Amvo.exe i nie tylko. Prosze o pomoc

Dla specjalistów Bezpieczeństwo
#1

Jestem w potrzasku.Dzisiaj rano włączyłem komputer, połączyłem się z netem przez neostrade, zaczęłem przeglądać dysk c (mam tylko jeden), nagle myszka przestała reagować, wciskałem alt+ctrl+del też nic nie dało. Więc restart. Po ponownym uruchomieniu avast (wersja 4.7 chyba) , zaraz po starcie systemu wykrył wirus Win32.amvo exe (jakoś tak).

Poszukałem na googlach jak usunać gada, i trafiłem na tą strone http://antyvir.blogspot.com/2008/02/tro … wanie.html. Śćiągnełem zalecany przez nich program do wykrywania amvo.exe (skaner Prevx CSI), chwilke po scanie wykrył pliki (oznaczył je jako bad).

C:\xlu8a8sy.exe

c:\WINDOWS\TEMP_avast4_\unp248928350.tmp

C:\Windows\System32\amvo.exe

c:\Documents and Settings\Tomiusz\Ustawienia lokalne\Temp\b.dll

c:\Documents and Settings\Tomiusz\Ustawienia lokalne\Temp\help.exe

Jeszcze nie byłem pewny czy to rzeczywiście amvo, jednak zauważyłem typowe objawy takie jak zawsze wyłączone pokazywanie ukrytych folderów, i teraz jestem juz na 99% pewny że to amvo. Prosze was o szybką pomoc w usunięciu gada :slight_smile:

log z Hijack

http://wklej.org/id/5cd0141a64

log z silent runnera (dokładny skan)

http://www.wklej.org/id/4016fa6f70

Edit. Dodam że od okoła tygodnia, zaraz po starcie systemu, wyskakiwało mi okienko z błędem że “…pamięć nie może być read”

#2

Trochę dziwne…Nie widać pliku Amvo w Hijacku :o :?

Log z HijackThis jest Czysty :slight_smile:

Daj log z Combofix :smiley:

#3

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

C:\Program Files\BearShare Applications\BearShare MediaBar

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

#4

Log z combofix po całej operacji

http://www.wklej.org/id/732cc62561

edit. Działa pokazywanie folderów,ale … w msconfig amvo.exe (zakładka uruchamianie(wyłączony)) nadal jest :?

#5

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

#6

Czekaj, czekaj ale ja nie mam dysku G :?

Obciąć ten wpis:

G:\xlu8a8sy.exe

a reszte zostawić ?

#7

zostaw tak jak jest

#8

Log z combo fix

http://wklej.org/id/0bf3641c6c

Edit. Zniknał wpis amvo.exe w msconfig (zakładka uruchamianie) :slight_smile: . dysk otwiera się w tym samym oknie i działa pokazywanie ukrytych folderów :smiley: . A tak offtopic co ten wirus mógłby zrobić ?

#9

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile: