|
|
#1
3 יוני 2009, 01:39
|
|||
|
|||
Trojan Vundo. H (Hijackthis / malwarebytes)
אני רץ malare נגד תוכנות זדוניות אבל הוא לא מקבל את להיפטר מכל וירוסים / מודולי זיכרון / registery מפתחות
גם אני רץ לחטוף זה והוסרו כמה. DLL של למצוא malwarebytes אבל לא הכל הלך. Malwarebytes' Anti-Malware 1.37 מסד נתונים גרסה: 2216 Windows 5.1.2600 Service Pack 2 02/06/2009 22:04:31 mbam-Log-2009-06-02 (22-04-31). txt סוג סריקה: סריקה מהירה סריקת אובייקטים: 89008 שעה elapsed: 3 דקות (S), השני 23 (S) זיכרון תהליכים מזוהמים: 0 זיכרון מודולים מזוהמים: 3 מפתחות רישום מזוהמים: 13 ערכי הרישום מזוהמים: 0 הרישום של פריטי נתונים מזוהמים: 2 תיקיות מזוהמים: 2 קבצים מזוהמים: 7 זיכרון תהליכים מזוהמים: (לא זדוני שזוהו פריטים) זיכרון מודולים מזוהמים: C: \ WINDOWS \ system32 \ dwkljtof.dll (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. C: \ WINDOWS \ system32 \ becbn.dll (Trojan.Agent) -> מחק בעת אתחול מחדש. C: \ WINDOWS \ system32 \ xanyzwy.dll (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. מפתחות רישום מזוהמים: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper אובייקטים \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ feuyhaok (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. HKEY_CLASSES_ROOT \ CLSID \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper אובייקטים \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> ו Quarantined נמחקה בהצלחה. HKEY_CLASSES_ROOT \ CLSID \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> ו Quarantined נמחקה בהצלחה. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Ext \ Stats \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> ו Quarantined נמחקה בהצלחה. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ b mbgzbpm (Trojan.Vundo.H) -> ו Quarantined נמחקה בהצלחה. HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002 \ Services \ b mbgzbpm (Trojan.Vundo.H) -> ו Quarantined נמחקה בהצלחה. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Servic es \ bmbgzbpm (Trojan.Vundo.H) -> ו Quarantined נמחקה בהצלחה. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Ext \ Stats \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> ו Quarantined נמחקה בהצלחה. HKEY_CLASSES_ROOT \ CLSID \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Ext \ Stats \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper אובייקטים \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה. ערכי הרישום מזוהמים: (לא זדוני שזוהו פריטים) הרישום של פריטי נתונים מזוהמים: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Policies \ System \ DisableRegistryTools (Hijack.Regedit) -> Bad: (1) טוב: (0) -> ו Quarantined נמחקה בהצלחה. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Policies \ System \ DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) טוב: (0) -> ו Quarantined נמחקה בהצלחה. תיקיות מזוהמים: C: \ WINDOWS \ system32 \ append.dll (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה. C: \ WINDOWS \ system32 \ xlib254.dll (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה. קבצים מזוהמים: C: \ WINDOWS \ system32 \ xanyzwy.dll (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. C: \ WINDOWS \ system32 \ dwkljtof.dll (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. C: \ WINDOWS \ system32 \ becbn.dll (Trojan.Agent) -> מחק בעת אתחול מחדש. C: \ WINDOWS \ system32 \ zfmhjbu.dll (Trojan.Vundo.H) -> מחק בעת אתחול מחדש. C: \ WINDOWS \ system32 \ bekbn.dll (Trojan.Agent) -> ו Quarantined נמחקה בהצלחה. C: \ WINDOWS \ system32 \ drivers \ jcnfgawt.sys (Rootkit.Agent) -> מחק בעת אתחול מחדש. C: \ WINDOWS \ system32 \ drivers \ sjbxdggg.sys (Rootkit.Agent) -> מחק בעת אתחול מחדש. Logfile of Trend Micro HijackThis v2.0.2 סרוק שנשמר בשעה 22:52:36 ב 02/06/2009 פלטפורמה: Windows XP SP2 (Winnt 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) אתחול במצב: בדרך כלל הפעלת תהליכים: C: \ Windows \ System32 \ smss.exe C: \ Windows \ system32 \ csrss.exe C: \ Windows \ system32 \ Winlogon.exe C: \ Windows \ system32 \ services.exe C: \ Windows \ system32 \ lsass.exe C: \ Windows \ system32 \ היישום Svchost.exe C: \ Windows \ system32 \ היישום Svchost.exe C: \ Windows \ System32 \ היישום Svchost.exe C: \ Windows \ system32 \ היישום Svchost.exe C: \ Windows \ System32 \ היישום Svchost.exe C: \ Windows \ System32 \ היישום Svchost.exe C: \ Windows \ explorer.exe C: \ Windows \ system32 \ spoolsv.exe C: \ Windows \ SOUNDMAN.EXE C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe C: \ Windows \ system32 \ carpserv.exe C: \ progra ~ 1 \ ממוצע \ AVG8 \ avgtray.exe C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe C: \ Windows \ system32 \ Ctfmon.exe C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe C: \ Windows \ System32 \ astsrv.exe C: \ progra ~ 1 \ ממוצע \ AVG8 \ avgwdsvc.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ Program Files \ Common Files \ Nero \ Nero BackItUp 4 \ NBService.exe C: \ Windows \ system32 \ oodag.exe C: \ progra ~ 1 \ ממוצע \ AVG8 \ avgam.exe C: \ progra ~ 1 \ ממוצע \ AVG8 \ avgrsx.exe C: \ progra ~ 1 \ ממוצע \ AVG8 \ avgnsx.exe C: \ Windows \ System32 \ היישום Svchost.exe C: \ Windows \ system32 \ wscntfy.exe C: \ Windows \ System32 \ היישום Svchost.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe C: \ Program Files \ Common Files \ Microsoft Shared \ Source Engine \ OSE.EXE C: \ Program Files \ Common Files \ Mozilla משותף \ firefox.exe C: \ Program Files \ Mozilla Firefox \ firefox.exe C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ ראשי, דף הפתיחה = http://www.virginmedia.com/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.tiny.com R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ int ernet הגדרות, ProxyOverride = מקומית *. O2 - BHO: AcroIEHelperStub - (18DF081C-E8AD-4283-A596-FA578C2EBDC3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - (3CA2F312-6F6E-4B53-A66E-4E65E497C8C0) - C: \ Program Files \ ממוצע \ AVG8 \ avgssie.dll O2 - BHO: לחץ להתקשרות BHO - (5C255C8A-E604-49b4-9D64-90988571CECB) - C: \ Program Files \ Windows Live \ Messenger \ wlchtc.dll O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ Program Files \ Microsoft Office \ Office12 \ GrooveShellExtensions.dll O2 - BHO: Windows Live הירשם ל-עוזר - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll O2 - BHO: (ללא שם) - (936182df-5f7a-4d1e-a86f-a6d0f061e70a) - C: \ Windows \ system32 \ xanyzwy.dll O2 - BHO: Java ™ Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ Java \ jre6 \ bin \ jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ Java \ jre6 \ lib \ לפרוס \ jqs \ IE \ jqs_plugin.dll O4 - HKLM \ .. \ Run: [ATIPTA] "C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe" O4 - HKLM \ .. \ Run: [PinnacleDriverCheck] C: \ Windows \ System32 \ PSDrvCheck.exe O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe O4 - HKLM \ .. \ Run: [InCD] C: \ Program Files \ ahead \ InCD \ InCD.exe O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" Runtime עיכוב O4 - HKLM \ .. \ Run: [OutpostMonitor] C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe / מגש / noservice O4 - HKLM \ .. \ Run: [CARPService] carpserv.exe O4 - HKLM \ .. \ Run: [AVG8_TRAY] C: \ progra ~ 1 \ ממוצע \ AVG8 \ avgtray.exe O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe" O4 - HKLM \ .. \ RunServices: [RegisterDropHandler] C: \ progra ~ 1 \ TEXTBR ~ 1.0 \ Bin \ REGIST ~ 1.EXE O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ Windows \ system32 \ Ctfmon.exe O4 - HKUS \. ברירת המחדל \ .. \ Run: [Ctfmon.exe] C: \ Windows \ System32 \ Ctfmon.exe (User 'Default user') O8 - Extra context בתפריט: E & xport ל-Microsoft Excel - res: / / c: \ progra ~ 1 \ מיקרו ~ 2 \ Office12 \ EXCEL.EXE/3000 O9 - Extra כפתור: שלח אל OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ מיקרו ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra 'Tools' menuitem: S & סוף ל-OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ מיקרו ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra כפתור: ישוב מרוחק חומת האש של המקצוענים מהיר כוון - (44627E97-789B-40d4-B5C2-58BD171129A1) - C: \ Program Files \ Agnitum \ ישוב מרוחק חומת האש Pro \ ie_bar.dll O9 - Extra כפתור: מחקר - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ MIC273 ~ 1 \ Office12 \ REFIEBAR.DLL O9 - Extra כפתור: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O14 - IERESET.INF: START_PAGE_URL = http://www.tiny.com O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ Program Files \ Microsoft Office \ Office12 \ GrooveSystemServices.dll O18 - Protocol: linkscanner - (F274614C-63F8-47D5-A4D1-FBDDE494F8D1) - C: \ Program Files \ ממוצע \ AVG8 \ avgpp.dll O20 - Winlogon Notify: avgrsstarter - C: \ Windows \ System32 \ avgrsstx.dll O20 - Winlogon Notify: feuyhaok - C: \ Windows \ System32 \ xanyzwy.dll O23 - Service: Lavasoft Ad-מודעת שירות (aawservice) - לא ידוע בעל - C: \ Program Files \ Lavasoft \ Ad-מודעת \ aawservice.exe (קובץ חסר) O23 - Service: Agnitum אבטחה שירות הלקוחות (acssrv) - בע"מ Agnitum - C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe O23 - Service: AST שירות (astcc) - Nalpeiron בע"מ - C: \ Windows \ System32 \ astsrv.exe O23 - Service: ATI HotKey Poller - ATI Technologies, Inc - C: \ Windows \ System32 \ Ati2evxx.exe O23 - Service: ATI Smart - לא ידוע בעל - C: \ WINDOWS \ system32 \ ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C: \ Program Files \ Common Files \ Autodesk Shared \ Service \ AdskScSrv.exe O23 - Service: Autodesk ברשת שירות רישוי - Autodesk, Inc - C: \ Program Files \ Common Files \ Autodesk Shared \ Service \ AdskNetSrv.exe O23 - Service: AVG8 כלב שמירה (avg8wd) - ממוצע Technologies CZ, sro - C: \ progra ~ 1 \ ממוצע \ AVG8 \ avgwdsvc.exe O23 - Service: Background Intelligent Transfer Service (BITS) - לא ידוע בעל - C: \ Windows \ O23 - Service: Bonjour Service - לא ידוע בעל - C: \ Program Files \ Bonjour \ mDNSResponder.exe (קובץ חסר) O23 - Service: EpsonBidirectionalService - לא ידוע בעל - C: \ Program Files \ Common Files \ Epson \ EBAPI \ eEBSVC.exe O23 - Service: FLEXnet שירות רישוי - Acresso Software, Inc - C: \ Program Files \ Common Files \ Macrovision Shared \ FLEXnet שותף \ FNPLicensingService.exe O23 - Service: gearsec - ציוד תוכנה - C: \ Windows \ system32 \ gearsec.exe O23 - Service: InstallDriver לוח מנהל (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ מנהל התקן \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C: \ Program Files \ ahead \ InCD \ InCDsrv.exe O23 - Service: iPod Service - Apple, Inc - C: \ Program Files \ iPod \ bin \ iPodService.exe O23 - Service: ג 'אווה מהירה המתחילים (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe O23 - Service: License Management Service ESD - element5 - C: \ Program Files \ Common Files \ element5 שיתופיים \ שירות \ רישיון מנהל ESD.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C: \ Program Files \ Common Files \ Nero \ Nero BackItUp 4 \ NBService.exe O23 - Service: O & O Defrag - O & O Software GmbH - C: \ Windows \ system32 \ oodag.exe O23 - Service: PC Tools לואי השירות (sdauxservice) - PC Tools - C: \ Program Files \ תוכנות ריגול דוקטור \ pctsAuxs.exe O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C: \ Program Files \ תוכנות ריגול דוקטור \ pctsSvc.exe O23 - Service: ThreatFire (threatfire) - PC Tools - C: \ Program Files \ תוכנות ריגול דוקטור \ TFEngine \ TFService.exe O23 - Service: עדכונים אוטומטיים (wuauserv) - לא ידוע בעל - C: \ Windows \ -- סוף הקובץ - 7951 בייטים עזרה בבקשה, המחשב הולך כועס נעילה מנהל המשימות, הגלישה היא כאב תמידי עם POP UPS, תוכניות מסוימות אינן זמינות. אני חושב מלאה להתקין מחדש. אבל רק רוצה מערכת יציבה כדי גיבוי הקבצים. |
|
#2
3 יוני 2009, 10:31
|
|||
|
|||
|
Trojan Vundo. H (Hijackthis / malwarebytes)
להוריד DDS לפי sUBs ושמור אותו לשולחן העבודה שלך. חלופית DDS הקישור להורדה
משתמשי Vista לחץ לחיצה ימנית על DDS ובחר הפעל כמנהל (תקבל הנחיה UAC, בבקשה לאפשר את זה) * משתמשי XP לחץ לחיצה כפולה על DDS כדי להפעיל אותו. * אם האנטי וירוס או חומת אש מנסה לחסום DDS בבקשה לאפשר להפעיל אותו. * לאחר שתסיים DDS תפתח שני (2) יתחבר. 1) DDS.txt 2) Attach.txt * שמור את שני יומני לשולחן העבודה שלך. * אנא העתק והדבק את כל התוכן של שני יומני תגובה הבא שלך. הערה: DDS יהיה להורות לך לכתוב את היומן Attach.txt כקובץ מצורף. רק בבקשה לפרסם אותו כפי שהיית עושה אחרת על ידי התחברות להעתיק ולהדביק אותו על תגובה.
__________________
 |
