Amvo.exe logi z ComboFix


(K2korpus) #1

Witam

Postawiłem sobie system i dopiero wtedy ten wirus dał się we znaki

nie mogę go usunąć i nawet format nic nie dał

ComboFix 08-11-23.02 - korpus 2008-11-25 0:57:29.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1033.18.1738 [GMT 1:00]

Uruchomiony z: c:\documents and settings\korpus\Desktop\ComboFix.exe

 * Utworzono nowy punkt przywracania

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Autorun.inf

c:\windows\system32\amvo.exe

D:\Autorun.inf

E:\Autorun.inf


.

((((((((((((((((((((((((( Pliki utworzone od 2008-10-24 do 2008-11-24 )))))))))))))))))))))))))))))))

.


Nie utworzono żadnych nowych plików w tym okresie


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-24 23:59	73,760	--sha-w	c:\windows\system32\drivers\fidbox2.dat

2008-11-24 23:59	5,164	--sha-w	c:\windows\system32\drivers\fidbox.idx

2008-11-24 23:59	254,496	--sha-w	c:\windows\system32\drivers\fidbox.dat

2008-11-24 23:59	1,332	--sha-w	c:\windows\system32\drivers\fidbox2.idx

2008-11-24 23:54	---------	d-----w	c:\documents and settings\All Users\Application Data\Kaspersky Lab

2008-11-24 23:50	---------	d-----w	c:\documents and settings\All Users\Application Data\PrevxCSI

2008-11-24 23:48	26,680	----a-w	c:\windows\system32\drivers\pxark.sys

2008-11-24 23:48	---------	d-----w	c:\program files\PrevxCSI

2008-11-24 23:44	84,992	--sh--r	c:\windows\system32\kav320.dll

2008-11-24 23:40	84,992	--sh--r	c:\windows\system32\kav321.dll

2008-11-24 23:40	109,333	--sh--r	C:\ln9.exe

2008-11-24 23:37	96,966	----a-w	c:\windows\system32\drivers\klin.dat

2008-11-24 23:37	88,774	----a-w	c:\windows\system32\drivers\klick.dat

2008-11-24 23:36	---------	d-----w	c:\program files\Kaspersky Lab

2008-11-24 23:05	---------	d-----w	c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

2008-11-24 23:00	---------	d-----w	c:\program files\microsoft frontpage

2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll

2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll

2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll

2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll

2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll

2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe

2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll

2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll

2008-08-27 12:58	453,152	----a-w	c:\windows\system32\NVUNINST.EXE

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 201992]


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"=


R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]

R0 nvgts;nvgts;c:\windows\system32\DRIVERS\nvgts.sys [2008-08-18 145952]

R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-11-25 26680]

R2 CSIScanner;CSIScanner;"c:\program files\PrevxCSI\prevxcsi.exe" /service [2008-11-25 920632]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-03-25 24592]

S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys [2001-08-17 18688]

.


**************************************************************************


catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-25 00:59:34

Windows 5.1.2600 Service Pack 2 NTFS


skanowanie ukrytych procesów ... 


skanowanie ukrytych wpisów autostartu ...


skanowanie ukrytych plików ... 



**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2008-11-25 1:00:20 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-11-25 00:00:17


Przed: 27 277 443 072 bytes free

Po: 27,317,084,160 bytes free


WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect


92

Prevx CSI znalazł 6 plików

c:/windows/system32/kav321.dll

c:/windows/system32/kav320.dll

c:/ln9.exe

d:/ln9.exe

e:/ln9.exe


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:/windows/system32/kav321.dll

c:/windows/system32/kav320.dll

c:/ln9.exe

d:/ln9.exe

e:/ln9.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(K2korpus) #3

http://www.wklejto.pl/16343

log po operacji

skanowałem też ponownie PREVXCSIFREE i wykrył to samo w tych samych miejscach


(huber2t) #4

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

c:\windows\system32\kav320.dll

C:\windows\system32\kav321.dll

C:\ln9.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer