Koń trojański kryptik.frp

[yakim]

Oczywiście, że sobie nie mogę poradzić z tym trojanem. Pojawia się codziennie, a NOD raz go leczy innym razem nie. Głupieje ogólnie mówiąc.Widziałem na tym forum jakieś próby pomocy, ale na nic się to zdało m. in. dlatego, że słabo się na komputerach znam. Proszę więc o pomoc jeśli ktoś umie ten problem naprawić.

[NieWiem]

A może jakieś logi? Tak bez logów to ciężko mi cokolwiek powiedzieć, czy w ogóle myśleć o pomocy.

Pobierz OTL od OlTimera.
Standardowo wersja EXE, gdyby były problemy poniżej inne wersje:
COM http://ottools.noahdfear.net/OTL.com
SCR http://ottools.noahdfear.net/OTL.scr

Uruchom program z dwu-kliku ( użytkownicy Windows Vista i Windows Se7en - PPM na ikonę programu -> Uruchom jako Administrator )
Po pojawieniu się głównego okna programu, skonfiguruj go tak :

• Zaznacz opcje LOP Check oraz Purity Check
• Zaznacz opcje Scan All Users
• Upewnij się, że w sekcji Extra Registry jest zaznaczone Use Safelist
• Wklej to co poniżej do dolnego okienka o nazwie Custom Scans/Fixes
  

  Kod: Zaznacz wszystko

  netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5

Zamknij wszystkie programy z których obecnie korzystasz np. gadu-gadu, przeglądarka internetowa, gry itd... Kliknij Run Scan i czekaj aż program zakończy swoje działanie, nie uruchamiaj w tym czasie żadnych aplikacji.

Program po zakończeniu działania stworzy 2 logi - OTL.txt oraz EXTRAS.txt - znajdziesz je na pulpicie. Oba logi zostaną automatycznie otwarte za pomocą notatnika. Skopiuj zawartość logów i wklej je na stronę http://www.wklej.org lub bezpośrednio do posta w tagach [code].


Pobierz GMER: LINK
Będzie to plik exe o losowej nazwie.

Zanim przystąpisz do pracy z narzędziem CAŁKOWICIE WYINSTALUJ WIRTUALNE NAPĘDY. Szczegółówy opis w linku poniżej:
http://www.fixitpc.pl/index.php?/forum-6/announcement-2-wazne-oprogramowanie-emulujace-napedy/
Jest to bardzo ważne!

Uruchom program, przeczekaj krótki preskan. Nawet jeśli pojawi się informacja o rootkicie, wywołaj pełne skanowanie nie zmieniając niczego, przycisk "Szukaj". Proszę w tym czasie nic nie robić na komputerze, programowi nie powinno się przeszkadzać, bo może się to skończyć np. BSODem.

WAŻNE:
Jeśli narzędzie zwróci komunikat o obecności Rootkita, proszę nie reagować! Raport z programu proszę przedstawić do konkretnej analizy komuś kompetentnemu, samowolne próby robienia czegokolwiek mogą się skończyć uszkodzeniem systemu.

Raport z programu kopiujemy (przycisk "kopiuj") do schowka/notatnika i przeklejamy do analizy.
Jeśli program mimo wszystko "wykłada się" w trybie zwykłym, można spróbować uruchomić go w trybie awaryjnym.

[yakim]

Oto raporty które wywołał program OTL:

http://www.wklej.org/id/375154/
http://www.wklej.org/id/375156/

Tego drugiego jeszcze nie robiłem, bo pomyślałem, że najpierw pokaże powyższe;)

[NieWiem]

Bez Gmera nawet na te nie spojrzę ;]

Spojrzałem, jest infekcja i to ładna

[yakim]

no juz przeGmerowałem:

http://www.wklej.org/id/375203/

Dodano Dzisiaj, 11:35:
To co dalej czynić??

[NieWiem]

Dziwna rzecz... niby wykrywa kryptika, ale nie ma śladów tego w logach. Tylko niepokojące jest to, że jeden ze sterowników jest zablokowany, co może jednak świadczyć o najnowszej mutacji TDL3.

Pobierz TDSSKiller od Kasperskiego:
stąd

Wypakuj, uruchom, wybierz opcję Start scan.
Poczekaj aż narzędzie ukończy pracę, wybierz opcję Report i wklej loga.

Jeśli znajdzie infekcję, wybierz opcję 'Cure', poczekaj aż ukończy i wklej loga.

[yakim]

Zrobione. Infekcji nie wykryło. Oto log:
http://www.wklej.org/id/375215/

[NieWiem]

Uruchom Mozilla Firefox albo Internet Explorer
Wejdź na stronę -> jotti
następnie przeskanuj tam plik

Kod: Zaznacz wszystko

c:\windows\system32\userinit.exe


przeklej wyniki skanowania

[Mike]

Ale fajna stronka:)
Oto wyniki:

Kod: Zaznacz wszystko

[ArcaVir]    
2010-08-11 Trojan.Spy.Wemon.sh
   [G DATA]    
2010-08-11 Gen:Trojan.Heur.GM.1400048080
[Avast! antivirus]    
2010-08-11 Win32:Malware-gen
   [Ikarus]    
2010-08-11 Trojan-Spy.Win32.Wemon
[Grisoft AVG Anti-Virus]    
2010-08-11 Generic2_c.AVDN
   [Kaspersky Anti-Virus]    
2010-08-11 Trojan-Spy.Win32.Wemon.sg
[Avira AntiVir]    
2010-08-11 TR/Spy.38922
   [ESET NOD32]    
2010-08-11 Win32/Kryptik.FRP
[Softwin BitDefender]    
2010-08-11 Gen:Trojan.Heur.GM.1400048080
   [Panda Antivirus]    
2010-08-10 Nic nie znaleziono
[ClamAV]    
2010-08-11 PUA.Packed.PEPack
   [Quick Heal]    
2010-08-11 TrojanSpy.Wemon.sg
[CPsecure]    
2010-08-11 Troj.Spy.W32.Wemon.sg
   [Sophos]    
2010-08-11 Mal/Generic-L
[Dr.Web]    
2010-08-11 Trojan.PWS.Spy.9573
   [VirusBlokAda VBA32]    
2010-08-10 Malware-Cryptor.Win32.General.6
[Frisk F-Prot Antivirus]    
2010-08-10 Nic nie znaleziono
   [VirusBuster]    
2010-08-10 TrojanSpy.Wemon.GO
[F-Secure Anti-Virus]    
2010-08-11 Gen:Trojan.Heur.GM.1400048080

[NieWiem]

No tak, problem w nazewnictwie.

Uruchom ponownie OTL, u góry kliknij NIC, w oknie na dole wklej

Kod: Zaznacz wszystko

/md5start
userinit.exe
/md5stop

kliknij Skanuj i przeklej wyniki

[Mike]

Proszę bardzo:

Kod: Zaznacz wszystko

OTL logfile created on: 2010-08-11 12:37:06 - Run 2
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Documents and Settings\Lukasz\Pulpit
Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

1 007,00 Mb Total Physical Memory | 281,00 Mb Available Physical Memory | 28,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 69,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,88 Gb Total Space | 199,03 Gb Free Space | 85,47% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ROSZCZYNIALSKI
Current User Name: Lukasz
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

[color=#E56717]========== Custom Scans ==========[/color]



[color=#A23BEC]< MD5 for: USERINIT.EXE  >[/color]
[2008-04-14 19:21:45 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=2A5B37D520508BE6570A3EA79695F5B5 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2010-07-13 12:59:17 | 000,038,922 | ---- | M] () MD5=A7A44DC5F328717F0D1FAE0D1F4FCF56 -- C:\WINDOWS\system32\userinit.exe
[2006-03-02 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=BD768099B4C44AA631728CB74EB54396 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
< End of report >

[Mike]

yakim, następnym razem wstawiaj logi w tag [code].

[yakim]

tak jest:) ajm sory...

Dodano Dzisiaj, 12:54:
Dla pewności wklejam jeszcze raz, tym razem w tagu (o ile wiem co to jest: )

http://www.wklej.org/id/375247/

[NieWiem]

Podziękowania dla użytkownika Bezsens za obliczenie poprawnego md5 dla userinit.

yakim, masz podstawiony fałszywym jeden z ważniejszych plików systemowych. Musimy spróbować przywrócić jego oryginalną wartość. Czy masz płytę instalacyjną Twojego Windowsa?

[yakim]

Ano gdzieś tam mam. Jak ją znajdę to co miałbym zrobić??

[NieWiem]

Znajdź ją. Najpierw spróbujemy jeszcze inną metodę, ale chciałbym żebyś ją miał pod ręką.

Dopiero jak znajdziesz płytę, możesz przystąpić do realizacji tego:

Uruchom ponownie OTL.
W dolnym oknie wklej:

Kod: Zaznacz wszystko

:PROCESSES
killallprocesses
:FILES
[override]
C:\WINDOWS\system32\userinit.exe|C:\WINDOWS\ServicePackFiles\i386\userinit.exe /replace
[stopoverride]
:COMMANDS
[reboot]

kliknij Wykonaj skrypt, zatwierdź restart. Jeśli komputer wstanie po restarcie (a powinien wstać) to wklejasz raport ze skryptu (wyświetli się automatycznie) i generujesz nowy log z OTL.

[yakim]

Heh.. a jeśli nie wstanie po restarcie????

[NieWiem]

Po to Ci płyta pod ręką. Bezpośrednio z niej wtedy podmienimy fałszywy plik i wstanie

[yakim]

No dobra.. to zrozumiałem wcześniej, ale jeśli nie wstanie to jak ja podmienię plik skoro nie będę miał gdzie z Tobą tego skonsultować??

[NieWiem]

Chcesz podmieniać od razu z płyty? Też możemy to zrobić, nie problem. Tylko znajdź tą płytę. I musi to był płyta z Twojego systemu, a nie żadnego innego.