Trojon menes at være fjernet, men .....

**rbscooby** · #1 21. april 2008, 11:50

Jeg fik en trojon et par dage og jeg helbredt ved hjælp af AVG, det fortalte mig om at genstarte computeren gjorde det, men da det kom tilbage op at sige det var inficeret igen, så denne gang flyttede jeg det til virus valut og slettet det, denne stoppede det sige, at det var inficeret, men nu jeg får en fejl mesage kommer op at sige, at den fil, der var virus den ikke kunne finde og Acess i nægtes, har de trojon ændret min registery og nu Windows ikke kan finde den virus, jeg dont know?

men det er mærkeligt, som du kan se nedenfor, der er min start bar, hvis man ser NXT til uret, alle ikoner er gået sjovt, dette skete, da jeg recived de trojon.

kan nogen hjælpe mig reparation dette ikon problemer som det bliver på mine nerver, mens resten af computeren fungerer som normalt, sin lige i cant åbne ting whn i minmize og de flytter til bakken, og det ville det også være muligt at anbefale hvor jeg kan gå til at gøre dobbelt sikker på, at dette trojon er gået så vidt jeg ved, at de kan tilbage themelves op og derefter erstatte den tilbage o stedet efter origanel er blevet slettet.

sorry for eventuelle stavefejl eller dette blive placeret på det forkerte sted, men dette var forårsaget af en tojon til min viden.

min computer er som følger:
800 MHz P3 processor
512 MB RAM
30 GB harddisk
windows xp profesional

**evilfantasy** · #2 21. april 2008, 11:53

Velkommen til CJ.

Download og omdøbe HijackThis (HJT)

Dobbeltklik på HJTInstall.
Klik på Installer knappen.
Det vil automatisk placere HJT i C: \ Programmer \ TrendMicro \ HijackThis \ HijackThis.exe
Efter installere, HijackThis bør åbne for dig.
- Luk HijackThis og omdøb den.
- Gå til C: \ Programmer \ Trend Micro \HijackThis.exe
- Højreklik på HijackThis.exe og vælge Omdøb
- Skriv sniper.exe og tryk Indtast
- Højreklik på på sniper.exe og vælge Send til > Desktop (Opret genvej)
Fra skrivebordet åbne Hijackthis.
Hvis du bruger Windows Vista, Højreklik på og Kør som administrator
Klik på Må en systemscanning og gemme en logfil
Hijackthis vil scanning og derefter en log åbnes i Notesblok.
Kopier og derefter indsætte hele indholdet i loggen i dit indlæg.
- Må ikke har Hijackthis fastsætte noget endnu. Det meste af det, det finder er ufarlige eller ligefrem nødvendig.

Bemærk: Selv om vi har omdøbt Hijackthis til snigskytte, vil vi stadig referere til det som Hijackthis eller HJT.

**rbscooby** · #3 21. april 2008, 12:01

Logfile af Trend Micro HijackThis v2.0.2
Scan gemt kl 19:59:33 den 21/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Kørende processer:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ Programmer \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Programmer \ Bonjour \ mDNSResponder.exe
C: \ Programmer \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ Explorer.EXE
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Programmer \ Comodo \ Firewall \ CPF.exe
C: \ Programmer \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Programmer \ iTunes \ iTunesHelper.exe
C: \ Documents and Settings \ Katie \ Svchost.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Programmer \ iPod \ bin \ iPodService.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Programmer \ Internet Explorer \ IEXPLORE.EXE
C: \ Programmer \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Programmer \ LimeWire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Programmer \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = *. lokale
O2 - BHO: (no name) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Programmer \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no file)
O2 - BHO: (no name) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (filen mangler)
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Programmer \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (no name) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (filen mangler)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / START
O4 - HKLM \ .. \ Run: [Comodo Firewall Pro] "C: \ Programmer \ Comodo \ Firewall \ CPF.exe" / baggrund
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Programmer \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Programmer \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Programmer \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Documents and Settings \ Katie \ Svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll", s
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user')
O8 - Extra sammenhæng menupunktet: E & ksporter til Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ mikroer ~ 2 \ Office11 \ EXCEL.EXE/3000
O9 - Extra knappen: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programmer \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programmer \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Ekstra knap: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ mikroer ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - Extra knappen: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Ekstra knap: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Programmer \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Programmer \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: awtusqOf - awtusqOf.dll (filen mangler)
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Programmer \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C: \ Programmer \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - Comodo - C: \ Programmer \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Programmer \ iPod \ bin \ iPodService.exe
--
End of file - 6141 bytes

**evilfantasy** · #4 21. april 2008, 12:09

Du har stadig nogle ret dårlige infektioner. Vi er nødt til at køre et par værktøjer, der vil hjælpe med fjernelse.

Downloade SDFix.exe og gemme den til dit skrivebord.

Dobbeltklik SDFix.exe og det vil udpakke filerne til% systemdrive%
(Drive, der indeholder Windows Directory, typisk C: \ SDFix)

Du bedes derefter genstarte din computer i Fejlsikret tilstand ved at gøre følgende:

Genstart computeren
Efter at have hørt din computer bipper én gang under start, men før Windows-ikonet vises, tryk på F8 kontinuerligt;
I stedet for Windows lastning som normalt, Avancerede indstillinger Menu skal vises;
Vælg den første mulighed, for at køre Windows i fejlsikret tilstand, og tryk derefter på Indtast.
Vælg din normale konto.
Åbn ekstraheres SDFix mappe og dobbeltklik på RunThis.bat for at starte scriptet.
Type Y for at begynde Tilfældig proces.
Det vil fjerne enhver Trojan Service og registreringsdatabaseposter, at den konstaterer, derefter bede dig om at trykke på en tast for at genstarte.
Tryk på en tast, og det vil genstarte pc'en.
Når pc'en genstarter Fixtool vil løbe igen og færdiggøre processen til fjernelse derefter vise FinishedTryk på en vilkårlig tast for at afslutte scriptet og belastning skrivebordet ikoner.
Når skrivebordet ikoner indlæse SDFix rapport vil åbne på skærmen og også gemme i SDFix mappe som Report.txt
(Report.txt vil også blive kopieret til Udklipsholder).
Endelig tilføje indholdet af Report.txt i dit næste indlæg.

----------

Hent Combofix af subs fra en af de nedenstående links.
(Prøv alle tre, hvis det er nødvendigt)

Vigtigt! Combofix.exe SKAL gemmes på og løb fra Desktop.

Luk alle åbne Internet-browsere. (Firefox, Internet Explorer, osv.), før de starter Combofix.
Vigtigt! Midlertidigt deaktivere din antivirus, script blokering og enhver antispyware realtid beskyttelse før udførelse af en scanning.
- Klik på dette link at se en liste over sikkerhedsprogrammer, der skal være slået fra, og hvordan du deaktivere dem.
- Hvis din ikke er børsnoteret, og du ikke ved hvordan man deaktivere det, så spørg.
Advarsel: Combofix afbryder din computer fra Internettet. Forbindelsen automatisk gendannet før Combofix afslutter sit løb.
Dobbeltklik combofix.exe & følg instruktionerne.
- Vælg Ja for at acceptere Disclaimers.[
Når du er færdig, vil den udarbejde en log for dig.
Post at logge på din næste svar.

Advarsel: Må ikke mouseclick combofix vindue mens den kører. Det kan få det til at stall

Hvis Combofix løber ind i vanskeligheder og udtræder for tidligt, at forbindelsen kan manuelt genoprettes ved at genstarte computeren.
Vigtigt: Husk at genaktivere dine antivirus-og antispyware før genskabe forbindelsen til internettet.

----------

Næste post skal du tilføje
SDFix log
Combofix log

**rbscooby** · #5 21. april 2008, 12:23

beklager, men jeg kan gøre det lige nu, det var en venner computer, men jeg skal gå nu tilbage på næste fredag for at fortsætte.

**evilfantasy** · #6 21. april 2008, 12:24

Intet problem, vil vi være her.

**rbscooby** · #7 22 april 2008, 12:00

hey im tilbage, viser sig, jeg havde en fri stedet i dag, så jeg kom tilbage på her for at slutte af med mine venner computer, nu jeg fandt den første halvdel af ting. bit bruger SDfix ting, det har sorteret mit bakken på start bar tak, men efter jeg gjorde at genstarte bit kommer tilbage til normale vinduer fra fejlsikret tilstand, det kom op at sige, det var kontrol for malware, og det ville tage omkring 5 minutter som du sagde, men jeg har overladt det til langt over en time, og der er intet, er, at de endelige scanning virkelig nødvendigt?

så jeg fik i denne log-fil er :

SDFix: Version 1.173
Kør med Katie på 22/04/2008 til 18:41
Microsoft Windows XP [Version 5.1.2600]
Running From: C: \ SDFix
Kontrol Services :

Retablering af Windows Registry Values
Retablering af Windows Default Hosts File
Genstart

Checking Files :
Trojan Files Found:
C: \ Documents and Settings \ Katie \ Svchost.exe - Ophævet
C: \ WINDOWS \ system32 \ pac.txt - Ophævet

Removing Temp Files
ADS Check :

**evilfantasy** · #8 22 april 2008, 12:03

Citat:

det kom op at sige, det var kontrol for malware, og det ville tage omkring 5 minutter

Som scanning? SDFix eller Combofix.

**rbscooby** · #9 22 april 2008, 12:05

sdfix ikke gjort combo endnu, skal jeg gøre nu?

**evilfantasy** · #10 22 april 2008, 12:11

Ja stop SDFix hvis det stadig kører, og gøre det Combofix scanning.

Installere det til skrivebordet og køre det på denne måde.

Hent Combofix af subs fra en af de nedenstående links.
(Prøv alle tre, hvis det er nødvendigt)

Vigtigt! Combofix.exe SKAL gemmes på og løb fra Desktop.

Luk alle åbne Internet-browsere. (Firefox, Internet Explorer, osv.), før de starter Combofix.

Sørg combofix er placeret på dit skrivebord.
Nu STOP alle dine overvågningsprogrammer
Klik på dette link at se en liste over sikkerhedsprogrammer, der skal være slået fra, og hvordan du deaktivere dem.
Klik på din START knappen og vælge Løbe. Så kopi / pasta den hele indholdet af følgende Codebox (herunder "" mærker og symboler) i boksen Kør.

Code:

"% userprofile% \ Desktop \ ComboFix.exe" / killall

Klik på OK og dette vil starte combofix på en særlig måde.
Når du er færdig, vil den udarbejde en log.
Gem venligst at logge på en Notesblok-fil og medtage den i dit næste svar.

Bemærk:
Må ikke museklik combofix vindue mens den kører. Det kan få det til at stå.

* ComboFix vil automatisk genstart din maskine, når Killall parameteren bruges.

Combofix (CF) afbryder din maskine fra internettet. Forbindelsen automatisk gendannet før CF afslutter sit løb.
Hvis FC løber ind i vanskeligheder og ender i utideDen forbindelse kan manuelt genoprettes ved at genstarte din maskine.

Post hele Combofix log i næste svar.