jak usunąć tego trojana???

Witam mam problem z usunięciem trojana Win32/Kryptik.AFW próbowałem trojan remover ale nie pomogło-albo mam zły program.czym najlepiej i najszybciej to usunąć bo czasem nie chce mi sie komp wyłączyć tylko restartuje sie przy wyłączaniu.Z góry dzięki

Uwaga: To jest stary temat Ta dyskusja jest starsza niż 90 dni. Informacje w niej zawarte mogą już nie być aktualne

1. Załaduj tego niby trojana na server i podaj mi tu link.
2. Ściągnij program: HijackThis i wstaw tu log.txt
to na początek :\

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:30, on 2009-08-20
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Hercules\DualPix Exchange\Camservice.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Nowe Gadu-Gadu\gg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\ATI\WebPAM\jetty\extra\win32\Wrapper.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\ATI\WebPAM\_jvm\bin\java.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tapi.nfo beforeglav
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [CamserviceDP] C:\Program Files\Hercules\DualPix Exchange\Camservice.exe /startup
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Zaznaczanie HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI WebPAM (ATIWebPAM) - Unknown owner - C:\Program Files\ATI\WebPAM\jetty\extra\win32\Wrapper.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8798 bytes


Jestem początkujący---tego pierwszego punktu nie kumam

to miałeś na myśli???

tak, to, i jest tam kilka dziwnych wpisów, wogóle masz troche zapchany autostart (zupełnie niepotrzebnie)
Proponuję zmienić ci antywirusa na Avast,a najnowszego bo ESTA i trojan remover nie jest zbyt dobry, ok antywirus wykrył ci trojana, jest to jakiś plik, wyślij ten plik na serwer: OdSiebie.com beta 1.0 - multimedialna społeczność
a następnie umieść tu link do pobrania tego pliku a wtedy dokonam pełnej analizy.

Jaki antywirus ci wykrył tego trojana i nie usunał?? masz strasznie zapchany autostart.. ze startem systemu ci się wiele programów nie potrzebnie uruchamia. Napisz jakiego antywirusa uzywales i powoli ci pomożemy zrobić z autostartem. Jak chcesz aby to było szybciej napisz do mnie na gg(poptrostu tu za dużo tłumaczenia ale jak chcesz to tu napisze).

Poprostu co do uruchamiania programów przy stracie systemu musisz pare rzeczy usunąć(odznaczyć). Wchodzisz: START--->Uruchom..--->wpisujesz msconfig i tam musisz już wiedziec o co kaman jak nie to ci wytłumacze.. Jeszcze jest kilka wpisów do poprawy z Hijackthis.

mam teraz problem z odnalezieniem tego pliku
ale podczas startu system zrobiłem screena...może bedzie przydatny
http://odsiebie.com/pokaz/4934414---5483.html wiem o co chodzi z msconfig tylko najlepiej bedzie jak bede wiedział co dokładnie wyłączyć...mam jeszcze problem z internem---włacza sie z opóżnieniem jakieś 20s Neostrada ...Zastanawiam sie również czy winą wirusa jest to że mój komputer od teraz nie chce sie wyłączać.Proszę o pomoc

Na początek idź do folderu: C:\WINDOWS\system32\userinit.exe i znajdź ten plik: userinit.exe
następnie przeskanuj ten plik tu: VirusTotal - Skaner podejrzanego oprogramowania i tu też: Anubis: Analyzing Unknown Binaries
następnie wstaw tu logi po zakończeniu skanowania/analizy.

Usuń wszystkie pogramy antywiusowe i zainstaluj to: AVAST! 4.8.1296 PROFESSIONAL EDITION PL.RAR - OdSiebie.com

Avast 4.8.1296 Professional
+ KEYGEN 100 % Działający

avast! 4.8.1296 Professional Edition PL - Komercyjna wersja programu antywirusowego, czeskiej firmy Anwil, podobnie jak w wersji Home,
narzędzie posiada w swoich opcjach skaner dostępowy - blokujący potencjalne zagrożenia oraz skaner dysku, wyszukujący wirusy.
Po włączeniu ochrony rezydenta program skanuje pocztę e-mail, pliki systemowe, pamięć i dyski.
avast! professional posiada aktualizacje automatyczną która zwalnia użytkownika programu z obowiązku ręcznej aktualizacji programu.
W przeciwieństwie do wersji Home, avast! professional oferuje blokowanie podejrzanych skryptów,
przechowywanie logów (wyników) skanowania, tworzenie własnych harmonogramów zadań oraz obsługę wiersza poleceń.

Następnie zainstaluj to: SPYBOTSD152.EXE - OdSiebie.com

SpyBot - sd 152 PL

A teraz to: SUNBELT - PERSONAL - FIREWALL.4.5.916.PL.RAR - OdSiebie.com

Sunbelt Personal Firewall 4.5.916 PL

I to też: UNLOCKER1.8.7.EXE - OdSiebie.com

Unlocker 1.8.7

A tym wyczyść rejestr etc: WINXPM.600.CORE.RAR - OdSiebie.com

WinXPM.600.CORE

A tym wyczyść dane prywatne ponadto możesz odinstalować programy, to jeden z najlepszych programów dostępnych na rynku: REVOUNINSTALLER142.EXE - OdSiebie.com

Revo Uninstaller142

I to też się na pewno przyda: GLARY UTILITIES PORTABLE PL.EXE - OdSiebie.com

Glary Utilities Portable PL

A tu masz zaawansowany program do edycji Rejestrów, masz dostęp do wszystkich wpisów do których normalny user NIE ma dostępu, ale jeśli nie nasz się na rejestrach to nawet NIE ruszaj tego programu bo uszkodzisz sobie PC, program jest dla zaawansowanych AUTORUNS.ZIP - OdSiebie.com

Autoruns

Dodam tylko tyle że te programy to Podstawa, ale zrobisz jak zechcesz.

Wielkie Dzięki L.S Farciarz...Pulpit zdalny i nic innego nie widzę...nawet tłumacze komuś co ma zrobić czasem jest trudne...sprostałeś zadaniu...

Problem rozwiązany temat do zamkniecia

Sciagnij dodatkowo Spyware Doctor polecam

Wszędzie tak pisze ale wszystko mi chodzi.Malware Bytes Anti Malware.Potem tylko starczy przeskanować kompa Pełnym skanowaniem.Ale przed skanem zaktualizuj.A jak juz wszystko zrobisz to tylko skana może jakimś Nod 32.


PS. jeśli nie wiesz jak się ściąga to kliknij tam Download now.
Jeśli to nie pomoże to próboj od swych kolegów.Mi zawsze pomogło.Pozdro.!

Zamieszczone przez sebekpk

Wszędzie tak pisze ale wszystko mi chodzi.Malware Bytes Anti Malware.Potem tylko starczy przeskanować kompa Pełnym skanowaniem.Ale przed skanem zaktualizuj.A jak juz wszystko zrobisz to tylko skana może jakimś Nod 32.


PS. jeśli nie wiesz jak się ściąga to kliknij tam Download now.
Jeśli to nie pomoże to próboj od swych kolegów.Mi zawsze pomogło.Pozdro.!

dobre rady ale rozwiazaliśmy juz ten problem przez pulpit zdalny. Ten wirus podszył sie pod jeden z ważnych procesów(wystarczyło wyczyścic logi i wirusa usunąc ręcznie(z płytą Windows w napędzie), ponieważ musiałem czymś plik zastąpic bo inaczej spowodowałoby to uszkodzenie systemu).

P.S Malware by tego nie usunął tak jak Spybot search & destroy czy inne programy tego typu... Dopiero po usunieciu wirusa w taki sposób jak przedstawiłem wyżej można się bawić w skanowanie programami. Ty zawinil Eset, który przepuścił wirusa bo to nie był pierwszy przypadek jaki rozpatrywałem.

Także temat do zamkniecia.