Amvo.exe i reszta


(system) #1

Proszę o sprawdzenie logów.

Log z HijackThis: http://www.wklejto.pl/8819

Log z ComboFix: http://www.wklejto.pl/8820

Będę wdzięczna za pomoc.


(Kambor4) #2

1)

Wylecz pendriva lub kartę pamięci

Perlovga Removal Tool

Flash Disinfector

lub format

2)

Wklej do Notatnika :

File::

C:\u9dyi.exe

D:\u9dyi.exe

E:\u9dyi.exe

I:\t.com

C:\t.com

D:\t.com

E:\t.com

C:\n.com

D:\n.com

E:\n.com


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67ad1146-40d8-11dc-9cbf-0019660da7a3}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

========================

K.


(Spandau) #3

Tam jest n.com nie t.com

:slight_smile:


(system) #4

zrobiłam jak podano :slight_smile: n zmieniłam na t :slight_smile:

oto log z Combofix:

http://www.wklejto.pl/8824

czy jest czysty?


(Kambor4) #5

Czysto.

Usuń ręcznie folder C:**** Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html ( uruchom przez IE ) Daj raport z niego na forum.

lub

Dr.WEB CureIt!.

===============

K.


(system) #6

jeszcze raz prośba. tym razem drugi komp też coś szwankuje.

oto logi:

Log z HijackThis: http://www.wklejto.pl/8838

Log z ComboFix: http://www.wklejto.pl/8836

pomocy [-o<


(Kambor4) #7

1)

Wylecz pendriva lub kartę pamięci

Perlovga Removal Tool

Flash Disinfector

lub format

2)

Wklej do Notatnika :

File::

C:\u9dyi.exe

D:\u9dyi.exe

E:\u9dyi.exe

H:\u9dyi.exe

C:\n.com

D:\n.com

E:\n.com

H:\n.com

C:\mnl6on3.com

D:\mnl6on3.com

E:\mnl6on3.com

H:\mnl6on3.com

C:\rgjkmy3p.exe

D:\rgjkmy3p.exe

E:\rgjkmy3p.exe

H:\rgjkmy3p.exe

C:\WINDOWS\MOTA113.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d0584f9-d490-11db-80f8-0050fcf05acb}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

==================

K.


(system) #8

taki się oto log wytworzył po wykonanej operacji:

http://www.wklejto.pl/8845

czy ok?


(huber2t) #9

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(system) #10

o my :?

tu jest log z kaspersky:

http://www.wklejto.pl/8851

mogę liczyć na pomoc? pls :slight_smile:


(Piotrkijak) #11

Możesz zaraz zobaczę co tam masz ciekawego...


(Piotrkijak) #12

C:\Documents and Settings\Root\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\

C:\Documents and Settings\Root\Pulpit\TVPlayer.exe/data.rar/tv/TVPlayer/crack/tvplayer.exe - oj nie ładnie crackować programy...

C:\Documents and Settings\Root\Ustawienia lokalne\Dane aplikacji\Identities{783A827C-4E04-4421-B977-C25163F2B903}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx/[From [hybrid\_theory@o2.pl](mailto:hybrid_theory@o2.pl)][Date Mon, 24 Apr 2006 14:01:22 +0200]/UNNAMED/=?iso-8859-2?Q?TBIv0.1=5F2.2.rar?=/TBIv0.1_2.2/Tibia Black Ice v0.1 version 2.2.exe/remix997hk.dll Zainfekowanych: not-a-virus:Monitor.Win32.Perflogger.al pominięty

C:\Documents and Settings\Root\Ustawienia lokalne\Dane aplikacji\Identities{783A827C-4E04-4421-B977-C25163F2B903}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx/[From [hybrid\_theory@o2.pl](mailto:hybrid_theory@o2.pl)][Date Mon, 24 Apr 2006 14:01:22 +0200]/UNNAMED/=?iso-8859-2?Q?TBIv0.1=5F2.2.rar?=/TBIv0.1_2.2/Tibia Black Ice v0.1 version 2.2.exe/remix997wb.dll

C:\Documents and Settings\Root\Ustawienia lokalne\Dane aplikacji\Identities{783A827C-4E04-4421-B977-C25163F2B903}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx/[From [hybrid\_theory@o2.pl](mailto:hybrid_theory@o2.pl)][Date Mon, 24 Apr 2006 14:01:22 +0200]/UNNAMED/=?iso-8859-2?Q?TBIv0.1=5F2.2.rar?=/TBIv0.1_2.2/Tibia Black Ice v0.1 version 2.2.exe/remix997.exe

C:\Documents and Settings\Root\Ustawienia lokalne\Dane aplikacji\Identities{783A827C-4E04-4421-B977-C25163F2B903}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx/[From [hybrid\_theory@o2.pl](mailto:hybrid_theory@o2.pl)][Date Mon, 24 Apr 2006 14:01:22 +0200]/UNNAMED/=?iso-8859-2?Q?TBIv0.1=5F2.2.rar?=/TBIv0.1_2.2/Tibia Black Ice v0.1 version 2.2.exe/rinst.exe

C:\Documents and Settings\Root\Ustawienia lokalne\Dane aplikacji\Identities{783A827C-4E04-4421-B977-C25163F2B903}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx/[From [hybrid\_theory@o2.pl](mailto:hybrid_theory@o2.pl)][Date Mon, 24 Apr 2006 14:01:22 +0200]/UNNAMED/=?iso-8859-2?Q?TBIv0.1=5F2.2.rar?=/TBIv0.1_2.2/Tibia Black Ice v0.1 version 2.2.exe

ogólnie mówiąc wyczyść wykasuj przez outlooka wiadomości od podanego tam nadawcy

musisz jeszcze w programie poszukać bo nie wkljałem wszystkiego bo to od tego samego nadawcy

opróżnij kosz

C:\Program Files\Internet Explorer\Setup\svchost.exe

masz infekcje jeszcze w system volume information ale starczy, że wyłączysz i włączysz przywracanie i się same wykasują

H:\d.com

H:\n.com

H:\u2.cmd

H:\3o.exe

H:\xp19.com

H:\fppg1.exe

H:\ekugb3.bat

H:\y82td3td.com

H:\uisvkqr.exe

H:\i.exe

H:\xpbkh.com

H:\b.com

H:\v.cmd

H:\yo2mq6.exe

H:\tknn6.bat

H:\mnl6on3.com

H:\cfdflx.com

H:\v.com

H:\un9.cmd

H:\xlu8a8sy.exe

Jerszcze powiedz mi czy h: to jest dysk czy pendrive?


(Piotrkijak) #13

Jeżeli pendrive to użyj Perlovga Removal Tool

Flash Disinfector

lub format jeżeli to dysk to wklej do notatnika:

Files::

C:\Program Files\Internet Explorer\Setup\svchost.exe

H:\d.com

H:\n.com

H:\u2.cmd

H:\3o.exe

H:\xp19.com

H:\fppg1.exe

H:\ekugb3.bat

H:\y82td3td.com

H:\uisvkqr.exe

H:\i.exe

H:\xpbkh.com

H:\b.com

H:\v.cmd

H:\yo2mq6.exe

H:\tknn6.bat

H:\mnl6on3.com

H:\cfdflx.com

H:\v.com

H:\un9.cmd

H:\xlu8a8sy.exe

plik->zapisz jako->CFScript.txt przeciągnij na combofixa i zacznie się usuwanie z którego dasz log

cfscriptb5b4me3.gif

Ważne jest też abyś na czas skanowania wyłączył antywirusa i pozamykał wszystko co masz uruchomione


(system) #14

h: to pendrive

potraktowałam go programami wymienionymi we wcześniejszych postach.. czyżby nieskutecznie?

a co do crackowania.. hmm.. komputer w spadku po synu.. chyba czas z nim porozmawiać :oops:


(Piotrkijak) #15

jeszcze zapomniałem o jednej rzeczy mianowicie instrukcja wyłączenia przywracania systemu: http://support.microsoft.com/kb/310405/pl


(Piotrkijak) #16

Rozumiem... W takim wypadku skoro leczxenie pendriva nie przynosi skutku zostaje jego format...

Pokasujesz to co Ci wypisałem i system będzie czysty


(system) #17

witam ponownie.. skanowanie trochę trwa..

tak jak podano zrobiłam format pendrive, usunęłam tożsamości outlooka (i tak z niego nie korzystam), usunięto inne pliki podane w poście. no i ponowny skan kaspersky:

http://www.wklejto.pl/8882

ale jeszcze coś tam siedzi :frowning:

mogę prosić o pomoc?


(Piotrkijak) #18

Możesz już patrzę co jeszcze zostało...


(Kambor4) #19

1)

Opróżnij kwarantannę "Doktorka" :wink:

2)

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Files to delete:

E:\AUTORUN.FCB	


Folders to delete:

C:\System Volume Information\_restore{84DADFFB-C83C-495E-A827-A3DA0B5578D6}\RP214

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

=================

K.


(system) #20

raport z avanger:

http://www.wklejto.pl/8886

:smiley: