Amvo.exe i Win32:AuCrypt [Cryp] - proszę o sprawdzenie logów

rapciuch · 10 Maj 2008 11:49

Witam,

Podczas pracy na kompie Avast! wykrył mi wirusa w pliku amvo.exe i plikach typu “t.com” - coś takiego - po jednym na każdej partycji. Usunąłem - tylko nie wiem czy skutecznie.

Puściłem sobie na noc skanowanie systemu podczas rozruchu Avastem, zaznaczając przy tym opcję, żeby usuwał napotkane syfy. Rano sprawdzam loga z Avasta i widzę że usunęło mi około 30 plików - wszystkie z folderu System volume information - zainfekowane wirusem Win32:AuCrypt [Cryp]. Nie otwierały mi się dyski, tylko okienko “otwórz za pomocą”. Przeczytałem na jakimś forum, że to otwieranie dysków można naprawić przez uruchomienie programu combofix. Uruchomiłem więc program, wykonał on swoją pracę i mogę już normalnie otwierać dyski.

Nie wiem tylko - jak już wspomniałem - czy powyższe problemy usunąłem skutecznie.

Jedyne czym teraz dysponuję to log z combofix po uruchomieniu go w celu naprawy problemów z otwieraniem dysków:

http://wklej.org/id/249c2693b8

Jeżeli do całkowitego naprawienia problemu potrzebny jest log z HJT, to zaraz ściągam, obczajam z czym to się je i wrzucam loga na forum w celu sprawdzenia.

Prawdopodobnie napiszę tu jeszcze, ze względu na to, że wirusy te są prawdopodobnie na pendrive, z którego korzystało około 5 osób.

Mam też w związku z tym pytanie - jak usunąć ten syf z pendrive?

Byłbym bardzo wdzięczny za pomoc.

addmir · 10 Maj 2008 12:01

Wklej do notatnika:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik => Zapisz jako typ =>wszystkie pliki => zapisz pod nazwą FIX.reg => kliknij dwa razy na pliczek i potwierdź dodanie do rejestru

Poza tym log wygląda na czysty

Co do leczenia Pendrive: program Flash Disnfector

http://www.searchengines.pl/index.php?s … ntry369724

rapciuch · 10 Maj 2008 12:11

Dzięki wielkie.

Dodaję jeszcze log z Hijack This dla pewności:

http://wklej.org/id/60d50acdcd

Mam pytanie - ponieważ mam 4 komputery (w sumie kolegów), na których jest ten sam problem (hhmm… chociaż może być coś jeszcze na nich), to zakładać osobne tematy? Czy wkleić z każdego kompa logi z combofix i HJT w tym temacie?

ps. Przeczytałem na innych forach, żeby uruchamiać combofix z trybu awaryjnego i z wyłączonym oprogramowaniem antywirusowym. Ja uruchamiałem go w normalnym trybie i z włączonym programem Avast! Czy powtórzyć operację w trybie awaryjnym z wyłączonym programem Avast!?

addmir · 10 Maj 2008 12:43

Czysto

Nie zakładaj kolejnych tematów - moim zdaniem możesz dać wszystkie logi w tym

ComboFix uruchamiaj w trybie normalnym. Avasta możesz wyłączyć, jeśli blokuje działanie ComboFix-a.

rapciuch · 11 Maj 2008 14:08

Logi z kolejnego komputera narażonego na infekcję tym syfem:

Combofix:

http://wklej.org/id/b99459fe9b

Hijack This:

http://wklej.org/id/eed351d137

Zostały jeszcze 3 komputery. Jak tylko będę miał czas to wrzucę. Dzięki za sprawdzenie.

huber2t · 11 Maj 2008 17:49

fix w hiajckthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Temp\autorun.bin

C:\WINDOWS\system32\kbdjpn.dll 

C:\WINDOWS\system32\kbdkor.dll

C:\Temp\SFDNWIN.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

rapciuch · 16 Maj 2008 08:34

Log z Combofix po wykonaniu powyższych czynności:

http://wklej.org/id/2148e7e879

Na dniach dam logi z Combofix i HJT z 3 pozostałych komputerów, jak tylko będę miał możliwość dostania się do nich. Dzięki.

W dniu 16.05.2008 , o godzinie 10:34 został dopisany post przez rapciuch

Proszę o sprawdzenie tego powyżej czy jest czysty. Daję logi z kolejnego komputera (zostały jeszcze 2).

Combofix

http://wklej.org/id/5021d688a2

HJT

http://wklej.org/id/f8c3f3c6f6

huber2t · 16 Maj 2008 08:44

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu.

rapciuch · 16 Maj 2008 16:37

huber2t - a to są instrukcje odnośnie tego pierwszego logu w moim poście wyżej, czy tych dwóch kolejnych?

huber2t · 16 Maj 2008 16:39

Tych dwóch kolejnych