Amvo nie mogę usunąć


(Mateusz Mtm) #1

Witam.

Jak w temacie. Nie wiedziałem czy mam się gdzieś dopisać czy nie--> więc utworzyłem nowy temat.

Proszę o pomoc w pozbyciu się amvo

Oto link z logiem: http://wklej.org/id/87a916e19c

Z góry wielkie dzięki


(Leon$) #2

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Mateusz Mtm) #3

Log po wykonaniu czynności wygląda następująco . . . to oki??

ComboFix 08-05-01.3 - M T M 2008-05-07 1:03:20.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.204 [GMT 2:00]

Running from: C:\Documents and Settings\M T M\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\M T M\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\jfvkcsy.bat

C:\oq.cmd

C:\Recycled\ctfmon.exe

C:\t.com

C:\WINDOWS\system32\amvo2.dll

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\jfvkcsy.bat

C:\oq.cmd

C:\t.com

C:\WINDOWS\system32\amvo2.dll

.

((((((((((((((((((((((((( Files Created from 2008-04-06 to 2008-05-06 )))))))))))))))))))))))))))))))

.

2008-05-06 18:08 . 2008-05-06 18:08

2008-05-05 22:55 . 2008-05-05 22:55

2008-05-05 22:55 . 2008-05-07 00:52

2008-05-05 22:55 . 2008-05-07 00:52 10,880 --a------ C:\WINDOWS\system32\drivers\pxark.sys

2008-04-29 06:33 . 2008-04-29 06:33

2008-04-14 04:03 . 2008-04-14 04:03 152 --a------ C:\WINDOWS\Aslan.INI

2008-04-14 04:02 . 2008-04-14 04:02

2008-04-13 03:45 . 2008-04-13 03:45

2008-04-09 23:02 . 2008-04-09 23:02

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-06 17:33 --------- d-----w C:\Documents and Settings\M T M\Dane aplikacji\Canon

2008-04-29 04:34 --------- d-----w C:\Documents and Settings\M T M\Dane aplikacji\Sign Part Nurb

2008-04-29 04:34 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Readme Live Axis Tons

2008-04-28 06:28 --------- d-----w C:\Documents and Settings\M T M\Dane aplikacji\Skype

2008-04-22 07:30 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-21 15:15 --------- d-----w C:\Program Files\NiemPol

2008-04-09 21:02 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-04-03 21:16 --------- d-----w C:\Program Files\totalcmd

2008-04-03 20:45 --------- d-----w C:\Program Files\Alwil Software

2008-03-12 21:04 --------- d-----w C:\Program Files\Winamp

2008-03-08 17:21 --------- d-----w C:\Program Files\Gadu-Gadu

2007-05-03 16:59 56 --sh--r C:\WINDOWS\system32\702333C375.sys

2007-07-17 16:21 12,524 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((( snapshot@2008-05-05_23.13.52,60 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-05-05 21:06:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat

  • 2008-05-06 22:45:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat

  • 2008-05-06 22:46:08 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_624.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-09-03 16:18 94208]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:44 15360]

"SpamBalm"="C:\DOCUME~1\MTM~1\DANEAP~1\SIGNPA~1\holdway.exe" [2008-04-29 06:33 642560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-06-15 17:20 6803456]

"nwiz"="nwiz.exe" [2005-06-15 17:20 1519616 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-06-15 17:20 86016]

"NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 12:50 155648]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 14:38 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 16:18 241664]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2008-03-03 19:29 77824]

"P17Helper"="P17.dll" [2004-04-08 04:37 60928 C:\WINDOWS\system32\P17.dll]

"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]

"CTSysVol"="C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43 57344]

"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 11:00 49152]

"AXIS TONS THE MP3"="C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Readme Live Axis Tons\flaw debug.exe" [2008-05-07 00:46 878592]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 16:57 282624]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:44 15360]

C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-03-15 20:08:06 241664]

HP Image Zone - szybkie uruchamianie.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2004-03-15 20:45:34 53248]

McNeel Network Render Slave.lnk - C:\Program Files\Common Files\McNeel Shared\Network Rendering\NetworkRenderSlave.exe [2007-01-21 01:59:02 155648]

Przyspieszenie uruchomienia programu AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [2005-03-05 17:18:22 10872]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Program Files\BearShare\BearShare.exe"=

"C:\Program Files\NetMeeting\conf.exe"=

"C:\Program Files\EA GAMES\Need for Speed Most Wanted\speed.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-05-07 00:52]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R2 CSIScanner;CSIScanner;"C:\Program Files\PrevxCSI\PrevxCSI.exe" /service []

R2 Kmm4xNT;Kmm4xNT;C:\WINDOWS\system32\drivers\Kmm4xNT.sys [2000-11-25 10:38]

S3 KMM4xUSB;KMM4xUSB Driver (kmm4xusb.sys);C:\WINDOWS\system32\Drivers\KMM4xUSB.sys [2003-06-03 00:10]

.

Contents of the 'Scheduled Tasks' folder

"2008-05-06 23:00:01 C:\WINDOWS\Tasks\ABF0BBE491933130.job"

  • c:\docume~1\mtm~1\daneap~1\signpa~1\2 info mail.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-07 01:05:50

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-07 1:07:40

ComboFix-quarantined-files.txt 2008-05-06 23:07:07

ComboFix2.txt 2008-05-06 16:39:41

ComboFix3.txt 2008-05-05 21:14:21

Pre-Run: 2,766,938,112 bajtów wolnych

Post-Run: 2,756,587,520 bajtów wolnych

125

Ale PREVXscsi dalej pokazuje mi zainfekowane pliki czy to oki??


(huber2t) #4

Log wyglada na czysty

Usuń ręcznie folder C: \Qoobox

Usuń instalkę Combofix z dysku.

Wykonaj optymalizację autostartu

Wykonaj optymalizację xp

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu na wszystkich dyskach. Instrukcja