Trojon pensado para ser removido, mas .....

**rbscooby** · #1 21 abr 2008, 11:50

Eu tenho um trojon alguns dias e me curou usando AVG, ele disse-me para reiniciar o computador fez isso, mas então ele voltou-se dizendo que foi infectado novamente, para desta vez, mudei-o para o vírus valut e apagados, este ele parou dizendo que foi infectado, mas agora eu recebo um erro mesage chega dizendo que o arquivo que foi o vírus não poderia me encontrar e acesso negado, tem o trojon mudou minha registery janelas e agora não consegue encontrar o vírus, i não sei?

mas isso é estranho, como se pode ver abaixo, há a minha barra de iniciar, se você olhar para o relógio nxt, todos os ícones passaram engraçado, isso aconteceu quando eu recived o trojon.

alguém pode me ajudar a consertar este ícone problemas, uma vez que está ficando no meu nervo, o resto do computador está a funcionar normalmente, apenas o seu i cant open coisas whn i minmize e se deslocam para a bandeja, e iria também ser possível recomendar onde eu posso ir para fazer dupla certeza de que esta tenha desaparecido trojon como eu sei que eles podem voltar themelves cima e, em seguida, substitua-o de volta no local após a origanel foi excluída.

Desculpa por qualquer erro ortográfico ou esta sendo colocado no lugar errado, mas este tinha sido causado por um tojon ao meu conhecimento.

meu computador é a seguinte:
Processador de 800Mhz P3
512MB RAM
30GB disco rígido
windows xp professional

**evilfantasy** · #2 21 abr 2008, 11:53

Bem-vindo ao CJ.

Download e renomear HijackThis (HJT)

Dê um duplo clique sobre HJTInstall.
Clique sobre a Instalar botão.
Será automaticamente no lugar HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe
Após a instalação, HijackThis deve abrir para você.
- Fechar HijackThis e renomeá-lo.
- Vá para C: \ Program Files \ Trend Micro \HijackThis.exe
- Clique direito sobre HijackThis.exe e selecione Renomeie
- Tipo de sniper.exe e pressione Digite
- Botão direito do mouse ligado sniper.exe e selecione Enviar para > Desktop (criar atalho)
Na área de trabalho aberto HijackThis.
Se estiver usando Windows Vista, Botão direito do mouse e Executar como administrador
Clique em Faça um sistema de digitalizar e salvar um arquivo de log
HijackThis fará a varredura e, em seguida, será aberto um log no Bloco de Notas.
Copie e cole todo o conteúdo do log em sua postagem.
- Não HijackThis correção tem nada ainda. A maior parte do que ele encontra serão inofensivos ou até mesmo necessária.

Nota: Embora tenhamos HijackThis renomeado para sniper, vamos ainda se referem a ele como HijackThis ou HJT.

**rbscooby** · #3 21 abr 2008, 12:01

Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 19:59:33, em 21/04/2008
Plataforma: Windows XP SP2 (WinNT 5/01/2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Executando processos:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ Explorer.EXE
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Comodo \ Firewall \ CPF.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Documents and Settings \ Katie \ svchost.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Arquivos de Programas \ Internet Explorer \ IEXPLORE.EXE
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ limewire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = *. local
O2 - BHO: (no name) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no arquivo)
O2 - BHO: (no name) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (arquivo ausente)
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (no name) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (arquivo ausente)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [Comodo Firewall Pro] "C: \ Program Files \ Comodo \ Firewall \ CPF.exe" / background
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Documents and Settings \ Katie \ svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] Rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll", s
O4 - HKCU \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E & xportar para o Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: awtusqOf - awtusqOf.dll (arquivo ausente)
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - Comodo - C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Program Files \ iPod \ bin \ iPodService.exe
--
Fim do processo - 6141 bytes

**evilfantasy** · #4 21 abr 2008, 12:09

Você ainda tem bastante mau infecções. Precisamos fazer algumas ferramentas que vão ajudar com a remoção.

Baixar SDFix.exe e guardá-la para o seu desktop.

Dê um clique duplo SDFix.exe e ele irá extrair os arquivos para% systemdrive%
(Unidade que contém o diretório do Windows, normalmente C: \ SDFix)

Por favor, em seguida, reinicie o seu computador em Safe Mode fazendo o seguinte:

Reinicie o computador
Depois de ouvir o seu computador apitar uma vez durante a inicialização, mas antes do Windows ícone aparece, toque na tecla F8 continuamente;
Em vez de carregar o Windows como normal, o menu Opções avançadas deve aparecer;
Selecione a primeira opção, para executar o Windows no Modo de Segurança e, em seguida, pressione Digite.
Escolha o seu habitual conta.
Abra a pasta SDFix extraídos e clique duas vezes RunThis.bat para iniciar o script.
Tipo Y para iniciar o processo de limpeza.
Ela irá remover qualquer Trojan Serviços e entradas de registo que se encontra, em seguida, pedir-lhe para pressione qualquer tecla para reiniciar.
Pressione qualquer tecla e ele irá reiniciar o PC.
Quando o PC reinicia o Fixtool irá correr novamente e concluir o processo de remoção em seguida, apresentar Finished, Pressione qualquer tecla para terminar o script e carregar seu desktop ícones.
Após carregar os ícones do desktop SDFix relatório será aberta na tela e também em salvar a pasta SDFix como Report.txt
(Report.txt também serão copiados para a Área de Transferência).
Por último acrescentar o conteúdo do Report.txt em seu próximo post.

----------

Faça o download do Combofix por subcategorias de um dos links abaixo.
(Experimente todos os três, se necessário)

Importante! Combofix.exe DEVE ser salvos e corriam para a partir da Desktop.

Feche todos os browsers abertos. (Firefox, Internet Explorer, etc) antes de iniciar Combofix.
Importante! Temporariamente desabilitar seu antivírus, script bloqueio e qualquer antispyware proteção em tempo real antes realizar uma varredura.
- Clique este link para ver uma lista de programas de segurança que devem ser desativados e como desativá-los.
- Se o seu caso não está listado e você não sabe como desativá-lo, por favor, pergunte.
Aviso: Combofix desligar seu computador a partir da Internet. A conexão é automaticamente restaurados antes Combofix completa sua executado.
Dê um clique duplo combofix.exe e siga as instruções.
- Escolha Sim para aceitar o Disclaimers.[
Quando terminar, ela irá produzir um log para você.
Post que a log na sua próxima resposta.

Aviso: Não mouseclick combofix da janela enquanto ele está sendo executado. Isso pode fazer com que a barraca

Se Combofix é executado em dificuldade e termina prematuramente, a conexão pode ser restaurada manualmente ao reiniciar o computador.
Importante: Lembre-se de reativar o seu antivírus e antispyware antes de reaproximar-se à Internet.

----------

Próximo post adicione
SDFix log
Combofix log

**rbscooby** · #5 21 abr 2008, 12:23

Desculpe, mas eu posso fazer isso agora, era um computador amigos, mas devo ir agora estar de volta na próxima sexta-feira para continuar.

**evilfantasy** · #6 21 abr 2008, 12:24

Não há problema, nós vamos estar aqui.

**rbscooby** · #7 22 abr 2008, 12:00

hey im costas, gira para fora tive um local livre de hoje, assim que eu voltei aqui para terminar em com os meus amigos computador, já fiz a primeira metade da coisa. bits usando SDfix coisa, tem o meu ordenadas bandeja para fora sobre o início barra de agradecer-lhe, mas depois que eu fiz voltando para reiniciar pouco normal janelas de modo seguro, ele chegou até a dizer, ele estava verificando para malware e levaria cerca de 5 mins como você disse, mas eu deixei-a para bem mais de uma hora, e nada, é que a digitalização final realmente necessário?

portanto tudo o que tenho em que arquivo de log é :

SDFix: Version 1,173
Corre por Katie em 22/04/2008 às 18:41
Microsoft Windows XP [Versão 5/1/2600]
Running From: C: \ SDFix
Verificando Serviços :

Restaurar o Windows Registry Values
Restaurar o Windows Default Hosts File
Reinicializar

Verificar Arquivos :
Trojan Files Found:
C: \ Documents and Settings \ Katie \ svchost.exe - Excluídos
C: \ WINDOWS \ system32 \ pac.txt - Excluídos

Removing Temp Files
ADS Check :

**evilfantasy** · #8 22 abr 2008, 12:03

Citação:

chegou até a dizer, ele estava verificando para malware e levaria cerca de 5 mins

Que digitalizar? SDFix ou Combofix.

**rbscooby** · #9 22 abr 2008, 12:05

sdfix combo ainda não aconteceu, devo fazer agora?

**evilfantasy** · #10 22 abr 2008, 12:11

Sim parar SDFix se ainda está em execução e fazer a varredura Combofix.

Instale-o para a área de trabalho e executá-lo como esta.

Faça o download do Combofix por subcategorias de um dos links abaixo.
(Experimente todos os três, se necessário)

Importante! Combofix.exe DEVE ser salvos e corriam para a partir da Desktop.

Feche todos os browsers abertos. (Firefox, Internet Explorer, etc) antes de iniciar Combofix.

Certifique-se de combofix está localizado em seu desktop.
Agora STOP acompanhar todos os seus programas
Clique este link para ver uma lista de programas de segurança que devem ser desativados e como desativá-los.
Clique sobre o seu INÍCIO botão e escolha Correr. Então copiar / colar o inteiro conteúdo dos seguintes Codebox (Incluindo as "" marcas e os símbolos) na caixa Executar.

Código:

"% userprofile% \ Desktop \ ComboFix.exe" / killall

Clique OK e esta terá início combofix em uma maneira especial.
Quando terminar, ela irá produzir um log.
Guarde esse log para um arquivo Bloco de notas e incluí-lo na sua próxima resposta.

Nota:
Não clique de mouse combofix da janela enquanto ele está sendo executado. Isso pode fazer com que a barraca.

* ComboFix irá reiniciar automaticamente quando a sua máquina Killall parâmetro é utilizado.

Combofix (CF) desliga a sua máquina a partir da Internet. A conexão é automaticamente restaurados FC antes de completar o seu prazo.
Se FC executado em dificuldade e termina prematuramente, A ligação pode ser restaurada manualmente ao reiniciar a sua máquina.

Correios de todo o Combofix log na próxima resposta.