009-12-10 10:14 -------- d-----w- c:\program files\Software602
2009-12-09 22:43 . 2009-12-09 22:43 -------- d-----w- c:\program files\CountDown ShutDown PC
2009-12-08 19:02 . 2009-12-08 19:02 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-08 18:51 . 2009-12-08 18:49 -------- d-----w- c:\program files\Winamp
2009-12-08 06:48 . 2009-12-08 06:46 -------- d-----w- c:\program files\TuneUp Utilities 2008
2009-12-08 06:46 . 2009-12-08 06:46 306432 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-12-08 06:45 . 2009-12-08 06:45 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-12-08 06:35 . 2009-12-08 06:35 -------- d-----w- c:\program files\Astonsoft
2009-12-08 06:26 . 2009-12-08 06:22 -------- d-----w- c:\program files\ESET
2009-12-07 23:01 . 2009-12-07 15:10 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-07 15:52 . 2009-12-07 15:52 0 ----a-w- c:\windows\nsreg.dat
2009-12-07 15:37 . 2009-12-07 15:37 -------- d-----w- c:\program files\sdc230
2009-12-07 15:25 . 2009-12-07 15:06 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-07 15:10 . 2009-12-07 15:10 -------- d-----w- c:\program files\Realtek Sound Manager
2009-12-07 15:10 . 2009-12-07 15:10 -------- d-----w- c:\program files\AvRack
2009-12-07 15:06 . 2009-12-07 15:06 3 ----a-w- c:\windows\system32\BSETUP.TMP
2009-12-07 14:31 . 2009-12-07 14:31 -------- d-----w- c:\program files\microsoft frontpage
2009-12-07 14:30 . 2009-12-07 14:30 8738 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2009-12-07 14:30 . 2009-12-07 14:30 2112 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2009-12-07 14:30 . 2009-12-07 14:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-07 14:28 . 2009-12-07 14:28 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-11-09 18:00 . 2009-12-08 19:02 85504 ----a-w- c:\windows\system32\ff_vfw.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 57344]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-09-11 2054360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\gwequ.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [11.9.2009 7:23 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [11.9.2009 7:26 96408]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [11.9.2009 7:24 735960]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18.12.2009 11:56 691696]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - izsmuyy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-01-15 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 14:17]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Sele\Data aplikací\Mozilla\Firefox\Profiles\zzid4cnz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz

---- NASTAVENÍ FIREFOXU ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-17 00:15
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\izsmuyy]

.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(440)
c:\windows\system32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\windows\SOUNDMAN.EXE
c:\documents and settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe
c:\windows\system32\dwwin.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Celkový čas: 2010-01-17 00:16:29 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-16 23:16

Před spuštěním: 6 076 469 248
Po spuštění: 6 033 260 544

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - A5CCC9F33E0071129B5B339D6B0E5CAA

Re: win32/Kryptik/trojan.bcp

Napsal: 17 led 2010 00:32
od Sleseleseleci
Tak tady je ten log, když jsem vypnul autostarty, jenže vypadá bohužel dost stejně. Po spuštění tam mám stále nějaký bordel navíc. :'(

LOG:

ComboFix 10-01-16.02 - Sele 17.01.2010 0:26.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.767.538 [GMT 1:00]
Spuštěný z: c:\documents and settings\Sele\Plocha\grinder.com
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((((( Soubory vytvořené od 2009-12-16 do 2010-01-16 )))))))))))))))))))))))))))))))
.

2010-01-16 09:36 . 2010-01-16 10:09 2329 ----a-w- C:\dinu.exe
2010-01-16 09:33 . 2010-01-16 09:34 38912 ----a-w- C:\wuovki.exe
2010-01-14 16:43 . 2010-01-16 23:30 756736 ----a-w- c:\windows\system32\drivers\izsmuyy.sys
2010-01-14 16:42 . 2010-01-16 23:08 107008 ----a-w- C:\gbqitfm.exe
2010-01-14 16:42 . 2010-01-16 09:33 110592 ----a-w- C:\gwequ.exe
2010-01-05 23:53 . 2010-01-05 23:53 -------- d-----w- c:\program files\IrfanView
2009-12-18 11:15 . 2009-12-18 11:20 21840 ----atw- c:\windows\system32\SIntfNT.dll
2009-12-18 11:15 . 2009-12-18 11:20 17212 ----atw- c:\windows\system32\SIntf32.dll
2009-12-18 11:15 . 2009-12-18 11:20 12067 ----atw- c:\windows\system32\SIntf16.dll
2009-12-18 11:07 . 2009-12-18 11:21 34642 ----a-w- c:\windows\DIIUnin.dat
2009-12-18 11:07 . 2009-12-18 11:07 94208 ----a-w- c:\windows\DIIUnin.exe
2009-12-18 11:07 . 2009-12-18 11:07 2829 ----a-w- c:\windows\DIIUnin.pif
2009-12-18 10:56 . 2009-12-18 10:56 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-18 10:56 . 2009-12-18 10:56 -------- d-----w- c:\program files\DAEMON Tools Lite

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-16 23:11 . 2009-12-07 23:01 -------- d-----w- c:\program files\ICQ6.5
2010-01-14 00:50 . 2009-12-07 15:31 -------- d-----w- c:\program files\uTorrent
2010-01-05 23:55 . 2010-01-05 23:46 -------- d-----w- c:\program files\Lexmark X1100 Series
2009-12-17 10:50 . 2009-12-17 10:50 -------- d-----w- c:\program files\CCleaner
2009-12-14 02:36 . 2001-10-25 14:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-12-14 02:36 . 2001-10-25 14:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-12-10 23:53 . 2009-12-10 23:52 -------- d-----w- c:\program files\QuickTime
2009-12-10 23:52 . 2009-12-10 23:52 -------- d-----w- c:\program files\Common Files\Apple
2009-12-10 23:52 . 2009-12-10 23:52 -------- d-----w- c:\program files\Apple Software Update
2009-12-10 10:14 . 2009-12-10 10:14 -------- d-----w- c:\program files\Software602
2009-12-09 22:43 . 2009-12-09 22:43 -------- d-----w- c:\program files\CountDown ShutDown PC
2009-12-08 19:02 . 2009-12-08 19:02 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-08 18:51 . 2009-12-08 18:49 -------- d-----w- c:\program files\Winamp
2009-12-08 06:48 . 2009-12-08 06:46 -------- d-----w- c:\program files\TuneUp Utilities 2008
2009-12-08 06:46 . 2009-12-08 06:46 306432 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-12-08 06:45 . 2009-12-08 06:45 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-12-08 06:35 . 2009-12-08 06:35 -------- d-----w- c:\program files\Astonsoft
2009-12-08 06:26 . 2009-12-08 06:22 -------- d-----w- c:\program files\ESET
2009-12-07 23:01 . 2009-12-07 15:10 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-07 15:52 . 2009-12-07 15:52 0 ----a-w- c:\windows\nsreg.dat
2009-12-07 15:37 . 2009-12-07 15:37 -------- d-----w- c:\program files\sdc230
2009-12-07 15:25 . 2009-12-07 15:06 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-07 15:10 . 2009-12-07 15:10 -------- d-----w- c:\program files\Realtek Sound Manager
2009-12-07 15:10 . 2009-12-07 15:10 -------- d-----w- c:\program files\AvRack
2009-12-07 15:06 . 2009-12-07 15:06 3 ----a-w- c:\windows\system32\BSETUP.TMP
2009-12-07 14:31 . 2009-12-07 14:31 -------- d-----w- c:\program files\microsoft frontpage
2009-12-07 14:30 . 2009-12-07 14:30 8738 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2009-12-07 14:30 . 2009-12-07 14:30 2112 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2009-12-07 14:30 . 2009-12-07 14:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-07 14:28 . 2009-12-07 14:28 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-11-09 18:00 . 2009-12-08 19:02 85504 ----a-w- c:\windows\system32\ff_vfw.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
"SoundMan"=SOUNDMAN.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\gwequ.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [11.9.2009 7:23 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [11.9.2009 7:26 96408]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [11.9.2009 7:24 735960]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18.12.2009 11:56 691696]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - izsmuyy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-01-15 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 14:17]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Sele\Data aplikací\Mozilla\Firefox\Profiles\zzid4cnz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz

---- NASTAVENÍ FIREFOXU ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-17 00:30
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\izsmuyy]

.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3056)
c:\windows\system32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\documents and settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe
c:\windows\system32\dwwin.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-01-17 00:31:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-16 23:31
ComboFix2.txt 2010-01-16 23:16

Před spuštěním: 6 042 660 864
Po spuštění: 6 008 930 304

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - E15C76D5F38FD85A15F4177C9B1D0617

Re: win32/Kryptik/trojan.bcp

Napsal: 17 led 2010 19:47
od earl
:arrow: otestujte na VIRUSTOTALu

C:\dinu.exe

C:\wuovki.exe

c:\windows\system32\drivers\izsmuyy.sys

C:\gbqitfm.exe

C:\gwequ.exe

c:\windows\system32\BSETUP.TMP

c:\windows\system32\dwwin.exe

c:\documents and settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe

(navod prosty: po nacteni stranky kliknete na tlacitko Prochazet , najdete cestu k vyse zminenemu souboru a kliknete na tlacitko Odeslat soubor; dejte skenerum nejakych deset minut; vysledek sem vlozte)

Pokud skener napíše, že soubor již byl testován, dejte otestovat znovu.

Re: win32/Kryptik/trojan.bcp

Napsal: 18 led 2010 15:20
od Sleseleseleci
Tak to mam. Je to síla. Kopíroval jsem celou tu tabulku, omlouvám se, jestli jsou ty spodní části zbytečné.
Každopádně ten C:\windows\system32\drivers\izsmuyy.sys nejde otestovat. Neodpovídají stránky. Dával jsem několikrát počkat, ale pořád nic, restartoval jsem a pořád nic, nevím, co s tím. Ostatní proběhly v pořádku, jenom škoda, že jsou vadný... :

C:/dinu.exe:

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.01.18 -
AhnLab-V3 5.0.0.2 2010.01.18 -
AntiVir 7.9.1.142 2010.01.18 -
Antiy-AVL 2.0.3.7 2010.01.18 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.18 -
AVG 9.0.0.730 2010.01.18 -
BitDefender 7.2 2010.01.18 -
CAT-QuickHeal 10.00 2010.01.18 -
ClamAV 0.94.1 2010.01.18 -
Comodo 3624 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 -
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7243 2010.01.18 -
F-Prot 4.5.1.85 2010.01.17 -
F-Secure 9.0.15370.0 2010.01.18 -
Fortinet 4.0.14.0 2010.01.18 -
GData 19 2010.01.18 -
Ikarus T3.1.1.80.0 2010.01.18 -
Jiangmin 13.0.900 2010.01.18 -
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 -
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 -
McAfee-GW-Edition 6.8.5 2010.01.18 -
Microsoft 1.5302 2010.01.18 -
NOD32 4782 2010.01.18 -
Norman 6.04.03 2010.01.18 -
nProtect 2009.1.8.0 2010.01.18 -
Panda 10.0.2.2 2010.01.17 -
PCTools 7.0.3.5 2010.01.18 -
Prevx 3.0 2010.01.18 -
Rising 22.31.00.04 2010.01.18 -
Sophos 4.49.0 2010.01.18 -
Sunbelt 3.2.1858.2 2010.01.17 -
Symantec 20091.2.0.41 2010.01.18 -
TheHacker 6.5.0.6.154 2010.01.18 -
TrendMicro 9.120.0.1004 2010.01.18 -
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.18.2142 2010.01.18 -
VirusBuster 5.0.21.0 2010.01.17 -
Rozšiřující informace
File size: 2329 bytes
MD5...: a5718e53661a49dd59bffa4fb4ef60f8
SHA1..: a2153b036f67068c116ada37de1ccfe1b9a69dd1
SHA256: b375655c496ea593b5e92eced6c976808ef1d5fe118a6102ee5e01329d76ca32
ssdeep: 48:pNpZT+P5mA0/QvBYIutDQFK/UiuNArQvYDZTVa8W5lLosidJndlcH58iddYnd
XDY:pYUAbBstUizmOaYdJdlUdGdzdHbK
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: HyperText Markup Language (100.0%)
pdfid.: -


C:/wuovki.exe:

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.01.18 -
AhnLab-V3 5.0.0.2 2010.01.18 -
AntiVir 7.9.1.142 2010.01.18 -
Antiy-AVL 2.0.3.7 2010.01.18 -
Authentium 5.2.0.5 2010.01.16 W32/Damaged_File.gen!Eldorado
Avast 4.8.1351.0 2010.01.18 Win32:Rootkit-gen
AVG 9.0.0.730 2010.01.18 -
BitDefender 7.2 2010.01.18 -
CAT-QuickHeal 10.00 2010.01.18 -
ClamAV 0.94.1 2010.01.18 PUA.Packed.ASPack212
Comodo 3624 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 -
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7243 2010.01.18 -
F-Prot 4.5.1.85 2010.01.17 W32/Damaged_File.gen!Eldorado
F-Secure 9.0.15370.0 2010.01.18 -
Fortinet 4.0.14.0 2010.01.18 -
GData 19 2010.01.18 Win32:Rootkit-gen
Ikarus T3.1.1.80.0 2010.01.18 -
Jiangmin 13.0.900 2010.01.18 Packed.Katusha.cxc
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 -
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 -
McAfee-GW-Edition 6.8.5 2010.01.18 Heuristic.LooksLike.Win32.Suspicious.A
Microsoft 1.5302 2010.01.18 -
NOD32 4782 2010.01.18 -
Norman 6.04.03 2010.01.18 -
nProtect 2009.1.8.0 2010.01.18 -
Panda 10.0.2.2 2010.01.17 -
PCTools 7.0.3.5 2010.01.18 -
Prevx 3.0 2010.01.18 Medium Risk Malware
Rising 22.31.00.04 2010.01.18 -
Sophos 4.49.0 2010.01.18 -
Sunbelt 3.2.1858.2 2010.01.17 -
Symantec 20091.2.0.41 2010.01.18 -
TheHacker 6.5.0.6.154 2010.01.18 -
TrendMicro 9.120.0.1004 2010.01.18 -
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.18.2142 2010.01.18 -
VirusBuster 5.0.21.0 2010.01.17 -
Rozšiřující informace
File size: 38912 bytes
MD5...: 9681fb0494c75c5315654d282d5196c3
SHA1..: f39cd3f4b39c7481fb2d52253f49ce3ba6c2f364
SHA256: 68995a30a1d2ca3724f3f01e1ff609d57b6d4d59bf52e4af0fa0f73af26cb453
ssdeep: 768:KAR0oeJoIABU1rt0ayZ5R7ETXqo0GHpCyKsNUZHv2tdQ0bJGDJx1c:92opP6
1ri90XppCyKsNUZHOti0bJx
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x17001
timedatestamp.....: 0x4b50ea6e (Fri Jan 15 22:21:34 2010)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc000 0x7000 7.99 fe32b14a836239d13edfce109278a85a
.rdata 0xd000 0x3000 0x1200 7.73 5fe96e9593b76a906b3b0a3ee1914718
.data 0x10000 0x5000 0x400 7.59 218db55ef19e01db261205004516bcbb
.rsrc 0x15000 0x1000 0x200 1.33 1008a486f91b813b39b46455d9d03d14
.nznzn 0x16000 0x1000 0x200 2.78 ed9ebea3daa1e4a95d629ea9f2506f2e
.aspack 0x17000 0x2000 0x1200 6.22 a166e6550d3d6076c1b0ee00dbc23a6b
.adata 0x19000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): ASPack
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
<a href='http://info.prevx.com/aboutprogramtext. ... 00843BA805' target='_blank'>http://info.prevx.com/aboutprogramtext. ... 43BA805</a>
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

c:\gbqitfm.exe :

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.01.18 P2P-Worm.Win32.Palevo!IK
AhnLab-V3 5.0.0.2 2010.01.18 -
AntiVir 7.9.1.142 2010.01.18 TR/Dldr.Genome.acra.8
Antiy-AVL 2.0.3.7 2010.01.18 Trojan/Win32.Genome.gen
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.18 Win32:Palevo-T
AVG 9.0.0.730 2010.01.18 Win32/Dlder.D
BitDefender 7.2 2010.01.18 Backdoor.Bot.111845
CAT-QuickHeal 10.00 2010.01.18 TrojanDownloader.Genome.acra
ClamAV 0.94.1 2010.01.18 -
Comodo 3624 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 Win32.HLLW.Lime.8
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7243 2010.01.18 -
F-Prot 4.5.1.85 2010.01.17 -
F-Secure 9.0.15370.0 2010.01.18 Backdoor.Bot.111845
Fortinet 4.0.14.0 2010.01.18 W32/Genome.ACRA!tr.dldr
GData 19 2010.01.18 Backdoor.Bot.111845
Ikarus T3.1.1.80.0 2010.01.18 P2P-Worm.Win32.Palevo
Jiangmin 13.0.900 2010.01.18 TrojanDownloader.Genome.haj
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 Trojan-Downloader.Win32.Genome.acra
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 Artemis!5805035FCBC7
McAfee-GW-Edition 6.8.5 2010.01.18 Heuristic.LooksLike.Worm.Palevo.H
Microsoft 1.5302 2010.01.18 -
NOD32 4783 2010.01.18 Win32/TrojanDownloader.Small.OUC
Norman 6.04.03 2010.01.18 W32/Downloader.ASMJ
nProtect 2009.1.8.0 2010.01.18 -
Panda 10.0.2.2 2010.01.17 Suspicious file
PCTools 7.0.3.5 2010.01.18 -
Prevx 3.0 2010.01.18 Medium Risk Malware Downloader
Rising 22.31.00.04 2010.01.18 Win32.Polipo.t
Sophos 4.49.0 2010.01.18 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.01.17 -
Symantec 20091.2.0.41 2010.01.18 -
TheHacker 6.5.0.6.154 2010.01.18 Trojan/Downloader.Genome.gen
TrendMicro 9.120.0.1004 2010.01.18 -
VBA32 3.12.12.1 2010.01.17 Trojan-Downloader.Win32.Genome.abog
ViRobot 2010.1.18.2142 2010.01.18 -
VirusBuster 5.0.21.0 2010.01.17 -
Rozšiřující informace
File size: 107008 bytes
MD5...: 5805035fcbc73888280bb11664554ec4
SHA1..: 6f94a6bf8075cf131c080c303e8f72b886f8cad5
SHA256: 129fbbc72fbcb0901923649ea6c5bdf6c72e385c0c4c7e2745c2241a35e51416
ssdeep: 1536:mmOH4+TcTpkHbWBt3yjRNfxiLxm4f6b29pVf6tyzLqAaBeMvyJEvIuZxf33
1T2X2:mINkHbWXmUqgpd6tyqAoeMvyYn9T2X2
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4d7c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x3f9b 0x4000 6.35 5ab2a23b3e45db7c28cc8295d883d63c
DATA 0x5000 0x164 0x200 2.88 310d1979919812ea7ea3eba831ed5c49
BSS 0x6000 0xdf1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x7000 0x212 0x400 2.53 0950f1cef82a2d5c458158a9d4630926
.tls 0x8000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x9000 0x18 0x200 0.20 464e11218533a2251856b8bc9db70ff1
.reloc 0xa000 0x4d4 0x600 5.86 2a3f2fff85df315ec6c6eaeb544a9ade
.rsrc 0xb000 0x14e30 0x15000 6.08 dda8852ab36b0ea30a5ff7da1989b881

( 4 imports )
> kernel32.dll: GetCurrentThreadId, WideCharToMultiByte, ExitProcess, RtlUnwind, RaiseException, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap
> oleaut32.dll: SysFreeString, SysReAllocStringLen
> kernel32.dll: LoadLibraryExA
> winmm.dll: timeGetTime

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext. ... 00EE1E5FEC' target='_blank'>http://info.prevx.com/aboutprogramtext. ... E1E5FEC</a>
pdfid.: -
trid..: Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

C:\gwequ.exe :

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.01.18 Win32.Worm.Palevo!IK
AhnLab-V3 5.0.0.2 2010.01.18 -
AntiVir 7.9.1.142 2010.01.18 DR/Delphi.Gen
Antiy-AVL 2.0.3.7 2010.01.18 Trojan/Win32.Agent.gen
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.18 -
AVG 9.0.0.730 2010.01.18 Worm/Generic.ATAM
BitDefender 7.2 2010.01.18 Backdoor.Agent.AAKZ
CAT-QuickHeal 10.00 2010.01.18 Win32.Worm.Pushbot.gen.8
ClamAV 0.94.1 2010.01.18 -
Comodo 3624 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 BackDoor.IRC.Sdbot.8011
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7243 2010.01.18 -
F-Prot 4.5.1.85 2010.01.17 -
F-Secure 9.0.15370.0 2010.01.18 Backdoor.Agent.AAKZ
Fortinet 4.0.14.0 2010.01.18 -
GData 19 2010.01.18 Backdoor.Agent.AAKZ
Ikarus T3.1.1.80.0 2010.01.18 Win32.Worm.Palevo
Jiangmin 13.0.900 2010.01.18 -
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 Backdoor.Win32.SdBot.qxy
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 Artemis!F0A88C1CAB11
McAfee-GW-Edition 6.8.5 2010.01.18 Heuristic.LooksLike.Worm.Palevo.H
Microsoft 1.5302 2010.01.18 -
NOD32 4783 2010.01.18 Win32/AutoRun.IRCBot.DZ
Norman 6.04.03 2010.01.18 -
nProtect 2009.1.8.0 2010.01.18 -
Panda 10.0.2.2 2010.01.17 Trj/CI.A
PCTools 7.0.3.5 2010.01.18 Trojan.IRCBot
Prevx 3.0 2010.01.18 Internet Chat High Risk Worm
Rising 22.31.00.04 2010.01.18 Trojan.Win32.Generic.51F77DFD
Sophos 4.49.0 2010.01.18 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.01.17 Trojan.Win32.Buzus.bzaz (v)
Symantec 20091.2.0.41 2010.01.18 W32.IRCBot
TheHacker 6.5.0.6.154 2010.01.18 -
TrendMicro 9.120.0.1004 2010.01.18 -
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.18.2142 2010.01.18 Backdoor.Win32.IRCBot.205312.E
VirusBuster 5.0.21.0 2010.01.17 -
Rozšiřující informace
File size: 110592 bytes
MD5...: f0a88c1cab119d85ffa48c46199ea6d9
SHA1..: 705baba22ac9215d1f3c70e308c57cf3fbed30e7
SHA256: fd425ec8094eab430fda6b5bd042f7bb382a5093e77676f701fe2435744dfbda
ssdeep: 3072:p4NpHXWfk8+V6cn1L7KG9jpR0yn6fhYFr8uMcHw7:pIlQk5VZ3TgWFrX+7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5444
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x5f78 0x6000 6.43 e216bc9735b46e3adaee7d060cb2ddd4
DATA 0x7000 0x188 0x200 3.50 43eff15759d185240b6c4c3c921db27a
BSS 0x8000 0xdd1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x9000 0x41c 0x600 3.40 a49ca0dc29c1c5859f1e9d62119d8016
.tls 0xa000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xb000 0x18 0x200 0.20 a59d5deeda3151a72e3841f3a8a37fbd
.reloc 0xc000 0x6a0 0x800 6.05 86a29457ee475a7682e90b7fd37f3efd
.rsrc 0xd000 0x139a0 0x13a00 6.07 0b2be534e945db45a8289dd00b54142c

( 6 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, WideCharToMultiByte, MultiByteToWideChar, GetThreadLocale, GetStartupInfoA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, MessageBoxA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> kernel32.dll: LoadLibraryExA, GetTickCount

( 0 exports )
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx ... 46199ea6d9' target='_blank'>http://www.threatexpert.com/report.aspx ... 99ea6d9</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext. ... 005BE7B14D' target='_blank'>http://info.prevx.com/aboutprogramtext. ... BE7B14D</a>
pdfid.: -
trid..: Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

c:\windows\system32\BSETUP.TMP :

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.01.18 -
AhnLab-V3 5.0.0.2 2010.01.18 -
AntiVir 7.9.1.142 2010.01.18 -
Antiy-AVL 2.0.3.7 2010.01.18 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.18 -
AVG 9.0.0.730 2010.01.18 -
BitDefender 7.2 2010.01.18 -
CAT-QuickHeal 10.00 2010.01.18 -
ClamAV 0.94.1 2010.01.18 -
Comodo 3624 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 -
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7243 2010.01.18 -
F-Prot 4.5.1.85 2010.01.17 -
F-Secure 9.0.15370.0 2010.01.18 -
Fortinet 4.0.14.0 2010.01.18 -
GData 19 2010.01.18 -
Ikarus T3.1.1.80.0 2010.01.18 -
Jiangmin 13.0.900 2010.01.18 -
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 -
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 -
McAfee-GW-Edition 6.8.5 2010.01.18 -
Microsoft 1.5302 2010.01.18 -
NOD32 4783 2010.01.18 -
Norman 6.04.03 2010.01.18 -
nProtect 2009.1.8.0 2010.01.18 -
Panda 10.0.2.2 2010.01.17 -
PCTools 7.0.3.5 2010.01.18 -
Prevx 3.0 2010.01.18 -
Rising 22.31.00.04 2010.01.18 -
Sophos 4.49.0 2010.01.18 -
Sunbelt 3.2.1858.2 2010.01.17 -
Symantec 20091.2.0.41 2010.01.18 -
TheHacker 6.5.0.6.154 2010.01.18 -
TrendMicro 9.120.0.1004 2010.01.18 -
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.18.2142 2010.01.18 -
VirusBuster 5.0.21.0 2010.01.17 -
Rozšiřující informace
File size: 3 bytes
MD5...: 05fd9bf017c84467ace9b9ac43d7deec
SHA1..: e24a7d67c27a32e0b5a94f7acc7a43bc2ffff93e
SHA256: a100ee3b09fa4530371ec3fee7c86c743490840f433de98870dc569bdf988803
ssdeep: 3:y:y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

c:\windows\system32\dwwin.exe :

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.01.18 -
AhnLab-V3 5.0.0.2 2010.01.18 -
AntiVir 7.9.1.142 2010.01.18 -
Antiy-AVL 2.0.3.7 2010.01.18 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.18 -
AVG 9.0.0.730 2010.01.18 -
BitDefender 7.2 2010.01.18 -
CAT-QuickHeal 10.00 2010.01.18 -
ClamAV 0.94.1 2010.01.18 -
Comodo 3624 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 -
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7243 2010.01.18 -
F-Prot 4.5.1.85 2010.01.17 -
F-Secure 9.0.15370.0 2010.01.18 -
Fortinet 4.0.14.0 2010.01.18 -
GData 19 2010.01.18 -
Ikarus T3.1.1.80.0 2010.01.18 -
Jiangmin 13.0.900 2010.01.18 -
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 -
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 -
McAfee-GW-Edition 6.8.5 2010.01.18 -
Microsoft 1.5302 2010.01.18 -
NOD32 4783 2010.01.18 -
Norman 6.04.03 2010.01.18 -
nProtect 2009.1.8.0 2010.01.18 -
Panda 10.0.2.2 2010.01.17 -
PCTools 7.0.3.5 2010.01.18 -
Prevx 3.0 2010.01.18 -
Rising 22.31.00.04 2010.01.18 -
Sophos 4.49.0 2010.01.18 -
Sunbelt 3.2.1858.2 2010.01.17 -
Symantec 20091.2.0.41 2010.01.18 -
TheHacker 6.5.0.6.154 2010.01.18 -
TrendMicro 9.120.0.1004 2010.01.18 -
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.18.2142 2010.01.18 -
VirusBuster 5.0.21.0 2010.01.17 -
Rozšiřující informace
File size: 180224 bytes
MD5...: 1f70f7026a4d778309d39ffb4dc08e75
SHA1..: 908443e9f40b468b7bbbb771a7fb799ba9121fb2
SHA256: 6b967b4853c391c8c8e77059192ccfe936bbf8e110106b4ba37c4237b8afd7f3
ssdeep: 3072:wH7taLQQ+BZfNEyaIytZ7JBxkJ5OblLmzRKukr8tPq3bMl3/ILlqz98dP1G
d:staLQRfeoW7JBxk7QlCkukItPgbMl3/7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x749a
timedatestamp.....: 0x3f8e134e (Thu Oct 16 03:41:02 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x28e92 0x29000 6.65 eb5aaa0f29ddd4838ad3b95f2ab37002
.data 0x2a000 0x8154 0x1000 0.97 e76486527bc3baee910420fd8ab4437d
.rsrc 0x33000 0xaa4 0x1000 2.88 2db9e5c668dd01a3c628a58179a6a1e0

( 11 imports )
> ADVAPI32.DLL: RegCloseKey, RegOpenKeyExA, RegQueryValueExA, RegEnumKeyExA, RegQueryInfoKeyA, RegQueryValueExW, DeregisterEventSource, ReportEventA, RegisterEventSourceW, RegEnumValueA, GetUserNameA
> COMCTL32.DLL: -
> GDI32.DLL: DeleteDC, RestoreDC, DeleteObject, GetTextMetricsA, GetTextFaceA, SelectObject, CreateFontA, GetDeviceCaps, SetMapMode, SaveDC, Polyline, CreatePen, ExtTextOutW, GetTextExtentPoint32W, SetTextAlign, SetBkMode, SetTextColor, CreateFontIndirectA, GetObjectA
> KERNEL32.DLL: MultiByteToWideChar, GetCommandLineA, ExitProcess, GetCommandLineW, MapViewOfFile, ReleaseMutex, WaitForSingleObject, WaitForMultipleObjects, LeaveCriticalSection, EnterCriticalSection, DeleteFileW, GetModuleHandleA, GetStartupInfoA, GetStartupInfoW, CloseHandle, CreateThread, Sleep, GetCurrentProcess, TerminateProcess, SetUnhandledExceptionFilter, MulDiv, FreeLibrary, GetProcAddress, WideCharToMultiByte, GetModuleFileNameA, LoadLibraryA, GetSystemDefaultLangID, GetUserDefaultLangID, GetACP, GetSystemDefaultLCID, GetVersionExA, InitializeCriticalSection, GetProcessHeap, DeleteCriticalSection, lstrcpyA, GetLastError, GetProfileStringA, SetEvent, CreateSemaphoreA, CreateFileMappingA, GetFileSize, CreateFileA, UnmapViewOfFile, DeleteFileA, RemoveDirectoryA, RemoveDirectoryW, GetTickCount, SetEnvironmentVariableA, ReadProcessMemory, VirtualQueryEx, GetSystemInfo, GetFileAttributesA, CreateDirectoryA, FindNextFileA, FindClose, FindFirstFileA, GetWindowsDirectoryA, WriteFile, SetFilePointer, CreateFileW, GetTempPathW, GetFileAttributesW, CreateDirectoryW, LockResource, LoadResource, FindResourceExA, GetSystemDirectoryA, SetEndOfFile, ExpandEnvironmentStringsA, ExpandEnvironmentStringsW, IsDBCSLeadByte, CreateProcessA, CreateProcessW, SuspendThread, GetSystemTime, GetComputerNameA, CreateMutexA, TlsAlloc, TlsFree, TlsSetValue, VirtualFree, TlsGetValue, GetTempPathA, ResumeThread, GetCurrentThreadId, TerminateThread, GetCurrentProcessId, IsValidCodePage, HeapAlloc, VirtualAlloc, DuplicateHandle, lstrcmpW, GetStringTypeW, DebugBreak, GetThreadSelectorEntry, GetLocaleInfoA, LCMapStringW, GetThreadContext, HeapFree, SetLastError, GetSystemTimeAsFileTime, OutputDebugStringA, LCMapStringA, GetStringTypeA, RtlUnwind
> OLEAUT32.DLL: -, -, -, -, -
> SHELL32.DLL: ExtractIconExA, ShellExecuteExA
> SHLWAPI.DLL: AssocQueryStringW, UrlGetPartA, wnsprintfA
> URLMON.DLL: CreateURLMoniker
> USER32.DLL: GetScrollInfo, IsDlgButtonChecked, LoadIconA, DrawFocusRect, SetWindowTextW, GetWindow, LoadCursorA, DestroyIcon, GetWindowPlacement, IsIconic, LoadStringW, GetWindowThreadProcessId, EnumWindows, CharPrevA, CallWindowProcA, CallWindowProcW, IsWindowUnicode, EnableWindow, DrawIconEx, DestroyWindow, SetWindowLongA, GetSysColor, SendDlgItemMessageA, GetClientRect, SetScrollInfo, SystemParametersInfoA, CheckDlgButton, SetDlgItemTextA, SetFocus, EndDialog, GetDlgItem, ShowWindow, SetCursor, InvalidateRect, DialogBoxParamW, DialogBoxParamA, CreateDialogParamW, CreateDialogParamA, SetWindowTextA, GetDC, MapWindowPoints, GetSysColorBrush, FillRect, ReleaseDC, GetSystemMetrics, SetForegroundWindow, GetWindowLongA, GetWindowRect, SetWindowPos, RegisterClassExA, CreateWindowExA, GetMessageA, IsDialogMessageA, TranslateMessage, DispatchMessageA, PostQuitMessage, KillTimer, SetTimer, SendMessageA, PostMessageA, DefWindowProcA
> VERSION.DLL: GetFileVersionInfoSizeA, GetFileVersionInfoSizeW, VerQueryValueA, GetFileVersionInfoW, GetFileVersionInfoA
> WININET.DLL: InternetReadFileExA, InternetWriteFile, HttpSendRequestExA, InternetSetOptionA, HttpEndRequestA, InternetSetStatusCallback, InternetAutodial, InternetGetConnectedState, InternetCloseHandle, InternetQueryOptionA, HttpQueryInfoA, HttpOpenRequestA, InternetConnectA, InternetOpenA

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright(c) Microsoft Corporation 1999-2001._ All rights reserved.
product......: Microsoft Application Error Reporting
description..: Microsoft Application Error Reporting
original name: DW.Exe
internal name: DW
file version.: 10.0.5815
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
pdfid.: -

c:\documents and settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe :

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.01.18 Trojan.Win32.Bredolab!IK
AhnLab-V3 5.0.0.2 2010.01.18 -
AntiVir 7.9.1.142 2010.01.18 DR/Delphi.Gen
Antiy-AVL 2.0.3.7 2010.01.18 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.18 Win32:Bredolab-BN
AVG 9.0.0.730 2010.01.18 Win32/Cryptor
BitDefender 7.2 2010.01.18 Trojan.Downloader.Bredolab.CK
CAT-QuickHeal 10.00 2010.01.18 Win32.Trojan.Monder.gen.4
ClamAV 0.94.1 2010.01.18 Trojan.Agent-136630
Comodo 3624 2010.01.18 -
DrWeb 5.0.1.12222 2010.01.18 Trojan.Botnetlog.11
eSafe 7.0.17.0 2010.01.17 Win32.DRDelphi
eTrust-Vet 35.2.7243 2010.01.18 Win32/Bredolab.C!generic
F-Prot 4.5.1.85 2010.01.17 -
F-Secure 9.0.15370.0 2010.01.18 Trojan.Downloader.Bredolab.CK
Fortinet 4.0.14.0 2010.01.18 W32/PackBredolab.D!tr
GData 19 2010.01.18 Trojan.Downloader.Bredolab.CK
Ikarus T3.1.1.80.0 2010.01.18 Trojan.Win32.Bredolab
Jiangmin 13.0.900 2010.01.18 Backdoor/Bredolab.bdi
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 Backdoor.Win32.Bredolab.btx
McAfee 5864 2010.01.17 Generic Dropper.lr.gen
McAfee+Artemis 5864 2010.01.17 Generic Dropper.lr.gen
McAfee-GW-Edition 6.8.5 2010.01.18 Trojan.Dropper.Delphi.Gen
Microsoft 1.5302 2010.01.18 -
NOD32 4783 2010.01.18 a variant of Win32/Kryptik.BUW
Norman 6.04.03 2010.01.18 -
nProtect 2009.1.8.0 2010.01.18 -
Panda 10.0.2.2 2010.01.17 Trj/CI.A
PCTools 7.0.3.5 2010.01.18 HeurEngine.MaliciousPacker
Prevx 3.0 2010.01.18 Medium Risk Malware
Rising 22.31.00.04 2010.01.18 -
Sophos 4.49.0 2010.01.18 Mal/BredoPk-B
Sunbelt 3.2.1858.2 2010.01.17 Trojan.Win32.Bredolab.Gen.2 (v)
Symantec 20091.2.0.41 2010.01.18 Packed.Generic.265
TheHacker 6.5.0.6.154 2010.01.18 Trojan/Bredolab.gen
TrendMicro 9.120.0.1004 2010.01.18 TROJ_BREDLAB.SMP
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.18.2142 2010.01.18 -
VirusBuster 5.0.21.0 2010.01.17 Trojan.Fraudload.Gen!Pac.5
Rozšiřující informace
File size: 32768 bytes
MD5...: ea0fded9c20b1663a150f6a5818a2d43
SHA1..: d8764cc3b74c40d8e099e9a0670797d8c3f692d9
SHA256: 02a3b98006068188407b3b48979108a86464284c508967ec7bdf7b47902bef93
ssdeep: 384:cxu++BwQlXi/gfvcQTAoTvv79bGC4zoVfXs/aRi6tusWbZO:cQ++BbsYncQt
Td7ZXsRXh
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x109a
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19c1 0x1a00 0.69 be27be6b58482b17438f8bf3e453808d
.rdata 0x3000 0x5d2 0x600 3.88 3113c9dc5fc5939925b1c5851c911e46
.data 0x4000 0xab7 0xa00 5.49 9072a7b47e3a975e6bdcc490fdf726c0
.rsrc 0x5000 0xb1b7 0x5200 7.68 43ce0db7eef5a2a863276fe5a8bd2f09

( 3 imports )
> kernel32.dll: GetProcAddress, LoadLibraryA, GetCommandLineA, Sleep, CreateEventA, GetModuleHandleA, GlobalAlloc, GlobalFree, LocalFree, GetStdHandle, GetTickCount, FreeLibrary, lstrlenA, GetStartupInfoA, lstrcpyA
> gdi32.dll: PatBlt, LineTo, DeleteObject, SetPixel, GetPixel, CreateSolidBrush, GetBkColor, SetBkMode, CreateCompatibleDC, GetStockObject, GetTextMetricsA, GetObjectA, BitBlt, GetTextColor
> msvcrt.dll: __p__fmode, exit, __getmainargs, _except_handler3, __setusermatherr, __CxxFrameHandler, __set_app_type, wcschr, _adjust_fdiv, wcslen, _acmdln, _controlfp, _XcptFilter, toupper, rand

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext. ... 00A3CE0174' target='_blank'>http://info.prevx.com/aboutprogramtext. ... 3CE0174</a>

Re: win32/Kryptik/trojan.bcp

Napsal: 18 led 2010 20:49
od earl
:arrow: pokud jste tak jeste neucinil(a), presunte Combofix na plochu

otevrete si Poznamkovy blok

do nej zkopirujte skript z nasledujiciho okna:

Kód: Vybrat vše

KillAll::
Collect::
C:\wuovki.exe 
c:\windows\system32\drivers\izsmuyy.sys 
C:\gbqitfm.exe 
C:\gwequ.exe 
c:\documents and settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe
Driver::
izsmuyy
ulozte vami vytvoreny textovy soubor jako CFScript.txt na plochu

po ulozeni uchopte vami vytvoreny skript levym tlacitkem mysi a presunte jej nad ikonu Combofixu, nad niz skript upustte:

Obrázek

po aplikaci by na vas mel vyskocit dalsi log, vlozte jej sem

Upozorneni: je mozne, ze po aplikaci skriptu a restartu nenabehnou Windows, v takovem pripade znovu restartujte, po restartu mackejte F8 a zvolte Posledni znamou funkcni konfiguraci

Re: win32/Kryptik/trojan.bcp

Napsal: 20 led 2010 03:57
od Sleseleseleci
Tak počítač naběhnul krásně a ani nevyskočilo okno ihapd32.exe --> neodesílat, takže to vypadá dost dobře... ;)

LOG zde:

ComboFix 10-01-19.03 - Sele 20.01.2010 3:50.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.767.516 [GMT 1:00]
Spuštěný z: c:\documents and settings\Sele\Plocha\grinder.com
Použité ovládací přepínače :: c:\docume~1\Sele\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

file zipped: c:\documents and settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe
file zipped: C:\gbqitfm.exe
file zipped: C:\gwequ.exe
file zipped: c:\windows\system32\drivers\izsmuyy.sys
file zipped: C:\wuovki.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Sele\Nabídka Start\Programy\Po spuštění\ihaupd32.exe
C:\gbqitfm.exe
C:\gwequ.exe
c:\windows\system32\drivers\izsmuyy.sys
C:\wuovki.exe

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IZSMUYY
-------\Service_izsmuyy


((((((((((((((((((((((((( Soubory vytvořené od 2009-12-20 do 2010-01-20 )))))))))))))))))))))))))))))))
.

2010-01-16 09:36 . 2010-01-16 10:09 2329 ----a-w- C:\dinu.exe
2010-01-05 23:53 . 2010-01-05 23:53 -------- d-----w- c:\program files\IrfanView

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-20 02:30 . 2009-12-07 15:31 -------- d-----w- c:\program files\uTorrent
2010-01-20 01:57 . 2009-12-07 14:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-20 01:57 . 2009-12-07 14:30 2426 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2010-01-20 01:56 . 2009-12-07 14:30 8972 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2010-01-16 23:11 . 2009-12-07 23:01 -------- d-----w- c:\program files\ICQ6.5
2010-01-05 23:55 . 2010-01-05 23:46 -------- d-----w- c:\program files\Lexmark X1100 Series
2009-12-18 11:21 . 2009-12-18 11:07 34642 ----a-w- c:\windows\DIIUnin.dat
2009-12-18 11:20 . 2009-12-18 11:15 21840 ----atw- c:\windows\system32\SIntfNT.dll
2009-12-18 11:20 . 2009-12-18 11:15 17212 ----atw- c:\windows\system32\SIntf32.dll
2009-12-18 11:20 . 2009-12-18 11:15 12067 ----atw- c:\windows\system32\SIntf16.dll
2009-12-18 11:07 . 2009-12-18 11:07 94208 ----a-w- c:\windows\DIIUnin.exe
2009-12-18 11:07 . 2009-12-18 11:07 2829 ----a-w- c:\windows\DIIUnin.pif
2009-12-18 10:56 . 2009-12-18 10:56 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-12-18 10:56 . 2009-12-18 10:56 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-17 10:50 . 2009-12-17 10:50 -------- d-----w- c:\program files\CCleaner
2009-12-14 02:36 . 2001-10-25 14:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-12-14 02:36 . 2001-10-25 14:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-12-10 23:53 . 2009-12-10 23:52 -------- d-----w- c:\program files\QuickTime
2009-12-10 23:52 . 2009-12-10 23:52 -------- d-----w- c:\program files\Common Files\Apple
2009-12-10 23:52 . 2009-12-10 23:52 -------- d-----w- c:\program files\Apple Software Update
2009-12-10 10:14 . 2009-12-10 10:14 -------- d-----w- c:\program files\Software602
2009-12-09 22:43 . 2009-12-09 22:43 -------- d-----w- c:\program files\CountDown ShutDown PC
2009-12-08 19:02 . 2009-12-08 19:02 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-08 18:51 . 2009-12-08 18:49 -------- d-----w- c:\program files\Winamp
2009-12-08 06:48 . 2009-12-08 06:46 -------- d-----w- c:\program files\TuneUp Utilities 2008
2009-12-08 06:46 . 2009-12-08 06:46 306432 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-12-08 06:45 . 2009-12-08 06:45 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-12-08 06:35 . 2009-12-08 06:35 -------- d-----w- c:\program files\Astonsoft
2009-12-08 06:26 . 2009-12-08 06:22 -------- d-----w- c:\program files\ESET
2009-12-07 23:01 . 2009-12-07 15:10 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-07 15:52 . 2009-12-07 15:52 0 ----a-w- c:\windows\nsreg.dat
2009-12-07 15:37 . 2009-12-07 15:37 -------- d-----w- c:\program files\sdc230
2009-12-07 15:25 . 2009-12-07 15:06 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-07 15:10 . 2009-12-07 15:10 -------- d-----w- c:\program files\Realtek Sound Manager
2009-12-07 15:10 . 2009-12-07 15:10 -------- d-----w- c:\program files\AvRack
2009-12-07 15:06 . 2009-12-07 15:06 3 ----a-w- c:\windows\system32\BSETUP.TMP
2009-12-07 14:31 . 2009-12-07 14:31 -------- d-----w- c:\program files\microsoft frontpage
2009-12-07 14:28 . 2009-12-07 14:28 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-11-09 18:00 . 2009-12-08 19:02 85504 ----a-w- c:\windows\system32\ff_vfw.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-01-16_23.15.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-20 02:53 . 2010-01-20 02:53 40960 c:\windows\temp\rtdrvmon.exe
- 2010-01-16 23:15 . 2010-01-16 23:15 40960 c:\windows\temp\rtdrvmon.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
"SoundMan"=SOUNDMAN.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [11.9.2009 7:23 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [11.9.2009 7:26 96408]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [11.9.2009 7:24 735960]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18.12.2009 11:56 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-01-15 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 14:17]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Sele\Data aplikací\Mozilla\Firefox\Profiles\zzid4cnz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz

---- NASTAVENÍ FIREFOXU ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-20 03:54
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(488)
c:\windows\system32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-01-20 03:55:08 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-20 02:55
ComboFix2.txt 2010-01-16 23:31
ComboFix3.txt 2010-01-16 23:16

Před spuštěním: 6 092 468 224
Po spuštění: 6 071 914 496

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - C48BB24A166C451A474EE35B2C8DC637

Re: win32/Kryptik/trojan.bcp

Napsal: 20 led 2010 03:59
od Sleseleseleci
V Manageru po spuštění ten ihaupd32.exe stále je. Předtím byl zakřížkován, takže se spouštěl a nešel odkřížkovat, teď zakřížkován není, ale smazat pořád nejde.

win32/Kryptik/trojan.bcp

Napsal: 20 led 2010 14:07
od zziipp
Dobrý den,
jsem tu poprvé takže se omlouvám pokud něco napíši špatně nebo tak něco.
Před Vánoci jsem měl silně zavirovaný PC virem Kryptik a stále jsem s ním zápasil (za podpory společnosti ESET která mi posílala různé soubory které jsem přepisoval přes soubory jež byly napadeny. Celé tyto peripetie vypadali slibně až do teď kdy mě chtěli odpojit od sítě kvůli tomu že prý z mé IP adresy je strašně silá komunikace po portu 25. Proto jsem PC projel combofixem a to tak že dvakrát (při prvním projetí mi něco mazal, při druhém už ne) a tak bych se chtěl zeptat zda by mi někdo zkušený mohl zkontrolovat log a říct jestli už jsem se toho viru zbavil nebo co mám dělat dál. Moc dík za jakékoli rady!
PS: Používám Win XP SP3 a ESET Smart security

Log:
ComboFix 10-01-19.08 - D5S 20.01.2010 13:33:29.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.511.270 [GMT 1:00]
Spuštěný z: c:\documents and settings\D5S\Plocha\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-12-20 do 2010-01-20 )))))))))))))))))))))))))))))))
.

2010-01-20 12:27 . 2010-01-20 12:31 -------- d-----w- c:\windows\LastGood

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-20 12:39 . 2009-12-14 12:14 763904 ----a-w- c:\windows\system32\drivers\ibmidvrc.sys
2009-12-15 12:20 . 2009-12-15 12:20 390144 ----a-w- c:\windows\system32\CF6462.exe
2009-12-15 12:11 . 2009-12-15 12:11 390144 ----a-w- c:\windows\system32\CF4859.exe
2009-12-15 12:05 . 2009-12-15 12:05 390144 ----a-w- c:\windows\system32\CF3565.exe
2009-12-15 12:03 . 2009-12-15 12:03 390144 ----a-w- c:\windows\system32\CF3236.exe
2009-12-15 12:02 . 2009-12-15 12:11 2933823 ----a-r- C:\neco.exe
2009-12-14 12:18 . 2009-12-14 12:18 390144 ----a-w- c:\windows\system32\CF18908.exe
2009-10-26 07:46 . 2004-08-18 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2009-10-26 07:46 . 2004-08-18 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-10 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-01-29 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2008-01-06 1003520]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 36975]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-09-04 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Spamihilator\\dccproc.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.5.2009 14:47 107256]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [14.5.2009 14:47 731840]
S1 e0d2d7f5;e0d2d7f5;c:\windows\system32\drivers\e0d2d7f5.sys [14.5.2009 16:06 0]
S2 NetDDEdsdmUPS;Správce DSDM služby DDE v síti NetDDEdsdmUPS;c:\windows\system32\1042h.exe srv --> c:\windows\system32\1042h.exe srv [?]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - ibmidvrc
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-20 13:39
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ibmidvrc]

.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2088)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-01-20 13:41:41
ComboFix-quarantined-files.txt 2010-01-20 12:41

Před spuštěním: 9 229 938 688
Po spuštění: 9 215 492 096

- - End Of File - - E983368A800EBCCE6B489E6B25AA6759

Re: win32/Kryptik/trojan.bcp

Napsal: 20 led 2010 14:13
od motji
zziipp
založte si prosím nový topic a do něj vložte tento log :) . zde by to bylo už nepřehledné - díky :)
:arrow: Rovnou otestujte na http://www.virustotal.com
c:\windows\system32\drivers\e0d2d7f5.sys
c:\windows\system32\1042h.ex

A udělejte gmer
:arrow: Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

Re: win32/Kryptik/trojan.bcp

Napsal: 21 led 2010 05:14
od zziipp
Moc děkuji za rady!
Ten první soubor (c:\windows\system32\drivers\e0d2d7f5.sys) jsem odeslal emailem na scan@virustotal.com (předmětem "SCAN"), ale ten druhý jsem bohužel nenalezl (prohledal jsem celou složku system32 a nic).
GMER jsem spustil dle návodu ale během prvního skenu mi to napsalo že bylo něco modifikovaný a hned mě to nabídlo pokračovat kompletním testem tak jsem to odklepl (snad jsem tím nic nepokazil).

Nové vlákno jsem nazval "Prosím o pomoc s logy (novacek s zavirovanym PC :( )"

..tak snad to tak bude tedy lepšejší.

Ještě jednou moc DĚKUJI!
Všechny časy jsou v UTC+01:00
Stránka 1 z 2

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz