Trojon minties būti pašalintos, bet .....

**rbscooby** · #1 Balandis 21, 2008, 11:50

I got trojon kelias dienas ir aš išgydyti naudojant AVG, ji man papasakojo, kad iš naujo paleisti kompiuterį taip ir padarė, tačiau vėliau jis grįžo iki sakydamas, kad tai buvo infekuota dar kartą, kad šį kartą aš perkėlė ją į virusas valut ir ištrynė jį, tai nutraukiamas, tai sako, kad ji buvo infekuota, o dabar gaunu klaida mesage artėja sakydamas, kad byla, kad buvo virusas, ji negali surasti ir acess Aš neigia, turi trojon pakeitė mano registery, o dabar Windows negali rasti virusą, i dont know?

bet tai keistai, kaip matote žemiau yra mano pradžia baras, jei jums atrodo NXT į laikrodį, visas piktogramas nuėjo juokinga, tai atsitiko kai aš recived trojon.

Ar kas nors man padėti pataisyti šią piktogramą problemų, nes ji tampa mano nervus, ir poilsio kompiuteris veikia kaip įprasta, jos tiesiog i cant atidaryti ką whn i minmize ir jie perkelti į plokštelę, ir tai ji taip pat galima rekomenduoti kur galėčiau kreiptis, norint įsitikinti, kad šis dvigubas trojon praėjo, kaip aš žinau, kad jie galėtų grįžti themelves viršų ir pakeiskite jį atgal o vietoje po origanel buvo ištrintas.

Atsiprašome už rašybos klaida ar tai yra dedamas į neteisingą vietą, tačiau tai sukėlė tojon mano žiniomis.

Mano kompiuteris yra toks:
800MHz P3 procesorius
512MB RAM
30GB standusis diskas
Windows XP profesional

**evilfantasy** · #2 Balandis 21, 2008, 11:53

Sveiki atvykę į CJ.

Atsisiųskite ir pervardinti HijackThis (HJT)

Dukart spustelėkite HJTInstall.
Spauskite Įdiegti mygtuką.
Jis bus automatiškai vieta HJT į C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe
Po install, HijackThis turėtų atverti jums.
- Uždaryti HijackThis ir pervadinti.
- Eikite į C: \ Program Files \ Trend Micro \HijackThis.exe
- Dešiniuoju pelės mygtuku spustelėkite HijackThis.exe pasirinkite Pervadinti
- Įveskite sniper.exe paspauskite Registracija
- Dešiniuoju pelės mygtuku spustelėkite ant sniper.exe pasirinkite Siųsti > Desktop (Sukurti nuorodą)
Nuo darbastalio atidaryti HijackThis.
Jei naudojate "Windows Vista", Dešiniuoju pelės mygtuku ir Vykdyti kaip administratorius
Spauskite Ar sistema nuskaito ir išsaugokite failą
HijackThis bus nuskaityti ir tada žurnale bus atidaryta Notepad.
Nukopijuokite ir įklijuokite visą turinį Prisijunkite savo pranešimą.
- Ne turi nustatyti HijackThis nieko nėra. Daugiausia, ką ji mano bus nekenksmingas ir netgi būtinas.

Pastaba Nors mes pervadintas HijackThis Snaiperis, mes vis dar galime kreiptis į jį kaip HijackThis arba HJT.

**rbscooby** · #3 Balandis 21, 2008, 12:01

Logfile Trend Micro HijackThis v2.0.2
Skaitymo išsaugotas 19:59:33, on 21/04/2008
Platforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Veikia procesus:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ explorer.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Comodo \ Firewall \ CPF.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Documents and Settings \ Katie \ svchost.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ LimeWire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Žiniasklaida ernet Nustatymai, ProxyOverride = *. vietos
O2 - BHO: (no name) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no file)
O2 - BHO: (no name) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (no name) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (file missing)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / autostart
O4 - HKLM \ .. \ Run: [COMODO Firewall] C: \ Program Files \ Comodo \ Firewall \ CPF.exe "/ background
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Documents and Settings \ Katie \ svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll" S
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user')
O8 - Extra kontekstinio meniu punktą: E & Eksportuoti į "Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ Micros ~ 2 \ Office11 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ Micros ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' MENUITEM: @ Xpsp3res.dll, -20.001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
Ø20 - Winlogon Notify: awtusqOf - awtusqOf.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Service - Apple Inc - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo taikymas Konsultantas (CmdAgent) - COMODO - C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: iPod Service - Apple Inc - C: \ Program Files \ iPod \ bin \ iPodService.exe
--
End of file - 6.141 baitų

**evilfantasy** · #4 Balandis 21, 2008, 12:09

Jūs vis dar yra keletas gana neblogai infekcijos. Mums reikia paleisti keletą įrankių, kurie padės su pašalinimo.

Atsisiųsti SDFix.exe ir išsaugokite jį darbalaukyje.

Dukart spustelėkite SDFix.exe ir jis bus išskleisti failus į% SystemDrive%
(Diskas, kuriame yra Windows kataloge, paprastai tai C: \ SDFix)

Prašome tada perkraukite kompiuterį Safe Mode atlikdami šiuos veiksmus:

Paleiskite kompiuterį
Išklausęs kompiuterio beep kartą paleisties metu, bet prieš "Windows", pasirodo piktograma, bakstelėkite F8 nuolat;
Vietoj Windows pakrovimą, kaip įprasta, Advanced Options meniu turėtų pasirodyti;
Pasirinkite pirmąjį variantą, paleisti Windows "Safe Mode, tada paspauskite Registracija.
Pasirinkite savo įprastinę sąskaitą.
Atidaryti išgauti SDFix katalogą ir dukart paspauskite RunThis.bat paleisti scenarijų.
Rūšis Y pradėti valymo procesas.
Ji bus pašalinti Trojan Paslaugos ir registro įrašus, kad ji nustato, tada greitai paspausti bet kurį klavišą, kad paleisti.
Paspauskite bet kurį klavišą, ir ji bus paleisti kompiuterį.
Kai kompiuteris bus paleistas iš naujo Fixtool bus paleisti iš naujo ir pašalinimo procesas, tada ekrane Baigta, Paspauskite bet kurį mygtuką pabaigoje scenarijų ir įkelti savo darbalaukio piktogramos.
Po darbalaukio piktogramos įkelti SDFix ataskaita bus atidarytas ekrane, o taip pat išsaugoti į SDFix aplanką, Report.txt
(Report.txt taip pat bus nukopijuotas į mainų sritį).
Galiausiai Pridėti į turinį Report.txt Jūsų kitą postą.

----------

Atsisiųskite Combofix iki einantys iš vienos iš žemiau nuorodų.
(Pabandykite visi trys, jei reikia)

Svarbu! Combofix.exe TURI išsaugota ir bėgo nuo Desktop.

Uždarykite visus atidarytus interneto naršyklių. (Firefox, Internet Explorer, ir tt) prieš pradedant Combofix.
Svarbu! Laikinai daryti nepajėgų tavo Antivirus, script blokavimas ir bet Antispyware realaus laiko apsauga prieš atlikti nuskaitymo.
- Spauskite šį saitą matyti saugumo programų sąrašą, kuris turėtų būti išjungtas ir kaip juos išjungti.
- Jei Jūsų nėra šiame sąraše, ir jūs nežinote, kaip ją išjungti, kreipkitės.
Įspėjimas: Combofix atjungia kompiuterį nuo interneto. Ry ¹ ys automati ¹ kai atkurtas iki Combofix baigia paleisti.
Dukart spustelėkite combofix.exe ir vykdykite ekrane pateikiamas instrukcijas.
- Pasirinkite Taip, kad sutikti apribojimas.[
Kai bus baigta, bus pateikti žurnalas Jums.
Skelbti kad Prisijungti kitą atsakymą.

Įspėjimas: Don't mouseclick combofix lango kol jis veikia. Tai gali sukelti jį gardas

Jei Combofix eina į sunkumus ir baigiasi anksčiau, ryšys gali būti rankiniu būdu atstatyta iš naujo paleisti kompiuterį.
Svarbu: Atminkite, kad vėl įjungti antivirusinę ir šnipinėjimo prieš prisijungti prie interneto.

----------

Sekantis prašome pridėti
SDFix Prisijungti
Combofix Prisijungti

**rbscooby** · #5 Balandis 21, 2008, 12:23

Atsiprašome, bet galiu tai padaryti dabar, tai buvo draugų, kompiuterio, bet aš turiu eiti atgal į kitą penktadienį toliau.

**evilfantasy** · #6 Balandis 21, 2008, 12:24

Jokių problemų, mes čia.

**rbscooby** · #7 Balandis 22, 2008, 12:00

hey im back, pasirodo turėjau laisvą vietoje šiandien priėjau vėl čia baigti su draugais kompiuterį, dabar aš padariau pirmąjį pusmetį dalykas. bitų, naudojant SDfix dalykas, ji turi išrūšiuoti mano plokštelę ant start juostoje ačiū, bet po to aš padariau, kad iš naujo truputį grįžta į įprastą "Windows" iš Safe Mode, jis atėjo pasakyti, kad buvo tikrinti dėl kenkėjiškų programų ir galėtų priimti apie 5 mins kaip ir sakei, bet man paliko jį daugiau kaip valandą, ir nieko, tai, kad galutinis nuskaitymo tikrai reikia?

taigi visi aš toje žurnalo failą :

SDFix: Versija 1,173
Pradėti Katie ant 22/04/2008 at 18:41
Microsoft Windows XP [Version 5.1.2600]
Running From: C: \ SDFix
Tikrinimas Paslaugos :

Restoring Windows registro vertybės
Restoring Windows nutylėjimą Hosts File
Paleista

Tikrinimas Failai :
Trojos Failai Rasta:
C: \ Documents and Settings \ Katie \ svchost.exe - Panaikinta
C: \ WINDOWS \ system32 \ pac.txt - Panaikinta

Šalinama Temp failai
ADS keista :

**evilfantasy** · #8 Balandis 22, 2008, 12:03

Citata:

jis atėjo pasakyti, kad buvo tikrinti dėl kenkėjiškų programų ir tai trunka apie 5 min

Kuris nuskaityti? SDFix arba Combofix.

**rbscooby** · #9 Balandis 22, 2008, 12:05

sdfix nepadarėte Combo dar turi man dabar daryti?

**evilfantasy** · #10 Balandis 22, 2008, 12:11

Taip sustoti SDFix jei jis vis dar veikia ir padaryti Combofix nuskaitymas.

Įdiekite ją prie darbastalio ir paleisti jį panašaus.

Atsisiųskite Combofix iki einantys iš vienos iš žemiau nuorodų.
(Pabandykite visi trys, jei reikia)

Svarbu! Combofix.exe TURI išsaugota ir bėgo nuo Desktop.

Uždarykite visus atidarytus interneto naršyklių. (Firefox, Internet Explorer, ir tt) prieš pradedant Combofix.

Įsitikinkite combofix yra ant jūsų darbastalio.
Dabar STOP visus stebėsenos programų
Spauskite šį saitą matyti saugumo programų sąrašą, kuris turėtų būti išjungtas ir kaip juos išjungti.
Paspauskite ant PRADŽIA mygtuką ir pasirinkti Bėgti. Tada Nukopijuokite visą kiekis taip Codebox (įskaitant " ženklus ir simbolius), paleisti į lauką.

Kodas

"% USERPROFILE% \ desktop \ ComboFix.exe" / Killall

Spauskite Gerai ir tai bus pradžia combofix specialiu būdu.
Kai bus baigta, bus pateikti prisijunkite.
Prašome saugoti, kad žurnalo failą Notepad ir įtraukti jį į savo kitą atsakymą.

Pastaba
Ar ne pelės paspaudimu combofix lango kol jis veikia. Tai gali sukelti ją gardas.

* ComboFix bus automatiškai paleisti į kompiuterį Killall jungiklis naudojamas.

Combofix (CF) atjungia kompiuterį nuo interneto. Ry ¹ ys automati ¹ kai atkurtas iki CF baigia paleisti.
Jei CF eina į sunkumus ir baigiasi anksčiau, Ryšys gali būti rankiniu būdu atstatyta iš naujo paleisti kompiuterį.

Skelbti visą Combofix Prisijungti šalia atsakymo.