[rbscooby]

Mam kilka dni trojon i troszczyłem używając AVG, to powiedział do mnie, aby ponownie uruchomić komputer nie tak, ale potem wrócił do powiedzenie było zakażonych znowu, więc tym razem i przenieść go do wirusa valut i usunięte, to zatrzymał go mówiąc, że to był zainfekowany, ale teraz mogę uzyskać błąd mesage najbliższych się, że plik, który był wirus nie może znaleźć i odmawia dostępu i ma trojon zmieniła moje registery okien i teraz nie może znaleźć wirusa, i dont know?

ale jest to dziwne, jak widać poniżej, nie jest moim uruchomić bar, jeśli spojrzeć na zegar nxt wszystkie ikony już śmieszne, to się stało, kiedy recived w trojon.


może ktoś mi pomoże naprawić ten problem, gdyż ikona staje się w moich nerwów, reszta komputer działa jak zwykle, tylko swoje rzeczy i cant otworzyć whn i minmize i przejść do zasobnika, i to również jest możliwe, aby polecić gdzie mogę pójść, aby upewnić się, że ta podwójna trojon poszła jak wiem, że mogą one ponownie themelves i następnie zastąpić go o miejscu po origanel został usunięty.

Przepraszamy za wszelkie pisowni lub błąd ten jest umieszczony w niewłaściwym miejscu, ale to było spowodowane przez tojon do mojej wiedzy.

mój komputer jest w następujący sposób:
800MHz procesor P3
512MB RAM
30GB dysk twardy
windows xp profesional

[evilfantasy]

Zapraszamy do CJ.

Pobierz i zmień HijackThis (HJT)

• Kliknij dwukrotnie HJTInstall.
• Kliknij na Zainstaluj przycisk.
• Będzie ona automatycznie miejsce w HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe
• Po instalacji, HijackThis należy otworzyć dla Ciebie.
  • Blisko HijackThis i zmienić jego nazwę.
  • Przejdź do katalogu C: \ Program Files \ Trend Micro \HijackThis.exe
  • Kliknij prawym przyciskiem myszy HijackThis.exe i wybierz Zmień nazwę
  • Wpisz sniper.exe i naciśnij Wprowadź
  • Kliknij prawym przyciskiem myszy na sniper.exe i wybierz Wyślij do > Desktop (utworzyć skrót)
• Od pulpicie otworzyć HijackThis.
• W przypadku korzystania Windows Vista, Kliknij prawym przyciskiem myszy i Uruchom jako administrator
• Kliknij na Czy system skanowania i zapisać plik
• HijackThis skanowania, a następnie zalogować się otworzyć w Notatniku.
• Skopiuj, a następnie wkleić całą zawartość dziennika w post.
  • Nie HijackThis nic się jeszcze ustalić. Większość z tego, co stwierdzi, będą nieszkodliwe, a nawet konieczne.

Uwaga: Chociaż mamy przemianowane hijackthis do sniper, będziemy w dalszym ciągu odnoszą się do niego jako hijackthis lub HJT.

[rbscooby]

Logfile of Trend Micro HijackThis v2.0.2
Skanowanie zapisany na 19:59:33, na 21/04/2008
Platforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Uruchamianie procesów:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ explorer.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Comodo \ Firewall \ CPF.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Documents and Settings \ Katie \ svchost.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ LimeWire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = *. lokalnych
O2 - BHO: (no name) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no file)
O2 - BHO: (no name) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (plik brakuje)
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (no name) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (plik brakuje)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [COMODO Firewall Pro] "C: \ Program Files \ Comodo \ Firewall \ CPF.exe" / background
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Documents and Settings \ Katie \ svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] Rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll", s
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user')
O8 - Extra kontekście menu: E & ksportuj do programu Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ Micros ~ 2 \ Office11 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ Micros ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: awtusqOf - awtusqOf.dll (plik brakuje)
O23 - Service: Apple Mobile Device - Apple, Inc - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Service - Apple Inc - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: iPod Service - Apple Inc - C: \ Program Files \ iPod \ bin \ iPodService.exe
--
End of file - 6141 bytes

[evilfantasy]

Trzeba się jednak niektóre całkiem źle zakażeń. Musimy uruchomić kilka narzędzi, które pomogą w usunięciu.


Pobrać SDFix.exe i zapisz go na pulpicie.

Podwójne kliknięcie SDFix.exe i będzie wyodrębnić pliki do% systemdrive%
(Dysk, który zawiera katalogu Windows, zazwyczaj C: \ SDFix)

Proszę następnie uruchom ponownie komputer w Tryb awaryjny wykonując następujące czynności:

• Uruchom ponownie komputer
• Po wysłuchaniu komputera sygnał raz podczas uruchamiania, ale przed Windows pojawia się ikona, dotknij klawisz F8 stale;
• Zamiast ładowanie Windows jako normalne, Opcje zaawansowane menu powinny być widoczne;
• Wybierz pierwszą opcję, aby uruchomić system Windows w trybie awaryjnym, a następnie naciśnij Wprowadź.
• Wybierz zwykle konta.
• Otwórz folder i ekstrahowana SDFix kliknij dwukrotnie RunThis.bat , aby uruchomić skrypt.
• Typ Y , aby rozpocząć proces oczyszczania.
• To będzie usuwać wszelkie Trojan Usługi i wpisów rejestru stwierdza następnie, że zachęty do naciśnij dowolny klawisz, aby ponownie uruchomić komputer.
• Naciśnij dowolny klawisz i będzie restart komputera.
• Gdy komputer zostanie ponownie uruchomiony ponownie Fixtool i dokończyć proces usuwania następnie wyświetlić Zakończone, Naciśnij dowolny klawisz do zakończenia skryptu i załadowania ikon na pulpicie.
• Po ikony pulpitu załadować SDFix raport zostanie otwarty na ekranie, a także zapisać w folderze SDFix Report.txt
  (Report.txt będą również skopiowane do schowka).
• Na koniec dodać zawartość Report.txt w następnym post.

----------

Pobierz Combofix subs przez jednego z poniższych linków.
(Wszystkie trzy próby w razie potrzeby)

• Link # 1
• Link # 2
• Odnośnik # 3

Ważne! Combofix.exe MUSI są zapisywane i prowadził od Desktop.

• Zamknij wszystkie otwarte internetowych. (Firefox, Internet Explorer, itp.) przed rozpoczęciem Combofix.
• Ważne! Tymczasowo wyłączyć twój antywirusowe, blokowanie skryptów i wszelkich AntiSpyware Ochrona w czasie rzeczywistym przed wykonywania skanowania.
  • Kliknij link aby wyświetlić listę programów bezpieczeństwa, które powinny być wyłączone i jak je wyłączyć.
  • Jeśli twój nie ma na liście i nie wiesz jak go wyłączyć, proszę pytać.
• Ostrzeżenie: Combofix połączenia komputera z internetem. Połączenie zostanie automatycznie przywrócona przed Combofix kończy uruchomić.
• Dwukrotnie kliknij combofix.exe i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
  • Wybierz Tak, aby zaakceptować Disclaimers.[
• Po zakończeniu, będzie produkować dziennik dla Ciebie.
• Opublikuj, aby zalogować się kolejną odpowiedź.

Ostrzeżenie: Nie mouseclick combofix okna, gdy jest uruchomiony. To może spowodować, że stoisko

• Jeśli Combofix prowadzi do trudności i kończy przedwcześnie, połączenie można ręcznie przywrócić poprzez ponowne uruchomienie komputera.
• Ważne: Pamiętaj, aby ponownie uaktywnić antywirusowe i AntiSpyware przed ponownym do Internetu.

----------

Następna wiadomość dodaj
SDFix log
Combofix log

[rbscooby]

Przepraszamy, ale mogę to zrobić teraz, to był przyjaciółmi komputera, ale i musi być teraz powrót na następny piątek, aby kontynuować.

[evilfantasy]

Nie ma problemu, będziemy tutaj.

[rbscooby]

hey im back, okazuje miałem wolnego miejscu dziś, więc wrócił tutaj, aby zakończyć z moimi przyjaciółmi komputer, teraz zrobiłem pierwszej połowie rzeczy. bitowej przy użyciu SDfix rzeczy, to ma moje posortowane zasobnika na początku bar dziękuję, ale i po to się restart bitowe wraca do normalnego systemu Windows w trybie awaryjnym, to pojawiły się powiedzenie, że sprawdzanie złośliwym i ok. 5 min jak powiedział pan, ale ja już go opuściły dobrze ponad godzinę, i nic, jest to, że końcowy skanowania naprawdę potrzebna?

tak wszystko mam w tym pliku jest :

SDFix: Version 1.173
Prowadzi Katie 18:41 w dniu 22/04/2008
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C: \ SDFix
Sprawdzanie usług :

Przywrócenie wartości rejestru systemu Windows
Przywracanie systemu Windows Default Hosts File
Ponowne uruchamianie

Sprawdzenie plików :
Trojan Files Found:
C: \ Documents and Settings \ Katie \ svchost.exe - Usunięty
C: \ WINDOWS \ system32 \ pac.txt - Usunięty


Usuwanie plików TEMP
ADS Check :

[evilfantasy]

Cytat:

stało się powiedzenie, że sprawdzanie złośliwym i ok. 5 min

Które skanowania? SDFix i Combofix.

[rbscooby]

sdfix kombi jeszcze nie zrobiłeś, ja mam teraz zrobić?

[evilfantasy]

Tak zatrzymać SDFix jeśli jest to nadal działa i to Combofix skanowania.

Zainstaluj go na pulpit i uruchom go w taki sposób.

Pobierz Combofix subs przez jednego z poniższych linków.
(Wszystkie trzy próby w razie potrzeby)

• Link # 1
• Link # 2
• Odnośnik # 3

Ważne! Combofix.exe MUSI są zapisywane i prowadził od Desktop.

• Zamknij wszystkie otwarte internetowych. (Firefox, Internet Explorer, itp.) przed rozpoczęciem Combofix.

• Upewnij się, combofix znajduje się na pulpicie.
• Teraz STOP wszystkie programy monitorujące
• Kliknij link aby wyświetlić listę programów bezpieczeństwa, które powinny być wyłączone i jak je wyłączyć.
• Kliknij na swój START i wybrać przycisk Biec. Wtedy kopiuj / wklej w całego treść następujących Codebox (tym "" znaki i symbole) w polu Uruchom.
  
  Kod:

  "% userprofile% \ desktop \ ComboFix.exe" / killall
  

• Kliknij OK i będzie to start combofix w sposób szczególny.
• Po zakończeniu, będzie produkować dziennik.
• Proszę zapisać, że dziennika do pliku Notatnika i włączenie go w następnej odpowiedzi.

Uwaga:
Nie myszy kliknij combofix okna, gdy jest uruchomiony. To może spowodować, że stoisko.

* ComboFix będzie Automatycznie uruchom ponownie Twój komputer, kiedy Killall przełącznik jest używany.

Combofix (CF) rozłącza komputerze z Internetu. Połączenie zostanie automatycznie przywrócona przed CF kończy uruchomić.
Jeśli CF prowadzi do trudności i kończy się przedwcześnie, Połączenie można ręcznie przywrócić poprzez ponowne uruchomienie komputera.

Opublikuj całego Combofix log w następnej odpowiedzi.