trojan Kryptik.XL w userinit.exe logi

[petersonka]

Siemka.
Nod mi wykryl trojana Kryptik.XL w pliku userinit.exe i nie moze go usunac. Oto logi z hijackthis i otl
http://wklej.eu/index.php?id=50d608f6bc
http://wklej.eu/index.php?id=733ac40e3f

Pomozcie dobrzy ludzie

Pozdrawiam

[mateo8898]

Pobierz Combofix przeskanuj system i daj log (podczas pobierania i skanu wyłącz antywirusa i firewall )

[petersonka]

http://wklej.eu/index.php?id=575b894be6

[mateo8898]

Odinstaluj TVAnts

Pobierz te pliki http://rapidshare.com/files/274397022/pliki.rar.html i wypakuj bezpośrednio na dysk C. Następnie wejdź w tryb awaryjny (F8 przed bootem windowsa) i:
Wklej do notatnika:

Kod: Zaznacz wszystko

FCopy::
c:\userinit.exe | c:\winnt\system32\userinit.exe
c:\userinit.exe | c:\winnt\system32\dllcache\userinit.exe
c:\beep.sys | c:\winnt\system32\drivers\beep.sys
c:\beep.sys | c:\winnt\system32\dllcache\beep.sys

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"=-
"Odkurzacz-MCD"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LanguageShortcut"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"SoundMan"=-

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[petersonka]

http://wklej.eu/index.php?id=3f21292e9a

[mateo8898]

Wypakowałaś te pliki bezpośrednio na dysk C?? Bo nic się nie podmieniło. Jeśli ich nie ma na dysku C to wypakuj je tam, następnie wejdź w tryb awaryjny i:
Pobierz The Avenger zaznacz poniższy tekst:

Kod: Zaznacz wszystko

Files to delete:
c:\winnt\Internet Logs\xDB2.tmp
c:\winnt\Internet Logs\xDB1.tmp
c:\winnt\Internet Logs\xDB3.tmp

Files to move:
c:\userinit.exe | c:\winnt\system32\userinit.exe
c:\userinit.exe | c:\winnt\system32\dllcache\userinit.exe
c:\beep.sys | c:\winnt\system32\drivers\beep.sys
c:\beep.sys | c:\winnt\system32\dllcache\beep.sys

kopiujesz klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
Po tym daj jeszcze nowy log z Combofixa

[petersonka]

http://wklej.eu/index.php?id=7fe55ed6e7
raport z avengera

Tak przekopiowalem te pliki na c. Moze chodzi o to ze to sa pliki userinit.ex_ i beep.sy_ a nie .exe i .sys ?
Loga z combofixa jeszcze nie robilem bo nie wiem czy jest sens jak tak wyglada raport z avengera.
Pozdro

[mateo8898]

Fakt (przepraszam, mój błąd). Pobierz te pliki http://rapidshare.com/files/275151865/pliki.rar.html wypakuj bezpośrednio na C i wykonaj ponownie ten skrypt z avengerem

[petersonka]

http://wklej.eu/index.php?id=82816312f7
avenger

http://wklej.eu/index.php?id=19ffe5b873
combofix

Pozdro i dzieki za to ze pomagasz

[mateo8898]

Jeden plik się nie podmienił, więc zrobimy to inaczej. Włóż do napędu płytę z systemem, uruchom z niej kompa, wejdź do konsoli odzyskiwania (opis viewtopic.php?f=43&t=16181) i wpisz taką komendę:

Kod: Zaznacz wszystko

EXPAND X:\i386\USERINIT.EX_ C:\WINNT\SYSTEM32

Za X podstawiasz literę napędu CD.

Jeśli wszystko pójdzie dobrze to:

Pobierz OTC uruchom i wciśnij CleanUp

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik Zapisz Listę Raportu)

[Xongiver]

Witam,
złapałem ostatnio tego samego wirusa, chciałbym aby ktoś sprawdził mój raport z combofixa i powiedział co mam z tym zrobić.

http://wklej.eu/index.php?id=02c6447429

[mateo8898]

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

Wklej do notatnika:

Kod: Zaznacz wszystko

Folder::
c:\recycler
c:\program files\MyPlayCity
c:\windows\temp

File::
C:\mtyfncck.exe
C:\lqjbmsj.exe
C:\higlc.exe
C:\ilyuoeyw.exe
C:\delnis.bat
c:\documents and settings\Admin\Menu Start\Programy\Autostart\ihaupd32.exe
c:\documents and settings\Admin\Menu Start\Programy\Autostart\uecupd32.exe

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=-
[-HKEY_CLASSES_ROOT\clsid\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=-
[-HKEY_CLASSES_ROOT\clsid\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{4724C5D8-DFA7-417A-A2F5-1EABFEE9B4AC}"=-
[-HKEY_CLASSES_ROOT\clsid\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-
"H/PC Connection Agent"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TBPanel"=-
"NeroCheck"=-
"WheelMouse"=-
"SunJavaUpdateSched"=-
"High Definition Audio Property Page Shortcut"=-
"nwiz"=-

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.