Trojon crezut că pentru a fi eliminate, dar .....

**rbscooby** · #1 21 aprilie 2008, 11:50

Am o trojon câteva zile şi am vindecat folosind AVG, el mi-a spus să reporniţi computerul a făcut acest lucru, dar apoi a venit înapoi până a spune ce a fost infectat din nou, aşa că de data asta m-am mutat-o la virusul valut şi a şters-o, acest oprit-o spunând că a fost infectat, dar acum am o eroare Mesaj vine a spune că fişierul pe care a fost virusul nu a putut găsi şi acess am refuzat, are trojon mi-a schimbat acum registery şi Windows nu poate să găsească virus, i dont know?

dar acest lucru este ciudat, după cum puteţi vedea mai jos există mea începe bar, dacă vă uitaţi nxt la ceas, toate pictogramele au mers ciudat, acest lucru sa întâmplat când am recived de trojon.

poate cineva să mă ajute repara acest icon probleme, deoarece este obtinerea pe nervoase, restul de operare în care computerul este ca de obicei, doar i sa cant deschis lucrurile whn i minmize şi le muta la tava, şi ar fi, de asemenea, posibilitatea de a recomanda în cazul în care nu pot merge pentru a face dublu-vă că acest trojon a mers cum am ştiut că se poate întoarce themelves sus şi apoi înlocuiţi-l înapoi o faţa locului, după origanel a fost ştearsă.

Ne pare rău pentru orice greseala de ortografie sau de acest lucru fiind pus în alt loc, dar acest lucru a fost cauzat de un tojon la cunoştinţele mele.

calculatorul meu este, după cum urmează:
800Mhz P3 procesor
512MB RAM
30gb hard-disk
Windows XP Profesional

**evilfantasy** · #2 21 aprilie 2008, 11:53

Bine ati venit la CJ.

Descărcaţi şi redenumiţi HijackThis (HJT)

Faceţi dublu-clic pe HJTInstall.
Click pe Instalaţi buton.
Se va transforma automat în loc HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe
După instalare, HijackThis ar trebui să se deschidă pentru tine.
- Închide HijackThis şi redenumiţi-o.
- Du-te la C: \ Program Files \ Trend Micro \HijackThis.exe
- Click dreapta pe HijackThis.exe şi selectaţi Redenumire
- Tip în sniper.exe şi apăsaţi Introduceţi
- Clic-dreapta pe sniper.exe şi selectaţi Pentru a trimite > Spaţiul de lucru (crea shortcut)
De la spaţiul de lucru deschis Hijackthis.
Dacă utilizaţi Windows Vista, Clic-dreapta şi Executare ca administrator
Faceţi clic pe Fă-un sistem de scanare şi salva un fişier de log
Hijackthis va scana şi apoi un jurnal se va deschide în Notepad.
Copiaţi şi apoi inseraţi întregul conţinut al jurnalului în post.
- Nu au Hijackthis repara nimic încă. Cea mai mare parte a ceea ce se constată va fi inofensiv sau chiar sunt necesare.

Notă: Deşi ne-am redenumit Hijackthis la lunetist, ne vom referi în continuare să-l ca Hijackthis sau HJT.

**rbscooby** · #3 21 aprilie 2008, 12:01

Logfile de Trend Micro HijackThis v2.0.2
Scan salvate la 19:59:33, pe 21/04/2008
Platforma: Windows XP SP2 (WINNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Rularea procese:
C: \ Windows \ system32 \ smss.exe
C: \ Windows \ system32 \ winlogon.exe
C: \ Windows \ system32 \ services.exe
C: \ Windows \ system32 \ lsass.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Windows \ system32 \ Spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ Explorer.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Comodo \ Firewall \ CPF.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Documents and Settings \ Katie \ svchost.exe
C: \ Windows \ system32 \ Ctfmon.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Windows \ system32 \ devldr32.exe
C: \ Windows \ system32 \ wuauclt.exe
C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ LimeWire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Setări, ProxyOverride = *. local
O2 - BHO: (no name) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ Windows \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (no name) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no file)
O2 - BHO: (no name) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ Windows \ system32 \ ddcCTmKC.dll (fişierul lipseşte)
O2 - BHO: Windows Live Sign-in-Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (no name) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ Windows \ system32 \ awtusqOf.dll (fişierul lipseşte)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / startup
O4 - HKLM \ .. \ Run: [COMODO Firewall Pro] "C: \ Program Files \ Comodo \ Firewall \ CPF.exe" / fundal
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Documents and Settings \ Katie \ svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] Rundll32.exe "C: \ Windows \ system32 \ ygtmlndf.dll", s
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ Windows \ system32 \ Ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ Windows \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ Windows \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ Windows \ system32 \ Ctfmon.exe (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ Windows \ system32 \ Ctfmon.exe (User 'Default user')
O8 - Extra context menu item: E & xportaţi la Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ milionimi ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra button: Cercetare - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ milionimi ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network de diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network de diagnostic \ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (vitală cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: awtusqOf - awtusqOf.dll (fişierul lipseşte)
O23 - Service: Apple Mobile Device - Apple, Inc - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Service - Apple Inc - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: iPod Service - Apple Inc - C: \ Program Files \ iPod \ bin \ iPodService.exe
--
Sfârşit de fişier - 6141 bytes

**evilfantasy** · #4 21 aprilie 2008, 12:09

Încă mai ai unele destul de rău infecţii. Avem nevoie de a rula câteva unelte care vă vor ajuta cu eliminarea.

Descărca SDFix.exe şi salvaţi-l pe Desktop.

Faceţi dublu clic SDFix.exe şi se va extrage fişierele% systemdrive%
(Unitatea care conţine directorul Windows, de obicei, C: \ SDFix)

Vă rugăm să apoi reporniţi computerul în Safe Mode de a face următoarele:

Reporniţi computerul
După audiere computer sonor de o dată în timpul pornirii, dar înainte de Windows apare pictograma, atingeţi tasta F8 continuu;
În loc de Windows încărcare ca de obicei, de meniu de opţiuni avansate ar trebui să apară;
Selectaţi prima opţiune, pentru a rula Windows în Safe Mode, apoi apăsaţi Introduceţi.
Alege-ţi contul de obicei.
Deschideţi extrase SDFix dosar şi dublu clic RunThis.bat pentru a porni script-ul.
Tip Y pentru a începe procesul de curăţare.
Se va elimina orice Trojan Servicii şi intrările registry pe care le găseşte apoi vă solicită să apăsaţi orice tastă pentru a reporni.
Apăsaţi orice tastă şi se va reporni PC-ul.
În cazul în care PC-ul reporneşte Fixtool va rula din nou şi a termina procesul de eliminare apoi de afişare Terminate, Apăsaţi orice tastă pentru a termina script sarcină şi spaţiul de lucru pictograme.
Odată ce desktop icoane incarca SDFix raport se va deschide pe ecran şi, de asemenea, cu excepţia în SDFix ca dosarul Report.txt
(Report.txt De asemenea, vor fi copiate în clipboard).
În cele din urmă de a adăuga conţinut al Report.txt în următoarea post.

----------

Vă rugăm să descărcaţi Combofix de sUBs de la unul din link-urile de mai jos.
(Încearcă toate trei, dacă este necesar)

Important! Combofix.exe TREBUIE SĂ pentru a fi salvate şi a fugit de la Spaţiul de lucru.

Închideţi orice deschide browsere. (Firefox, Internet Explorer, etc), înainte de a începe Combofix.
Important! Temporar dezactiva al tău antivirus, script-ul de blocare , precum şi orice antispyware de protecţie în timp real înainte care efectuează o scanare.
- Faceţi clic pe acest link pentru a vedea o listă de programe de securitate care ar trebui să fie cu handicap şi modul de dezactivare a lor.
- Dacă dumneavoastră nu este în listă şi nu ştiţi cum să dezactivaţi-l, vă rugăm să întrebaţi.
Atenţie: Combofix deconectează computerul de pe internet. Conexiunea este restabilit în mod automat înainte de Combofix completeaza sa fugi.
Faceţi dublu clic combofix.exe & urmăriţi solicitările.
- Alege Da pentru a accepta Disclaimers.[
Când aţi terminat, se va produce un jurnal pentru tine.
Post-vă că intraţi în următorul răspuns.

Atenţie: Nu mouseclick combofix fereastra în timp ce se execută. Care pot determina să-l băga în grajd

Dacă Combofix rulează în dificultate şi se termină prematur, conexiunea poate fi restaurată de manual reporniţi computerul.
Important: Amintiţi-vă pentru a reactiva antivirus şi antispyware, înainte de reconnecting la Internet.

----------

Înainte posta, vă rugăm să adăugaţi
SDFix jurnal
Combofix jurnal

**rbscooby** · #5 21 aprilie 2008, 12:23

Ne pare rău, dar nu pot face acest lucru chiar acum, că a fost un computer prieteni, dar trebuie să plec acum, să fie din nou pe lângă vineri, pentru a continua.

**evilfantasy** · #6 21 aprilie 2008, 12:24

Nici o problemă, vom fi aici.

**rbscooby** · #7 22 aprilie 2008, 12:00

hei im înapoi, pare ca am avut un loc liber de azi, aşa că m-am întors de pe aici pentru a termina cu prietenii mei computer, acum am facut prima jumătate a anului de lucru. bit folosind SDfix lucru, le-a sortate pe tava mea de start bar vă mulţumesc, dar după ce am făcut asta reporniţi pic vine înapoi pe normal ferestre de la modul de siguranţă, acesta a venit spun, a fost de verificare pentru malware-ului şi-ar lua aproximativ 5 mins cum ai spus, dar am lăsat-o pentru mai bine de o oră, şi de nimic, este că final de scanare cu adevarat necesare?

deci tot ce am în acest fişier de log este :

SDFix: Version 1.173
Fugi de Katie pe 22/04/2008 de la 18:41
Microsoft Windows XP [Version 5.1.2600]
Rularea la: C: \ SDFix
Verificarea Servicii :

Restaurarea Windows Registry Valori
Restaurarea Windows Implicit fişierul Hosts
Repornirea

Verificarea Fişiere :
Trojan fişierele găsite:
C: \ Documents and Settings \ Katie \ svchost.exe - eliminat
C: \ Windows \ system32 \ pac.txt - eliminat

Ştergerea Temp Files
ADS Check :

**evilfantasy** · #8 22 aprilie 2008, 12:03

Citat:

a venit pana a spune, a fost de verificare pentru malware-ului şi-ar lua aproximativ 5 mins

Care scanare? SDFix sau Combofix.

**rbscooby** · #9 22 aprilie 2008, 12:05

sdfix nu face Combo încă, trebuie să fac acum?

**evilfantasy** · #10 22 aprilie 2008, 12:11

Da opri SDFix în cazul în care acesta este în continuare să fie difuzate şi să Combofix de scanare.

Instalaţi-l pe desktop şi rulaţi-l ca asta.

Vă rugăm să descărcaţi Combofix de sUBs de la unul din link-urile de mai jos.
(Încearcă toate trei, dacă este necesar)

Important! Combofix.exe TREBUIE SĂ pentru a fi salvate şi a fugit de la Spaţiul de lucru.

Închideţi orice deschide browsere. (Firefox, Internet Explorer, etc), înainte de a începe Combofix.

Asiguraţi-vă că combofix se află pe desktop.
Acum STOP toate programele de monitorizare
Faceţi clic pe acest link pentru a vedea o listă de programe de securitate care ar trebui să fie cu handicap şi modul de dezactivare a lor.
Faceţi clic pe START buton şi alege Fugi. Apoi Copy / paste de întreg conţinut din următoarele Codebox (inclusiv "" mărcile şi simbolurile) în rula caseta.

Cod:

"% userprofile% \ Desktop \ ComboFix.exe" / killall

Faceţi clic pe OK iar acest lucru va începe în combofix-un mod special.
Când aţi terminat, se va produce un jurnal.
Vă rugăm să luaţi în afară de faptul că la un jurnal Notepad fişiere şi-l includeţi în următoarea replică.

Notă:
Nu faceţi clic pe mouse-combofix a fereastră în timp ce se execută. Care pot determina să-l băga în grajd.

* ComboFix va Reporniţi în mod automat maşina dvs., atunci când Killall parametru este utilizat.

Combofix (CF) deconectează maşina dvs. de pe internet. Conexiunea este restabilit în mod automat înainte de CF completeaza sa fugi.
Dacă CF rulează în dificultate şi se termină prematur, Conexiunea poate fi restabilită manual de a reporni calculatorul dumneavoastră.

Post întreaga Combofix jurnal în următorul răspuns.