Trojan Vundo. H (HijackThis / malwarebytes)

jjssj · #1 3 juni 2009, 01:39

Jag sprang Målare anti-malware men det är inte att bli av med alla virus / minnesmoduler / registery nycklar
Jag har också sprang kapa detta och tagit bort några. Dll's hittas av malwarebytes men inte alla gick.

Malwarebytes' Anti-Malware 1.37
Database version: 2216
Windows 5.1.2600 Service Pack 2

02/06/2009 22:04:31
mbam-log-2009-06-02 (22-04-31). txt

Scan type: Quick Scan
Objekt skannade: 89008
Tid som förflutit: 3 minute (s), 23 sekund (er)

Memory Processes Infekterade: 0
Minnesmoduler Infekterade: 3
Registernycklar Infekterade: 13
Registervärdena Infekterade: 0
Registry Data Items Infekterade: 2
Mappar Infekterade: 2
Filer Infekterade: 7

Memory Processes Infekterade:
(Inga illasinnade poster upptäcks)

Minnesmoduler Infekterade:
C: \ WINDOWS \ system32 \ dwkljtof.dll (Trojan.Vundo.H) -> Delete för omstart.
C: \ WINDOWS \ system32 \ becbn.dll (Trojan.Agent) -> Delete för omstart.
C: \ WINDOWS \ system32 \ xanyzwy.dll (Trojan.Vundo.H) -> Delete för omstart.

Registernycklar Infekterade:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> Delete för omstart.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ feuyhaok (Trojan.Vundo.H) -> Delete för omstart.
HKEY_CLASSES_ROOT \ CLSID \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> Delete för omstart.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects \ (0e8459fd-af07-48F1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> karantän och raderades.
HKEY_CLASSES_ROOT \ CLSID \ (0e8459fd-af07-48F1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> karantän och raderades.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Ext \ Stats \ (0e8459fd-af07-48F1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> karantän och raderades.
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ b mbgzbpm (Trojan.Vundo.H) -> karantän och raderades.
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002 \ Services \ b mbgzbpm (Trojan.Vundo.H) -> karantän och raderades.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ tjänster es \ bmbgzbpm (Trojan.Vundo.H) -> karantän och raderades.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Ext \ Stats \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> karantän och raderades.
HKEY_CLASSES_ROOT \ CLSID \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> karantän och raderades.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Ext \ Stats \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> karantän och raderades.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> karantän och raderades.

Registervärdena Infekterade:
(Inga illasinnade poster upptäcks)

Registry Data Items Infekterade:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Policies \ System \ DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> karantän och raderades.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Policies \ System \ DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> karantän och raderades.

Mappar Infekterade:
C: \ WINDOWS \ system32 \ append.dll (Trojan.Agent) -> karantän och raderades.
C: \ WINDOWS \ system32 \ xlib254.dll (Trojan.Agent) -> karantän och raderades.

Filer Infekterade:
C: \ WINDOWS \ system32 \ xanyzwy.dll (Trojan.Vundo.H) -> Delete för omstart.
C: \ WINDOWS \ system32 \ dwkljtof.dll (Trojan.Vundo.H) -> Delete för omstart.
C: \ WINDOWS \ system32 \ becbn.dll (Trojan.Agent) -> Delete för omstart.
C: \ WINDOWS \ system32 \ zfmhjbu.dll (Trojan.Vundo.H) -> Delete för omstart.
C: \ WINDOWS \ system32 \ bekbn.dll (Trojan.Agent) -> karantän och raderades.
C: \ WINDOWS \ system32 \ drivers \ jcnfgawt.sys (Rootkit.Agent) -> Delete för omstart.
C: \ WINDOWS \ system32 \ drivers \ sjbxdggg.sys (Rootkit.Agent) -> Delete för omstart.

Loggfil av Trend Micro HijackThis v2.0.2
Scan sparades vid 22:52:36 den 02/06/2009
Plattform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Kör processer:
C: \ Windows \ System32 \ Smss.exe
C: \ windows \ system32 \ csrss.exe
C: \ windows \ system32 \ Winlogon.exe
C: \ windows \ system32 \ services.exe
C: \ windows \ system32 \ Lsass.exe
C: \ windows \ system32 \ Svchost.exe
C: \ windows \ system32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ windows \ system32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ windows \ Explorer.EXE
C: \ windows \ system32 \ Spoolsv.exe
C: \ windows \ SOUNDMAN.EXE
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe
C: \ windows \ system32 \ carpserv.exe
C: \ progra ~ 1 \ AVG \ AVG8 \ avgtray.exe
C: \ Program \ Java \ jre6 \ bin \ jusched.exe
C: \ windows \ system32 \ Ctfmon.exe
C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe
C: \ Windows \ System32 \ astsrv.exe
C: \ progra ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ Program \ Delade filer \ Microsoft Shared \ VS7DEBUG \ MDM.EXE
C: \ Program Files \ Common Files \ Nero \ Nero BackItUp 4 \ NBService.exe
C: \ windows \ system32 \ oodag.exe
C: \ progra ~ 1 \ AVG \ AVG8 \ avgam.exe
C: \ progra ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ progra ~ 1 \ AVG \ AVG8 \ avgnsx.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ windows \ system32 \ wscntfy.exe
C: \ Windows \ System32 \ Svchost.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program \ Delade filer \ Microsoft Shared \ Source Engine \ OSE.EXE
C: \ Program Files \ Common Files \ mozilla Shared \ firefox.exe
C: \ Program \ Mozilla Firefox \ firefox.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.virginmedia.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.tiny.com
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = *. lokala
O2 - BHO: AcroIEHelperStub - (18DF081C-E8AD-4283-A596-FA578C2EBDC3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - (3CA2F312-6F6E-4B53-A66E-4E65E497C8C0) - C: \ Program Files \ AVG \ AVG8 \ avgssie.dll
O2 - BHO: Klicka för att ringa BHO - (5C255C8A-E604-49b4-9D64-90988571CECB) - C: \ Program Files \ Windows Live \ Messenger \ wlchtc.dll
O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ Program \ Microsoft Office \ Office12 \ GrooveShellExtensions.dll
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program \ Delade filer \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (inget namn) - (936182df-5f7a-4d1e-a86f-a6d0f061e70a) - c: \ windows \ system32 \ xanyzwy.dll
O2 - BHO: Java ™ Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program \ Java \ jre6 \ bin \ jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program \ Java \ jre6 \ lib \ distribuera \ jqs \ dvs \ jqs_plugin.dll
O4 - HKLM \ .. \ Run: [ATIPTA] "C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe"
O4 - HKLM \ .. \ Run: [PinnacleDriverCheck] C: \ WINDOWS \ System32 \ PSDrvCheck.exe
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [InCD] C: \ Program Files \ Ahead \ InCD \ InCD.exe
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [OutpostMonitor] C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe / magasinet / noservice
O4 - HKLM \ .. \ Run: [CARPService] carpserv.exe
O4 - HKLM \ .. \ Run: [AVG8_TRAY] C: \ progra ~ 1 \ AVG \ AVG8 \ avgtray.exe
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program \ Java \ jre6 \ bin \ jusched.exe"
O4 - HKLM \ .. \ RunServices: [RegisterDropHandler] C: \ progra ~ 1 \ TEXTBR ~ 1.0 \ bin \ registrering ~ 1.EXE
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ windows \ system32 \ Ctfmon.exe
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ System32 \ Ctfmon.exe (User 'Default user')
O8 - Extra sammanhang menyobjektet: E & xportera till Microsoft Excel - res: / / C: \ progra ~ 1 \ mikro ~ 2 \ Office12 \ EXCEL.EXE/3000
Ø9 - Extra button: Skicka till OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ mikro ~ 2 \ Office12 \ ONBttnIE.dll
Ø9 - Extra 'Tools' MENUITEM: S & stopp för OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ progra ~ 1 \ mikro ~ 2 \ Office12 \ ONBttnIE.dll
Ø9 - Extra button: Outpost Firewall Pro Quick Tune - (44627E97-789B-40d4-B5C2-58BD171129A1) - C: \ Program Files \ Agnitum \ Outpost Firewall Pro \ ie_bar.dll
Ø9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ MIC273 ~ 1 \ Office12 \ REFIEBAR.DLL
Ø9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
Ø9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL = http://www.tiny.com
O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-a375-3CB6248B04CD) - C: \ Program \ Microsoft Office \ Office12 \ GrooveSystemServices.dll
O18 - Protocol: linkscanner - (F274614C-63F8-47D5-A4D1-FBDDE494F8D1) - C: \ Program Files \ AVG \ AVG8 \ avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C: \ Windows \ System32 \ avgrsstx.dll
O20 - Winlogon Notify: feuyhaok - C: \ Windows \ System32 \ xanyzwy.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown ägaren - C: \ Program Files \ Lavasoft \ Ad-Aware \ aawservice.exe (fil saknas)
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd - C: \ progra ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe
O23 - Service: AST Service (astcc) - Nalpeiron Ltd - C: \ Windows \ System32 \ astsrv.exe
O23 - Service: Ati snabbtangent Poller - ATI Technologies Inc. - C: \ Windows \ System32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown ägaren - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C: \ Program Files \ Common Files \ Autodesk Shared \ Service \ AdskScSrv.exe
O23 - Service: Autodesk Network Licensing Service - Autodesk, Inc. - C: \ Program Files \ Common Files \ Autodesk Shared \ Service \ AdskNetSrv.exe
O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - C: \ progra ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown ägaren - C: \ windows \
O23 - Service: Bonjour Service - Unknown ägaren - C: \ Program \ Bonjour \ mDNSResponder.exe (fil saknas)
O23 - Service: EpsonBidirectionalService - okänd ägare - C: \ Program \ Delade filer \ EPSON \ EBAPI \ eEBSVC.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C: \ Program Files \ Common Files \ Macrovision Shared \ FLEXnet Publisher \ FNPLicensingService.exe
O23 - Service: gearsec - GEAR Software - C: \ windows \ system32 \ gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Program Files \ iPod \ bin \ iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Program \ Java \ jre6 \ bin \ jqs.exe
O23 - Service: License Management Service ESD - element5 - C: \ Program Files \ Common Files \ element5 Shared \ Service \ Licence Manager ESD.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C: \ Program Files \ Common Files \ Nero \ Nero BackItUp 4 \ NBService.exe
O23 - Service: O & O Defrag - O & O Software GmbH - C: \ windows \ system32 \ oodag.exe
O23 - Service: PC Tools Extraanställd Service (sdauxservice) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
O23 - Service: ThreatFire (threatfire) - PC Tools - C: \ Program Files \ Spyware Doctor \ TFEngine \ TFService.exe
O23 - Service: Automatiska uppdateringar (wuauserv) - Unknown ägaren - C: \ windows \

--
End of file - 7951 bytes

Någon hjälp snälla, dator kommer galna låsning Aktivitetshanteraren, webbläsning är en smärta med ständiga pop ups, vissa program är funktionshindrade. Jag tänker på en helt ny installation. Men vill bara att systemet stabilt för att backa upp filer.

**evilfantasy** · #2 3 juni 2009, 10:31

Hämta DDS av SUBS och spara den på skrivbordet. Alternate DDS nedladdningslänken

Vista-användare högerklicka på DDS och välj Kör som administratör (du får en UAC-prompt, låt det)

* XP-användare Dubbelklicka på DDS för att köra den.
* Om ditt antivirusprogram eller brandvägg försöka blockera DDS sedan låt det löpa.
* När du är klar DDS kommer att öppna två (2) loggar.

1) DDS.txt
2) Attach.txt

* Spara både stockar till skrivbordet.
* Kopiera och klistra in hela innehållet i både stockar i ditt nästa svar.

Obs! DDS dig om att posta Attach.txt log som en bilaga.
Snälla bara efter det som du gör något annat log genom att kopiera och klistra in den i svaret.