Witam! Nod 32 wykrywa mi wirusa:
Win32/Kryptik.OE koń trojański
Obiekt:
C:\WINDOWS\system32\userinit.exe
Wie ktoś może jak go usunąć ?
Witam! Nod 32 wykrywa mi wirusa:
Win32/Kryptik.OE koń trojański
Obiekt:
C:\WINDOWS\system32\userinit.exe
Wie ktoś może jak go usunąć ?
Ten plik jest normalnie w systemie na tej lokalizacji i nie powinien być usuwany.
Możliwe, że złapałeś infekcję niszczącą pliki .exe :o
Daj log z Combofix.
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.
ComboFix 09-04-23.A3 - xxx 2009-05-14 19:23.5 - FAT32 x86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.894.586 [GMT 2:00]
Uruchomiony z: c:\documents and settings\xxx\Pulpit\ComboFixnowy.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
* Utworzono nowy punkt przywracania
.
.
((((((((((((((((((((((((( Pliki utworzone od 2009-06-14 do 2009-5-14 )))))))))))))))))))))))))))))))
.
2009-05-13 11:18 . 2009-05-13 11:18 -------- d-sh–w C:\FOUND.031
2009-05-12 11:04 . 2009-05-12 11:04 -------- d-sh–w C:\FOUND.030
2009-05-06 17:01 . 2009-05-06 17:01 -------- d-sh–w C:\FOUND.029
2009-05-06 11:44 . 2009-05-06 11:44 -------- d-sh–w C:\FOUND.028
2009-04-28 11:07 . 2009-04-28 11:07 -------- d-sh–w C:\FOUND.027
2009-04-26 21:12 . 2009-04-26 21:12 -------- d-sh–w C:\FOUND.026
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 12:09 . 2001-10-26 17:15 49910 ----a-w c:\windows\system32\perfc015.dat
2009-05-02 12:09 . 2001-10-26 17:15 356068 ----a-w c:\windows\system32\perfh015.dat
2009-04-14 19:45 . 2008-04-14 20:51 16384 ----a-w c:\windows\system32\userinit.exe
2009-04-03 23:22 . 2009-04-03 23:22 -------- d-----w c:\documents and settings\xxx\Dane aplikacji\Mobipocket
2009-04-03 23:22 . 2009-04-03 23:22 -------- d-----w c:\program files\Mobipocket.com
2009-03-21 14:09 . 2008-04-14 21:50 1018368 ----a-w c:\windows\system32\dllcache\kernel32.dll
2009-03-10 20:18 . 2008-09-05 21:30 970632 ------w c:\windows\system32\dllcache\WgaTray.exe
2009-03-10 20:18 . 2008-09-05 21:31 265608 ------w c:\windows\system32\dllcache\wgaLogon.dll
2009-03-06 14:22 . 2008-04-14 20:50 285696 ----a-w c:\windows\system32\pdh.dll
2009-03-06 14:22 . 2008-04-14 20:50 285696 ----a-w c:\windows\system32\dllcache\pdh.dll
2009-03-03 00:10 . 2008-04-25 13:08 826368 ----a-w c:\windows\system32\dllcache\wininet.dll
2009-03-03 00:10 . 2008-04-25 12:08 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-28 04:54 . 2008-11-22 19:22 636072 ----a-w c:\windows\system32\dllcache\iexplore.exe
2009-02-20 10:20 . 2009-02-20 10:20 13824 ------w c:\windows\system32\dllcache\ieudinit.exe
2009-02-20 10:20 . 2008-04-25 12:08 70656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe
2009-02-20 05:14 . 2008-04-25 12:08 161792 ----a-w c:\windows\system32\dllcache\ieakui.dll
2008-12-13 12:48 . 2008-11-30 15:08 43752 ----a-w c:\documents and settings\xxx\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-01-10 11:2009-01-09 15:51 53:18 . c:\program files\mozilla firefox\components\jar50.dll
2009-01-10 11:2009-01-09 15:51 53:18 . c:\program files\mozilla firefox\components\jsd3250.dll
2009-01-10 11:2009-01-09 15:51 53:18 . c:\program files\mozilla firefox\components\myspell.dll
2009-01-10 11:2009-01-09 15:51 53:20 . c:\program files\mozilla firefox\components\spellchk.dll
2009-01-10 11:2009-01-09 15:51 53:20 . c:\program files\mozilla firefox\components\xpinstal.dll
2008-11-22 19:31 . 2008-11-22 19:31 32768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
2008-11-22 19:31 . 2008-11-22 19:31 32768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\MSHist012008112220081123\index.dat
2008-11-22 19:31 . 2008-11-22 19:31 32768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
2008-11-22 19:31 . 2008-11-22 19:31 16384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
.
------- Sigcheck -------
[-] 2009-04-14 19:45 16384 9AD6E9AE43BE282065269AD13ABCA513 c:\windows\system32\userinit.exe
[7] 2008-04-14 20:51 26624 2A5B37D520508BE6570A3EA79695F5B5 c:\windows\system32\dllcache\userinit.exe
[-] 2008-05-04 16:34 1571840 C8BDAD4065118558B3DC360FC96D81DB c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“egui”=“c:\program files\ESET\ESET NOD32 Antivirus\egui.exe” [2008-02-20 1443072]
“ATIPTA”=“c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-08-05 344064]
“RTHDCPL”=“RTHDCPL.EXE” - c:\windows\RTHDCPL.exe [2005-09-22 14854144]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“nltide_2”=“shell32” [X]
[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusOverride”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“%windir%\system32\sessmgr.exe”=
“c:\Program Files\Gadu-Gadu\gg.exe”=
“c:\Program Files\SopCast\adv\SopAdver.exe”=
“c:\Program Files\SopCast\SopCast.exe”=
“c:\Program Files\eMule\emule.exe”=
“c:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe”=
R2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2001-10-26 3584]
S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-02-20 33800]
S2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-02-20 472320]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{1384c10a-0751-11de-ac29-0040cad952cb}]
\Shell\AutoRun\command - H:\i6g6x.cmd
\Shell\open\Command - H:\i6g6x.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{51882b6a-b8d5-11dd-aaae-0040cad952cb}]
\Shell\AutoRun\command - E:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{51882b6b-b8d5-11dd-aaae-0040cad952cb}]
\Shell\AutoRun\command - E:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{51882b6d-b8d5-11dd-aaae-0040cad952cb}]
\Shell\AutoRun\command - H:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ac7544f8-c132-11dd-aad6-0040cad952cb}]
\Shell\AutoRun\command - E:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b79df3b2-b961-11dd-aab3-0040cad952cb}]
\Shell\AutoRun\command - E:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b79df3b3-b961-11dd-aab3-0040cad952cb}]
\Shell\AutoRun\command - E:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{d883d3e8-071e-11de-ac25-0040cad952cb}]
\Shell\AutoRun\command - E:\AutoRun.exe
.
.
------- Skan uzupełniający -------
.
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\h905m3ak.default\
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-14 19:24
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Czas ukończenia: 2009-05-14 19:24
ComboFix-quarantined-files.txt 2009-05-14 17:24
Przed: 4 233 707 520 bajtów wolnych
Po: 4 637 384 704 bajtów wolnych
132 — E O F — 2009-05-13 12:16
Znaczy, że masz przestarzałego Combofixa :!:
Daj log z Combofixa http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654/ . Log dajesz na http://www.wklej.org/ a w poście tylko link.
Podczas pobierania i skanowania Combofix’em wyłącz antywirusa i zapory!
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
lub format
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix