[jjssj]

Я побіг malare Anti-Malware, але не позбутися від усіх вірусів / модулі пам'яті / журнал записів ключами
Я побіг викрадення цього і видалені деякі. DLL's знайдені Malwarebytes але не всі пішли.


Malwarebytes 'Anti-Malware 1.37
Бази Версія даних: 2216
Windows 5.1.2600 Service Pack 2

02/06/2009 22:04:31
mbam-Log-2009-06-02 (22-04-31). TXT

Тип сканування: швидке сканування
Перевірка: 89008
Час минув: 3 хвилин (и), 23 секунд (и)

Memory Processes Infected: 0
Модулі пам'яті Infected: 3
Ключі реєстру Infected: 13
Registry Values Infected: 0
Дані реєстру Пункти Infected: 2
Папки Infected: 2
Заражені файли: 7

Пам'яті Процесів Infected:
(Шкідливі програми не виявлені)

Модулі пам'яті Infected:
C: \ WINDOWS \ system32 \ dwkljtof.dll (Trojan.Vundo.H) -> Видалити на перезавантаження.
C: \ WINDOWS \ system32 \ becbn.dll (Trojan.Agent) -> Видалити на перезавантаження.
C: \ WINDOWS \ system32 \ xanyzwy.dll (Trojan.Vundo.H) -> Видалити на перезавантаження.

Ключі реєстру Infected:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> Видалити на перезавантаження.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ feuyhaok (Trojan.Vundo.H) -> Видалити на перезавантаження.
HKEY_CLASSES_ROOT \ CLSID \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> Видалити на перезавантаження.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> на карантині і успішно вилучено.
HKEY_CLASSES_ROOT \ CLSID \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> на карантині і успішно вилучено.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре NTVERSION \ Ext \ Stats \ (0e8459fd-af07-48f1-8cd1-3884d15eaf47) (Trojan.Vundo.H) -> на карантині і успішно вилучено.
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ B mbgzbpm (Trojan.Vundo.H) -> на карантині і успішно вилучено.
HKEY_LOCAL_MACHINE \ System \ ControlSet002 \ Services \ B mbgzbpm (Trojan.Vundo.H) -> на карантині і успішно вилучено.
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services ES \ bmbgzbpm (Trojan.Vundo.H) -> на карантині і успішно вилучено.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре NTVERSION \ Ext \ Stats \ (936182df-5f7a-4d1e-a86f-a6d0f061e70a) (Trojan.Vundo.H) -> на карантині і успішно вилучено.
HKEY_CLASSES_ROOT \ CLSID \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> на карантині і успішно вилучено.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре NTVERSION \ Ext \ Stats \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> на карантині і успішно вилучено.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects \ (10c0b0c0-fc01-473b-8ebb-4376353f96e4) (Trojan.Agent) -> на карантині і успішно вилучено.

Registry Values Infected:
(Шкідливі програми не виявлені)

Дані реєстру Пункти Infected:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре NTVERSION \ Policies \ System \ DisableRegistryTools (Hijack.Regedit) -> Погано: (1) Хорошее: (0) -> на карантині і успішно вилучено.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре NTVERSION \ Policies \ System \ DisableTaskMgr (Hijack.TaskManager) -> Погано: (1) Хорошее: (0) -> на карантині і успішно вилучено.

Папки Infected:
C: \ WINDOWS \ system32 \ append.dll (Trojan.Agent) -> на карантині і успішно вилучено.
C: \ WINDOWS \ system32 \ xlib254.dll (Trojan.Agent) -> на карантині і успішно вилучено.

Заражені файли:
C: \ WINDOWS \ system32 \ xanyzwy.dll (Trojan.Vundo.H) -> Видалити на перезавантаження.
C: \ WINDOWS \ system32 \ dwkljtof.dll (Trojan.Vundo.H) -> Видалити на перезавантаження.
C: \ WINDOWS \ system32 \ becbn.dll (Trojan.Agent) -> Видалити на перезавантаження.
C: \ WINDOWS \ system32 \ zfmhjbu.dll (Trojan.Vundo.H) -> Видалити на перезавантаження.
C: \ WINDOWS \ system32 \ bekbn.dll (Trojan.Agent) -> на карантині і успішно вилучено.
C: \ WINDOWS \ System32 \ Drivers \ jcnfgawt.sys (Rootkit.Agent) -> Видалити на перезавантаження.
C: \ WINDOWS \ System32 \ Drivers \ sjbxdggg.sys (Rootkit.Agent) -> Видалити на перезавантаження.





Logfile від Trend Micro HijackThis v2.0.2
Сканування збережені в 22:52:36 від 02/06/2009
Платформа: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot Mode: Normal

Запущені процеси:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ csrss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Windows \ explorer.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ Windows \ SOUNDMAN.EXE
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe
C: \ WINDOWS \ system32 \ carpserv.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
C: \ Program Files \ jre6 \ Bin \ jusched.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe
C: \ Windows \ System32 \ astsrv.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.exe
C: \ Program Files \ Common Files \ Nero \ Nero BackItUp 4 \ NBService.exe
C: \ WINDOWS \ system32 \ oodag.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgam.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgnsx.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ Source Engine \ Ose.exe
C: \ Program Files \ Common Files \ Mozilla Shared \ firefox.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.virginmedia.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.tiny.com
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Settings Int ernet, ProxyOverride = *. місцевих
O2 - BHO: AcroIEHelperStub - (18DF081C-E8AD-4283-A596-FA578C2EBDC3) - C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - (3CA2F312-6f6e-4B53-A66E-4E65E497C8C0) - C: \ Program Files \ AVG \ AVG8 \ avgssie.dll
O2 - BHO: Дзвінок "BHO - (5C255C8A-E604-49b4-9D64-90988571CECB) - C: \ Program Files \ Windows Live \ Messenger \ wlchtc.dll
O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ Program Files \ Microsoft Office \ Office12 \ GrooveShellExtensions.dll
O2 - BHO: Windows Live Вхід в Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (без назви) - (936182df-5f7a-4d1e-a86f-a6d0f061e70a) - C: \ WINDOWS \ system32 \ xanyzwy.dll
O2 - BHO: Java ™ Plug-in 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ jre6 \ Bin \ jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ jre6 \ lib \ розгорнути \ jqs \ IE \ jqs_plugin.dll
O4 - HKLM \ .. \ Run: [ATIPTA] C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe "
O4 - HKLM \ .. \ Run: [PinnacleDriverCheck] C: \ WINDOWS \ System32 \ PSDrvCheck.exe
O4 - HKLM \ .. \ Run: [звукооператора] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ICQ Lite] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [InCD] C: \ Program Files \ Ahead \ InCD \ InCD.exe
O4 - HKLM \ .. \ Run: [avast!] C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe "Runtime затримки
O4 - HKLM \ .. \ Run: [OutpostMonitor] C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ op_mon.exe / Tray / noservice
O4 - HKLM \ .. \ Run: [CARPService] carpserv.exe
O4 - HKLM \ .. \ Run: [AVG8_TRAY] C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ Program Files \ jre6 \ Bin \ jusched.exe "
O4 - HKLM \ .. \ RunServices: [RegisterDropHandler] C: \ PROGRA ~ 1 \ TEXTBR ~ 1.0 \ bin \ REGIST ~ 1.EXE
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKLM \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ System32 \ Default CTFMON.EXE (User 'Користувач')
O8 - Додатковий пункт контекстного меню: E & Експорт в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office12 \ EXCEL.EXE/3000
O9 - Додаткові кнопки: Відправити в OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office12 \ ONBttnIE.dll
O9 - Сервіс "MENUITEM Extra ': S & кінець OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office12 \ ONBttnIE.dll
O9 - Додаткові кнопки: Outpost Firewall Pro швидкого Tune - (44627E97-789B-40d4-B5C2-58BD171129A1) - C: \ Program Files \ Agnitum \ Outpost Firewall Pro \ ie_bar.dll
O9 - Додаткові кнопки: Дослідження - (92780B25-18cc-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MIC273 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Додаткові кнопки: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Сервіс "MENUITEM Extra ': Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL = http://www.tiny.com
O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ Program Files \ Microsoft Office \ Office12 \ GrooveSystemServices.dll
O18 - Protocol: LinkScanner - (F274614C-63F8-47D5-A4D1-FBDDE494F8D1) - C: \ Program Files \ AVG \ AVG8 \ avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C: \ Windows \ System32 \ avgrsstx.dll
O20 - Winlogon Notify: feuyhaok - C: \ Windows \ System32 \ xanyzwy.dll
O23 - Service: Lavasoft Ad-Aware обслуговування (aawservice) - Невідомий власник - C: \ Program Files \ Lavasoft \ Ad-aware \ aawservice.exe (файл відсутній)
O23 - Service: Agnitum Client Security обслуговування (acssrv) - компанії Agnitum Ltd - C: \ PROGRA ~ 1 \ Agnitum \ OUTPOS ~ 1 \ acs.exe
O23 - Service: АСТ обслуговування (astcc) - Nalpeiron ТОВ - C: \ Windows \ System32 \ astsrv.exe
O23 - Service: Ati HotKey Poller - компанії ATI Technologies Inc - C: \ Windows \ System32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Невідомий власник - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: Служба ліцензування Autodesk - Autodesk - C: \ Program Files \ Common Files \ Autodesk Загальні \ Service \ AdskScSrv.exe
O23 - Service: Autodesk мережевого ліцензування послуг - Autodesk, Inc - C: \ Program Files \ Common Files \ Autodesk Загальні \ Service \ AdskNetSrv.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, SRO - C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Фонова інтелектуальна служба передачі (BITS) - Невідомий власник - C: \ Windows \
O23 - Service: Bonjour Сервіс - Невідомий власник - C: \ Program Files \ Bonjour \ mDNSResponder.exe (файл відсутній)
O23 - Service: EpsonBidirectionalService - Невідомий власник - C: \ Program Files \ Common Files \ EPSON \ EBAPI \ eEBSVC.exe
O23 - Service: FLEXnet Служба ліцензування - вкл. Acresso Software - C: \ Program Files \ Common Files \ Macrovision Загальні \ FLEXnet Видавець \ FNPLicensingService.exe
O23 - Service: gearsec - GEAR Software - C: \ WINDOWS \ system32 \ gearsec.exe
O23 - Service: Table Manager (IDriverT) - Корпорація Майкрософт - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
O23 - Service: Ipod послуг - Корпорація Apple - C: \ Program Files \ IPod \ Bin \ iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ jre6 \ Bin \ jqs.exe
O23 - Service: Управління ліцензіями служби ОУР - Element5 - C: \ Program Files \ Common Files \ Element5 Загальні \ Service \ Licence Manager ESD.exe
O23 - Service: Nero BackItUp планувальника 4,0 - Nero AG - C: \ Program Files \ Common Files \ Nero \ Nero BackItUp 4 \ NBService.exe
O23 - Service: O & O Defrag - O & O Software GmbH - C: \ WINDOWS \ system32 \ oodag.exe
O23 - Service: PC Tools допоміжні служби (sdauxservice) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
O23 - Service: PC Tools служби безпеки (sdcoreservice) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
O23 - Service: ThreatFire (ThreatFire) - PC Tools - C: \ Program Files \ Spyware Doctor \ TFEngine \ TFService.exe
O23 - Service: Автоматичне оновлення (WUAUSERV) - Невідомий власник - C: \ Windows \

--
Кінець файлу - 7951 байт


Будь-яка допомога, будь ласка, комп'ютер сходить з розуму, замок Task Manager, переглядаючи це постійний біль з поп-UPS, деякі програми є інвалідами. Я маю на увазі повна перевстановлення. Але просто хочу система стабільної резервної копії файлів.

[evilfantasy]

Завантаження DDS по SUBS і зберегти її на робочому столі. Альтернативний DDS посилання

Vista Users клацніть правою кнопкою на DDS і виберіть Запуск від імені адміністратора (Ви будете отримувати оперативну ОАК, будь ласка, що дозволяють ІТ)

* XP користувачі Двічі клацніть по DDS для його запуску.
* Якщо ваш антивірус або брандмауер намагаються блокувати DDS то, будь ласка, щоб вона могла працювати.
* Коли закінчили DDS будуть відкриті два (2) колоди.

1) DDS.txt
2) Attach.txt

* Збереження та журнали на робочому столі.
* Будь-ласка, необхідно скопіювати весь вміст обох журналах в наступному відповіді.

Примітка: DDS доручити відправляти Attach.txt журналу як вкладення.
Будь ласка, просто задайте його як будь-який інший журнал, копіювати і вставити її у відповідь.