Pagina 1 van 1

Win32/Kryptik.BOUP

Geplaatst: 17 okt 2017 20:06
door Lukas
Hallo Forumleden,

Mijn computer was besmet met Win32/Kryptik.BOUP. Deze is in quarantaine d.m.v Eset Online Scanner, maar de locatie waar de trojan zat in de "assembly sourcecode" hoek, leek het op een mogelijk vrij capabele poging om inbreuk te doen op mijn bestanden, en of tegelijk te provoceren. Ik ben zelf geen hacker dus al sla je me dood wat er aangericht kan zijn. Maar ik ben wel benieuwd of jullie nog iets verdachts kunnen vinden? Of dat ik misschien iets meer kan doen om mijn computer virus vrij te maken?
FRST.txt
Addition.txt
Groeten,

Re: Win32/Kryptik.BOUP

Geplaatst: 18 okt 2017 10:56
door abbs
Hallo,

Post hiervan aub een logbestand. Het Eset logbestand kan je mogelijk vinden in de map "C:\Program Files\ESET\ESET Online Scanner" of "C:\Program Files (x86)\ESET\ESET Online Scanner" met de naam log.txt.

Re: Win32/Kryptik.BOUP

Geplaatst: 18 okt 2017 13:49
door Lukas
Interesting, ik kan zo snel niks vinden onder die naam. Ben nu opnieuw aan het draaien.. Moet de quarantaine ook weer ff zoeken.

Re: Win32/Kryptik.BOUP

Geplaatst: 18 okt 2017 14:18
door Lukas
Die logfile is niet meer aanwezig, de quarantaine staat nog wel gewoon op zijn plek gelukkig.

Re: Win32/Kryptik.BOUP

Geplaatst: 18 okt 2017 15:28
door Lukas
Hee, hij stond toch ergens anders.. Ik had weer een hit nadat ik iets gecompiled had dus het lijkt er op dat ik m zelf compile met masm32. En het embedded zit in een van de bewuste asm files?
Goed moet ik nog even over nadenken, wat ik er mee doe.

Meanwhile..
Het is gelijk heel de history, dus drie infecties als het goed is.
log1.txt

Re: Win32/Kryptik.BOUP

Geplaatst: 18 okt 2017 16:39
door abbs
Hallo,

Komt dit bekent voor:
D:\Patches\Downloaded old\camstudio.exe"
D:\Patches\MASM\Asio Marinus 2\project.exe"


Is D:/ een losse schijf?

Download de Afbeelding Emsisoft Emergency Kit naar het bureaublad.
Klik hier voor de complete / uitgebreide handleiding van de Emsisoft Emergency Kit.
  • Dubbelklik op "EmsisoftEmergencyKit.exe".
  • Klik vervolgens op de knop "Install" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
  • Wanneer het uitpakken gereed is opent de map "C:\EEK" dubbelklik op "Start Emergency Kit Scanner".
  • "Emsisoft Emergency Kit" gaat de "definities laden" wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
  • Wanneer de update gereed is klikt u in op "Malware scan" wanneer u de melding "op PUP's mee scannen" krijgt klikt u op "Ja".
  • Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
  • Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Geselecteerde in quarantaine".
  • Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht als bijlage.
(Het logbestand is tevens terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam a2scan_130711-154142.txt)

Re: Win32/Kryptik.BOUP

Geplaatst: 18 okt 2017 17:04
door Lukas
D:\Patches\MASM\Asio Marinus 2\project.exe" lijkt het te zijn. Het is MASM sourcecode. Ik heb zelfs een virgin zipfile van dit met de correcte datestamp. Project.exe is een poging dit te compilen. En de boop zit altijd in het gecompilede bestandje, dus ook in AudioASIOwav.exe. Het is dan ook niet onwaarschijnlijk dat een programmeur zo iets kan doen, maar ik ben voor als nog voorzichtig met mijn conclusies.
Without further adoo moet ik nog even doorwerken maar ik zal de fix spoedig uitvoeren.

Re: Win32/Kryptik.BOUP

Geplaatst: 18 okt 2017 21:56
door Lukas
scan.txt

Re: Win32/Kryptik.BOUP

Geplaatst: 19 okt 2017 09:25
door abbs
Hallo,

Ik zie verder gen rare dingen meer.

Re: Win32/Kryptik.BOUP

Geplaatst: 19 okt 2017 11:55
door Lukas
Ok top!

Zij deze potentieel gevaarlijk, als ik vragen mag?
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASAPI32 Ontdekt: Application.Win32.InstallExt (A) [270556]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASMANCS Ontdekt: Application.Win32.InstallExt (A) [270557]

Re: Win32/Kryptik.BOUP

Geplaatst: 19 okt 2017 18:34
door abbs
Lukas schreef: 19 okt 2017 11:55 Ok top!

Zij deze potentieel gevaarlijk, als ik vragen mag?
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASAPI32 Ontdekt: Application.Win32.InstallExt (A) [270556]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASMANCS Ontdekt: Application.Win32.InstallExt (A) [270557]
Dit zijn instellingen die gedaan zijn en die zijn opgespoord (tracing) die kunnen geen kwaad.

Met het onderstaande tooltje ruim je alle gebruikte tools op:

Download Afbeelding Delfix - Alternatieve downloadlink by Xplode naar het bureaublad.

Dubbelklik op Delfix.exe om de tool te starten.
Zet een vinkje voor het volgende item:
  • Remove disinfection tools
Afbeelding
Klik nu op "Run" en wacht geduldig tot de tool gereed is.
Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft je echter niet te plaatsen.