Amvo.exe - uciążliwy trojan siedzący w folderze windows

zip999 · 3 Maj 2008 11:43

Bardzo proszę o sprawdzenie tego loga z programu ComboFix:

Dziękuje

Olcia · 3 Maj 2008 11:46

zip999 , daj jeszcze log z HijackThis. Jeżeli komputer Ci spowolnił znacząco, poczytaj ten temat. Przeskanuj też system tym skanerem online(pamiętaj o uruchomieniu w Internet Explorer).

huber2t · 3 Maj 2008 11:48

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\uq9peya.bat

C:\2.bat


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Leon1 · 3 Maj 2008 11:54

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

zip999 · 3 Maj 2008 11:56

Tak to teraz wygląda:

http://wklej.org/id/2fdbf2e1d6

czy jeszcze jakieś dyski są zainfekowane? coś jeszcze jest do zrobienia?

huber2t · 3 Maj 2008 11:58

Wykonaj jeszcze to o co cię prosił Leon$

zip999 · 3 Maj 2008 12:08

Wykonałem to co mówił Leon$. Komputer restartował się parę razy i nic nie wyskoczyło dalej. Żadnego rezultatu. Czy tak powinno być czy robić to jeszcze raz?

Leon1 · 3 Maj 2008 12:48

Włącz Combofix normalnie i pokaż log

zip999 · 3 Maj 2008 13:32

Nie wiem nie rozumiem:) Teraz jak włączam CF wszystko się robi, po czym nie otwiera się log w notatniku:/ :roll:

huber2t · 3 Maj 2008 13:33

Zapewne jest na dysku C

Start --> wyszukaj --> ComboFix.txt

zip999 · 3 Maj 2008 13:39

ściągnałem jeszcze raz combofixa i ruszyło to sa logi:

http://wklej.org/id/e10352dbca

Leon1 · 3 Maj 2008 13:43

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

włącz przywracanie systemu

zip999 · 3 Maj 2008 15:39

Zaskoczyłem się tym rezultatem:/

http://wklej.org/id/0404177862

Pcka mam nadal zainfekowanego a wszystko wydaję się być w porządku…

huber2t · 3 Maj 2008 15:43

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

D:\2.bat

D:\My Downloads\i saw the sun.mp3

D:\My Downloads\slowdive - i saw the sun.mp3

D:\uq9peya.bat

E:\2.bat

E:\uq9peya.bat

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Opróżnij kosz

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

zip999 · 3 Maj 2008 15:49

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File “D:\2.bat” deleted successfully.

Error: file “D:\My Downloads\i saw the sun.mp3” not found!

Deletion of file “D:\My Downloads\i saw the sun.mp3” failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

–> the object does not exist

Error: file “D:\My Downloads\slowdive - i saw the sun.mp3” not found!

Deletion of file “D:\My Downloads\slowdive - i saw the sun.mp3” failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

–> the object does not exist

File “D:\uq9peya.bat” deleted successfully.

File “E:\2.bat” deleted successfully.

File “E:\uq9peya.bat” deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

orinek · 3 Maj 2008 15:51

Proszę również o sprawdzenie loga: http://wklej.org/id/00022edd18

Z góry dziękuję :)

huber2t · 3 Maj 2008 15:54

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\h0s2.bat 

C:\jfvkcsy.bat 

C:\vqv.exe 

C:\tym8a.exe 

C:\dwvo.cmd 

C:\mug0sd.cmd

C:\WINDOWS\system32\dllcache\SETE4.tmp


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

orinek · 3 Maj 2008 16:06

http://wklej.org/id/00e075bdc0 oto log po

zip999 · 3 Maj 2008 16:07

huber2t , czy

jest do orinek , czy do mnie

huber2t · 3 Maj 2008 16:09

To co napisałem jest do orinek

W dniu 03.05.2008 , o godzinie 18:09 został dopisany post przez huber2t

orinek W logu nic nie widzę