Trojon认为，被删除，但.....

**rbscooby** · ＃1 2008年4月21日， 11:50

我得到trojon了几天，我用的AVG愈合，它告诉我要重新启动电脑，这样做，但后来它回来了说这是再次感染，所以这个时候，我转移到该病毒valut和删除，这停止它说，这是感染了病毒，但现在我得到一个错误报文的话说，未来的文件，这是病毒无法找到和访问字母i否认，有trojon改变了我的registery ，现在Windows无法找到病毒，我不知道？

但是，这是奇怪的，因为你可以看到下面有我开始吧，如果你看看nxt的时钟，所有的图标都好笑，这件事，我recived的trojon 。

有人可以帮我修复这个图标麻烦，因为它正在对我的神经，其余的电脑运作正常，其公正字母i不能公开的事情whn字母i minmize和他们迁移到托盘，并将它也有可能建议在那里我可以去作双重肯定这trojon了，因为我知道，他们可以回到themelves ，然后取代它回到ö现场后origanel已被删除。

抱歉任何拼写错误或此被放置在错误的地方，但是这已经引起的tojon据我所知。

我的电脑如下：
处理器800MHz的小三
的512Mb内存
30GB硬盘
Windows XP的专业

**evilfantasy** · ＃2 2008年4月21日，十一时五十三分

欢迎希杰。

下载并重新命名 了HijackThis （ HJT ）

双击HJTInstall 。
点击安装按钮。
它会自动地在HJT ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe
安装时，应打开了HijackThis适合您。
- 关闭 HijackThis并重新命名它。
- 请转到C ： \ Program Files文件\趋势科技\HijackThis.exe
- 右键单击 HijackThis.exe 并选择 重命名
- 键入 sniper.exe 并按下输入
- 右键单击 关于 sniper.exe 并选择 发送到 “ 桌面（创建快捷方式）
从桌面上打开了HijackThis 。
如果使用 Windows Vista的， 右键单击和 以管理员身份运行
点击 做了系统扫描并保存日志文件
了HijackThis扫描，然后将记录在记事本中打开。
复制，然后粘贴的全部内容日志在您的帖子。
- 不要有没有什么了HijackThis修复。大多数它认为将是无害的，甚至需要。

注：虽然我们已经改名了HijackThis来狙击，我们仍会把它称为了HijackThis或HJT 。

**rbscooby** · ＃3 2008年4月21日， 12:01

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于19时59分33秒，就21/04/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16640 ）
启动模式：正常
正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\卓悦\ mDNSResponder.exe
ç ： \ Program Files文件\魔岛\防火墙\ cmdagent.exe
ç ： \窗口\ Explorer.exe的
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\魔岛\防火墙\ CPF.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ jusched.exe
ç ： \ Program Files文件\的iTunes \ iTunesHelper.exe
ç ： \的Documents and Settings \凯蒂\ svchost.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\苹果\斌\ iPodService.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ devldr32.exe
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WLLoginProxy.exe
ç ： \ Program Files文件\ limewire \ limewire.exe
ç ： \窗口\ Microsoft.NET \框架\ 3.0 \ Windows通讯基础\ infocard.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ sniper.exe.exe
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKCU \软件\微软\ Internet连接向导， ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride = *.地方
氧- BHO ：（无姓名） - （ 3CAB59B4 - 55A3 - 4737 - 9FD5 - B93C6430BF75 ） - ç ： \窗口\ system32 \ vmudtcfc.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ ssv.dll
氧- BHO ：（无姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （没有文件）
氧- BHO ：（无姓名） - （ 8ED10090 - 2269 - 4205 - 82A8 - C74E1F6A7E5A ） - ç ： \窗口\ system32 \ ddcCTmKC.dll （档案遗失）
氧- BHO ：的Windows Live登录助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll
氧- BHO ：（无姓名） - （ EE5A1465 - 1E73 - 4784 - 8F63 - 45983FDF0DB8 ） - ç ： \窗口\ system32 \ awtusqOf.dll （档案遗失）
物理学- HKLM \ .. \运行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起动
物理学- HKLM \ .. \运行： [魔岛防火墙专业]的“ C ： \ Program Files文件\魔岛\防火墙\ CPF.exe ” /背景
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ jusched.exe ”
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ iTunesHelper ]的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ”
物理学- HKLM \ .. \运行： [主机进程] ç ： \的Documents and Settings \凯蒂\ svchost.exe
物理学- HKLM \ .. \运行： [ BM639603ab ] Rundll32.exe的“ C ： \窗口\ system32 \ ygtmlndf.dll ” ，第S
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮：（无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ ssv.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮：（无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器：（ A90A5822 - F108 - 45AD - 8482 - 9BC8B12DD539 ）（关键cpcScan ） - http://www.crucial.com/controls/cpcScanner.cab
O16 -柴油机微粒过滤器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（冲击波的Flash对象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
ø20 - Winlogon通知： awtusqOf - awtusqOf.dll （档案遗失）
O23 -服务：苹果移动设备-苹果公司- ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
O23 -服务： AVG7警报管理器服务器（ Avg7Alrt ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服务： AVG7更新服务（ Avg7UpdSvc ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服务：卓悦服务-苹果公司- ç ： \ Program Files文件\卓悦\ mDNSResponder.exe
O23 -服务：魔岛应用代理（ CmdAgent ） -魔岛- ç ： \ Program Files文件\魔岛\防火墙\ cmdagent.exe
O23 -服务： iPod服务-苹果- ç ： \ Program Files文件\苹果\斌\ iPodService.exe
-
文件结尾- 6141字节

**evilfantasy** · ＃4 2008年4月21号， 12时09

你仍然有一些很糟糕的感染。我们需要运行一些工具，将有助于清除。

下载 SDFix.exe 并保存到桌面。

双击 SDFix.exe 这将解压缩文件为％ SystemDrive ％
（驱动器包含Windows目录，通常为C ： \ SDFix ）

请再重新启动您的计算机中 安全模式 做下面的：

重新启动计算机
在听取您的计算机响铃一次启动过程中，但在此之前的Windows图标出现，自来水按F8键继续;
而不是Windows负荷为正常，在高级选项菜单应该会出现;
选择第一个选项，运行Windows在安全模式，然后按下输入。
选择通常的帐户。
打开文件夹，并提取SDFix双击 RunThis.bat 启动脚本。
类型 Ÿ 开始清理进程。
这将消除任何木马服务和注册表项，发现提示您按任意键重新启动。
按任意键，将重新启动电脑。
当电脑重新启动Fixtool将卷土重来，并完成删除过程然后显示完成，按任意键结束脚本和加载您的桌面图标。
一旦桌面图标加载SDFix报告将在屏幕上打开并保存到文件夹中的SDFix Report.txt
（ Report.txt也将被复制到剪贴板）。
最后添加的内容 Report.txt 在您下一次的职务。

----------

请下载Combofix由潜艇从以下链接。
（尝试所有这三个如果必要的话）

重要的！ Combofix.exe 必须保存到跑的桌面。

关闭所有打开Web浏览器。（火狐时， Internet Explorer等），开始之前Combofix 。
重要的！ 暂时 丧失能力 你的 防病毒， 脚本拦截 和任何 反间谍 实时保护前执行扫描。
- 点击 此链接 看到一个列表的安全计划，应该被禁用，以及如何禁用。
- 如果您没有列出来，你不知道如何禁用它，请要求。
警告： Combofix断开您的计算机从互联网上。连接自动恢复完成前Combofix运行。
双击combofix.exe ＆按照提示操作。
- 选择是接受免责声明。[
完成时，它将产生一个日志你。
邮报记录在您下次答复。

警告： 不要mouseclick combofix的窗口同时运行。 这可能会导致它摊档

如果Combofix经营困难而终止过早，连接可以手动恢复重新启动计算机。
重要提示：记得要重新启用您的防病毒和反间谍之前重新到互联网。

----------

下一步后请添加
SDFix日志
Combofix日志

**rbscooby** · ＃5 2008年4月21日， 12时23分

抱歉，但我可以做到这一点，现在这是一个朋友的电脑，但我现在必须回到在下周五继续进行。

**evilfantasy** · ＃6 2008年4月21日， 12点24分

没问题，我们将在这里。

**rbscooby** · ＃7 2008年4月22日， 12:00

嘿即时回，原来我有一个免费的现货今天，所以我回来就在这里完成我的朋友的电脑，现在我没有上半年的事情。位使用SDfix的事情，它已经整理了我的托盘上的开始吧，谢谢你，但这样做之后，我重新回来位上正常窗口安全模式，它想出说，这是检查是否有恶意软件，将需要大约5分钟像你说的，但我已经离开它的远远超过一个小时，没有的是，最后扫描真正需要？

因此，所有我在这个日志文件：

SDFix ：版本1.173
由凯蒂在22/04/2008在18:41
微软Windows XP [版本2600年5月1号]
运行中： C ： \ SDFix
检查服务 ：

恢复Windows注册表值
恢复Windows默认Hosts文件
重新开机

检查文件 ：
木马找到的档案：
ç ： \的Documents and Settings \凯蒂\ svchost.exe -删除
ç ： \窗口\ system32 \ pac.txt -删除

删除临时文件
广告检查 ：

**evilfantasy** · ＃8 2008年4月22日， 12时03

报价：

它想出说，这是检查是否有恶意软件，将需要大约5分钟

该扫描？ SDFix或Combofix 。

**rbscooby** · ＃9 2008年4月22日， 12:05

sdfix组合还没有这样做，我应该怎么办？

**evilfantasy** · ＃10 2008年4月22日， 12时11分

是停止SDFix如果仍然在运行，做Combofix扫描。

它安装到桌面并运行它这样。

请下载Combofix由潜艇从以下链接。
（尝试所有这三个如果必要的话）

重要的！ Combofix.exe 必须保存到跑的桌面。

关闭所有打开Web浏览器。（火狐时， Internet Explorer等），开始之前Combofix 。

请务必combofix位于您的桌面上。
现在 停止所有的监测方案
点击 此链接 看到一个列表的安全计划，应该被禁用，以及如何禁用。
点击您的阶段按钮，并选择跑。那么 复制/粘贴 那个整个内容如下Codebox （包括 “ ” 标志和符号）到运行框中。

码：

“ ％ userprofile ％ \桌面\ ComboFix.exe ” / KillAll

点击行这将启动combofix以特殊的方式。
完成时，它将产生一个日志。
请保存该记录到一个记事本文件中，包括在您的下一个答复。

注：
不要点击一下鼠标combofix的窗口同时运行。这可能会导致它摊档。

* ComboFix将 自动重新启动 当你的机器 KillAll 开关使用。

Combofix闪存卡（ CF ）断开您的计算机从互联网上。连接自动恢复完成前参看运行。
如果参看碰到困难提前终止，连接可以手动恢复重新启动机器。

邮政整个Combofix日志在未来的答复。

类似的主题
线	线程入门	论坛	答复	最后发表
感染Trojon.Vundo.H 。无法清除。	janeswami	病毒，间谍软件和安全	20	2009年5月25日 11时49分
Mirascan不会被删除通过添加/删除或Windows安装清理实用工具！	stephencastellani	Windows操作系统	1	2009年5月8日 17:11
Vundo H最有可能删除，而只是以确保...	卡勒	病毒，间谍软件和安全	9	2009年1月3日 13点09分
病毒/蠕虫/ Trojon杀电脑！	MichaelCrichton12	病毒，间谍软件和安全	16	2008年10月29号 13时42分
只是删除了ZoneAlarm	Mike0001	病毒，间谍软件和安全	2	2008年7月15号 02:42