Amvo.exe i Win32:AuCrypt [Cryp] - proszę o sprawdzenie logów


(Rapciuszek) #1

Witam,

Podczas pracy na kompie Avast! wykrył mi wirusa w pliku amvo.exe i plikach typu "t.com" - coś takiego - po jednym na każdej partycji. Usunąłem - tylko nie wiem czy skutecznie.

Puściłem sobie na noc skanowanie systemu podczas rozruchu Avastem, zaznaczając przy tym opcję, żeby usuwał napotkane syfy. Rano sprawdzam loga z Avasta i widzę że usunęło mi około 30 plików - wszystkie z folderu System volume information - zainfekowane wirusem Win32:AuCrypt [Cryp]. Nie otwierały mi się dyski, tylko okienko "otwórz za pomocą". Przeczytałem na jakimś forum, że to otwieranie dysków można naprawić przez uruchomienie programu combofix. Uruchomiłem więc program, wykonał on swoją pracę i mogę już normalnie otwierać dyski.

Nie wiem tylko - jak już wspomniałem - czy powyższe problemy usunąłem skutecznie.

Jedyne czym teraz dysponuję to log z combofix po uruchomieniu go w celu naprawy problemów z otwieraniem dysków:

http://wklej.org/id/249c2693b8

Jeżeli do całkowitego naprawienia problemu potrzebny jest log z HJT, to zaraz ściągam, obczajam z czym to się je i wrzucam loga na forum w celu sprawdzenia.

Prawdopodobnie napiszę tu jeszcze, ze względu na to, że wirusy te są prawdopodobnie na pendrive, z którego korzystało około 5 osób.

Mam też w związku z tym pytanie - jak usunąć ten syf z pendrive?

Byłbym bardzo wdzięczny za pomoc.


(Dmirecki) #2

Wklej do notatnika:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik => Zapisz jako typ =>wszystkie pliki => zapisz pod nazwą FIX.reg => kliknij dwa razy na pliczek i potwierdź dodanie do rejestru

Poza tym log wygląda na czysty

Co do leczenia Pendrive: program Flash Disnfector

http://www.searchengines.pl/index.php?s ... ntry369724

:slight_smile:


(Rapciuszek) #3

Dzięki wielkie.

Dodaję jeszcze log z Hijack This dla pewności:

http://wklej.org/id/60d50acdcd

Mam pytanie - ponieważ mam 4 komputery (w sumie kolegów), na których jest ten sam problem (hhmm.. chociaż może być coś jeszcze na nich), to zakładać osobne tematy? Czy wkleić z każdego kompa logi z combofix i HJT w tym temacie?

ps. Przeczytałem na innych forach, żeby uruchamiać combofix z trybu awaryjnego i z wyłączonym oprogramowaniem antywirusowym. Ja uruchamiałem go w normalnym trybie i z włączonym programem Avast! Czy powtórzyć operację w trybie awaryjnym z wyłączonym programem Avast!?


(Dmirecki) #4

Czysto :slight_smile:

Nie zakładaj kolejnych tematów - moim zdaniem możesz dać wszystkie logi w tym

ComboFix uruchamiaj w trybie normalnym. Avasta możesz wyłączyć, jeśli blokuje działanie ComboFix-a.


(Rapciuszek) #5

Logi z kolejnego komputera narażonego na infekcję tym syfem:

Combofix:

http://wklej.org/id/b99459fe9b

Hijack This:

http://wklej.org/id/eed351d137

Zostały jeszcze 3 komputery. Jak tylko będę miał czas to wrzucę. Dzięki za sprawdzenie.


(huber2t) #6

fix w hiajckthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Temp\autorun.bin

C:\WINDOWS\system32\kbdjpn.dll 

C:\WINDOWS\system32\kbdkor.dll

C:\Temp\SFDNWIN.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Rapciuszek) #7

Log z Combofix po wykonaniu powyższych czynności:

http://wklej.org/id/2148e7e879

Na dniach dam logi z Combofix i HJT z 3 pozostałych komputerów, jak tylko będę miał możliwość dostania się do nich. Dzięki.

W dniu 16.05.2008 , o godzinie 10:34 został dopisany post przez rapciuch

Proszę o sprawdzenie tego powyżej czy jest czysty. Daję logi z kolejnego komputera (zostały jeszcze 2).

Combofix

http://wklej.org/id/5021d688a2

HJT

http://wklej.org/id/f8c3f3c6f6


(huber2t) #8

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu.


(Rapciuszek) #9

huber2t - a to są instrukcje odnośnie tego pierwszego logu w moim poście wyżej, czy tych dwóch kolejnych?


(huber2t) #10

Tych dwóch kolejnych