Trojon認為，被刪除，但.....

**rbscooby** · ＃1 2008年4月21日， 11:50

我得到trojon了幾天，我用的AVG癒合，它告訴我要重新啟動電腦，這樣做，但後來它回來了說這是再次感染，所以這個時候，我轉移到該病毒valut和刪除，這停止它說，這是感染了病毒，但現在我得到一個錯誤報文的話說，未來的文件，這是病毒無法找到和訪問字母i否認，有trojon改變了我的registery ，現在Windows無法找到病毒，我不知道？

但是，這是奇怪的，因為你可以看到下面有我開始吧，如果你看看nxt的時鐘，所有的圖標都好笑，這件事，我recived的trojon 。

有人可以幫我修復這個圖標麻煩，因為它正在對我的神經，其餘的電腦運作正常，其公正字母i不能公開的事情whn字母i minmize和他們遷移到托盤，並將它也有可能建議在那裡我可以去作雙重肯定這trojon了，因為我知道，他們可以回到themelves ，然後取代它回到ö現場後origanel已被刪除。

抱歉任何拼寫錯誤或此被放置在錯誤的地方，但是這已經引起的tojon據我所知。

我的電腦如下：
處理器800MHz的小三
的512Mb內存
30GB硬盤
Windows XP的專業

**evilfantasy** · ＃2 2008年4月21日，十一時五十三分

歡迎希傑。

下載並重新命名 了HijackThis （ HJT ）

雙擊HJTInstall 。
點擊安裝按鈕。
它會自動地在HJT ç ： \ Program Files文件\趨勢科技\了HijackThis \ HijackThis.exe
安裝時，應打開了HijackThis適合您。
- 關閉 HijackThis並重新命名它。
- 請轉到C ： \ Program Files文件\趨勢科技\HijackThis.exe
- 右鍵單擊 HijackThis.exe 並選擇 重命名
- 鍵入 sniper.exe 並按下輸入
- 右鍵單擊 關於 sniper.exe 並選擇 發送到 “ 桌面（創建快捷方式）
從桌面上打開了HijackThis 。
如果使用 Windows Vista的， 右鍵單擊和 以管理員身份運行
點擊 做了系統掃描並保存日誌文件
了HijackThis掃描，然後將記錄在記事本中打開。
複製，然後粘貼的全部內容日誌在您的帖子。
- 不要有沒有什麼了HijackThis修復。大多數它認為將是無害的，甚至需要。

注：雖然我們已經改名了HijackThis來狙擊，我們仍會把它稱為了HijackThis或HJT 。

**rbscooby** · ＃3 2008年4月21日， 12:01

日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於19時59分33秒，就21/04/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16640 ）
啟動模式：正常
正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\蘋果\移動設備支持\斌\ AppleMobileDeviceService.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ Program Files文件\卓悅\ mDNSResponder.exe
ç ： \ Program Files文件\魔島\防火牆\ cmdagent.exe
ç ： \窗口\ Explorer.exe的
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \ Program Files文件\魔島\防火牆\ CPF.exe
ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ jusched.exe
ç ： \ Program Files文件\的iTunes \ iTunesHelper.exe
ç ： \的Documents and Settings \凱蒂\ svchost.exe
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \ Program Files文件\蘋果\斌\ iPodService.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ devldr32.exe
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \ Program Files文件\的Internet Explorer \ IEXPLORE.EXE
ç ： \ Program Files文件\共同文件\微軟共享\的Windows Live \ WLLoginProxy.exe
ç ： \ Program Files文件\ limewire \ limewire.exe
ç ： \窗口\ Microsoft.NET \框架\ 3.0 \ Windows通訊基礎\ infocard.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\趨勢科技\了HijackThis \ sniper.exe.exe
受體1 - HKCU \軟件\微軟\的Internet Explorer \主，搜索頁面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \軟件\微軟\的Internet Explorer \主，初始頁= http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受體1 - HKLM \軟件\微軟\的Internet Explorer \主，搜索頁面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \軟件\微軟\的Internet Explorer \主，初始頁= http://go.microsoft.com/fwlink/?LinkId=69157
受體1 - HKCU \軟件\微軟\ Internet連接嚮導， ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
受體1 - HKCU \軟件\微軟\的Windows \ CurrentVersion \國際以太設置， ProxyOverride = *.地方
氧- BHO ：（無姓名） - （ 3CAB59B4 - 55A3 - 4737 - 9FD5 - B93C6430BF75 ） - ç ： \窗口\ system32 \ vmudtcfc.dll
氧- BHO ： SSVHelper類- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ ssv.dll
氧- BHO ：（無姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （沒有文件）
氧- BHO ：（無姓名） - （ 8ED10090 - 2269 - 4205 - 82A8 - C74E1F6A7E5A ） - ç ： \窗口\ system32 \ ddcCTmKC.dll （檔案遺失）
氧- BHO ：的Windows Live登錄助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微軟共享\的Windows Live \ WindowsLiveLogin.dll
氧- BHO ：（無姓名） - （ EE5A1465 - 1E73 - 4784 - 8F63 - 45983FDF0DB8 ） - ç ： \窗口\ system32 \ awtusqOf.dll （檔案遺失）
物理學- HKLM \ .. \運行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起動
物理學- HKLM \ .. \運行： [魔島防火牆專業]的“ C ： \ Program Files文件\魔島\防火牆\ CPF.exe ” /背景
物理學- HKLM \ .. \運行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ jusched.exe ”
物理學- HKLM \ .. \運行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime
物理學- HKLM \ .. \運行： [ iTunesHelper ]的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ”
物理學- HKLM \ .. \運行： [主機進程] ç ： \的Documents and Settings \凱蒂\ svchost.exe
物理學- HKLM \ .. \運行： [ BM639603ab ] Rundll32.exe的“ C ： \窗口\ system32 \ ygtmlndf.dll ” ，第S
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 20 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶的網絡服務' ）
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶默認用戶' ）
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -額外的按鈕：（無姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ ssv.dll
O9 -額外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_05 \斌\ ssv.dll
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -額外的按鈕：（無姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的按鈕： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器：（ A90A5822 - F108 - 45AD - 8482 - 9BC8B12DD539 ）（關鍵cpcScan ） - http://www.crucial.com/controls/cpcScanner.cab
O16 -柴油機微粒過濾器：（ D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 ）（衝擊波的Flash對象） - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
ø20 - Winlogon通知： awtusqOf - awtusqOf.dll （檔案遺失）
O23 -服務：蘋果移動設備-蘋果公司- ç ： \ Program Files文件\共同文件\蘋果\移動設備支持\斌\ AppleMobileDeviceService.exe
O23 -服務： AVG7警報管理器服務器（ Avg7Alrt ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服務： AVG7更新服務（ Avg7UpdSvc ） - GRISOFT ，氧化鍶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服務：卓悅服務-蘋果公司- ç ： \ Program Files文件\卓悅\ mDNSResponder.exe
O23 -服務：魔島應用代理（ CmdAgent ） -魔島- ç ： \ Program Files文件\魔島\防火牆\ cmdagent.exe
O23 -服務： iPod服務-蘋果- ç ： \ Program Files文件\蘋果\斌\ iPodService.exe
-
文件結尾- 6141字節

**evilfantasy** · ＃4 2008年4月21日， 12時09

你仍然有一些很糟糕的感染。我們需要運行一些工具，將有助於清除。

下載 SDFix.exe 並保存到桌面。

雙擊 SDFix.exe 這將解壓縮文件為％ SystemDrive ％
（驅動器包含Windows目錄，通常為C ： \ SDFix ）

請再重新啟動您的計算機中 安全模式 做下面的：

重新啟動計算機
在聽取您的計算機響鈴一次啟動過程中，但在此之前的Windows圖標出現，自來水按F8鍵繼續;
而不是Windows負荷為正常，在高級選項菜單應該會出現;
選擇第一個選項，運行Windows在安全模式，然後按下輸入。
選擇通常的帳戶。
打開文件夾，並提取SDFix雙擊 RunThis.bat 啟動腳本。
類型 Ÿ 開始清理進程。
這將消除任何木馬服務和註冊表項，發現提示您按任意鍵重新啟動。
按任意鍵，將重新啟動電腦。
當電腦重新啟動Fixtool將捲土重來，並完成刪除過程然後顯示完成，按任意鍵結束腳本和加載您的桌面圖標。
一旦桌面圖標加載SDFix報告將在屏幕上打開並保存到文件夾中的SDFix Report.txt
（ Report.txt也將被複製到剪貼板）。
最後添加的內容 Report.txt 在您下一次的職務。

----------

請下載Combofix由潛艇從以下鏈接。
（嘗試所有這三個如果必要的話）

重要的！ Combofix.exe 必須保存到跑的桌面。

關閉所有打開Web瀏覽器。（火狐時， Internet Explorer等），開始之前Combofix 。
重要的！ 暫時 喪失能力 你的 防病毒， 腳本攔截 和任何 反間諜 實時保護前執行掃描。
- 點擊 此鏈接 看到一個列表的安全計劃，應該被禁用，以及如何禁用。
- 如果您沒有列出來，你不知道如何禁用它，請要求。
警告： Combofix斷開您的計算機從互聯網上。連接自動恢復完成前Combofix運行。
雙擊combofix.exe ＆按照提示操作。
- 選擇是接受免責聲明。[
完成時，它將產生一個日誌你。
郵報記錄在您下次答复。

警告： 不要mouseclick combofix的窗口同時運行。 這可能會導致它攤檔

如果Combofix經營困難而終止過早，連接可以手動恢復重新啟動計算機。
重要提示：記得要重新啟用您的防病毒和反間諜之前重新到互聯網。

----------

下一步後請添加
SDFix日誌
Combofix日誌

**rbscooby** · ＃5 2008年4月21日， 12時23分

抱歉，但我可以做到這一點，現在這是一個朋友的電腦，但我現在必須回到在下週五繼續進行。

**evilfantasy** · ＃6 2008年4月21日， 12點24分

沒問題，我們將在這裡。

**rbscooby** · ＃7 2008年4月22日， 12:00

嘿即時回，原來我有一個免費的現貨今天，所以我回來就在這裡完成我的朋友的電腦，現在我沒有上半年的事情。位使用SDfix的事情，它已經整理了我的托盤上的開始吧，謝謝你，但這樣做之後，我重新回來位上正常窗口安全模式，它想出說，這是檢查是否有惡意軟件，將需要大約5分鐘像你說的，但我已經離開它的遠遠超過一個小時，沒有的是，最後掃描真正需要？

因此，所有我在這個日誌文件：

SDFix ：版本1.173
由凱蒂在22/04/2008在18:41
微軟Windows XP [版本2600年5月1號]
運行中： C ： \ SDFix
檢查服務 ：

恢復Windows註冊表值
恢復Windows默認Hosts文件
重新開機

檢查文件 ：
木馬找到的檔案：
ç ： \的Documents and Settings \凱蒂\ svchost.exe -刪除
ç ： \窗口\ system32 \ pac.txt -刪除

刪除臨時文件
廣告檢查 ：

**evilfantasy** · ＃8 2008年4月22日， 12時03

報價：

它想出說，這是檢查是否有惡意軟件，將需要大約5分鐘

該掃描？ SDFix或Combofix 。

**rbscooby** · ＃9 2008年4月22日， 12:05

sdfix組合還沒有這樣做，我應該怎麼辦？

**evilfantasy** · ＃10 2008年4月22日， 12時11分

是停止SDFix如果仍然在運行，做Combofix掃描。

它安裝到桌面並運行它這樣。

請下載Combofix由潛艇從以下鏈接。
（嘗試所有這三個如果必要的話）

重要的！ Combofix.exe 必須保存到跑的桌面。

關閉所有打開Web瀏覽器。（火狐時， Internet Explorer等），開始之前Combofix 。

請務必combofix位於您的桌面上。
現在 停止所有的監測方案
點擊 此鏈接 看到一個列表的安全計劃，應該被禁用，以及如何禁用。
點擊您的階段按鈕，並選擇跑。那麼 複製/粘貼 那個整個內容如下Codebox （包括 “ ” 標誌和符號）到運行框中。

碼：

“ ％ userprofile ％ \桌面\ ComboFix.exe ” / KillAll

點擊行這將啟動combofix以特殊的方式。
完成時，它將產生一個日誌。
請保存該記錄到一個記事本文件中，包括在您的下一個答复。

注：
不要點擊一下鼠標combofix的窗口同時運行。這可能會導致它攤檔。

* ComboFix將 自動重新啟動 當你的機器 KillAll 開關使用。

Combofix閃存卡（ CF ）斷開您的計算機從互聯網上。連接自動恢復完成前參看運行。
如果參看碰到困難提前終止，連接可以手動恢復重新啟動機器。

郵政整個Combofix日誌在未來的答复。