Amvo.exe i reszta ferajny - log do sprawdzenia


(Kokokiki) #1

Witam!

Pisze w sprawie najpopularniejszego ostatnio wirusa na forum.

Problemy są standardowe:

  1. Po wejściu w mój komputer i kliknięciu na jakikolwiek dysk (żeby otworzyć) dysk otwierał sie najpierw w nowym oknie, zamiast w tym samym.

  2. Po jakimś czasie dyski przestały się otwierać w ogóle, zamiast tego zadawały pytanie w jakim programie mają się otworzyć.

  3. Można wejść na dyski przez eksploratora.

  4. Pliku autorun.inf nie usunę, bo tak jak kolega w innym temacie nie mogę go 'odkryć' - opcja pokazywania ukrytych plików sama się odznacza, widać broni się skubaniec :slight_smile:

Teraz ciekawsza część:

  1. Kilka dni temu avast! oszalał i zaczął w kółko i w kółko pokazywać mi gdzie to ja nie mam wirusa. Kwarantanna nie działała, usuwanie nie działało. Wynajdywał mi pliki o różnych nazwach - między innymi amvo.exe, jfkcsy.bat i reszty niestety nie pamiętam. Non stop wyskakiwały ostrzeżenia.

  2. Pracować się nie dało, więc wywaliłam avasta! i zainstalowałam Pandę, która przetrzepała mi kompa i wyszukała około 90 sztuk syfu.

  3. Po tym dyski zaczęły się otwierać w miarę normalnie - czyli bez głupich pytań, ale wciąż w osobnym oknie.

  4. Przy kolejnym skanie wyszukało mi kolejne 50 sztuk poinfekowanych plików - w tym został naprawiony plik autoran.inf na wszystkich dyskach. Tak to zrozumiałam. Założę się, że jak zaraz zrobię kolejny skan to znowu znajdzie tyle samo tego samego.

  5. Po tym skanie i leczeniu dyski znowu pytają się czym się je otwiera.

  6. Wesoło.

Tutaj jest log HJT do sprawdzenia: http://wklej.org/id/77752af87b

Mogę wrzucić też gdzieś raporty z Pandy. Tylko nie wiem czy to się przyda?

Chciałam rzucić też nazwą, która mi się dzisiaj na ekranie komputera od rana przewija: W32/Lineage.IGF.worm <- takie coś mam na kompie. Nie znalazłam a propos tego żadnych informacji w języku polskim.

Kiedyś już mi pomogliście w usuwaniu syfu z komputera, więc wierzę, że teraz będzie tak samo :slight_smile:

Dodam jeszcze, że ten sam wirus siedzi na 100% na sprzęcie mojej mamy, chłopaka, kolegi chłopaka itd. Więc jeszcze w tej sprawie będę tutaj pisać.

Sorry za zakładanie nowego tematu, ale nie chcę komuś bałaganić w jego problemie :slight_smile:


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\amvo.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Kokokiki) #3

Chciałam tylko powiedzieć, że już mi się dyski zaczęły normalnie uruchamiać :slight_smile: I to nie 'prawie', tylko całkiem normalnie :slight_smile:

Tutaj log z CF:

http://wklej.org/id/4a9a71c292


(Leon$) #4

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Kokokiki) #5

Chcę zaznaczyć, że musiałam to wrzucać w CF 2 razy, bo za pierwszym nie utworzył się log, więc ten log tutaj, jest jakby z tego drugiego usuwania - nie wiem czy to ma znaczenie.

http://wklej.org/id/c16406ebd0


(Leon$) #6

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml lub format

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Kokokiki) #7

Pierwsze zrobione.

Drugie zrobione, ale nie chce mi się wierzyć, że pen już jest ok :slight_smile:

Optymalizacja uruchamiania- czarna magia dla mnie. Zrobiłam może 3 pierwsze kroki, a przy msconfig dałam sobie spokój. Język instrukcji za trudny.

Tutaj raport z Kasperskich: http://up.wklej.org/download.php?id=834 ... 80638bad3d

Co dalej? :slight_smile:


(Leon$) #8

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Optymalizacja uruchamiania

włącz HijackThisa >> Do a system scan only >> zaznacz

>> Fix checked

:slight_smile:


(Kokokiki) #9

Tutaj raport: http://wklej.org/id/e44582109d

a co do optymalizacji, to co mam zrobić z tym zaznaczonym nwiz i tak dalej?

bo po "włącz HijackThisa >> Do a system scan only " wyskakuje mi to okno i nie wiem co wtedy właściwie :slight_smile:

dziękuję za cierpliwość.


(Leon$) #10

optymalizacja >> w oknie tym zaznacz kratki przy podanych wpisach >> Fix checked

dla pewności przeskanuj jeszcze raz Kasperskim bo Avanger wszystkiego nie usunął

:slight_smile:


(Kokokiki) #11

optymalizacja: no właśnie, tylko ja nie mam takich wpisów w HJT. Tak wygląda mój log z niego: http://wklej.org/id/3e82dd7f9e

kasperskim przeskanuje i odezwę się jutro rano, dziękuje za pomoc i pozdrawiam :]


(Leon$) #12

na pewno nie ma bo ja widzę co innego

:slight_smile:


(Kokokiki) #13

No dobra. Teraz to naprawdę zgłupiałam.

Nie kumam w ogóle tego HijackThis. Tutaj masz screena z tego okienka co ja je widzę: http://up.wklej.org/download.php?id=c4c ... 97ee9b34e7

i powiedz mi czy tam rzeczywiście są te rzeczy, co je mam zaznaczyć, bo ja ich nie widzę :slight_smile: a w logu są. Nic już nie wiem.


(Leon$) #14

W poprzednim logu były teraz nie ma i o to chodziło już to nie będzie się uruchamiało wraz z systemem

wszystko OK

:slight_smile:


(Kokokiki) #15

no to super :slight_smile:

teraz tutaj jest raport z kesperskiego:

http://up.wklej.org/download.php?id=bc0 ... b02de1238d

a do tego jeszcze podłączyłam pendrive (M), co go wcześniej niby wyleczyłam tym Flash Disinfectorem. Ale kasper wykrył na nim jakieś śmiecie, więc chyba nie do końca jest ok? :frowning:


(huber2t) #16

kok

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

M:\autorun.inf

J:\programy\kodeki itp\DivXPack_5_02-008.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Dawid24 Załuż nowy watek i opisz w nim swój problem


(Kokokiki) #17

Dobra to teraz tak:

Tutaj raport: http://wklej.org/id/7c9efcafed

z którego wynika, że nie wyszło :]

Do tego po restarcie kompa wyskoczyło mi jakieś małe przerażające okienko z błędem - screen:

http://up.wklej.org/download.php?id=d7f ... 7d157bc018

Jak się nacisnęło którykolwiek guzik to wyskakiwało jeszcze raz.

To co dalej? :slight_smile:


(huber2t) #18

Podłącz pendrive i wtedy wykonaj skrypt

usuń ten drugi plik ręcznie


(Kokokiki) #19

pendrive jest podłączony cały czas.

Co to znaczy wykonać skrypt? :slight_smile:

Ten drugi plik już usunięty.

W dniu 11.05.2008 , o godzinie 16:47 został dopisany post przez kok

hmm. to co ja właściwie mam teraz robić? To coś z pendriva może mi się rozprzestrzenić po komputerze? :frowning:


(Leon$) #20

przeczyść go Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

:slight_smile: