[jjssj]

Имам завтече malare анти-зловреден софтуер, но не е да се отървете от всички вируси / памет модули / registery ключове
Аз също се завтече отвличане това и се отстраняват някои. DLL на установено malwarebytes, но не всички отиде.


Malwarebytes "Анти-злонамерен софтуер 1,37
База данни версия: 2216
Windows 5.1.2600 Service Pack 2

02/06/2009 22:04:31
mbam-дневник-2009-06-02 (22-04-31). TXT

Сканиране тип: Бързо сканиране
Обекти сканирани: 89008
Време изминали: 3 минути (а), 23 секунди (а)

Памет процеси Заразени: 0
Заразени модули памет: 3
Ключове в регистъра Заразени: 13
Заразени стойности в системния регистър: 0
Регистър на данните Заразени Точки: 2
Заразени папки: 2
Заразени файлове: 7

Памет Заразени процеси:
(№ злонамерени статии открит)

Заразени модули памет:
C: \ Windows \ System32 \ dwkljtof.dll (Trojan.Vundo.H) -> Изтриване на рестартиране.
C: \ Windows \ System32 \ becbn.dll (Trojan.Agent) -> Изтриване на рестартиране.
C: \ Windows \ System32 \ xanyzwy.dll (Trojan.Vundo.H) -> Изтриване на рестартиране.

Ключове в регистъра Заразени:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ браузъра Helper Обекти \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> Изтриване на рестартиране.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Уведомявай \ feuyhaok (Trojan.Vundo.H) -> Изтриване на рестартиране.
HKEY_CLASSES_ROOT \ CLSID \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> Изтриване на рестартиране.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ браузъра Helper Обекти \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> карантина и изтрити успешно.
HKEY_CLASSES_ROOT \ CLSID \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> карантина и изтрити успешно.
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Вътр \ Статистика \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> карантина и изтрити успешно.
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ б mbgzbpm (Trojan.Vundo.H) -> карантина и изтрити успешно.
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002 \ Services \ б mbgzbpm (Trojan.Vundo.H) -> карантина и изтрити успешно.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Servic ES \ bmbgzbpm (Trojan.Vundo.H) -> карантина и изтрити успешно.
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Вътр \ Статистика \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> карантина и изтрити успешно.
HKEY_CLASSES_ROOT \ CLSID \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> карантина и изтрити успешно.
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Вътр \ Статистика \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> карантина и изтрити успешно.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ браузъра Helper Обекти \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> карантина и изтрити успешно.

Заразени стойности в системния регистър:
(№ злонамерени статии открит)

Регистър на данните Точки заболяване:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Policies \ System \ DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Лека: (0) -> карантина и изтрити успешно.
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Policies \ System \ DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Лека: (0) -> карантина и изтрити успешно.

Заразени папки:
C: \ Windows \ System32 \ append.dll (Trojan.Agent) -> карантина и изтрити успешно.
C: \ Windows \ System32 \ xlib254.dll (Trojan.Agent) -> карантина и изтрити успешно.

Заразени файлове:
C: \ Windows \ System32 \ xanyzwy.dll (Trojan.Vundo.H) -> Изтриване на рестартиране.
C: \ Windows \ System32 \ dwkljtof.dll (Trojan.Vundo.H) -> Изтриване на рестартиране.
C: \ Windows \ System32 \ becbn.dll (Trojan.Agent) -> Изтриване на рестартиране.
C: \ Windows \ System32 \ zfmhjbu.dll (Trojan.Vundo.H) -> Изтриване на рестартиране.
C: \ Windows \ System32 \ bekbn.dll (Trojan.Agent) -> карантина и изтрити успешно.
C: \ Windows \ System32 \ Drivers \ jcnfgawt.sys (Rootkit.Agent) -> Изтриване на рестартиране.
C: \ Windows \ System32 \ Drivers \ sjbxdggg.sys (Rootkit.Agent) -> Изтриване на рестартиране.





Logfile на Тренд Микро HijackThis v2.0.2
Сканиране, записани в 22:52:36, от 02/06/2009
Платформа: Windows XP SP2 (Winnt 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Обувка готовност: Нормално

Работещи процеси:
C: \ Windows \ System32 \ smss.exe
C: \ Windows \ System32 \ csrss.exe
C: \ Windows \ System32 \ winlogon.exe
C: \ Windows \ System32 \ services.exe
C: \ Windows \ System32 \ lsass.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ Explorer.exe
C: \ Windows \ System32 \ spoolsv.exe
C: \ Windows \ SOUNDMAN.EXE
C: \ Program Files \ ATI технологии \ ATI.ACE \ cli.exe
C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe
C: \ Windows \ System32 \ carpserv.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
C: \ Program Files \ Java \ jre6 \ бен \ jusched.exe
C: \ Windows \ System32 \ Ctfmon.exe
C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe
C: \ Windows \ System32 \ astsrv.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ Program Files \ Общи файлове \ Microsoft споделени \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Общи файлове \ Nero \ Nero BackItUp 4 \ NBService.exe
C: \ Windows \ System32 \ oodag.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgam.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgnsx.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ wscntfy.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ ATI технологии \ ATI.ACE \ cli.exe
C: \ Program Files \ Общи файлове \ Microsoft споделени \ Източник Двигател \ OSE.EXE
C: \ Program Files \ общи файлове \ Mozilla споделени \ firefox.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Program Files \ Trend Микро \ HijackThis \ HijackThis.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Първа страница = http://www.virginmedia.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.tiny.com
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Настройки, ProxyOverride = *. местните
O2 - BHO: AcroIEHelperStub - (18DF081C-E8AD-4283-A596-FA578C2EBDC3) - C: \ Program Files \ Общи файлове \ Adobe \ Acrobat \ ActiveX \ AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - (3CA2F312-6F6E-4B53-A66E-4E65E497C8C0) - C: \ Program Files \ AVG \ AVG8 \ avgssie.dll
O2 - BHO: Кликнете с обаждане BHO - (5C255C8A-E604-49b4-9D64-90988571CECB) - C: \ Program Files \ Windows Live \ Messenger \ wlchtc.dll
O2 - BHO: Groove СПФ браузъра Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ Program Files \ Microsoft Office \ Office12 \ GrooveShellExtensions.dll
O2 - BHO: Windows Live Sign-в Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Общи файлове \ Microsoft споделени \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (няма име) - (936182df-5f7a-4d1e-a86f-a6d0f061e70a) - C: \ Windows \ System32 \ xanyzwy.dll
O2 - BHO: Java ™ Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ Java \ jre6 \ бен \ jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ Java \ jre6 \ lib \ разположи \ jqs \ т.е. \ jqs_plugin.dll
O4 - HKLM \ .. \ Пусни: [ATIPTA] "C: \ Program Files \ ATI технологии \ ATI Контролен панел \ atiptaxx.exe"
O4 - HKLM \ .. \ Пусни: [PinnacleDriverCheck] C: \ Windows \ System32 \ PSDrvCheck.exe
O4 - HKLM \ .. \ Пусни: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Пусни: [NeroFilterCheck] C: \ Windows \ System32 \ NeroCheck.exe
O4 - HKLM \ .. \ Пусни: [InCD] C: \ Program Files \ Ahead \ InCD \ InCD.exe
O4 - HKLM \ .. \ Пусни: [ATICCC] "C: \ Program Files \ ATI технологии \ ATI.ACE \ cli.exe" Runtime-Забавяне
O4 - HKLM \ .. \ Пусни: [OutpostMonitor] C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe / тава / noservice
O4 - HKLM \ .. \ Пусни: [CARPService] carpserv.exe
O4 - HKLM \ .. \ Пусни: [AVG8_TRAY] C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
O4 - HKLM \ .. \ Пусни: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre6 \ бен \ jusched.exe"
O4 - HKLM \ .. \ RunServices: [RegisterDropHandler] C: \ PROGRA ~ 1 \ TEXTBR ~ 1.0 \ Бин \ REGIST ~ 1.EXE
O4 - HKCU \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe
O4 - HKUS \. DEFAULT \ .. \ Пусни: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe (User 'Default потребител ")
O8 - Extra контекст менюто: E & Експортиране към Microsoft Excel - RES: / / C: \ PROGRA ~ 1 \ Micros ~ 2 \ Office12 \ EXCEL.EXE/3000
O9 - Extra бутона: Изпрати към OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ Micros ~ 2 \ Office12 \ ONBttnIE.dll
O9 - Extra "Инструменти" MENUITEM: S & край OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ Micros ~ 2 \ Office12 \ ONBttnIE.dll
O9 - Extra бутона: пост Firewall Pro Бързо Търси - (44627E97-789B-40d4-B5C2-58BD171129A1) - C: \ Program Files \ Agnitum \ пост Firewall Pro \ ie_bar.dll
O9 - Extra бутона: Изследвания - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MIC273 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Extra бутона: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra "Инструменти" MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL = http://www.tiny.com
O18 - Протокол: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ Program Files \ Microsoft Office \ Office12 \ GrooveSystemServices.dll
O18 - Протокол: linkscanner - (F274614C-63F8-47D5-A4D1-FBDDE494F8D1) - C: \ Program Files \ AVG \ AVG8 \ avgpp.dll
O20 - Winlogon Уведомявай: avgrsstarter - C: \ Windows \ System32 \ avgrsstx.dll
O20 - Winlogon Уведомявай: feuyhaok - C: \ Windows \ System32 \ xanyzwy.dll
O23 - Обслужване: Lavasoft Ad-Aware служба (aawservice) - Неизвестен собственик - C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe (файл липсва)
O23 - Обслужване: Agnitum Клиентски служба за сигурност (acssrv) - Agnitum ООД - C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe
O23 - Обслужване: AST служба (astcc) - Nalpeiron ООД - C: \ Windows \ System32 \ astsrv.exe
O23 - Обслужване: ATI клавиш Poller - ATI технологии "АД - C: \ Windows \ System32 \ Ati2evxx.exe
O23 - Обслужване: ATI Smart - неизвестен собственик - C: \ Windows \ System32 \ ati2sgag.exe
O23 - Обслужване: Autodesk лицензиране служба - Autodesk - C: \ Program Files \ Общи файлове \ Autodesk общо \ служба \ AdskScSrv.exe
O23 - Обслужване: Autodesk мрежа лицензиране служба - Autodesk, Inc - C: \ Program Files \ Общи файлове \ Autodesk общо \ служба \ AdskNetSrv.exe
O23 - Обслужване: AVG8 пазител (avg8wd) - AVG технологии CZ ООД - C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Обслужване: Background Интелигентна Трансфер служба (BITS) - Неизвестен собственик - C: \ Windows \
O23 - Обслужване: Бонжур служба - Неизвестен собственик - C: \ Program Files \ Бонжур \ mDNSResponder.exe (файл липсва)
O23 - Обслужване: EpsonBidirectionalService - неизвестен собственик - C: \ Program Files \ Общи файлове \ EPSON \ EBAPI \ eEBSVC.exe
O23 - Обслужване: FLEXnet лицензиране служба - Acresso Софтуер Инк. - C: \ Program Files \ Общи файлове \ Macrovision общо \ FLEXnet Publisher \ FNPLicensingService.exe
O23 - Обслужване: gearsec - GEAR Софтуер - C: \ Windows \ System32 \ gearsec.exe
O23 - Обслужване: InstallDriver Таблица Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Общи файлове \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Обслужване: InCD Helper (InCDsrv) - Nero AG - C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
O23 - Обслужване: iPod служба - Apple Инк. - C: \ Program Files \ iPod \ бен \ iPodService.exe
O23 - Обслужване: Java Бързо Начално (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ Java \ jre6 \ бен \ jqs.exe
O23 - Обслужване: Лиценз за управление на услугата ESD - element5 - C: \ Program Files \ Общи файлове \ element5 общо \ служба \ Договор Мениджър ESD.exe
O23 - Обслужване: Nero BackItUp Планировчик 4,0 - Nero AG - C: \ Program Files \ Общи файлове \ Nero \ Nero BackItUp 4 \ NBService.exe
O23 - Обслужване: O & O Defrag - O & O Софтуер GmbH - C: \ Windows \ System32 \ oodag.exe
O23 - Служба: PC Инструменти Спомагателни служба (sdauxservice) - PC Инструменти - C: \ Program Files \ Spyware Доктор \ pctsAuxs.exe
O23 - Служба: PC Инструменти служба за сигурност (sdcoreservice) - PC Инструменти - C: \ Program Files \ Spyware Доктор \ pctsSvc.exe
O23 - Обслужване: ThreatFire (threatfire) - PC Инструменти - C: \ Program Files \ Spyware Доктор \ TFEngine \ TFService.exe
O23 - Обслужване: Автоматични актуализации (wuauserv) - Неизвестен собственик - C: \ Windows \

--
Краят на файла - 7951 байта


Всеки помогна моля, компютърът ще луд заключване задача ръководител, браузвайки е с постоянна болка изскачащи прозорци, някои програми са прекъснати. Аз съм мислене на пълен повторно инсталиране. Но просто искам стабилна система за резервно копиране на файловете.

[evilfantasy]

Изтеглям DDS от sUBs и го запишете на вашия работен плот. Алтернативен DDS свалите връзка

Vista потребителите Кликнете с десния бутон върху DDS и изберете Пусни като администратор (Вие ще получите UAC бърз, моля позволяват то)

* XP потребители Щракнете два пъти върху DDS за да го изпълним.
* Ако вашата защитна стена или антивирусна се опитват да блокират DDS тогава моля позволи тя да се изпълнява.
* Когато свърши DDS ще отвори два (2) трупи.

1) DDS.txt
2) Attach.txt

* Запазване на двете трупи към вашия работен плот.
* Моля, копирайте и поставете цялото съдържание на двете трупи в следващата си реплика.

Забележка: DDS ще нареди да публикувате Attach.txt влезте като прикачен файл.
Моля, само след него, както бихте други влезте със копие и да я поставите в отговора.