Recycler ไวรัส

**laurenwyne** · #1 11 พฤศจิกายน 2008, 01:55

สวัสดี Evilfantasy ... ของฉันอีก ... ฉันคิดว่าฉันมีไวรัสในเครื่องแล็ปท็อปของฉันเป็น recycler ไวรัสและฉันไม่สามารถลบออก
ฉันได้ใช้ Norton อินเทอร์เน็ตความปลอดภัย 2008, avira และเฉลี่ยที่ยังคงไม่ใช่ลบ. เป็นทั้งสองของฉันในไดรฟ์ C และง. กรุณาช่วย

ที่นี่คือจี้ล็อก
Logfile แนวโน้มของไมโคร HijackThis v2.0.2
สแกนบันทึกที่ 4:54:33 ใน 11/11/2008
แพลตฟอร์ม: ใช้ Windows Vista SP1 (WinNT 6.00.1905)
MSIE: โปรแกรม Internet Explorer v7.00 (7.00.6001.18000)
บูตโหมด: ปกติ

กระบวนการทำงาน:
ที่ C: \ ของ Windows \ system32 \ taskeng.exe
ที่ C: \ ของ Windows \ system32 \ Dwm.exe
ที่ C: \ ของ Windows \ Explorer.exe
ที่ C: \ ของ Windows \ system32 \ taskeng.exe
ที่ C: \ แฟ้มโปรแกรม \ อัสซุส \ อัสซุสสดปรับปรุง \ ALU.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSvcHst.exe
ที่ C: \ แฟ้มโปรแกรม \ iTunes \ iTunesHelper.exe
ที่ C: \ แฟ้มโปรแกรม \ แถบด้านข้างของ Windows \ sidebar.exe
ที่ C: \ ผู้ใช้ \ X80le \ AppData \ ท้องถิ่น \ ของ Google \ ปรับปรุง \ GoogleU pdate.exe
ที่ C: \ แฟ้มโปรแกรม \ ของ Windows Media Player \ wmpnscfg.exe
ที่ C: \ แฟ้มโปรแกรม \ Mozilla ของ Firefox \ firefox.exe
ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ YahooMessenger.exe
ที่ C: \ แฟ้มโปรแกรม \ สดของ Windows \ ร่อซู้ \ msnmsgr.exe
ที่ C: \ แฟ้มโปรแกรม \ แนวโน้มไมโคร \ HijackThis \ HijackThis.exe

R1 - HKCU \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ หลัก, Default_Page_URL = http://www.asus.com
R1 - HKCU \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ หลัก, ค้นหาเพจ = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ หลัก, หน้าเริ่มต้น = เกี่ยวกับ: ว่าง
R0 - HKLM \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ ค้นหา SearchAssistant =
R0 - HKLM \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ ค้นหา CustomizeSearch =
R1 - HKCU \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows \ CurrentVersion \ Int ernet ตั้งค่า ProxyOverride = *. ท้องถิ่น
R0 - HKCU \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ แถบเครื่องมือ LinksFolderName =
O2 - BHO: โปรแกรม Adobe โปรแกรม PDF reader ลิงก์ช่วยเหลือ - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ โปรแกรม Adobe \ Acrobat \ ActiveX ที่ \ AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - (3CA2F312-6F6E-4B53-A66E-4E65E497C8C0) - ที่ C: \ แฟ้มโปรแกรม \ เฉลี่ย \ AVG8 \ avgssie.dll (ไฟล์หายไป)
O2 - BHO: Symantec Intrusion ป้องกัน - (6D53EC84-6AAE-4787-AEEE-F4628F01010C) - ที่ C: \ PROGRA ~ 1 \ สามัญ ~ 1 \ SYMANT ~ 1 \ รหัส \ IPSBHO.dll
O2 - BHO: (ไม่มีชื่อ) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (ไม่มีไฟล์)
O2 - BHO: วินโดวส์ไลฟ์เข้าสู่ระบบช่วยเหลือ - (9030D464-4C02-4ABF-8ECC-5164760863C6) - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ สดของ Windows \ WindowsLiveLogin.dll
O4 - HKLM \ .. \ เรียกใช้: [ccApp] "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccApp.exe"
O4 - HKLM \ .. \ เรียกใช้: [ของ Microsoft IME ย้ายด้วย pinyin] ที่ C: \ PROGRA ~ 1 \ สามัญ ~ 1 \ MICROS ~ 1 \ IME12 \ IMESC \ IMSCMIG. Exe / ติดตั้ง
O4 - HKLM \ .. \ เรียกใช้: [QuickTime งาน] "ที่ C: \ แฟ้มโปรแกรม \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ เรียกใช้: [iTunesHelper] "ที่ C: \ แฟ้มโปรแกรม \ iTunes \ iTunesHelper.exe"
O4 - HKCU \ .. \ เรียกใช้: [แถบด้านข้าง] ที่ C: \ แฟ้มโปรแกรม \ แถบด้านข้างของ Windows \ sidebar.exe / อัตโนมัติ
O4 - HKCU \ .. \ เรียกใช้: [ของ Google ปรับปรุง] "ที่ C: \ ผู้ใช้ \ X80le \ AppData \ ท้องถิ่น \ ของ Google \ ปรับปรุง \ ของ Google Update.exe" / ค
O4 - HKUS \ S-1-5-19 \ .. \ RunOnce: [] (ผู้ใช้บริการ 'ท้องถิ่นบริการ')
O4 - HKUS \ S-1-5-20 \ .. \ เรียกใช้: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (ผู้ใช้บริการ 'บริการระบบเครือข')
O4 - HKUS \ S-1-5-20 \ .. \ RunOnce: [] (ผู้ใช้บริการ 'บริการระบบเครือข')
O4 - HKUS \ S-1-5-18 \ .. \ RunOnce: [] (ผู้ใช้บริการ 'ระบบ')
O4 - HKUS \. เริ่มต้น \ .. \ RunOnce: [] (ผู้ใช้บริการ 'ผู้ใช้เริ่มต้น')
O8 - กระจกรายการเมนูบริบท: อี & xport เพื่อโปรแกรม Microsoft Excel - res: / / ที่ C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - กระจกปุ่ม: วิจัย - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - ที่ C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O16 - DPF: (56762DEC-6B0D-4AB4-A8AD-989993B5D08B) (OnlineScanner ควบคุม) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab
O23 - บริการ: ADSM บริการ (ADSMService) - ไม่รู้จักเจ้าของ - ที่ C: \ แฟ้มโปรแกรม \ อัสซุส \ อัสซุสผู้จัดการการรักษาความปลอดภัยข้อมูล \ ADSMSrv.exe
O23 - บริการ: แอปอุปกรณ์เคลื่อนที่ - แอป Inc การ - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ แอป \ อุปกรณ์เคลื่อนที่สนับสนุน \ ถัง \ AppleMobileDeviceService.exe
O23 - บริการ: ASLDR บริการ (ASLDRService) - ไม่รู้จักเจ้าของ - ที่ C: \ แฟ้มโปรแกรม \ ATK Hotkey \ ASLDRSrv.exe
O23 - บริการ: ATKGFNEX บริการ (ATKGFNEXSrv) - ไม่รู้จักเจ้าของ - ที่ C: \ แฟ้มโปรแกรม \ ATKGFNEX \ GFNEXSrv.exe
O23 - บริการ: อัตโนมัติ LiveUpdate Scheduler - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ Symantec \ LiveUpdate \ AluSchedulerSvc.exe
O23 - บริการ: Bonjour บริการ - แอป Inc การ - ที่ C: \ แฟ้มโปรแกรม \ Bonjour \ mDNSResponder.exe
O23 - บริการ: Symantec เหตุการณ์ผู้จัดการ (ccEvtMgr) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSvcHst.exe
O23 - บริการ: Symantec การตั้งค่าผู้จัดการ (ccSetMgr) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSvcHst.exe
O23 - บริการ: Symantec Lic NetConnect บริการ (CLTNetCnService) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSvcHst.exe
O23 - บริการ: COM โฮสต์ (comHost) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ VAScanner \ comHost.exe
O23 - บริการ: การรักษาความปลอดภัยการจัดการแพลตฟอร์มบริการ (IFXSpMgtSrv) - Infineon เทคโนโลยีเอจี - ที่ C: \ ของ Windows \ system32 \ ifxspmgt.exe
O23 - บริการ: เชื่อถือแพลตฟอร์ม Core บริการ (IFXTCS) - Infineon เทคโนโลยีเอจี - ที่ C: \ ของ Windows \ system32 \ ifxtcs.exe
O23 - บริการ: iPod บริการ - แอป Inc การ - ที่ C: \ แฟ้มโปรแกรม \ iPod \ ถัง \ iPodService.exe
O23 - บริการ: LightScribeService โดยตรงดิสก์การติดฉลากบริการ (LightScribeService) - Hewlett-Packard บริษัท - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ LightScribe \ LSSrvc.exe
O23 - บริการ: LiveUpdate - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ Symantec \ LiveUpdate \ LuComServer_3_4.EXE
O23 - บริการ: LiveUpdate ประกาศ - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSvcHst.exe
O23 - บริการ: NMIndexingService - Nero เอจี - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ล่วงหน้า \ Lib \ NMIndexingService.exe
O23 - บริการ: บุคคลที่ปลอดภัยไดร์ฟบริการ (PersonalSecureDriveService) - Infineon เทคโนโลยีเอจี - ที่ C: \ ของ Windows \ system32 \ IfxPsdSv.exe
O23 - บริการ: Cyberlink RichVideo บริการ (CRVS) (RichVideo) - ไม่รู้จักเจ้าของ - ที่ C: \ แฟ้มโปรแกรม \ CyberLink \ ร่วมไฟล์ \ RichVideo.exe
O23 - บริการ: Symantec Core LC - ไม่รู้จักเจ้าของ - ที่ C: \ PROGRA ~ 1 \ สามัญ ~ 1 \ SYMANT ~ 1 \ CCPD-LC \ symlcsvc.exe

--
สิ้นสุดไฟล์ - 5847 ไบต์

**evilfantasy** · #2 11 พฤศจิกายน 2008, 11:09

มี HijackThis แก้ไขรายการนี้.

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - (3CA2F312-6F6E-4B53-A66E-4E65E497C8C0) - ที่ C: \ แฟ้มโปรแกรม \ เฉลี่ย \ AVG8 \ avgssie.dll (ไฟล์หายไป)

----------

รันโปรแกรมนี้แบบออนไลน์สแกน.

นี้ต้องสแกนโปรแกรม Internet Explorer

ใช้ ESET NOD32 ออนไลน์สแกนเนอร์

1. ทำเครื่องหมายที่ช่องถัดจาก ใช่ฉันยอมรับข้อตกลงการใช้งาน.
2. คลิก เริ่ม
3. เมื่อถามให้ตัวควบคุม ActiveX ในการติดตั้ง
4. คลิก เริ่ม
5. ตรวจสอบให้แน่ใจว่าตัวเลือก ลบพบภัยคุกคาม และตัวเลือก สแกนโปรแกรมประยุกต์ที่ไม่พึงประสงค์ มีการตรวจสอบการทำเครื่องหมาย.
6. คลิก สแกน
7. รอสแกนเพื่อสิ้นสุด
8. ใช้ Notepad เพื่อเปิด logfile ตั้งอยู่ที่ ที่ C: \ แฟ้มโปรแกรม \ EsetOnlineScanner \ log.txt
9. เพิ่ม ที่ ที่ C: \ แฟ้มโปรแกรม \ EsetOnlineScanner \ log.txt เข้าสู่ระบบครั้งถัดไปของคุณตอบ.

**laurenwyne** · #3 11. พฤศจิกายน 2008, 15:54

สวัสดี evilfantasy, ฉันไม่สามารถทำงานเป็นฉันใช้ Windows Vista และจะขอให้ฉันเพื่อรันใช้สิทธิผู้ดูแลระบบ ....

**thingie2** · #4 11 พฤศจิกายน 2008, 16:07

คลิกขวาที่ IE ไอคอนและเลือกเรียกใช้ในฐานะผู้ดูแลระบบ.

**evilfantasy** · #5 11 พฤศจิกายน 2008, 16:33

ข้อความอ้างอิง:

แต่เดิมเขียนโดย thingie2

คลิกขวาที่ IE ไอคอนและเลือกเรียกใช้ในฐานะผู้ดูแลระบบ.

ดังที่กล่าวมาแล้ว. คุณต้องเปิด IE ใต้สิทธิ์ผู้ดูแลระบบ.

**laurenwyne** · #6 12 พฤศจิกายน 2008, 05:30

ขอบคุณที่ตกลงเกี่ยวกับ .. ฉันถูกสงสัยว่ามานี้จะไม่ detetected ไวรัสโดยเฉลี่ย, Avira และ NortonIS ... นี้เกิดขึ้นเมื่อฉันลงที่มีหน่วยความจำและบัตร NIS ตรวจพบบางอย่าง willy ไวรัสและกล่าวว่าสำเร็จลบ ... แต่เมื่อฉันตรวจสอบล็อกของ NIS ไม่มีล็อกสำหรับมัน. แล้ว thats เวลาฉันติดตั้งเฉลี่ยสแกนแต่ไม่พบไวรัสแล้วยกเลิกการติดตั้งเฉลี่ยและติดตั้ง AVIRA แต่ alas ไวรัสไม่พบ ...:( ฉันจะทำมันในภายหลัง evilfantasy ขอบคุณที่ช่วยฉันกับ .. นี้จะ combofix ไม่ทำงานกับนี้? และจะสแกนออนไลน์ของ ESET สแกนไดรฟ์อื่นๆ?

**evilfantasy** · #7 12 พฤศจิกายน 2008, 15:29

ComboFix เป็นเครื่องมือและเฉพาะฉันแนะนำคุณไม่ใช้มันเว้นแต่เพื่อคำแนะนำจากคนที่ใช้ในการฝึกอบรมการใช้งานของ. หลายสิ่งสามารถไปใช้ผิด CF และวิธีและเมื่อทราบว่าจะใช้เป็นสำคัญ.

คุณพูดมาเมื่อคุณใส่แฟลชไดรฟ์ในคอมพิวเตอร์?

แฟลชไดรฟ์การล้าง

ดาวน์โหลด แฟลช Disinfector โดย sUBs และบันทึกไปยังเดสก์ทอปของคุณ.

ดับเบิลคลิกเพื่อรัน Flash_Disinfector.exe.
เดสก์ทอปของคุณและไอคอนอาจหาย. นี่คือปกติ.
จะต้องถอดล้างของการเก็บรักษาอุปกรณ์และเขียนป้องกัน Autorun.inf ไฟล์ที่จะช่วยป้องกันการติดเชื้อใหม่.
แจ้งให้ทำตามขั้นตอนใดๆที่อาจปรากฏขึ้น.
ยูทิลิตีอาจขอให้คุณใส่แฟลชไดรฟ์ของคุณและ / หรือไดรฟ์ที่ถอดได้อื่นๆรวมถึงโทรศัพท์เคลื่อนที่ของคุณ. โปรดทำและอนุญาตให้ยูทิลิตีเพื่อล้างไดรฟ์ที่เพิ่มขึ้นเช่นกัน.
รอจนกระทั่งมีการสแกนเสร็จแล้วออกจากโปรแกรม.
จะไม่มี GUI อินเตอร์เฟสหรือล็อกไฟล์ผลิต.
รีบูตเครื่องคอมพิวเตอร์ของคุณเมื่อดำเนินการเสร็จ.

หมายเหตุ: Flash_Disinfector จะสร้างโฟลเดอร์ที่ซ่อนชื่อ autorun.inf ในแต่ละยูเอสบีทุกพาร์ทิชันและไดรฟ์เสียบปลั๊กไฟเมื่อคุณ ran มัน. อย่าลบโฟลเดอร์นี้ ... จะช่วยปกป้องจากไดรฟ์ที่ติดเชื้อในอนาคต.

**laurenwyne** · #8 12 พฤศจิกายน 2008, 18:53

ขอบคุณ evilfantasy สำหรับอินพุตใน CF. ดีจริงที่นี่เป็นลำดับในสิ่งที่เกิดขึ้น. ฉันใส MMC ที่หนึ่งแล็ปท็อปของฉันแล้วฉัน NIS 2008 เรียกใช้การป้องกันโดยอัตโนมัติแทนที่จะที่ willy ไวรัส .. หลังจากที่ฉัน reformatted บัตร ... แล้วฉันใสอื่น MMC ที่บัตรอีกครั้ง NIS รันการป้องกันโดยอัตโนมัติแทนที่จะ willy ไวรัสอีกครั้งที่มันกล่าวว่าที่ถูกลบ / ป้องกัน .. ดังนั้นฉัน reformatted ที่สองบัตร ... ฉันแล้วตรวจสอบโดย reinserting นั้นอีกครั้งและไม่มีไวรัส ... ทั้งสองคือบรรดาบัตรใสสำนักงานของฉันก่อนหน้านี้ในคอมพิวเตอร์ที่ได้นี้ไวรัสที่ไม่ได้ detetected โดย Symantec คือมันเกิดอะไรขึ้นบล็อกของฉันทั้งหมดจากโปรแกรมทำงานและพวกเขาได้ให้มันผี ... ปัจจุบัน recycler ไวรัสเป็นนึกออกฉันฉันไม่ได้เห็นมันในช่วงเวลาที่ฉันลงที่ MMC ที่ฉันศรัทธาต่อไปนี้เป็นวันที่ฉันเห็นมันแล้วมันเป็นโฟลเดอร์ที่ซ่อนไว้ดังนั้นฉันพยายามลบแต่มันไปไม่ประโยชน์ coz ตราบที่ฉันนึกออกนี้ยังได้เดียวกันไวรัสที่ฉันเห็นได้ในสำนักงานของเราที่ได้รับการมีผลกระทบต่อยูเอสบี / MMC ที่ถูกใส ... ฉันจะรันโปรแกรมปัจจุบัน ESET และวางล็อก ... ขอบคุณ

**evilfantasy** · #9 12 พฤศจิกายน 2008, 18:56

ไม่มีปัญหา. การลบไฟล์ Recycler ไม่มากง่าย. ชอบของ Windows เพื่อปกป้องพวกเขา. ที่ ESET สแกนควรลบแม้ว่าพวกเขาแต่เราจะมีเพื่อดูล็อกแรก.

**laurenwyne** · #10 18 พฤศจิกายน 2008, 18:10

สวัสดี evilfantasy ESET คือไม่สามารถตรวจสอบไวรัสใดๆที่. 0 ไฟล์. แต่ฉันไม่สามารถค้นหาล็อกไฟล์. ที่ recycler ไฟล์เป็นเป็นโฟลเดอร์ที่ซ่อน ....

หัวข้อเครื่องมือ
แสดงเวอร์ชันสำหรับพิมพ์ อีเมล์หน้านี้