Zainfekowany user32.dll


(Mad Duck) #1

Podczas skanowania podczas rozruchu avast znalazł mi w tym pliku wirusa. Kaspersky online potwierdził. Zrobiłem tak jak wyczytałem w podobnych tematach.

Raport z SDfix

SDFix: Version 1.240

Run by Administrator on 2009-01-07 at 12:40

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Checking Services :

Infected user32.dll Found!

user32.dll File Locations:

"C:\WINDOWS\system32\user32.DLL" 578560 2008-12-03 14:11

"C:\WINDOWS\system32\dllcache\user32.dll" 578560 2008-12-03 14:11

[C] 64BD96FE003E0A1B82086B6DDA1D5FE4

[C] 64BD96FE003E0A1B82086B6DDA1D5FE4

[C] 0C81764F50F32D376E6E4B9E9F4B01A0

Note: SDFix does not repair this file!

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-07 13:01:18

Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\Program Files\Gadu-Gadu\gg.exe"="C:\Program Files\Gadu-Gadu\gg.exe:*:Enabled:Gadu-Gadu - program glowny"

"C:\Program Files\DC++\DCPlusPlus.exe"="C:\Program Files\DC++\DCPlusPlus.exe:*:Enabled:DC++"

"C:\Program Files\Tlen.pl\tlen.exe"="C:\Program Files\Tlen.pl\tlen.exe:*:Enabled:Komunikator Tlen.pl"

"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

"C:\totalcmd\TOTALCMD.EXE"="C:\totalcmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"

"E:\SoF\sof3.exe"="E:\SoF\sof3.exe:*:Enabled:sof3"

"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath "

"C:\Program Files\BearShare\BearShare.exe"="C:\Program Files\BearShare\BearShare.exe:*:Enabled:BearShare"

"C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe"="C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2"

"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe"="C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate"

"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe"="C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx"

"D:\SOF2 MPtest\SoF2MP-Test.exe"="D:\SOF2 MPtest\SoF2MP-Test.exe:*:Enabled:SoF2MP-Test"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

Files with Hidden Attributes :

Wed 14 May 2008 2,098 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Thu 1 May 2008 56 ..SHR --- "C:\WINDOWS\system32\478FC01CCE.sys"

Sun 4 Jan 2009 85,504 ..SHR --- "C:\WINDOWS\system32\gasretyw0.dll"

Wed 4 Aug 2004 93,184 A.SH. --- "C:\Program Files\Internet Explorer\IEXPLORE.EXE"

Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"

Wed 3 Dec 2008 131,072 A..H. --- "C:\Program Files\Mozilla Firefox\a.exe"

Thu 1 May 2008 19,968 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL0671.tmp"

Thu 1 May 2008 229,888 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL3906.tmp"

Sun 27 Apr 2008 574,976 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL0002.tmp"

Thu 1 May 2008 20,992 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1354.tmp"

Thu 1 May 2008 427,520 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL3081.tmp"

Thu 1 May 2008 20,992 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL0133.tmp"

Thu 1 May 2008 21,504 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1187.tmp"

Thu 1 May 2008 21,504 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL3705.tmp"

Thu 1 May 2008 21,504 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1739.tmp"

Thu 1 May 2008 22,016 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL0261.tmp"

Thu 1 May 2008 22,016 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL2829.tmp"

Thu 1 May 2008 22,016 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL0241.tmp"

Thu 1 May 2008 22,016 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL0766.tmp"

Thu 1 May 2008 22,016 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1951.tmp"

Thu 1 May 2008 22,016 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1368.tmp"

Thu 1 May 2008 22,528 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL2379.tmp"

Thu 1 May 2008 22,528 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1116.tmp"

Thu 1 May 2008 24,576 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1237.tmp"

Thu 1 May 2008 25,600 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL4077.tmp"

Thu 1 May 2008 26,112 ...H. --- "C:\Documents and Settings\Mago\Pulpit\~WRL1543.tmp"

Thu 23 Jan 2003 65,952 ..SHR --- "C:\Program Files\Autodesk\Autodesk Express Viewer\Setup.exe"

Fri 22 Feb 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Sat 25 Oct 2008 1,301 ...HR --- "C:\Documents and Settings\Esper & Vher\Dane aplikacji\SecuROM\UserData\securom_v7_01.bak"

Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\Esper & Vher\Dane aplikacji\U3\temp\Launchpad Removal.exe"

Finished!

I log z Combofixa http://wklej.org/id/36062/

Co dalej?


(huber2t) #2

Do wyleczenia pendrive z wirusów użyj tych programów

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Mad Duck) #3

Zrobiłem Fix.reg

Kaspersky twierdzi że User32.dll jest dalej zainfekowany przez Trojan.Win32.Patched.bb . Bawić się z Ccleanerem, optymalizacją autostartu i przywracaniem systemu? Czy ten problem da się wyleczyć? Szukając rozwiązania wyczytałem że mogę zastąpić ten plik nowym z płyty z windą, ale czy to nie sprawi jakichś kłopotów? Czy nie wysypią mi się programy lub coś takiego? Niedługo sesja, w cholerę projektów do zrobienia i nie mam czasu na formaty :confused: Potrzebne mi jak najmniej bolesne rozwiązanie.


(Spandau) #4

Proszę podmienić plik za pomocą konsoli windows. O konsoli tutaj http://www.searchengines.pl/index.php?showtopic=14270

Jak podmienić niektóre pliki tutaj

http://www.searchengines.pl/index.php?s ... entry76658 lub http://support.microsoft.com/kb/326687/pl Metoda1


(Mad Duck) #5

Dzięki za instrukcje. Ale czy na obecny stan moich wszelkich ustawień, zainstalowanych programów itp. mi to nie zaszkodzi? Pytam bo nigdzie takiej informacji nie widziałem.


(Spandau) #6

Jeśli wszystko zrobisz zgodnie z instrukcją nie powinno mieć to wpływu na ustawienia twoich programów.