Amvo i pewnie inne


(Hefal) #1

Witam,

pierwszy raz na forum. Od razu podkreślę, że nie używam żadnych narzędzi typu antywirusy, skanery itp. od kilku już lat, system też już dość długo bez reinstalacji - no i w końcu mnie trafiło, najprawdopodobniej z pendrivea/cd od znajomego, który obłożony jest wszelkimi antywirami i ciągle ma ze śmieciem problemy :wink:

Załapałem na pewno amvo.exe i pochodne, ale w wykonanym przez ComboFixa logu nie podoba mi się conajmniej kilka/kilkanaście wpisów m.in. z katalogu głównego C: - badziewia z rozszerzeniami bat czy biblioteki dll z katalogu Temp użytkownika w Documents&Settings (które wcześniej wykrył Prevx CSI).

Oto log:

http://wklej.org/id/d60711604a

I jeszcze pytanie: czy w jakiś sposób powinienem również zająć się kartą pamięci w komórce? Podłączana zarówno przez czytnik kart pamięci jak i komórka-usb.

Z góry dzięki za pomoc.


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\u8jre9hv.bat

C:\ut9x.bat 

C:\ut.bat 

C:\1nkbd8h.bat 

C:\f6cavn.bat

C:\6x8be16.cmd 

C:\olb1iimw.bat

C:\jdwx.exe 

C:\qa8sywva.cmd

C:\tfk8.exe 

C:\jfvkcsy.bat 

C:\oq.cmd 

C:\WINDOWS\Internet Logs\tvDebug.zip 

C:\pa39xth.cmd 

C:\xyw9tmdj.com 

C:\ranvrgn.exe 

C:\mvxm.cmd 

C:\q.com 

C:\rthrw.com 

C:\jiwsxh39.exe 

C:\gjn2pjlw.exe 

C:\1weicxa.com

C:\WINDOWS\TEMP\SiwIo.sys


Driver::

SIWIO


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e62ddfd-f609-11da-a653-00081b018285}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4548aa64-dc46-11da-8dc7-806d6172696f}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ffbe0d4-411b-11dd-a80e-00508de98b13}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d0a34d8-3219-11dd-a7e6-00508de98b13}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa1dbde4-b6ec-11dc-a66f-00508de98b13}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa1dbde5-b6ec-11dc-a66f-00508de98b13}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Hefal) #3

http://wklej.org/id/c7d2b40c11

Po wykonaniu tego loga przeskanowałem Prevx CSI (na kilku stronach znalazłem poradę, że daje radę) i wyjszły mi dwa pliki:

c:\aub0wb8.cmd

c:\ino6.com

Dzięki za pomoc.


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\aub0wb8.cmd

c:\ino6.com

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Hefal) #5

http://wklej.org/id/2dc19e7440

Wydaje mi się, że ten skrypt do ComboFixa był dobry - jednak pliki oba pozostały na dysku, wykrywa jest również Prevx.

Może wystarczy ręczne usunięcie?

Widzę też klucz w rejestrze prowadzący do amvo.exe. W katalogu .../system32/ tego pliku nie widzę jednakowąż.

Dzięki raz jeszcze ponownie :slight_smile:


(huber2t) #6

Mozesz usunąć recznie

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Hefal) #7

No cóż ... moje pytanie z pierwszego posta doczekało się odpowiedzi niejako :wink: Mój komputer jest na powrót zainfekowany tym samym,najprawdopodobniej z kart pamięci do telefonu. Więc pytanie: jak usunąć to badziewie z kart pamięci i z kompa :slight_smile: Z kompa to sobie poradzę pewnie, ale nie wiem co z flashami.

dziękuję za poświęcony czas kolejny raz :slight_smile:


(huber2t) #8

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Przeskanuj antywirusem i daj z niego raport na forum


(Hefal) #9

Tym razem chyba się udało :slight_smile: Podczyściłęm karty pamięci Flash Disinfectorem (Perlovg coś miał problemy coby się uruchomić i mu się niezbyt udawało). Podkasowałem troszku plikó ręcznie no i przestały się tworzyć nowe, przestał się zmieniać status widoku "pokaż ukryte pliki" Pervex jak i DrWeb nic nie wykrywają. A dla pewności, skan z ComboFixa:

http://wklej.org/id/2ed5c87b5f

Danke danke dzięki!


(huber2t) #10

Log ok

Powinno być ok


(Hefal) #11

W takim razie wielkie wdzięczne podziękował :slight_smile: