[jjssj]

我已经跑malare反恶意软件，但它不是摆脱所有病毒/内存模块/ registery钥匙
我还劫持了这一点，并删除了部分。 DLL的发现malwarebytes但并非所有的去向。


Malwarebytes '反恶意软件1.37
数据库版本： 2216年
2600年5月1号的Windows Service Pack 2的

2009年2月6日22点零四分31秒
mbam日志- 2009 - 06 - 02 （ 22-04-31 ） 。文本

扫描类型：快速扫描
物体扫描： 89008
间隔时间： 3分钟（ s ）款，二三秒（县）

记忆过程感染： 0
内存感染： 3
注册表项感染： 13
注册表值感染： 0
注册表数据项目感染： 2
文件夹感染： 2
文件感染： 7

记忆过程感染：
（没有恶意项目检测）

内存感染：
ç ： \窗口\ system32 \ dwkljtof.dll （ Trojan.Vundo.H ） - > “删除的重新开机。
ç ： \窗口\ system32 \ becbn.dll （ Trojan.Agent ） - > “删除的重新开机。
ç ： \窗口\ system32 \ xanyzwy.dll （ Trojan.Vundo.H ） - > “删除的重新开机。

受感染的注册表项：
HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Explorer的\ Browser Helper物件\ （ 936182df - 5f7a - 4d1e - a86f - a6d0f061e70a ） （ Trojan.Vundo.H ） - > “删除的重新开机。
HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \ Winlogon \通知\ feuyhaok （ Trojan.Vundo.H ） - > “删除的重新开机。
HKEY_CLASSES_ROOT \ CLSID中\ （ 936182df - 5f7a - 4d1e - a86f - a6d0f061e70a ） （ Trojan.Vundo.H ） - > “删除的重新开机。
HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Explorer的\ Browser Helper物件\ （ 0e8459fd - af07 - 48f1 - 8cd1 - 3884d15eaf47 ） （ Trojan.Vundo.H ） - “隔离，并已成功删除。
HKEY_CLASSES_ROOT \ CLSID中\ （ 0e8459fd - af07 - 48f1 - 8cd1 - 3884d15eaf47 ） （ Trojan.Vundo.H ） - “隔离，并已成功删除。
HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \分机\统计\ （ 0e8459fd - af07 - 48f1 - 8cd1 - 3884d15eaf47 ） （ Trojan.Vundo.H ） - “隔离，并已成功删除。
HKEY_LOCAL_MACHINE \系统\ ControlSet001 \服务\ b mbgzbpm （ Trojan.Vundo.H ） - “隔离，并已成功删除。
HKEY_LOCAL_MACHINE \系统\ ControlSet002 \服务\ b mbgzbpm （ Trojan.Vundo.H ） - “隔离，并已成功删除。
HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \ Servic中心\ bmbgzbpm （ Trojan.Vundo.H ） - “隔离，并已成功删除。
HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \分机\统计\ （ 936182df - 5f7a - 4d1e - a86f - a6d0f061e70a ） （ Trojan.Vundo.H ） - “隔离，并已成功删除。
HKEY_CLASSES_ROOT \ CLSID中\ （ 10c0b0c0 - fc01 - 473b - 8ebb - 4376353f96e4 ） （ Trojan.Agent ） - “隔离，并已成功删除。
HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \分机\统计\ （ 10c0b0c0 - fc01 - 473b - 8ebb - 4376353f96e4 ） （ Trojan.Agent ） - “隔离，并已成功删除。
HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \ Explorer的\ Browser Helper物件\ （ 10c0b0c0 - fc01 - 473b - 8ebb - 4376353f96e4 ） （ Trojan.Agent ） - “隔离，并已成功删除。

注册表值感染：
（没有恶意项目检测）

注册表数据项目感染：
HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \政策\系统\ DisableRegistryTools （ Hijack.Regedit ） - “不正确的： （ 1 ）好： （ 0 ） - ”隔离，并已成功删除。
HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \政策\系统\ DisableTaskMgr （ Hijack.TaskManager ） - “不正确的： （ 1 ）好： （ 0 ） - ”隔离，并已成功删除。

受感染的文件夹：
ç ： \窗口\ system32 \ append.dll （ Trojan.Agent ） - “隔离，并已成功删除。
ç ： \窗口\ system32 \ xlib254.dll （ Trojan.Agent ） - “隔离，并已成功删除。

文件感染：
ç ： \窗口\ system32 \ xanyzwy.dll （ Trojan.Vundo.H ） - > “删除的重新开机。
ç ： \窗口\ system32 \ dwkljtof.dll （ Trojan.Vundo.H ） - > “删除的重新开机。
ç ： \窗口\ system32 \ becbn.dll （ Trojan.Agent ） - > “删除的重新开机。
ç ： \窗口\ system32 \ zfmhjbu.dll （ Trojan.Vundo.H ） - > “删除的重新开机。
ç ： \窗口\ system32 \ bekbn.dll （ Trojan.Agent ） - “隔离，并已成功删除。
ç ： \窗口\ system32 \驱动程序\ jcnfgawt.sys （ Rootkit.Agent ） - > “删除的重新开机。
ç ： \窗口\ system32 \驱动程序\ sjbxdggg.sys （ Rootkit.Agent ） - > “删除的重新开机。





日志文件的趋势科技了HijackThis v2.0.2
扫描储存于22时52分36秒，在2009年2月6日
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗户\ system32 \ csrss.exe
ç ： \窗户\ system32 \ winlogon.exe
ç ： \窗户\ system32 \ Services.exe的
ç ： \窗户\ system32 \ Lsass.exe中
ç ： \窗户\ system32 \ svchost.exe
ç ： \窗户\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗户\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗户\ Explorer.exe的
ç ： \窗户\ system32 \ spoolsv.exe
ç ： \窗户\ SOUNDMAN.EXE
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \ PROGRA 〜 1 \ Agnitum \ OUTPOS 〜 1 \ op_mon.exe
ç ： \窗户\ system32 \ carpserv.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgtray.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe
ç ： \窗户\ system32 \ Ctfmon.exe会
ç ： \ PROGRA 〜 1 \ Agnitum \ OUTPOS 〜 1 \ acs.exe
ç ： \窗户\ SYSTEM32 \ astsrv.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \ Program Files文件\共同文件\尼禄\ Nero的BackItUp 4 \ NBService.exe
ç ： \窗户\ system32 \ oodag.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgam.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgrsx.exe
ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgnsx.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗户\ system32 \ wscntfy.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ ATI科技\ ATI.ACE \名为
ç ： \ Program Files文件\共同文件\微软共享\来源引擎\ OSE.EXE
ç ： \ Program Files文件\共同文件\ Mozilla的共享\ firefox.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe

R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.virginmedia.com/
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://www.tiny.com
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride = *.地方
氧- BHO ： AcroIEHelperStub - （ 18DF081C - E8AD - 4283 - A596 - FA578C2EBDC3 ） - ç ： \ Program Files文件\共同文件\ Adobe公司\杂技\的ActiveX \ AcroIEHelperShim.dll
氧- BHO ： WormRadar.com IESiteBlocker.NavFilter - （ 3CA2F312 - 6F6E - 4B53 - A66E - 4E65E497C8C0 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgssie.dll
氧- BHO ：点击通话BHO - （ 5C255C8A - E604 - 49b4 - 9D64 - 90988571CECB ） - ç ： \ Program Files文件\的Windows Live \ Messenger的\ wlchtc.dll
氧- BHO ：槽队浏览器助手- （ 72853161 - 30C5 - 4D22 - B7F9 - 0BBC1D38A37E ） - ç ： \ Program Files文件\微软Office \ Office12 \ GrooveShellExtensions.dll
氧- BHO ：的Windows Live登录助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll
氧- BHO ： （无姓名） - （ 936182df - 5f7a - 4d1e - a86f - a6d0f061e70a ） - ç ： \窗户\ system32 \ xanyzwy.dll
氧- BHO ：爪哇™插件2 SSV助手- （ DBC80044 - A445 - 435b - BC74 - 9C25C1C588A9 ） - ç ： \ Program Files文件\ Java的\ jre6 \斌\ jp2ssv.dll
氧- BHO ： JQSIEStartDetectorImpl - （ E7E6F031 - 17CE - 4C07 - BC86 - EABFE594F69C ） - ç ： \ Program Files文件\ Java的\ jre6 \库\部署\实验台\即\ jqs_plugin.dll
物理学- HKLM \ .. \运行： [ ATIPTA ]的“ C ： \ Program Files文件\ ATI科技\ ATI的控制面板\ atiptaxx.exe ”
物理学- HKLM \ .. \运行： [ PinnacleDriverCheck ] ç ： \窗口\ System32 \ PSDrvCheck.exe
物理学- HKLM \ .. \运行： [音效] SOUNDMAN.EXE
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [政府间谈判委员会] ç ： \ Program Files文件\未来\政府间谈判委员会\ InCD.exe
物理学- HKLM \ .. \运行： [ ATICCC ]的“ C ： \ Program Files文件\ ATI科技\ ATI.ACE \名为”运行时间延迟
物理学- HKLM \ .. \运行： [ OutpostMonitor ] ç ： \ PROGRA 〜 1 \ Agnitum \ OUTPOS 〜 1 \ op_mon.exe /托盘/ noservice
物理学- HKLM \ .. \运行： [ CARPService ] carpserv.exe
物理学- HKLM \ .. \运行： [ AVG8_TRAY ] ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgtray.exe
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe ”
物理学- HKLM \ .. \ RunServices ： [ RegisterDropHandler ] ç ： \ PROGRA 〜 1 \ TEXTBR 〜 1.0 \斌\注册〜 1
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗户\ system32 \ Ctfmon.exe会
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ System32 \ Ctfmon.exe会（用户默认用户' ）
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ Office12 \ EXCEL.EXE/3000
O9 -额外的按钮：发送到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ Office12 \ ONBttnIE.dll
O9 -额外的'工具' menuitem ：标准普尔年底到OneNote - （ 2670000A - 7350 - 4f3c - 8081 - 5663EE0C6C49 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ Office12 \ ONBttnIE.dll
O9 -额外的按钮：前哨防火墙快速调- （ 44627E97 - 789B - 40d4 - B5C2 - 58BD171129A1 ） - ç ： \ Program Files文件\ Agnitum \前哨防火墙\ ie_bar.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \ MIC273 〜 1 \ Office12 \ REFIEBAR.DLL
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O14 - IERESET.INF ： START_PAGE_URL = http://www.tiny.com
O18 -协议： grooveLocalGWS - （ 88FED34C - F0CA - 4636 -瘤A375 - 3CB6248B04CD ） - ç ： \ Program Files文件\微软Office \ Office12 \ GrooveSystemServices.dll
O18 -协议： linkscanner - （ F274614C - 63F8 - 47D5 - A4D1 - FBDDE494F8D1 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgpp.dll
ø20 - Winlogon通知： avgrsstarter - ç ： \窗户\ SYSTEM32 \ avgrsstx.dll
ø20 - Winlogon通知： feuyhaok - ç ： \窗户\ SYSTEM32 \ xanyzwy.dll
O23 -服务： Lavasoft的Ad - Aware服务（ aawservice ） -未知所有者- ç ： \ Program Files文件\ Lavasoft \的Ad - Aware \ aawservice.exe （档案遗失）
O23 -服务： Agnitum客户端安全服务（ acssrv ） - Agnitum有限公司- ç ： \ PROGRA 〜 1 \ Agnitum \ OUTPOS 〜 1 \ acs.exe
O23 -服务：转氨酶服务（ astcc ） - Nalpeiron有限公司- ç ： \窗户\ SYSTEM32 \ astsrv.exe
O23 -服务：阿提热键轮询- ATI Technologies公司- ç ： \窗口\ System32 \ Ati2evxx.exe
O23 -服务： ATI的智能-未知所有者- ç ： \窗口\ system32 \ ati2sgag.exe
O23 -服务： Autodesk的授权服务-欧特克- ç ： \ Program Files文件\共同文件\ Autodesk的共享\服务\ AdskScSrv.exe
O23 -服务： Autodesk的授权服务网络-欧特克公司- ç ： \ Program Files文件\共同文件\ Autodesk的共享\服务\ AdskNetSrv.exe
O23 -服务： AVG8看门狗（ avg8wd ） -平均技术长征，氧化锶- ç ： \ PROGRA 〜 1 \的AVG \ AVG8 \ avgwdsvc.exe
O23 -服务：后台智能传输服务（ BITS ） -未知所有者- ç ： \窗户\
O23 -服务：卓悦服务-未知所有者- ç ： \ Program Files文件\卓悦\ mDNSResponder.exe （档案遗失）
O23 -服务： EpsonBidirectionalService -未知所有者- ç ： \ Program Files文件\共同文件\爱普生\ EBAPI \ eEBSVC.exe
O23 -服务： FLEXnet许可服务- Acresso Software公司- ç ： \ Program Files文件\共同文件\ Macrovision的共享\ FLEXnet Publisher中\ FNPLicensingService.exe
O23 -服务： gearsec -工具软件- ç ： \窗户\ system32 \ gearsec.exe
O23 -服务： InstallDriver表经理（ IDriverT ） - Macrovision公司- ç ： \ Program Files文件\共同文件\ InstallShield \驱动程序\ 11 \英特尔32 \ IDriverT.exe
O23 -服务：政府间谈判委员会帮手（ InCDsrv ） - Nero的股份公司- ç ： \ Program Files文件\未来\政府间谈判委员会\ InCDsrv.exe
O23 -服务： iPod服务-苹果- ç ： \ Program Files文件\苹果\斌\ iPodService.exe
O23 -服务： Java快速入门（ JavaQuickStarterService ） - Sun Microsystems公司- ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
O23 -服务：授权管理处的ESD - element5 - ç ： \ Program Files文件\共同文件\ element5共享\服务\牌照经理ESD.exe
O23 -服务：尼禄BackItUp调度4.0 - Nero的股份公司- ç ： \ Program Files文件\共同文件\尼禄\ Nero的BackItUp 4 \ NBService.exe
O23 -服务： ö ＆ ö磁盘整理-啊＆ O软件有限公司- ç ： \窗户\ system32 \ oodag.exe
O23 -服务： PC工具辅助服务（ sdauxservice ） - PC工具- ç ： \ Program Files文件\ Spyware Doctor的\ pctsAuxs.exe
O23 -服务： PC工具安全局（ sdcoreservice ） - PC工具- ç ： \ Program Files文件\ Spyware Doctor的\ pctsSvc.exe
O23 -服务： ThreatFire （ threatfire ） - PC工具- ç ： \ Program Files文件\ Spyware Doctor的\ TFEngine \ TFService.exe
O23 -服务：自动更新（ wuauserv ） -未知所有者- ç ： \窗户\

-
文件结尾- 7951字节


任何帮助，请计算机正在疯狂锁定任务管理器，浏览是一种痛苦，不断弹出窗口，有些程序是被禁用的。我想到了一个完整的重新安装。只是想系统稳定的备份文件。

[evilfantasy]

下载 直接数字频率合成器的潜艇 并储存到您的桌面。 候补DDS的下载链接

Vista用户 右击 直接数字频率合成器 并选择 以管理员身份运行 （您将收到的UAC提示，请允许它）

* XP用户 双击 直接数字频率合成器 运行它。
*如果您的防病毒或防火墙阻止DDS的，那么请允许它运行。
*当完成频率将开放两个（ 2 ）日志。

1 ） DDS.txt
2 ） Attach.txt

*节省记录到您的桌面。
*请复制并粘贴的全部内容都记录在您下次答复。

注： 直接数字频率合成器将指示您张贴的Attach.txt日志作为附件。
请刚刚发布你是否有任何其他日志复制并粘贴到的答复。