PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

Trojan Win32/trojanDowloader.Swizzor

https://pc-help.cnews.cz/viewtopic.php?f=47&t=10516

Stránka 1 z 2

opet swizor

Napsal: 21 pro 2006 14:31
od radekzjicina
dobry den mam podobny problem - NOD32 me kazdou hodinu (14:00,15:00 ... proste v celou) detekuje pripojeni na http://bins.dns-look-up.com/bins/int/upAYB.int s tim ze to je infiltrace trojskeho kone Win32/trojanDowloader.Swizzor

nevim jak tomu zabranit aby se kazdou hodinu nepripojoval a nestahoval ho - NOD tomu zabrani ale chci se zbavit toho pripojovani
tady je vypis z Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 14:22:07, on 21.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Eset\nod32krn.exe
C:\3dsmax7\brazil\sfmgr\sfmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\KEMailKb\KEMailKb.EXE
C:\PROGRA~1\KEMailKb\KPDrv4XP.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spyware Terminator\SpywareTerminator.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Adobe\Photoshop 7.0 CE\Photoshop.exe
C:\net\sprava\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [KEMailKb] C:\PROGRA~1\KEMailKb\KEMailKb.EXE
O4 - HKLM\..\Run: [KPDrv4XP] C:\PROGRA~1\KEMailKb\KPDrv4XP.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nForce Tray Options] "sstray.exe" /r
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WinFast Schedule] "C:\Program Files\WinFast\WFTVFM\WFWIZ.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [LiveMonitor] "C:\Program Files\MSI\Live Update 3\LMonitor.exe"
O4 - HKLM\..\Run: [Ptipbmf] "rundll32.exe" ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O18 - Protocol hijack: mhtml -
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)
O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\3dsmax7\brazil\sfmgr\sfmgr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe


diky za nejakou odpoved

/radku, v pravidlech fóra je jasně napsáno, že i se stejným problémem si musíš založit vlastní téma. víš jaké vznikají zmatky, když se najednou řeší problémy 2 lidí? pak neví se, komu jsou odpovědi určeny a kdo má co udělat.
téma je rozděleno
/mikel

Napsal: 21 pro 2006 15:25
od sakiri
1.vypni jeden rezidentní štít u antispywaru doporučuji nechat zaplý štít u Spy Sweeper.

Poté nech tyhle soubory zkontrolovat na Virustotallu:
C:\3dsmax7\brazil\sfmgr\sfmgr.exe
C:\PROGRA~1\KEMailKb\KEMailKb.EXE
C:\PROGRA~1\KEMailKb\KPDrv4XP.EXE
A zkopíruj sem výsledky.
Pro lepší nalezení si zapni zobrazovat skryté a systémové soubory.

Poté se zkus podívat jestli tam nemáš ten červeně označený soubor:
C:\WINDOWS\system32\scagent.exe
Pokud ano tak ho smaž kdyby nešel smazat tak řekni.

Poté dej:
Start-Spustit-services.msc, najít služby, zastavit je a nastavit spouštění na Zakázáno:
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)
A restartuj PC.

Pak spusť znovu HijackThis a v něm fixni:
O18 - Protocol hijack: mhtml -

I když ti v HJT nekonfiguruje Lop tak přece udělej tohle:
Poté si stáhni
LopFind spusť ho a zkopíruj sem jeho log + log z HJT.

Napsal: 21 pro 2006 17:11
od radekzjicina
cauves tohle me to vyplivlo u toho sfmgr.exe

STATUS: FINISHEDComplete scanning result of "sfmgr.exe", received in VirusTotal at 12.21.2006, 17:06:24 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.19 12.21.2006 HEUR/Malware
Authentium 4.93.8 12.21.2006 no virus found
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.20.2006 no virus found
BitDefender 7.2 12.21.2006 no virus found
CAT-QuickHeal 8.00 12.21.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.21.2006 no virus found
DrWeb 4.33 12.21.2006 no virus found
eSafe 7.0.14.0 12.21.2006 Suspicious Trojan/Worm
eTrust-InoculateIT 23.73.93 12.21.2006 no virus found
eTrust-Vet 30.3.3268 12.21.2006 no virus found
Ewido 4.0 12.21.2006 no virus found
Fortinet 2.82.0.0 12.21.2006 no virus found
F-Prot 3.16f 12.21.2006 no virus found
F-Prot4 4.2.1.29 12.21.2006 no virus found
Ikarus T3.1.0.27 12.21.2006 no virus found
Kaspersky 4.0.2.24 12.21.2006 no virus found
McAfee 4923 12.20.2006 no virus found
Microsoft 1.1904 12.21.2006 no virus found
NOD32v2 1933 12.21.2006 no virus found
Norman 5.80.02 12.21.2006 no virus found
Panda 9.0.0.4 12.21.2006 Suspicious file
Prevx1 V2 12.21.2006 no virus found
Sophos 4.12.0 12.21.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.20.2006 no virus found
VBA32 3.11.1 12.20.2006 no virus found
VirusBuster 4.3.19:9 12.21.2006 no virus found


Aditional Information
File size: 171008 bytes
MD5: f671d90df80ca914d9358ac09cc5afe6
SHA1: a1b60aec6ea5b2fc78b0efd933b5c056507395e9
packers: ASPACK
packers: Aspack
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered

Napsal: 21 pro 2006 18:02
od sakiri
nech ten soubor ještě zkontrolovat na Jotti uvidíme co napíše pro virusttotal je to podezřelý soubor.
A co ty ostatní soubory ty jsou ok?

A tady tenhle soubor byl přítomen na disku?:
C:\WINDOWS\system32\scagent.exe

zastavil jsi tu službu.
a dej sem nový log z HJT + log z LopFind.

Napsal: 21 pro 2006 18:03
od radekzjicina
takze ten soubor C:\3dsmax7\brazil\sfmgr\sfmgr.exe jsem Killboxem poslal do vecnych lovist, pak jsem zakazal tu sluzbu O23 - Service: Security Agent (scagent)
pak jsem zakazal jsete tu sluzbu co zustala po tom smazanym souboru: O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\3dsmax7\brazil\sfmgr\sfmgr.exe

a tady je log z hijacku:
Logfile of HijackThis v1.99.1
Scan saved at 17:58:35, on 21.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\KEMailKb\KEMailKb.EXE
C:\PROGRA~1\KEMailKb\KPDrv4XP.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\net\sprava\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [KEMailKb] C:\PROGRA~1\KEMailKb\KEMailKb.EXE
O4 - HKLM\..\Run: [KPDrv4XP] C:\PROGRA~1\KEMailKb\KPDrv4XP.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nForce Tray Options] "sstray.exe" /r
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WinFast Schedule] "C:\Program Files\WinFast\WFTVFM\WFWIZ.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LiveMonitor] "C:\Program Files\MSI\Live Update 3\LMonitor.exe"
O4 - HKLM\..\Run: [Ptipbmf] "rundll32.exe" ptipbmf.dll,SetWriteCacheMode
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe



vypada to ze je to ok - jeste na to mrkni - ale stihl jsem to pred 18:00 a v 18:00 se zadna infiltrace nekonala tak si myslim ze je to OK. :)

kazdopadne mod dekuji si machr

Napsal: 21 pro 2006 18:06
od radekzjicina
ty ostatni soubory jsou ok -
C:\PROGRA~1\KEMailKb\KEMailKb.EXE
C:\PROGRA~1\KEMailKb\KPDrv4XP.EXE
mam je k multimedialni klavesnici.

bylo to v tom prvnim.

C:\WINDOWS\system32\scagent.exe -tohleto na disku nemam

Napsal: 21 pro 2006 18:18
od sakiri
pokud ti šlape kompl bez probémů tak je to ok.
Ale nainstaluj si firewall na výběr zde.
kdyby ti to pořád vyskakovalo tak sem dej jak již se dal ten odkaz log z LopFind.
Jinak není zač.

Napsal: 21 pro 2006 19:05
od radekzjicina
Houstone - mame tady problem - 19:00 a nod32 hlasi infiltraci -- kuaaaaaa :)

výpis z loopu

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je 9848-4F0F.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

21.12.2006 14:13 <DIR> TEMP
04.12.2006 13:14 <DIR> skip mix drv junk
28.11.2006 10:56 <DIR> InstallShield
15.11.2006 18:04 <DIR> Protexis
05.11.2006 20:29 13 ŃŐíĆŽ3113>.sys
16.10.2006 07:47 <DIR> Macrovision
01.09.2006 13:04 <DIR> Microsoft Help
06.08.2006 16:42 <DIR> Macromedia
27.06.2006 19:40 <DIR> Ahead
02.05.2006 08:41 <DIR> SmartSound Software Inc
02.05.2006 08:34 <DIR> Pinnacle
05.03.2006 17:41 <DIR> Spyware Terminator
19.02.2006 20:46 <DIR> Sony
27.01.2006 21:24 <DIR> SecuROM
01.12.2005 11:35 <DIR> Windows Genuine Advantage
20.11.2005 22:36 <DIR> Raxco
15.10.2005 17:04 <DIR> Ideas From the Deep
09.10.2005 08:28 <DIR> Autodesk
27.08.2005 14:40 739 hpzinstall.log
22.03.2005 09:15 <DIR> OLYMPUS
25.11.2004 17:17 <DIR> DVD Shrink
11.11.2004 19:53 <DIR> Trymedia
05.10.2004 11:55 <DIR> Ulead Systems
01.10.2004 18:11 <DIR> ACD Systems
04.09.2004 06:51 <DIR> QuickTime
07.08.2004 09:41 <DIR> Spybot - Search & Destroy
20.06.2004 15:19 <DIR> NFS Underground
04.03.2004 21:29 <DIR> RVS
04.03.2004 20:44 <DIR> MSN6
04.03.2004 02:23 62 desktop.ini
04.03.2004 02:22 <DIR> Microsoft
04.03.2004 02:22 <DIR> .
04.03.2004 02:22 <DIR> ..
3 soubor…, 814 bajt…
Adres ý…: 30, Volněch bajt…: 12568936448
Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je 9848-4F0F.

Věpis adres ýe C:\Documents and Settings\Radek Kuzel\DATAAP~1

13.12.2006 20:11 <DIR> Publish Providers
04.12.2006 13:14 <DIR> NetPumper
04.12.2006 13:14 <DIR> THIRD OPTION
29.11.2006 23:42 <DIR> atitray
29.11.2006 23:23 <DIR> Ventrilo
09.09.2006 23:26 <DIR> Temp
13.08.2006 07:36 <DIR> Opera
27.06.2006 20:06 <DIR> Nero
15.06.2006 10:35 <DIR> ICQ
20.05.2006 10:27 <DIR> Azureus
10.05.2006 13:39 <DIR> Sun
25.03.2006 20:59 <DIR> Hamachi
19.02.2006 20:48 <DIR> Sony
27.12.2005 14:00 <DIR> teamspeak2
16.12.2005 19:33 <DIR> Google
30.11.2005 11:49 456 Taxi4.MCS
27.08.2005 15:00 <DIR> Hewlett-Packard
08.06.2005 15:04 <DIR> JavaEditor
31.05.2005 16:58 47544 GDIPFONTCACHEV1.DAT
27.05.2005 21:50 25 mclip.dat
27.05.2005 21:50 661 hexplorer.dat
24.04.2005 18:08 <DIR> Media Player Classic
17.04.2005 17:30 <DIR> Leadertech
11.01.2005 14:31 <DIR> ICQLite
22.11.2004 18:08 <DIR> Lavasoft
05.10.2004 12:08 <DIR> Ulead Systems
10.08.2004 18:43 <DIR> Nvu
05.07.2004 13:59 <DIR> Adobe
01.04.2004 21:33 <DIR> Macromedia
05.03.2004 19:02 <DIR> Ahead
04.03.2004 20:44 <DIR> MSN6
04.03.2004 14:59 <DIR> InterVideo
04.03.2004 01:56 <DIR> Help
04.03.2004 01:37 62 desktop.ini
04.03.2004 01:37 <DIR> Microsoft
04.03.2004 01:37 <DIR> .
04.03.2004 01:37 <DIR> ..
5 soubor…, 48748 bajt…
Adres ý…: 32, Volněch bajt…: 12568936448
Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je 9848-4F0F.

Věpis adres ýe C:\Documents and Settings\Administrator\DATAAP~1

22.11.2004 19:30 <DIR> Lavasoft
02.05.2004 17:50 62 desktop.ini
02.05.2004 17:50 <DIR> ..
02.05.2004 17:50 <DIR> Microsoft
02.05.2004 17:50 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 4, Volněch bajt…: 12568932352
Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je 9848-4F0F.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

04.03.2004 02:23 62 desktop.ini
04.03.2004 02:22 <DIR> ..
04.03.2004 02:22 <DIR> Microsoft
04.03.2004 02:22 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 12568932352
Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je 9848-4F0F.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

04.03.2004 01:36 <DIR> ..
04.03.2004 01:36 <DIR> Microsoft
04.03.2004 01:36 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 12568932352
Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je 9848-4F0F.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

04.03.2004 01:36 <DIR> ..
04.03.2004 01:36 <DIR> Microsoft
04.03.2004 01:36 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 12568932352

******************************************

2) Výpis souborů ze složky C:\WINDOWS\Tasks pro zjištění podezřelých .job souborů:

Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je 9848-4F0F.

Věpis adres ýe C:\WINDOWS\Tasks

04.12.2006 13:14 276 AA7870B59193ED15.job
15.10.2005 12:06 354 FRU Task #Hewlett-Packard#hp psc 1200 series#1129374319.job
04.03.2004 01:32 6 SA.DAT
04.03.2004 01:31 65 desktop.ini
04.03.2004 01:31 <DIR> ..
04.03.2004 01:31 <DIR> .
4 soubor…, 701 bajt…
Adres ý…: 2, Volněch bajt…: 12˙568˙932˙352

******************************************

3) Vyhledávání podvodných programů ve složce Program files:


Adresář C:\Program Files\Adv Nepřítomen !

Adresář C:\Program Files\C2Media Nepřítomen !

Adresář C:\Program Files\Download Plugin Nepřítomen !

Adresář C:\Program Files\Messenger Plus! 3 Nepřítomen !

Adresář C:\Program Files\NetPumper Nepřítomen !

Adresář C:\Program Files\Proxy download Nepřítomen !

Napsal: 22 pro 2006 06:22
od sakiri
Stáhni si Avengera a spusť ho pod účtem administrátora.
Zvol možnost: Input script manually a klikni na ikonku lupy vyskočí ti prázdné okno kam zkopíruj ten tučně označený text:
Folders to delete:
"C:\Documents and Settings\Radek Kuzel\DATAAP~1\NetPumper"

Files to delete:
"C:\WINDOWS\Tasks\AA7870B59193ED15.job"

Poté klikni na Done.
Pak klikni na ikonku semafory.
Vyskočí ti hláška kde odklikni Yes poté další kde taky odklikni Yes.
PC se restartuje po restartu by ti měl vyskočit výpis od Avengera tak ho sem zkopíru.

Ty červeně označené složky se mě zdají dost podezřelé tak se podívej kolik je tam přibližně souborů a typů souborů:
C:\Documents and Settings\All Users\DATAAP~1\skip mix drv junk
C:\Documents and Settings\All Users\DATAAP~1\Ideas From the Deep

řekni kolik jich tam je a jaký typ necháme je zkontrolovat na Virustotallu.

Napsal: 22 pro 2006 07:13
od radekzjicina
zdarec, jo vecer jsem to us udelal vymazal jsem ty podezrele adresare vcetne netpumperu a tech dvou a pro sichr jsem vymazal i vsechny soubory v C:\WINDOWS\Tasks\ tak uvidime

Napsal: 22 pro 2006 14:44
od sakiri
radekzjicina píše:pro sichr jsem vymazal i vsechny soubory v C:\WINDOWS\Tasks\ tak uvidime


To jsi dělal zbytečně stačilo smazat tam ten soubor - AA7870B59193ED15.job
Jinak by se ten šmejd neměl už ozvat pokud se ozve tak napiš vymyslíme co dál.

Napsal: 22 pro 2006 16:09
od radekzjicina
zatim ok ale po detekci spybotu me to jeste hlasi toto - Microsoft.Windows.Security.InternetExplorer:

Nastavení (Změna v registru, nothing done)
HKEY_USERS\S-1-5-21-583907252-1229272821-725345543-1003\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe!=W=1

je to neco co odstranim spybotem ale je to tam za chvili zase, urcite to ma s tim neco spolecnyho
Časové pásmo: UTC+02:00
Stránka 1 z 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/