Trojon tros vara borttaget men .....

**rbscooby** · #1 21 april 2008, 11:50

Jag fick en trojon några dagar och jag läkt använder AVG, det sa åt mig att starta om datorn gjorde det, men då den kom tillbaka upp säger att det var smittad igen, så den här gången jag flyttade den till virus valut och tog bort det, detta slutade det att säga att det var smittade, men nu får jag ett felmeddelande mesage kommer att säga att filen som viruset inte kunde hitta och acess jag nekad, har trojon förändrade mitt registery och nu går inte att hitta virus, i dont know?

men det är märkligt, som ni kan se nedan finns min början bar, om man ser NXT att klockan är alla ikoner har roligt, detta hände när jag emot det trojon.

kan någon hjälpa mig reparera den här ikonen problem som det blir på min mage, resten av datorn fungerar som vanligt, det bara jag skränande öppen saker whn i minmize och de flyttar till facket, och skulle det också vara möjligt att rekommendera där jag kan gå att göra dubbel säker på att detta trojon har gått som jag vet att de kan säkerhetskopiera themelves upp och sedan ersätta det tillbaka o plats efter origanel har tagits bort.

Förlåt för eventuella stavfel eller som är placerade på fel ställe, men detta hade orsakats av en tojon med min kunskap.

min dator är som följer:
800 MHz P3 processor
512MB RAM
30GB hårddisk
windows xp profesional

**evilfantasy** · #2 21 april 2008, 11:53

Välkommen till CJ.

Ladda ner och byta namn HijackThis (HJT)

Dubbelklicka på HJTInstall.
Klicka på Installera knappen.
Det kommer automatiskt plats HJT i C: \ Program \ TrendMicro \ HijackThis \ HijackThis.exe
Efter installation, HijackThis bör öppna för dig.
- Nära HijackThis och döp om den.
- Gå till C: \ Program Files \ Trend Micro \HijackThis.exe
- Högerklicka på HijackThis.exe och välj Byt namn
- Skriv in sniper.exe och tryck Ange
- Högerklicka på sniper.exe och välj Skicka till > Desktop (Skapa genväg)
Från skrivbordet öppna HijackThis.
Om du använder Windows Vista, Högerklicka och Kör som administratör
Klicka på Har en av datorn och spara en loggfil
HijackThis kommer att skanna och sedan en logg kommer att öppna i Anteckningar.
Kopiera och klistra in hela innehållet i loggfilen i ditt inlägg.
- Don't har HijackThis fixa något ännu. Det mesta av vad man anser kommer att vara ofarliga eller till och med nödvändig.

Obs! Trots att vi har bytt namn HijackThis till prickskytt vi fortfarande kallar det för HijackThis eller HJT.

**rbscooby** · #3 21 april 2008, 12:01

Loggfil av Trend Micro HijackThis v2.0.2
Scan sparades vid 19:59:33 den 21/04/2008
Plattform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Kör processer:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ Explorer.EXE
C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Comodo \ Firewall \ CPF.exe
C: \ Program \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Documents and Settings \ Katie \ Svchost.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Internet Explorer \ IEXPLORE.EXE
C: \ Program \ Delade filer \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ LimeWire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = *. lokala
O2 - BHO: (inget namn) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (inget namn) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no file)
O2 - BHO: (inget namn) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (fil saknas)
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program \ Delade filer \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (inget namn) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (fil saknas)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [COMODO Firewall Pro] "C: \ Program Files \ Comodo \ Firewall \ CPF.exe" / bakgrund
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Host Process] C: \ Documents and Settings \ Katie \ Svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll", s
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User "SYSTEM")
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user')
O8 - Extra sammanhang menyobjektet: E & xportera till Microsoft Excel - res: / / C: \ progra ~ 1 \ mikro ~ 2 \ Office11 \ EXCEL.EXE/3000
Ø9 - Extra button: (inget namn) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program \ Java \ jre1.6.0_05 \ bin \ ssv.dll
Ø9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program \ Java \ jre1.6.0_05 \ bin \ ssv.dll
Ø9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ mikro ~ 2 \ Office11 \ REFIEBAR.DLL
Ø9 - Extra button: (inget namn) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
Ø9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
Ø9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
Ø9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Avgörande cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: awtusqOf - awtusqOf.dll (fil saknas)
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ progra ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C: \ Program Files \ Comodo \ Firewall \ cmdagent.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Program Files \ iPod \ bin \ iPodService.exe
--
End of file - 6141 bytes

**evilfantasy** · #4 21 april 2008, 12:09

Du har fortfarande några ganska dåliga infektioner. Vi måste köra några verktyg som kommer att hjälpa till med borttagning.

Hämta SDFix.exe och spara den på skrivbordet.

Dubbelklicka SDFix.exe och det kommer att extrahera filerna till% SystemDrive%
(Enhet som innehåller Windows-katalogen, normalt C: \ SDFix)

Var vänlig och starta om datorn i Felsäkert läge genom att göra följande:

Starta om datorn
Efter att ha hört din dator piper en gång vid starten, men innan Windows visas trycker du på F8 hela tiden;
I stället för Windows lastning som vanligt, den avancerade menyn ska visas;
Välj det första alternativet, att köra Windows i felsäkert läge, tryck Ange.
Välj ditt vanliga konto.
Öppna utvinns SDFix mappen och dubbelklicka RunThis.bat för att starta skriptet.
Typ Y att påbörja sanering process.
Det kommer att ta bort eventuella Trojan Tjänster och registerposter som hittas sedan uppmana dig att trycka på valfri tangent för att starta om.
Tryck på valfri knapp och det kommer att starta om datorn.
När datorn startar om Fixtool kommer att köra igen och slutföra borttagningsprocessen sedan visa FärdigaTryck på valfri knapp för att avsluta script och ladda ditt skrivbord ikoner.
När Skrivbordsikoner ladda SDFix rapport öppnas på skärmen och även spara i SDFix mapp som Report.txt
(Report.txt kommer också att kopieras till Urklipp).
Slutligen lägger du till innehållet i Report.txt i nästa inlägg.

----------

Ladda ner Combofix av följande från en av nedanstående länkar.
(Prova alla tre vid behov)

Viktigt! Combofix.exe MÅSTE sparas och sprang från Desktop.

Stäng alla öppna webbläsare. (Firefox, Internet Explorer, etc.) innan du startar Combofix.
Viktigt! Tillfälligt inaktivera din antivirus, script blockerande och alla AntiSpyware realtid skydd innan utför en genomsökning.
- Klicka denna länk vill se en lista över säkerhetsprogram som bör funktionshindrade och hur man kan inaktivera dem.
- Om du inte finns med och du vet inte hur man kan stänga av den, vänd.
Varning! Combofix kopplar bort datorn från internet. Anslutningen automatiskt återställas innan Combofix slutför loppet.
Dubbelklicka combofix.exe & följ anvisningarna.
- Välj Ja om du accepterar Disclaimers.[
När du är klar kommer det fram en logga åt dig.
Post att logga in din nästa replik.

Varning! Don't mouseclick combofix fönster medan det körs. Det kan orsaka att stanna

Om Combofix körs i svårigheter och slutar i förtid, anslutningen kan manuellt återställas genom att starta om datorn.
Viktigt: Tänk på att åter aktivera ditt antivirus-och antispionprogram innan återknyta till Internet.

----------

Nästa post lägg till
SDFix log
Combofix log

**rbscooby** · #5 21 april 2008, 12:23

ledsen men jag kan göra det här rätt nu, det var ett vänner dator men jag måste gå nu tillbaka på nästa fredag för att fortsätta.

**evilfantasy** · #6 21 april 2008, 12:24

Inga problem, vi kommer vara här.

**rbscooby** · #7 22 april 2008, 12:00

hey im back, visar sig att jag hade en fri plats idag, så jag kom tillbaka hit för att avsluta med mina vänner dator, nu jag gjorde den första hälften av grejen. bitar med hjälp SDfix sak, det har sorterat mitt fack på start bar Tack, men efter jag gjorde att starta bitars komma tillbaka till normala fönster från felsäkert läge, det kom upp sa var det kontroll av sabotageprogram och skulle ta cirka 5 minuter som du sa, men jag har kvar det i över en timme, och ingenting, är det slutliga skanna verkligen behövs?

så allt jag fick i loggfilen :

SDFix: Version 1.173
Kör av Katie den 22/04/2008 vid 18:41
Microsoft Windows XP [Version 5.1.2600]
Running From: C: \ SDFix
Kontrollera Tjänster :

Återställa Windows registervärdena
Restoring Windows Default Hosts File
Omstart

Kontrollera Filer :
Trojan Files Found:
C: \ Documents and Settings \ Katie \ Svchost.exe - Utgår
C: \ WINDOWS \ system32 \ pac.txt - Utgår

Ta bort Temp Files
ADS Check :

**evilfantasy** · #8 22 april 2008, 12:03

Citat:

det kom upp sa var det kontroll av sabotageprogram och skulle ta cirka 5 minuter

Vilka scan? SDFix eller Combofix.

**rbscooby** · #9 22 april 2008, 12:05

sdfix inte gjort combo ännu, ska jag göra nu?

**evilfantasy** · #10 22 april 2008, 12:11

Ja sluta SDFix om det fortfarande är igång och göra Combofix scan.

Installera den till skrivbordet och köra det så här.

Ladda ner Combofix av följande från en av nedanstående länkar.
(Prova alla tre vid behov)

Viktigt! Combofix.exe MÅSTE sparas och sprang från Desktop.

Stäng alla öppna webbläsare. (Firefox, Internet Explorer, etc.) innan du startar Combofix.

Se combofix ligger på skrivbordet.
Nu Stop all övervakning program
Klicka denna länk vill se en lista över säkerhetsprogram som bör funktionshindrade och hur man kan inaktivera dem.
Klicka på din START knappen och välj Springa. Sedan kopiera / klistra in den Hela Innehållet i följande Codebox (Inklusive "" märken och symboler) i rutan Kör.

Kod:

"% userprofile% \ Desktop \ ComboFix.exe" / killall

Klicka OK och detta kommer att starta combofix på ett speciellt sätt.
När du är klar kommer den att producera en logg.
Spara som loggar in till en Notepad fil och inkludera den i ditt nästa svar.

Obs!
Don't musklick combofix fönster medan det körs. Det kan orsaka att stanna.

* ComboFix kommer automatiskt Starta din maskin när Killall switch används.

Combofix (CF) kopplar din dator från Internet. Anslutningen automatiskt återställas innan CF slutför loppet.
Om CF körs i svårigheter och slutar i förtid, Anslutningen kan manuellt återställas genom att starta om din maskin.

Post hela Combofix log i nästa replik.