[rbscooby]

Ich habe eine trojon ein paar Tage, und ich geheilt mit AVG, sie sagte mir, den Computer neu zu starten hat, aber dann kam es wieder sagen, es war wieder infiziert, so dass dieses Mal, wenn ich es an das Virus valut und gelöscht, diese gestoppt ist, dass sie infiziert war, aber jetzt bekomme ich einen Fehler mesage kommt, dass die Datei, die das Virus kann es nicht finden und ich Zugang verweigert, hat die trojon meine registery und Fenster jetzt nicht finden können, die Viren, i dont know?

aber das ist seltsam, wie Sie unten sehen können es ist mein Start-Bar, wenn man NXT auf die Uhr, alle Symbole haben lustig, geschah dies, wenn ich empfängt die trojon.


kann jemand mir helfen, Reparatur dieses Symbol Schwierigkeiten, da sie immer auf meine Nerven, der Rest des Computers ist, die als normal, ich kann nur seine Sachen öffnen, WHN i minmize und bewegen sie sich auf das Fach, und wäre es auch möglich sein, empfehlen Wo kann ich gehen, um sicherzustellen, dass diese doppelte trojon hat wie ich weiß, dass sie zurück themelves und dann an die Stelle zurück o Ort und Stelle nach dem origanel wurde gelöscht.

sorry für die Fehler oder dies in den falschen Ort, aber diese wurden durch eine tojon meines Wissens.

Mein Computer ist wie folgt:
800MHz Prozessor P3
512 MB RAM
30GB Festplatte
Windows XP Profesional

[evilfantasy]

Willkommen bei CJ.

Downloaden und umbenennen HijackThis (HJT)

• Doppelklicken Sie auf HJTInstall.
• Klicken Sie auf die Installieren -Taste.
• Es wird automatisch in HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe
• Nach der Installation, HijackThis ist für Sie geöffnet.
  • Schließen HijackThis und umbenennen.
  • Gehen Sie zu C: \ Program Files \ Trend Micro \HijackThis.exe
  • Machen Sie einen Rechtsklick auf HijackThis.exe und wählen Sie Umbenennen
  • Geben Sie sniper.exe und drücken Sie Geben Sie
  • Der rechten Maustaste auf auf sniper.exe und wählen Sie Senden an > Desktop (Verknüpfung erstellen)
• Von dem Desktop öffnen hijackthis.
• Wenn Sie Windows Vista, Drücken Sie die rechte Maustaste und Führen Sie als Administrator
• Klicken Sie auf Führen Sie einen System-Scan und speichern Sie eine Log-Datei
• HijackThis scannt und dann ein Protokoll wird in Notepad geöffnet.
• Kopieren und fügen Sie den gesamten Inhalt der Log-in Ihrem Post.
  • Nicht haben HijackThis fix leer. Meiste von dem, was sie werden harmlos oder sogar erforderlich.

Hinweis: Obwohl wir umbenannt hijackthis zu Sniper, werden wir noch darauf verweisen, wie hijackthis oder HJT.

[rbscooby]

Logfile von Trend Micro HijackThis V2.0.2
Scan gespeichert um 19:59:33 am 21/04/2008
Plattform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot-Modus: Normal
Laufenden Prozesse:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ Programme \ Gemeinsame Dateien \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ Explorer.EXE
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Comodo \ Firewall \ CPF.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Dokumente und Einstellungen \ Katie \ svchost.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ LimeWire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = *. local
O2 - BHO: (no name) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no file)
O2 - BHO: (no name) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (no name) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (file missing)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [Comodo Firewall Pro] "C: \ Program Files \ Comodo \ Firewall \ CPF.exe" / Hintergrund
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Dokumente und Einstellungen \ Katie \ svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] Rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll", s
O4 - HKCU \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'Default User ")
O8 - Extra Kontext Menüpunkt: E & Xport auf Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000
O9 - Extra Knopf: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - Extra Knopf: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra-Taste: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: awtusqOf - awtusqOf.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Programme \ Gemeinsame Dateien \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C: \ Program Files \ iPod \ bin \ iPodService.exe
--
Ende der Datei - 6141 bytes

[evilfantasy]

Sie haben noch ein paar ziemlich schlechte Infektionen. Wir brauchen, um ein paar Tools, die Hilfe bei der Beseitigung.


Herunterladen SDFix.exe und speichern Sie sie auf Ihrem Desktop.

Doppelklicken Sie auf SDFix.exe und extrahiert die Dateien in% systemdrive%
(Laufwerk, das die Windows-Verzeichnis, üblicherweise C: \ SDFix)

Bitte dann einen Neustart des Computers im Safe Mode indem Sie die folgenden Schritte:

• Starten Sie den Computer neu
• Nach Anhörung Signalton, sobald Sie Ihren Computer während des Startvorgangs, aber vor dem Windows-Symbol erscheint, tippen Sie auf die Taste F8 kontinuierlich;
• Anstelle von Windows geladen als normal, die "Erweiterte Optionen-Menü erscheinen soll;
• Wählen Sie die erste Option, zum Ausführen von Windows im abgesicherten Modus, und drücken Sie dann Geben Sie.
• Wählen Sie Ihren Account.
• Öffnen Sie die extrahierten SDFix Ordner und doppelklicken Sie auf RunThis.bat das Skript zu starten.
• Typ Y , um die Reinigung.
• Es wird jegliche Trojan Service und Registry-Einträge, dass er feststellt, dann werden Sie auf eine beliebige Taste drücken, um den Rechner neu starten.
• Drücken Sie eine beliebige Taste, und es wird der PC neu starten.
• Wenn der PC neu gestartet wird der Fixtool läuft und den Vorgang des Entfernens abzuschließen zeigt dann Abgeschlossen, Drücken Sie eine beliebige Taste, um das Script und laden Sie Ihre Desktop-Symbole.
• Wenn die Desktop-Icons laden SDFix Bericht wird auf dem Bildschirm und speichern Sie in den SDFix Ordner wie Report.txt
  (Report.txt wird auch in die Zwischenablage kopiert werden).
• Schließlich fügen Sie den Inhalt der Report.txt in Ihrem nächsten Post.

----------

Bitte laden Sie sich von SUBs Combofix von einem der folgenden Links.
(Versuchen Sie, alle drei, wenn nötig)

• Link # 1
• Link # 2
• Link # 3

Wichtig! Combofix.exe IST gespeichert werden, um und lief aus dem Desktop.

• Schließen Sie alle geöffneten Web-Browser. (Firefox, Internet Explorer, etc.) vor Beginn der Combofix.
• Wichtig! Vorübergehend deaktivieren dein Antivirus, Script Blocking und alle Anti-Spyware Echtzeit-Schutz vor Durchführung eines Scan.
  • Klicken Sie auf diesen Link , um eine Liste der Programme, die Sicherheit sollten daher deaktiviert werden, und wie sie zu deaktivieren.
  • Wenn Sie nicht aufgelistet ist und Sie nicht wissen, wie diese zu deaktivieren, wenden Sie sich bitte an.
• Warnung: Combofix trennt Sie Ihren Computer aus dem Internet. Die Verbindung wird automatisch wiederhergestellt, bevor Combofix seinen Lauf.
• Doppelklicken Sie auf combofix.exe und folgen Sie den Anweisungen.
  • Wählen Sie Ja, um die Lizenzbestimmungen.[
• Wenn Sie fertig sind, es wird ein Protokoll für Sie.
• Post, dass sich in Ihrer nächsten Antwort.

Warnung: Nicht per Mausklick combofix-Fenster, während es in Betrieb ist. Das kann dazu führen, dass es zu Stall

• Wenn Combofix läuft in Schwierigkeiten und vorzeitig beendet, wird die Verbindung manuell restauriert werden kann, indem Sie den Computer neu starten.
• Wichtiger Hinweis: Denken Sie daran, wieder zu aktivieren Sie die Antivirus-und Anti-Spyware, bevor es wieder auf das Internet.

----------

Nächste Post fügen Sie bitte
SDFix log
Combofix log

[rbscooby]

sorry aber ich kann dieses Recht jetzt an, es war eine Freunde, aber ich muss jetzt wieder auf nächsten Freitag, um fortzufahren.

[evilfantasy]

Kein Problem, wir sind hier.

[rbscooby]

hey im Rücken, stellt sich heraus, hatte ich eine freie Stelle heute, so dass ich wieder hier, um mit meinen Freunden Computer, jetzt habe ich die erste Hälfte der Sache. Bit mit SDfix Sache, es hat mein Fach sortiert auf der Start-Bar Vielen Dank, aber ich habe nach dem Neustart, dass etwas kommt wieder auf normalen Windows im abgesicherten Modus, es kam sagen, es war die Überprüfung auf Malware und dauert ca. 5 Min. wie Sie gesagt haben, aber ich habe es weit mehr als eine Stunde, und nichts, ist, dass die endgültigen Scan wirklich nötig?

so dass alle Ich habe in dieser Log-Datei :

SDFix: Version 1,173
Ausführen von Katie am 22/04/2008 um 18:41
Microsoft Windows XP [Version 5.1.2600]
Running From: C: \ SDFix
Prüfen Services :

Wiederherstellen der Windows-Registry-Werte
Wiederherstellen von Standard-Windows Hosts-Datei
Neustart

Überprüfung von Dateien :
Trojaner-Dateien gefunden:
C: \ Dokumente und Einstellungen \ Katie \ svchost.exe - Gelöscht
C: \ WINDOWS \ system32 \ pac.txt - Gelöscht


Entfernen von Temp-Dateien
ADS-Check :

[evilfantasy]

Zitat:

es kam sagen, es war die Überprüfung auf Malware und dauert ca. 5 Min.

Welche Scan? SDFix oder Combofix.

[rbscooby]

sdfix Combo noch nicht geschehen, soll ich jetzt tun?

[evilfantasy]

Ja SDFix stoppen, wenn sie noch läuft und nicht die Combofix scannen.

Installieren Sie auf dem Desktop, und führen Sie es so.

Bitte laden Sie sich von SUBs Combofix von einem der folgenden Links.
(Versuchen Sie, alle drei, wenn nötig)

• Link # 1
• Link # 2
• Link # 3

Wichtig! Combofix.exe IST gespeichert werden, um und lief aus dem Desktop.

• Schließen Sie alle geöffneten Web-Browser. (Firefox, Internet Explorer, etc.) vor Beginn der Combofix.

• Stellen Sie sicher, dass combofix befindet sich auf Ihrem Desktop.
• Jetzt Beenden Sie alle Ihre Monitoring-Programme
• Klicken Sie auf diesen Link , um eine Liste der Programme, die Sicherheit sollten daher deaktiviert werden, und wie sie zu deaktivieren.
• Klicken Sie auf den START -Taste und wählen Sie Laufen. Dann Kopieren / Einfügen der gesamten Inhalt der folgenden Codebox (einschließlich der "" Marken und Symbole) in die Box laufen.
  
  Code:

  "% USERPROFILE% \ Desktop \ ComboFix.exe" / killall
  

• Klicken Sie auf OK und dies wird combofix in besonderer Weise.
• Wenn Sie fertig sind, es wird ein Protokoll.
• Bitte speichern Sie die Log-Datei zu einem Editor und fügen Sie es in Ihrem nächsten Antwort.

Hinweis:
Nicht Mausklick combofix-Fenster, während es in Betrieb ist. Das kann dazu führen, dass es zu Stall.

* ComboFix wird automatisch neu gestartet Ihre Maschine, wenn die Killall Schalter verwendet wird.

Combofix (CF) trennt Ihre Maschine aus dem Internet. Die Verbindung wird automatisch wiederhergestellt, bevor CF ihren Lauf.
Wenn CF läuft in Schwierigkeiten und endet vorzeitig, Wird die Verbindung manuell restauriert werden kann durch einen Neustart Ihres Rechners.

Post die gesamte Combofix Log-in der nächsten Antwort.