Koń trojański Win32/Kryptik.OE


(Gpm13) #1

Witam! Nod 32 wykrywa mi wirusa:

Win32/Kryptik.OE koń trojański

Obiekt:

C:\WINDOWS\system32\userinit.exe

Wie ktoś może jak go usunąć ?


(deFco247) #2

Ten plik jest normalnie w systemie na tej lokalizacji i nie powinien być usuwany.

Możliwe, że złapałeś infekcję niszczącą pliki .exe :o

Daj log z Combofix.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.


(Gpm13) #3

ComboFix 09-04-23.A3 - xxx 2009-05-14 19:23.5 - FAT32 x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.894.586 [GMT 2:00]

Uruchomiony z: c:\documents and settings\xxx\Pulpit\ComboFixnowy.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

* Utworzono nowy punkt przywracania

.

  • TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -

.

((((((((((((((((((((((((( Pliki utworzone od 2009-06-14 do 2009-5-14 )))))))))))))))))))))))))))))))

.

2009-05-13 11:18 . 2009-05-13 11:18 -------- d-sh--w C:\FOUND.031

2009-05-12 11:04 . 2009-05-12 11:04 -------- d-sh--w C:\FOUND.030

2009-05-06 17:01 . 2009-05-06 17:01 -------- d-sh--w C:\FOUND.029

2009-05-06 11:44 . 2009-05-06 11:44 -------- d-sh--w C:\FOUND.028

2009-04-28 11:07 . 2009-04-28 11:07 -------- d-sh--w C:\FOUND.027

2009-04-26 21:12 . 2009-04-26 21:12 -------- d-sh--w C:\FOUND.026

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-02 12:09 . 2001-10-26 17:15 49910 ----a-w c:\windows\system32\perfc015.dat

2009-05-02 12:09 . 2001-10-26 17:15 356068 ----a-w c:\windows\system32\perfh015.dat

2009-04-14 19:45 . 2008-04-14 20:51 16384 ----a-w c:\windows\system32\userinit.exe

2009-04-03 23:22 . 2009-04-03 23:22 -------- d-----w c:\documents and settings\xxx\Dane aplikacji\Mobipocket

2009-04-03 23:22 . 2009-04-03 23:22 -------- d-----w c:\program files\Mobipocket.com

2009-03-21 14:09 . 2008-04-14 21:50 1018368 ----a-w c:\windows\system32\dllcache\kernel32.dll

2009-03-10 20:18 . 2008-09-05 21:30 970632 ------w c:\windows\system32\dllcache\WgaTray.exe

2009-03-10 20:18 . 2008-09-05 21:31 265608 ------w c:\windows\system32\dllcache\wgaLogon.dll

2009-03-06 14:22 . 2008-04-14 20:50 285696 ----a-w c:\windows\system32\pdh.dll

2009-03-06 14:22 . 2008-04-14 20:50 285696 ----a-w c:\windows\system32\dllcache\pdh.dll

2009-03-03 00:10 . 2008-04-25 13:08 826368 ----a-w c:\windows\system32\dllcache\wininet.dll

2009-03-03 00:10 . 2008-04-25 12:08 826368 ----a-w c:\windows\system32\wininet.dll

2009-02-28 04:54 . 2008-11-22 19:22 636072 ----a-w c:\windows\system32\dllcache\iexplore.exe

2009-02-20 10:20 . 2009-02-20 10:20 13824 ------w c:\windows\system32\dllcache\ieudinit.exe

2009-02-20 10:20 . 2008-04-25 12:08 70656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe

2009-02-20 05:14 . 2008-04-25 12:08 161792 ----a-w c:\windows\system32\dllcache\ieakui.dll

2008-12-13 12:48 . 2008-11-30 15:08 43752 ----a-w c:\documents and settings\xxx\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-01-10 11:2009-01-09 15:51 53:18 . c:\program files\mozilla firefox\components\jar50.dll

2009-01-10 11:2009-01-09 15:51 53:18 . c:\program files\mozilla firefox\components\jsd3250.dll

2009-01-10 11:2009-01-09 15:51 53:18 . c:\program files\mozilla firefox\components\myspell.dll

2009-01-10 11:2009-01-09 15:51 53:20 . c:\program files\mozilla firefox\components\spellchk.dll

2009-01-10 11:2009-01-09 15:51 53:20 . c:\program files\mozilla firefox\components\xpinstal.dll

2008-11-22 19:31 . 2008-11-22 19:31 32768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

2008-11-22 19:31 . 2008-11-22 19:31 32768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\MSHist012008112220081123\index.dat

2008-11-22 19:31 . 2008-11-22 19:31 32768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

2008-11-22 19:31 . 2008-11-22 19:31 16384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat

.

------- Sigcheck -------

[-] 2009-04-14 19:45 16384 9AD6E9AE43BE282065269AD13ABCA513 c:\windows\system32\userinit.exe

[7] 2008-04-14 20:51 26624 2A5B37D520508BE6570A3EA79695F5B5 c:\windows\system32\dllcache\userinit.exe

[-] 2008-05-04 16:34 1571840 C8BDAD4065118558B3DC360FC96D81DB c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2005-09-22 14854144]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\Network Diagnostic\xpnetdiag.exe"=

"%windir%\system32\sessmgr.exe"=

"c:\Program Files\Gadu-Gadu\gg.exe"=

"c:\Program Files\SopCast\adv\SopAdver.exe"=

"c:\Program Files\SopCast\SopCast.exe"=

"c:\Program Files\eMule\emule.exe"=

"c:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"=

R2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2001-10-26 3584]

S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-02-20 33800]

S2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-02-20 472320]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{1384c10a-0751-11de-ac29-0040cad952cb}]

\Shell\AutoRun\command - H:\i6g6x.cmd

\Shell\open\Command - H:\i6g6x.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{51882b6a-b8d5-11dd-aaae-0040cad952cb}]

\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{51882b6b-b8d5-11dd-aaae-0040cad952cb}]

\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{51882b6d-b8d5-11dd-aaae-0040cad952cb}]

\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ac7544f8-c132-11dd-aad6-0040cad952cb}]

\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b79df3b2-b961-11dd-aab3-0040cad952cb}]

\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b79df3b3-b961-11dd-aab3-0040cad952cb}]

\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{d883d3e8-071e-11de-ac25-0040cad952cb}]

\Shell\AutoRun\command - E:\AutoRun.exe

.

.

------- Skan uzupełniający -------

.

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\h905m3ak.default\

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-14 19:24

Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • > 'winlogon.exe'(564)

c:\windows\system32\Ati2evxx.dll

  • > 'explorer.exe'(3372)

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

Czas ukończenia: 2009-05-14 19:24

ComboFix-quarantined-files.txt 2009-05-14 17:24

Przed: 4 233 707 520 bajtów wolnych

Po: 4 637 384 704 bajtów wolnych

132 --- E O F --- 2009-05-13 12:16


(dethloe123) #4

Znaczy, że masz przestarzałego Combofixa :!:

Daj log z Combofixa http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654/ . Log dajesz na http://www.wklej.org/ a w poście tylko link.

Podczas pobierania i skanowania Combofix'em wyłącz antywirusa i zapory!


(Gpm13) #5

zrobione

http://www.wklej.org/id/90802/


(Leon$) #6

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile: