Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
trojan Kryptik.XL w userinit.exe logi
01 Wrz 2009, 16:57
Siemka.
Nod mi wykryl trojana Kryptik.XL w pliku userinit.exe i nie moze go usunac. Oto logi z hijackthis i otl
http://wklej.eu/index.php?id=50d608f6bc
http://wklej.eu/index.php?id=733ac40e3f
Pomozcie dobrzy ludzie
Pozdrawiam
Nod mi wykryl trojana Kryptik.XL w pliku userinit.exe i nie moze go usunac. Oto logi z hijackthis i otl
http://wklej.eu/index.php?id=50d608f6bc
http://wklej.eu/index.php?id=733ac40e3f
Pomozcie dobrzy ludzie
Pozdrawiam
Re: trojan Kryptik.XL w userinit.exe logi
01 Wrz 2009, 20:10
Pobierz Combofix przeskanuj system i daj log (podczas pobierania i skanu wyłącz antywirusa i firewall 
)
)
Re: trojan Kryptik.XL w userinit.exe logi
01 Wrz 2009, 20:37
Re: trojan Kryptik.XL w userinit.exe logi
01 Wrz 2009, 21:20
Odinstaluj TVAnts
Pobierz te pliki
http://rapidshare.com/files/274397022/pliki.rar.html i wypakuj bezpośrednio na dysk C. Następnie wejdź w tryb awaryjny (F8 przed bootem windowsa) i:
Wklej do notatnika:
Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Pobierz te pliki
http://rapidshare.com/files/274397022/pliki.rar.html i wypakuj bezpośrednio na dysk C. Następnie wejdź w tryb awaryjny (F8 przed bootem windowsa) i:Wklej do notatnika:
- Kod:
FCopy::
c:\userinit.exe | c:\winnt\system32\userinit.exe
c:\userinit.exe | c:\winnt\system32\dllcache\userinit.exe
c:\beep.sys | c:\winnt\system32\drivers\beep.sys
c:\beep.sys | c:\winnt\system32\dllcache\beep.sys
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"=-
"Odkurzacz-MCD"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LanguageShortcut"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"SoundMan"=-
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Re: trojan Kryptik.XL w userinit.exe logi
01 Wrz 2009, 23:08
Re: trojan Kryptik.XL w userinit.exe logi
02 Wrz 2009, 15:53
Wypakowałaś te pliki bezpośrednio na dysk C?? Bo nic się nie podmieniło. Jeśli ich nie ma na dysku C to wypakuj je tam, następnie wejdź w tryb awaryjny i:
Pobierz The Avenger zaznacz poniższy tekst:
kopiujesz klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
Po tym daj jeszcze nowy log z Combofixa
Pobierz The Avenger zaznacz poniższy tekst:
- Kod:
Files to delete:
c:\winnt\Internet Logs\xDB2.tmp
c:\winnt\Internet Logs\xDB1.tmp
c:\winnt\Internet Logs\xDB3.tmp
Files to move:
c:\userinit.exe | c:\winnt\system32\userinit.exe
c:\userinit.exe | c:\winnt\system32\dllcache\userinit.exe
c:\beep.sys | c:\winnt\system32\drivers\beep.sys
c:\beep.sys | c:\winnt\system32\dllcache\beep.sys
kopiujesz
klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.Po wykonaniu wklej raport na forum C:\avenger.txt
Po tym daj jeszcze nowy log z Combofixa
Re: trojan Kryptik.XL w userinit.exe logi
02 Wrz 2009, 21:33
http://wklej.eu/index.php?id=7fe55ed6e7
raport z avengera
Tak przekopiowalem te pliki na c. Moze chodzi o to ze to sa pliki userinit.ex_ i beep.sy_ a nie .exe i .sys ?
Loga z combofixa jeszcze nie robilem bo nie wiem czy jest sens jak tak wyglada raport z avengera.
Pozdro
raport z avengera
Tak przekopiowalem te pliki na c. Moze chodzi o to ze to sa pliki userinit.ex_ i beep.sy_ a nie .exe i .sys ?
Loga z combofixa jeszcze nie robilem bo nie wiem czy jest sens jak tak wyglada raport z avengera.
Pozdro
Re: trojan Kryptik.XL w userinit.exe logi
03 Wrz 2009, 17:09
Fakt (przepraszam, mój błąd). Pobierz te pliki http://rapidshare.com/files/275151865/pliki.rar.html wypakuj bezpośrednio na C i wykonaj ponownie ten skrypt z avengerem
http://rapidshare.com/files/275151865/pliki.rar.html wypakuj bezpośrednio na C i wykonaj ponownie ten skrypt z avengerem
Re: trojan Kryptik.XL w userinit.exe logi
03 Wrz 2009, 23:41
http://wklej.eu/index.php?id=82816312f7
avenger
http://wklej.eu/index.php?id=19ffe5b873
combofix
Pozdro i dzieki za to ze pomagasz
avenger
http://wklej.eu/index.php?id=19ffe5b873
combofix
Pozdro i dzieki za to ze pomagasz
Re: trojan Kryptik.XL w userinit.exe logi
04 Wrz 2009, 16:36
Jeden plik się nie podmienił, więc zrobimy to inaczej. Włóż do napędu płytę z systemem, uruchom z niej kompa, wejdź do konsoli odzyskiwania (opis viewtopic.php?f=43&t=16181) i wpisz taką komendę:
Za X podstawiasz literę napędu CD.
Jeśli wszystko pójdzie dobrze to:
Pobierz OTC uruchom i wciśnij CleanUp
Przeczyść system oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik Zapisz Listę Raportu)
viewtopic.php?f=43&t=16181) i wpisz taką komendę:- Kod:
EXPAND X:\i386\USERINIT.EX_ C:\WINNT\SYSTEM32
Za X podstawiasz literę napędu CD.
Jeśli wszystko pójdzie dobrze to:
Pobierz OTC uruchom i wciśnij CleanUp
Przeczyść system oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik
Zapisz Listę Raportu)
Re: trojan Kryptik.XL w userinit.exe logi
05 Wrz 2009, 11:20
Witam,
złapałem ostatnio tego samego wirusa, chciałbym aby ktoś sprawdził mój raport z combofixa i powiedział co mam z tym zrobić.
http://wklej.eu/index.php?id=02c6447429
złapałem ostatnio tego samego wirusa, chciałbym aby ktoś sprawdził mój raport z combofixa i powiedział co mam z tym zrobić.
http://wklej.eu/index.php?id=02c6447429
Re: trojan Kryptik.XL w userinit.exe logi
05 Wrz 2009, 20:14
Wylecz pamięci przenośne Flash Disinfector lub sformatuj
Wklej do notatnika:
Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Wklej do notatnika:
- Kod:
Folder::
c:\recycler
c:\program files\MyPlayCity
c:\windows\temp
File::
C:\mtyfncck.exe
C:\lqjbmsj.exe
C:\higlc.exe
C:\ilyuoeyw.exe
C:\delnis.bat
c:\documents and settings\Admin\Menu Start\Programy\Autostart\ihaupd32.exe
c:\documents and settings\Admin\Menu Start\Programy\Autostart\uecupd32.exe
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=-
[-HKEY_CLASSES_ROOT\clsid\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=-
[-HKEY_CLASSES_ROOT\clsid\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{4724C5D8-DFA7-417A-A2F5-1EABFEE9B4AC}"=-
[-HKEY_CLASSES_ROOT\clsid\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-
"H/PC Connection Agent"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TBPanel"=-
"NeroCheck"=-
"WheelMouse"=-
"SunJavaUpdateSched"=-
"High Definition Audio Property Page Shortcut"=-
"nwiz"=-
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.