Trojon думал об исключении, но .....

**rbscooby** · #1 21 апреля 2008, 11:50

Я получил trojon несколько дней, и я исцелилась с помощью AVG, он сказал мне, чтобы перезагрузить компьютер сделал это, но потом она вернулась вверх, что она была заражена еще раз, так что это время я переехал его вирус Валют и удалил его, это она была остановлена, что он инфицирован, но сейчас я получаю сообщение об ошибке электронном письме ближайшие вверх сказать, что файл, который вирус не может найти и acess я отрицал, имеет trojon изменили мою registery и теперь Windows не может найти вирус, я не знаете?

но это странно, как вы можете видеть ниже, там я начала бар, если вы посмотрите nxt на часы, все иконы прошли смешно, это случилось, когда я recived в trojon.

кто-нибудь может мне помочь ремонт этот значок проблемы, как он становится на мою нерв, остальные компьютер работает как обычно, ее просто я наклоняю открытых вещей whn Я minmize и они двигаются на лотке, и это также можно рекомендовать Где я могу пойти, чтобы двойной уверен, что это trojon прошла, как я знаю, что они могут вернуться themelves вверх, а затем заменить его о месте после origanel была удалена.

Приносим извинения за любые ошибки или это должен быть расположен в том месте, но это было вызвано tojon насколько мне известно.

моего компьютера выглядит следующим образом:
800 МГц процессор P3
512MB RAM
30GB жесткого диска
Windows XP Profesional

**evilfantasy** · #2 21 апреля 2008, 11:53

Добро пожаловать на CJ.

Скачать и переименовать HijackThis (HJT)

Дважды щелкните на HJTInstall.
Нажмите на Установить кнопку.
Она будет автоматически место в HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe
После установки, HijackThis следует открыть для вас.
- Закрыть HijackThis и переименовать ее.
- Перейти в C: \ Program Files \ Trend Micro \HijackThis.exe
- Щелкните правой кнопкой мыши на HijackThis.exe и выберите Переименовать
- Введите sniper.exe и нажмите Войти
- Щелкните правой кнопкой мыши на sniper.exe и выберите Отправить > Desktop (создать ярлык)
На рабочем столе откройте HijackThis.
Если вы используете Windows Vista, Щелкните правой кнопкой мыши и Запуск от имени администратора
Нажмите на У системы сканирования и сохранения лог-файла
HijackThis будет проверять, а затем журнал будет открыт в Блокноте.
Скопируйте и вставьте все содержание этого войдите в ваш пост.
- Не имеют HijackThis исправить что-либо еще. Большинство из того, что она считает, будет безвредны или даже требуется.

Примечание: Хотя мы переименовали HijackThis для снайпера, мы по-прежнему относятся к нему как HijackThis и HJT.

**rbscooby** · #3 21 апреля 2008, 12:01

LOGFILE от Trend Micro HijackThis v2.0.2
Сканирования сохраняются в 19:59:33 от 21/04/2008
Платформа: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Режим загрузки: Нормальный
Запуск процессов:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Мобильные устройства Support \ Bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ Explorer.EXE
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Comodo \ Firewall \ CPF.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ Bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Documents и Settings \ Katie \ svchost.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ IPod \ Bin \ iPodService.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ LimeWire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, поиск Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Стартовая страница = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, поиск Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Стартовая страница = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Мастер подключения, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Настройки, ProxyOverride = *. местных
O2 - BHO: (без названия) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper класса - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_05 \ Bin \ ssv.dll
O2 - BHO: (без названия) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (нет файла)
O2 - BHO: (без названия) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (файл отсутствует)
O2 - BHO: Windows Live Вход в помощнике - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (без названия) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (файл отсутствует)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [COMODO Firewall Pro] "C: \ Program Files \ Comodo \ Firewall \ CPF.exe" / фона
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ Bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Целевая] "C: \ Program Files \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Documents и Settings \ Katie \ svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll", S
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (Пользователь местных СЕРВИС ')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (Пользователь местных СЕРВИС ')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (Пользователь 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (Пользователь 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (Пользователь "пользователя по умолчанию ')
O8 - Дополнительные контекстном меню пункт: E И Экспортировать в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000
O9 - Дополнительные кнопки: (без названия) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ Bin \ ssv.dll
O9 - Экстра "Сервис" MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ Bin \ ssv.dll
O9 - Дополнительные кнопки: Исследования - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - Дополнительные кнопки: (без названия) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Диагностический \ xpnetdiag.exe
O9 - Экстра "Сервис" MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Диагностический \ xpnetdiag.exe
O9 - Дополнительные кнопки: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Экстра "Сервис" MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Важнейшие cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Известить: awtusqOf - awtusqOf.dll (файл отсутствует)
O23 - Service: Apple мобильных устройств - Apple, Inc - C: \ Program Files \ Common Files \ Apple \ мобильных устройств Поддержка \ Bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 оповещения диспетчера серверов (Avg7Alrt) - Grisoft, с.р.о. - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 обновление службы (Avg7UpdSvc) - Grisoft, с.р.о. - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Сервис - Apple инк - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo Применение Agent (CmdAgent) - COMODO - C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: Служба IPod - Apple инк - C: \ Program Files \ IPod \ Bin \ iPodService.exe
--
Конец файла - 6141 байт

**evilfantasy** · #4 21 апреля 2008, 12:09

Вы все еще есть очень плохо инфекций. Нам необходимо запустить несколько инструментов, которые помогут с удалением.

Загрузка SDFix.exe и сохранить ее на рабочем столе.

Дважды щелкните SDFix.exe и она будет распаковать файлы в% SystemDrive%
(Диск, который содержит каталог Windows, обычно C: \ SDFix)

Пожалуйста, затем перезагрузить компьютер в Безопасный режим Для этого сделайте следующее:

Перезагрузите компьютер
Заслушав компьютере звуковой сигнал один раз во время запуска, а до Windows отображается значок, нажмите клавишу F8 постоянно;
Вместо того, идет загрузка Windows, как обычный, расширенного меню должна появиться;
Выберите первый вариант, чтобы запустить Windows в безопасном режиме, а затем нажмите Войти.
Выберите вашу обычную учетную запись.
Откройте добыто SDFix папку и дважды щелкните RunThis.bat Для запуска сценария.
Печатать Y начать процесс очистки.
Он будет удалить Trojan обслуживанию и записей реестра, что он считает, то вам нажать любую клавишу для перезагрузки.
Нажмите любую клавишу, и она будет перезагрузить компьютер.
Когда компьютер перезагружается, Fixtool будет снова и завершения процесса удаления нажмите дисплей ЗавершенныеНажмите любую клавишу для завершения сценария и загрузить иконки на рабочем столе.
После того, как на рабочем столе иконки загрузки SDFix докладе будет открыта на экране, а также сохранить в папку, как SDFix Report.txt
(Report.txt также будут скопированы в буфер обмена).
Наконец добавить содержание из Report.txt в следующий пост.

----------

Пожалуйста, скачайте Combofix субтитры на одном из указанных ниже ссылок.
(Попробуйте все три, если это необходимо)

Внимание! Combofix.exe ДОЛЖЕН сохраняется и побежал от Desktop.

Закройте все открытые веб-браузеров. (Firefox, Internet Explorer, и т.д.), прежде чем начинать Combofix.
Внимание! Временно выключать ваш антивирус, сценарий блокирования и любые защита от программ-шпионов Защита в реальном времени прежде выполнение сканирования.
- Нажмите эту ссылку для просмотра списка программ безопасности, которые должны быть отключены, и о том, как их отключить.
- Если у вас нет в списке, и вы не знаете, как отключить его, пожалуйста, прошу.
Внимание! Combofix отключении компьютера от сети Интернет. Соединение автоматически восстановлены до Combofix завершит перспективе.
Дважды щелкните combofix.exe И следуйте инструкциям на экране.
- Выберите Да, чтобы принять от ответственности.[
Когда закончили, она будет производить журнал для вас.
Почтовые, что войти в ваш следующий ответ.

Внимание! Не mouseclick combofix окна во время его работы. Это может привести к ее срыва

Если Combofix впадает трудности и прекращается досрочно, соединение может быть восстановлен вручную перезагрузить компьютер.
Важно: Не забудьте снова включить ваш антивирус и защита от программ-шпионов, прежде чем снова подключиться к Интернету.

----------

Следующий пост просьба добавить
SDFix журнала
Combofix журнала

**rbscooby** · #5 21 апреля 2008, 12:23

Простите, но я могу сделать это прямо сейчас, это было друзей компьютер, но я должен идти теперь вернемся на следующей пятницы, чтобы продолжить.

**evilfantasy** · #6 21 апреля 2008, 12:24

Нет проблем, мы будем здесь.

**rbscooby** · #7 22 апреля 2008, 12:00

Hey IM назад, оказывается, у меня был свободный месте сегодня, поэтому я вернулся на закончить здесь с моими друзьями компьютере, теперь я в первой половине вещь. разрядных использованием SDfix вещь, она сортируется моего лотка на начало бар благодарю вас, но после того, как я делал это перезапустите битных вернуться на нормальные окна с безопасный режим, он подошел говоря, это была проверка на наличие вредоносных программ и займет около 5 мин как вы сказали, но я оставил его на более чем один час, и ничего, что окончательное сканирование действительно необходимы?

так я получил в том, что файл журнала :

SDFix: Версия 1,173
Пробег по Katie от 22/04/2008 на 18:41
Microsoft Windows XP [Версия 5.1.2600]
Запуск С: C: \ SDFix
Проверка услуги :

Восстановление реестра Windows
Восстановление Windows по умолчанию файла Hosts
Перезагрузка

Проверка файлов :
Trojan Найдено файлов:
C: \ Documents и Settings \ Katie \ svchost.exe - Удаленные
C: \ WINDOWS \ system32 \ pac.txt - Удаленные

Удаление файлов Temp
ADS Проверить :

**evilfantasy** · #8 22 апреля 2008, 12:03

Цитата:

он подошел говоря, это была проверка на наличие вредоносных программ и займет около 5 мин

Какую проверку? SDFix или Combofix.

**rbscooby** · #9 22 апреля 2008, 12:05

sdfix не сделали комбо тем не менее, я буду делать сейчас?

**evilfantasy** · #10 22 апреля 2008, 12:11

Да SDFix остановить, если он все еще работает, и делать Combofix сканирование.

Установите его на рабочем столе и запустите его, как это.

Пожалуйста, скачайте Combofix субтитры на одном из указанных ниже ссылок.
(Попробуйте все три, если это необходимо)

Внимание! Combofix.exe ДОЛЖЕН сохраняется и побежал от Desktop.

Закройте все открытые веб-браузеров. (Firefox, Internet Explorer, и т.д.), прежде чем начинать Combofix.

Убедитесь в том, combofix находится на вашем рабочем столе.
Теперь STOP всех ваших программ мониторинга
Нажмите эту ссылку для просмотра списка программ безопасности, которые должны быть отключены, и о том, как их отключить.
Нажмите на НАЧАЛО кнопкой и выберите Бежать. Тогда копировать / вставить определенный артикль всего содержание следующих Codebox (в том числе "" Знаки и символы), в перспективе поле.

Код:

"% UserProfile% \ Desktop \ ComboFix.exe" / KillAll

Нажмите OK и это будет началом combofix в особым образом.
Когда закончили, она будет производить журнала.
Пожалуйста, за исключением того, что вход в блокноте файлов и включить его в ваш следующий ответ.

Примечание:
Не кликом мыши combofix окна во время его работы. Это может привести к ее срыва.

* ComboFix будет автоматического перезапуска вашу машину, когда KillAll Переключатель используется.

Combofix (CF) отключает компьютер из Интернета. Соединение автоматически восстановлены до CF завершит перспективе.
Если CF впадает трудность и прекращается досрочно, Соединение может быть восстановлен вручную перезагрузить ваш компьютер.

Почтовые весь Combofix войти в следующий ответ.

Резьба Инструменты
Показать Версия для печати Email эта страница