هتاف اشمئزاز ، Spyware.banker / backdoor.bot...AGAIN!

**تشعل** · #1 10th يونيو 2009 ، 16:21

مرحبا. أنا هنا منذ بضع مرات في محاولة لاصلاح بلدي البرامج الضارة وانها كانت ناجحة ، ولكن يبدو أن الأمور نفسها للحفاظ على الظهور في المسح الضوئي. أجد صعوبة في إدارة أي شيء يمر عبر CMD (combofix / mgtools / Iseeyouxp) لسبب ما. ما يدعوني الى الاعتقاد أنه لأن باث متغير البيئة لا يسمح cmd الحق في الحصول على الملفات؟ على أية حال ، ها هي بعض MBAM بمسح وHJT الدخول.

ملف السجل من تريند مايكرو HijackThis v2.0.2
مسح المحفوظة في 7:20:37 م ، 6/10/2009
نظم التشغيل ويندوز إكس بي SP3 (WinNT 5.01.2600)
MSIE : إنترنت إكسبلورر v7.00 (7.00.6000.16827)
الحذاء واسطة : عادية

إدارة العمليات :
جيم : \ النوافذ \ System32 \ smss.exe
جيم : \ النوافذ \ system32 \ winlogon.exe
جيم : \ النوافذ \ system32 \ services.exe
جيم : \ النوافذ \ system32 \ lsass.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ النوافذ \ System32 \ svchost.exe
جيم : \ النوافذ \ system32 \ spoolsv.exe
جيم : \ PROGRA ~ 1 \ عام ~ 1 \ AOL \ الرابطة \ AOLacsd.exe
جيم : \ ملفات البرنامج \ عام الملفات \ أبل \ النقال دعم \ بن \ AppleMobileDeviceService.exe
جيم : \ PROGRA ~ 1 \ متوسط \ AVG8 \ avgwdsvc.exe
جيم : \ ملفات البرنامج \ مايكروسوفت الأعمال الصغيرة \ مدير الأعمال للاتصال \ BcmSqlStartupSvc.exe
جيم : \ ملفات البرنامج \ Belkin \ Belkin اللاسلكية وشبكة المرافق \ WLService.exe
جيم : \ ملفات البرنامج \ صباح الخير \ mDNSResponder.exe
جيم : \ ملفات البرنامج \ Belkin \ Belkin اللاسلكية وشبكة المرافق \ WLanCfgG.exe
جيم : \ النوافذ \ eHome \ ehRecvr.exe
جيم : \ النوافذ \ eHome \ ehSched.exe
جيم : \ ملفات البرنامج \ إنتل \ إنتل مصفوفة التخزين مدير \ Iaantmon.exe
جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ VS7DEBUG \ MDM.EXE
جيم : \ النوافذ \ system32 \ nvsvc32.exe
ج : \ ملفات البرنامج \ مايكروسوفت SQL خادم \ 90 \ المشتركة \ sqlwriter.exe
جيم : \ النوافذ \ Explorer.EXE
جيم : \ PROGRA ~ 1 \ متوسط \ AVG8 \ avgrsx.exe
جيم : \ النوافذ \ system32 \ dllhost.exe
ج : \ نوافذ \ system32 \ rundll32.exe
ج : \ progra ~ 1 \ متوسط \ avg8 \ avgtray.exe
ج : \ نوافذ \ system32 \ rundll32.exe
ج : \ ملفات البرنامج \ اي تيونز \ ituneshelper.exe
ج : \ نوافذ \ stsystra.exe
ج : \ ملفات البرنامج \ الملفات المشتركة \ installshield \ updateservice \ issch.exe
ج : \ ملفات البرنامج \ إنتل \ إنتل مصفوفة التخزين مدير \ iaanotif.exe
ج : \ نوافذ \ ehome \ ehtray.exe
ج : \ ملفات البرنامج \ ديل \ تجربة وسائل الإعلام \ dmxlauncher.exe
جيم : \ النوافذ \ eHome \ ehmsas.exe
ج : \ ملفات البرنامج \ حرة المكتبي الساعة \ desktopclock.exe
ج : \ ملفات البرنامج \ جوجل \ googletoolbarnotifier \ googletoolbarno tifier.exe
ج : \ نوافذ \ system32 \ ctfmon.exe
ج : \ الوثائق وإعدادات \ كيفن الشباب \ إعدادات المحلية \ بيانات التطبيق \ جوجل \ التحديث \ googleupdate.exe
ج : \ ملفات البرنامج \ superantispyware \ superantispyware.exe
جيم : \ ملفات البرنامج \ بود \ بن \ iPodService.exe
ج : \ garmin \ النمل الوكيل \ النمل agent.exe
ج : \ ملفات البرنامج \ الخط الرقمي كشف \ dlg.exe
ج : \ ملفات البرنامج \ اي تيونز \ itunes.exe
جيم : \ ملفات البرنامج \ جاوا \ jre6 \ بن \ jqs.exe
ج : \ الوثائق وإعدادات \ كيفن الشباب \ إعدادات المحلية \ بيانات التطبيق \ جوجل \ الكروم \ طلب \ chrome.exe
ج : \ الوثائق وإعدادات \ كيفن الشباب \ إعدادات المحلية \ بيانات التطبيق \ جوجل \ الكروم \ طلب \ chrome.exe
ج : \ ملفات البرنامج \ malwarebytes مكافحة البرمجيات الخبيثة \ mbam.exe
ج : \ الوثائق وإعدادات \ كيفن الشباب \ إعدادات المحلية \ بيانات التطبيق \ جوجل \ الكروم \ طلب \ chrome.exe
ج : \ الوثائق وإعدادات \ كيفن الشباب \ إعدادات المحلية \ بيانات التطبيق \ جوجل \ الكروم \ طلب \ chrome.exe
ج : \ الوثائق وإعدادات \ الشاب كيفن \ بلادي الوثائق \ تنزيل \ hijackthis.exe

R1 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية ، Default_Page_URL = http://go.microsoft.com/fwlink/؟LinkId=69157
R1 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية ، Default_Search_URL = http://go.microsoft.com/fwlink/؟LinkId=54896
R1 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية ، صفحة البحث = http://go.microsoft.com/fwlink/؟LinkId=54896
R0 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية ، صفحة البداية = http://go.microsoft.com/fwlink/؟LinkId=69157
R1 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ ابحث ، Default_Page_URL = http://www.google.com/ig/dell؟hl=en&...us&ibd=4061002
R1 -- HKCU \ برامج \ مايكروسوفت \ ويندوز \ CurrentVersion \ Int ernet الإعدادات ، ProxyOverride المحلية = *.
R3 -- URLSearchHook : ياهو! شريط أدوات -- (EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88) -- (أي ملف)
O2 -- BHO : قارئ أدوبي الشعبي المساعد لينك -- (06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3) -- جيم : \ ملفات البرنامج \ أدوبي \ البهلوان 7.0 \ ActiveX \ AcroIEHelper.dll
O2 -- BHO : AOL شريط أدوات الإطلاق -- (7C554162 - 8CB7 - 45A4 - B8F4 - 8EA1C75885F9) -- جيم : \ ملفات البرنامج \ AOL \ هدف شريط أدوات 5.0 \ aoltb.dll
O2 -- BHO : شريط الأدوات الإشعار BHO -- (AF69DE43 - 7D58 - 4638 - B6FA - CE66B5AD205D) -- جيم : \ ملفات البرنامج \ جوجل \ GoogleToolbarNotifier \ 5.1.1309.3572 \ ق wg.dll
O2 -- BHO : جافا (tm) الملحقات في SSV المساعد 2 -- (DBC80044 - A445 - 435b - BC74 - 9C25C1C588A9) -- جيم : \ ملفات البرنامج \ جاوا \ jre6 \ بن \ jp2ssv.dll
O2 -- BHO : JQSIEStartDetectorImpl -- (E7E6F031 - 17CE - 4C07 - BC86 - EABFE594F69C) -- جيم : \ ملفات البرنامج \ جاوا \ jre6 \ تحرر \ نشر \ jqs \ أي \ jqs_plugin.dll
O3 -- شريط الأدوات : شريط أدوات هدف -- (DE9C389F - 3316 - 41A7 - 809B - AA305ED9D922) -- جيم : \ ملفات البرنامج \ AOL \ هدف شريط أدوات 5.0 \ aoltb.dll
O4 -- HKLM \.. \ تشغيل : [NvCplDaemon] RUNDLL32.EXE جيم : \ النوافذ \ system32 \ NvCpl.dll ، NvStartup
O4 -- HKLM \.. \ تشغيل : [nwiz] nwiz.exe / تثبيت
O4 -- HKLM \.. \ تشغيل : [AppleSyncNotifier] جيم : \ ملفات البرنامج \ عام الملفات \ أبل \ النقال دعم \ بن \ AppleSyncNotifier.exe
O4 -- HKLM \.. \ تشغيل : [جوجل بحث سطح المكتب] "جيم : \ ملفات البرنامج \ جوجل \ جوجل بحث سطح المكتب \ GoogleDesktop.exe" / بدء التشغيل
O4 -- HKLM \.. \ تشغيل : [كويك تايم العمل] "ج : \ ملفات البرنامج \ كويك تايم \ qttask.exe" - atboottime
O4 -- HKLM \.. \ تشغيل : [AVG8_TRAY] جيم : \ PROGRA ~ 1 \ متوسط \ AVG8 \ avgtray.exe
O4 -- HKLM \.. \ تشغيل : [NvMediaCenter] RUNDLL32.EXE جيم : \ النوافذ \ system32 \ NvMcTray.dll ، NvTaskbarInit
O4 -- HKLM \.. \ تشغيل : [iTunesHelper] "جيم : \ ملفات البرنامج \ اي تيونز \ iTunesHelper.exe"
O4 -- HKLM \.. \ تشغيل : [SigmatelSysTrayApp] stsystra.exe
O4 -- HKLM \.. \ تشغيل : [ISUSScheduler] "جيم : \ ملفات البرنامج \ عام الملفات \ InstallShield \ UpdateService \ issch.exe" بدء
O4 -- HKLM \.. \ تشغيل : [ISUSPM بدء] "ج : \ ملفات البرنامج \ عام الملفات \ InstallShield \ UpdateService \ isuspm.exe" بين بدء التشغيل
O4 -- HKLM \.. \ تشغيل : [IAAnotif] جيم : \ ملفات البرنامج \ إنتل \ إنتل مصفوفة التخزين مدير \ Iaanotif.exe
O4 -- HKLM \.. \ تشغيل : [ehTray] جيم : \ النوافذ \ ehome \ ehtray.exe
O4 -- HKLM \.. \ تشغيل : [DMXLauncher] جيم : \ ملفات البرنامج \ ديل \ التجربة الإعلامية \ DMXLauncher.exe
O4 -- HKLM \.. \ تشغيل : [DellHelp] جيم : \ ديل \ DellHelp \ DellHelp.exe / ج
O4 -- HKLM \.. \ تشغيل : [SunJavaUpdateSched] "جيم : \ ملفات البرنامج \ جاوا \ jre6 \ بن \ jusched.exe"
O4 -- HKCU \.. \ تشغيل : [SkinClock] ج : \ ملفات البرنامج \ حرة المكتبي الساعة \ DesktopClock.exe
O4 -- HKCU \.. \ تشغيل : [swg] جيم : \ ملفات البرنامج \ جوجل \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 -- HKCU \.. \ تشغيل : [ctfmon.exe] جيم : \ النوافذ \ system32 \ ctfmon.exe
O4 -- HKCU \.. \ تشغيل : [جوجل تحديث] "جيم : \ الوثائق وإعدادات \ كيفن يونغ \ إعدادات المحلية \ بيانات التطبيق \ جوجل \ التحديث \ GoogleUpdate.exe" / ج
O4 -- HKCU \.. \ تشغيل : [SUPERAntiSpyware] جيم : \ ملفات البرنامج \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 -- HKCU \.. \ تشغيل : [النمل] جيم : \ Garmin \ النمل الوكيل \ النمل Agent.exe
O4 -- HKCU \.. \ تشغيل : [Octoshape الجري خدمات] "جيم : \ الوثائق وإعدادات \ كيفن يونغ \ بيانات التطبيق \ Octoshape \ Octoshape الجري خدمات \ OctoshapeClient.exe" بين قوائم الجرد : bootrun
O4 -- HKUS \ دإ - 1 - 5 - 21 - 1206202269 - 1744925342 - 3452710213 - 1006 \.. \ تشغيل : [SkinClock] ج : \ ملفات البرنامج \ حرة المكتبي الساعة \ DesktopClock.exe (المستخدم؟)
O4 -- HKUS \ دإ - 1 - 5 - 21 - 1206202269 - 1744925342 - 3452710213 - 1006 \.. \ تشغيل : [swg] جيم : \ ملفات البرنامج \ جوجل \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe (المستخدم؟)
O4 -- HKUS \ دإ - 1 - 5 - 21 - 1206202269 - 1744925342 - 3452710213 - 1006 \.. \ تشغيل : [ctfmon.exe] جيم : \ النوافذ \ system32 \ ctfmon.exe (المستخدم؟)
O4 -- HKUS \ دإ - 1 - 5 - 21 - 1206202269 - 1744925342 - 3452710213 - 1006 \.. \ تشغيل : [جوجل تحديث] "جيم : \ الوثائق وإعدادات \ كيفن يونغ \ إعدادات المحلية \ بيانات التطبيق \ جوجل \ تحديث \ GoogleUpdate.exe "/ ج (المستخدم؟)
O4 -- HKUS \ دإ - 1 - 5 - 21 - 1206202269 - 1744925342 - 3452710213 - 1006 \.. \ تشغيل : [SUPERAntiSpyware] جيم : \ ملفات البرنامج \ SUPERAntiSpyware \ SUPERAntiSpyware.exe (المستخدم؟)
O4 -- HKUS \ دإ - 1 - 5 - 21 - 1206202269 - 1744925342 - 3452710213 - 1006 \.. \ تشغيل : [النمل] جيم : \ Garmin \ النمل الوكيل \ النمل Agent.exe (المستخدم؟)
O4 -- HKUS \ دإ - 1 - 5 - 21 - 1206202269 - 1744925342 - 3452710213 - 1006 \.. \ تشغيل : [خدمات Octoshape الجري] "جيم : \ الوثائق وإعدادات \ كيفن يونغ \ بيانات التطبيق \ Octoshape \ Octoshape الجري خدمات \ OctoshapeClient.exe "بين قوائم الجرد : bootrun (المستخدم؟)
O4 -- بدء العالمية : قارئ أدوبي Launch.lnk السرعة = جيم : \ ملفات البرنامج \ أدوبي \ البهلوان 7.0 \ قراءة \ reader_sl.exe
O4 -- بدء العالمية : الخط الرقمي Detect.lnk =؟
O8 -- خارج السياق القائمة البند : & هدف البحث -- ج : \ ملفات البرنامج \ aol \ الهدف من شريط الأدوات 5.0 \ الموارد \ én الامريكية \ المحلية \ search.html
O8 -- خارج السياق القائمة البند : هاء & xport لمايكروسوفت اكسل -- القرار : / / جيم : \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ EXCEL.EXE/3000
O9 -- عمليات الإعدام خارج نطاق الزر : هدف شريط أدوات -- (3369AF0D - 62E9 - 4bda - 8103 - B4C75499B578) -- جيم : \ ملفات البرنامج \ AOL \ هدف شريط أدوات 5.0 \ aoltb.dll
O9 -- زر اضافية : بحث -- (92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263) -- جيم : \ PROGRA ~ 1 \ MI1933 ~ 1 \ OFFICE11 \ REFIEBAR.DLL
O9 -- زر اضافية : (بلا اسم) -- (CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE) -- (أي ملف)
O9 -- زر اضافية : (بلا اسم) -- (e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583) -- جيم : \ النوافذ \ شبكة التشخيصية \ xpnetdiag.exe
O9 -- عمليات الإعدام خارج نطاق 'ادوات' menuitem : @ xpsp3res.dll ، -20001 -- (e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583) -- جيم : \ النوافذ \ شبكة التشخيصية \ xpnetdiag.exe
O9 -- عمليات الإعدام خارج نطاق الزر : الرسول -- (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -- جيم : \ ملفات البرنامج \ رسول \ msmsgs.exe
O9 -- عمليات الإعدام خارج نطاق 'ادوات' menuitem : ويندوز رسول -- (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -- جيم : \ ملفات البرنامج \ رسول \ msmsgs.exe
O16 -- DPF : (2D8ED06D - 3C30 - 438B - 96AE - 4D110FDC1FB8) (ActiveScan 2.0 المثبت من الدرجة الاولى) -- http://acs.pandasoftware.com/actives.../as2stubie.cab
O16 -- DPF : (4871A87A - BFDD - 4106 - 8153 - FFDE2BAC2967) (DLM مراقبة) -- http://dlm.tools.akamai.com/dlmanage...ex-2.2.4.1.cab
O16 -- DPF : (56762DEC - 6B0D - 4AB4 - A8AD - 989993B5D08B) (OnlineScanner مراقبة) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 -- DPF : (6E32070A - 766D - 4EE6 - 879C - DC1FA91D2FC3) (MUWebControl من الدرجة الاولى) -- http://update.microsoft.com/microsof...؟1229742173692
O18 -- البروتوكول : linkscanner -- (F274614C - 63F8 - 47D5 - A4D1 - FBDDE494F8D1) -- جيم : \ ملفات البرنامج \ متوسط \ AVG8 \ avgpp.dll
O20 -- Winlogon يخطر :! SASWinLogon -- جيم : \ ملفات البرنامج \ SUPERAntiSpyware \ SASWINLO.dll
O20 -- Winlogon يخطر : avgrsstarter -- جيم : \ النوافذ \ system32 \ avgrsstx.dll
O23 -- الخدمات : AOL خدمة التوصيل (AOL الرابطة) -- اميركا اون لاين ، شركة -- جيم : \ PROGRA ~ 1 \ عام ~ 1 \ AOL \ الرابطة \ AOLacsd.exe
O23 -- الخدمات : أبل جهاز نقال -- شركة أبل -- جيم : \ ملفات البرنامج \ عام الملفات \ أبل \ النقال دعم \ بن \ AppleMobileDeviceService.exe
O23 -- الخدمة : متوسط Free8 الرقابة (avg8wd) -- متوسط تكنولوجيات تشيكوسلوفاكيا ، sro -- جيم : \ PROGRA ~ 1 \ متوسط \ AVG8 \ avgwdsvc.exe
O23 -- الخدمات : Belkin محول الشبكة اللاسلكية USB (Belkin محول الشبكة اللاسلكية دائرة USB) -- مجهول المالك -- جيم : \ ملفات البرنامج \ Belkin \ Belkin اللاسلكية وشبكة المرافق \ WLService.exe
O23 -- الخدمات : صباح الخير الخدمة -- شركة أبل -- جيم : \ ملفات البرنامج \ صباح الخير \ mDNSResponder.exe
O23 -- الخدمات : شركة إنتل (صاد) استئناف سريع لتكنولوجيا ELService) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ IntelDH \ انتل (ص) استئناف سريع لتكنولوجيا سائقين \ Elservice.exe
O23 -- الخدمات : FLEXnet ترخيص الخدمة -- Acresso شركة للبرمجيات -- جيم : \ ملفات البرنامج \ عام الملفات \ Macrovision المشتركة \ FLEXnet الناشر \ FNPLicensingService.exe
O23 -- الخدمات : جوجل سطح المكتب مدير 5.7.806.10245 (GoogleDesktopManager - 061008 - 081103) -- جوجل -- جيم : \ ملفات البرنامج \ جوجل \ جوجل بحث سطح المكتب \ GoogleDesktop.exe
O23 -- الخدمات : برمجيات جوجل التحديث (gusvc) -- جوجل -- جيم : \ ملفات البرنامج \ جوجل \ عام \ جوجل التحديث \ GoogleUpdaterService.exe
O23 -- الخدمات : شركة إنتل (صاد) مصفوفة التخزين رصد الاحداث (IAANTMON) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ إنتل مصفوفة التخزين مدير \ Iaantmon.exe
O23 -- الدائرة : دائرة بود -- شركة أبل -- جيم : \ ملفات البرنامج \ بود \ بن \ iPodService.exe
O23 -- الخدمات : جاوة السريعة المبدئ (JavaQuickStarterService) -- صن مايكروسيستمز ، وشركة -- جيم : \ ملفات البرنامج \ جاوا \ jre6 \ بن \ jqs.exe
O23 -- الخدمات : NVIDIA عرض سائق دائرة NVSvc) -- شركة NVIDIA -- جيم : \ النوافذ \ system32 \ nvsvc32.exe

--
نهاية الملف -- 11391 بايت

Malwarebytes 'مكافحة البرامج الضارة 1.37
قاعدة بيانات النسخة : 2216
نوافذ 5.1.2600 حزمة الخدمة 3

6/2/2009 6:34:22
mbam تسجيل - 2009 - 06 - 02 (18-34-22). النص

نوع المسح : المسح الكامل (جيم : \ |)
الأجسام مسحها : 196280
الوقت المنقضي : 53 دقيقة (ق) ، والثاني 59 (ق)

ذاكرة العمليات المصابة : 0
وحدات الذاكرة المصابة : 0
مفاتيح التسجيل المصابة : 10
سجل القيم المصابة : 0
سجل بيانات البنود المصابة : 0
المجلدات المصابة : 0
الملفات المصابة : 1

ذاكرة العمليات المصابة :
(لا توجد بنود الخبيثة المكتشفة)

وحدات الذاكرة المصابة :
(لا توجد بنود الخبيثة المكتشفة)

مفاتيح التسجيل المصابة :
HKEY_USERS \. الافتراضية \ البرمجيات \ مايكروسوفت \ ويندوز \ الوغد rentVersion \ إكسبلورر \ (19127ad2 - 394b - 70f5 - c650 - b97867baa1f7) (Backdoor.Bot) --> محجور وحذف بنجاح.
HKEY_USERS \. الافتراضية \ البرمجيات \ مايكروسوفت \ ويندوز \ الوغد rentVersion \ إكسبلورر \ (43bf8cd1 - c5d5 - 2230 - 7bb2 - 98f22c2b7dc6) (Backdoor.Bot) --> محجور وحذف بنجاح.
HKEY_USERS \ دإ - 1 - 5 - 18 \ البرمجيات \ مايكروسوفت \ ويندوز \ CurrentVersion \ Explo rer \ (19127ad2 - 394b - 70f5 - c650 - b97867baa1f7) (Backdoor.Bot) --> محجور وحذف بنجاح.
HKEY_USERS \ دإ - 1 - 5 - 18 \ البرمجيات \ مايكروسوفت \ ويندوز \ CurrentVersion \ Explo rer \ (43bf8cd1 - c5d5 - 2230 - 7bb2 - 98f22c2b7dc6) (Backdoor.Bot) --> محجور وحذف بنجاح.
HKEY_CLASSES_ROOT \ TypeLib \ (967b15bc - c0b0 - 4a69 - bfe3 - 2cdcd20adce4) (Spyware.Banker) --> محجور وحذف بنجاح.
HKEY_CLASSES_ROOT \ واجهة \ (1c1ebef0 - 37cf - 4408 - b494 - f6c000fd6ed7) (Spyware.Banker) --> محجور وحذف بنجاح.
HKEY_CLASSES_ROOT \ واجهة \ (339949fb - 4a8c - 4aa3 - bd04 - 8b888d9a642a) (Spyware.Banker) --> محجور وحذف بنجاح.
HKEY_CLASSES_ROOT \ واجهة \ (cf3e4737 - a002 - 49ce - 8e07 - 3460cb177a28) (Spyware.Banker) --> محجور وحذف بنجاح.
HKEY_CLASSES_ROOT \ CLSID \ (b42bf63c - 5354 - 4c5c - a789 - 66efeec5e1b0) (Spyware.Banker) --> محجور وحذف بنجاح.
HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز \ بالعملة entVersion \ إكسبلورر \ المتصفح المساعد الكائنات \ (b42bf63c - 5354 - 4c5c - a789 - 66efeec5e1b0) (Spyware.Banker) --> محجور وحذف بنجاح.

سجل القيم المصابة :
(لا توجد بنود الخبيثة المكتشفة)

سجل بيانات البنود المصابة :
(لا توجد بنود الخبيثة المكتشفة)

المجلدات المصابة :
(لا توجد بنود الخبيثة المكتشفة)

الملفات المصابة :
ج : \ النوافذ \ system32 \ AcroIEHelpe003.dll (Spyware.Banker) --> محجور وحذف بنجاح.

**تشعل** · #2 10th يونيو 2009 ، 16:47

ولكن للاسف ضعف هنا مؤخرا mbam المسح.

Malwarebytes 'مكافحة البرامج الضارة 1.37
قاعدة بيانات النسخة : 2259
نوافذ 5.1.2600 حزمة الخدمة 3

6/10/2009 7:46:14
mbam تسجيل - 2009 - 06 - 10 (19-46-14). النص

نوع المسح : المسح الكامل (جيم : \ |)
الأجسام مسحها : 199320
الوقت المنقضي : 53 دقيقة (ق) ، والثاني 48 (ق)

ذاكرة العمليات المصابة : 0
وحدات الذاكرة المصابة : 0
مفاتيح التسجيل المصابة : 0
سجل القيم المصابة : 0
سجل بيانات البنود المصابة : 0
المجلدات المصابة : 0
الملفات المصابة : 2

ذاكرة العمليات المصابة :
(لا توجد بنود الخبيثة المكتشفة)

وحدات الذاكرة المصابة :
(لا توجد بنود الخبيثة المكتشفة)

مفاتيح التسجيل المصابة :
(لا توجد بنود الخبيثة المكتشفة)

سجل القيم المصابة :
(لا توجد بنود الخبيثة المكتشفة)

سجل بيانات البنود المصابة :
(لا توجد بنود الخبيثة المكتشفة)

المجلدات المصابة :
(لا توجد بنود الخبيثة المكتشفة)

الملفات المصابة :
ج : \ النوافذ \ system32 \ AcroIEHelpe003.dll (Spyware.Banker) --> محجور وحذف بنجاح.
ج : \ الوثائق وإعدادات \ كيفن يونغ \ بيانات التطبيق \ wiaserva.log (Malware.Trace) --> محجور وحذف بنجاح.

**evilfantasy** · #3 10th يونيو 2009 ، 17:32

استخدام أخبار مكافحة الفيروسات ESET سكانر

هذا يتطلب ماسحة إنترنت إكسبلورر

1. حدد المربع الموجود بجوار نعم ، أوافق على شروط الاستخدام.
2. اضغط يبدأ
3. وردا على سؤال ، والسماح لتثبيت السيطرة activex
4. اضغط يبدأ
5. تأكد من أن الخيار العثور على ازالة التهديدات والخيار مسح التطبيقات غير المرغوب فيها هو التحقق من علامات.
6. اضغط المسح الضوئي
7. في انتظار الانتهاء من المسح الضوئي
8. استخدام المفكرة لفتح ملف السجل الموجود في جيم : \ ملفات البرنامج \ EsetOnlineScanner \ log.txt
9. إضافة أل جيم : \ ملفات البرنامج \ EsetOnlineScanner \ log.txt الدخول إلى حسابك في الرد القادم.

**تشعل** · #4 10th يونيو 2009 ، 19:40

# الصيغة = 4
# OnlineScanner.ocx = 1.0.0.635
# OnlineScannerDLLA.dll = 1 ، 0 ، 0 ، 79
# OnlineScannerDLLW.dll = 1 ، 0 ، 0 ، 78
# OnlineScannerUninstaller.exe = 1 ، 0 ، 0 ، 49
# vers_standard_module = 4002 (20090411)
# vers_arch_module = 1.064 (20080214)
# vers_adv_heur_module = 1.066 (20070917)
EOSSerial = # 779dd52fbada7441aba5d1cce1027195
انتهى نهاية = #
= # remove_checked الحقيقي
= # unwanted_checked الحقيقي
utc_time = # 2009-04-12 08:52:10
local_time = # 2009-04-12 04:52:10 (-0500 ، بالتوقيت الصيفي لشرق)
= # البلد "ان الولايات المتحدة"
= # osver الإقليم الشمالي 5.1.2600 حزمة الخدمة 3
الممسوحة ضوئيا = # 362847
ووجد = # 0
scan_time = # 3552

**evilfantasy** · #5 10th يونيو 2009 ، 21:05

حذف ComboFix وتحميل نسخة جديدة. قبل إعادة تسمية الادخار إلى سطح المكتب.

التحميل من ComboFix واحد من الروابط أدناه. يجب عليك إعادة تسمية قبل انقاذه!

المهم! يجب عليك حفظ ComboFix لسطح المكتب.

وصلة 1
ربط 2
الوصلة 3

إعادة تسمية ComboFix لCombo--قبل تثبيت حفظه إلى سطح المكتب.

مؤقتا يعطل ملكك مكافحة الفيروسات وأي antispyware الحماية في الوقت الحقيقي قبل المنفذ لفحص بالاشعة. اضغط هذا الرابط لترى قائمة من البرامج الأمنية التي ينبغي والمعوقين وكيفية تعطيل لها.

انقر مرتين على Combo - & Fix.exe متابعة يدفع.

مستخدمي ويندوز فيستا انقر بزر الفأرة الأيمن على Combo - Fix.exe وحدد تشغيل بوصفه مديرا (ستتلقى UAC الفوري ، يرجى السماح لها)

لا الماوس انقر ComboFix نافذة في حين انها تعمل. يمكن أن تتسبب في تعطيل ذلك.

عندما انتهت من فحص بالاشعة انها ستفتح نافذة النص.

في مرحلة ما بعد مضمون تسجيل الدخول الخاص بك أن الرد القادم.

تذكر أن إعادة تمكين مكافحة الفيروسات الخاص بك وعندما antispyware حماية ComboFix كامل.

**تشعل** · #6 11th يونيو 2009 ، 15:55

لقد أمضى قرابة 3 ساعات في محاولة معرفة لماذا combofix لن تهرب... لا يحصى من عمليات البحث على جوجل أن تعطيني شيئا. الشيء الوحيد الذي كنت قد اكتشفت هو أنه عندما أحاول تشغيله 'شيئا' لا يشير إلى الحق في كل مكان حتى أحصل هو تحميل شريط تقول combofix نافذة cmd ثم يظهر أبدا. قبل ذلك على التوالي ، لا يوجد في مجلد جيم : مع أي combofix البيانات ، على الرغم من بعد هذه المحاولة ، مجلد باسم 32788R22FWJFW ويبدو للجميع. الخفافيش ، و. vbs ، وما الملفات التي تستخدمها البعيد. لست متأكدا مما إذا كان هناك أي شيء يمكن أن أفعله في هذه المرحلة ولكن ربما كنت تعرف!

**evilfantasy** · #7 11th يونيو 2009 ، 16:00

شن مدير المهام عن طريق الضغط السيطرة + + حذف البديل

في نهاية هذه العملية على أسماء الملفات (إذا وجد)

-- FindStr
-- Vfind
-- حوار
-- GREP
-- ملف أو أي تمديد له *. cfexe

في نهاية كل مرة واحدة فقط.

الآن تحاول ادارة جديد..