Amvo


(Mar733) #1

Cześć, mam problem z amvo. Nie wiem z kad sie u mnie wzial, ale mam go od dawna, poczatkowo to ignrowalem nie wiedzac co jest grane. Mam nadzieje ze jeszcze da sie to usunac.

Zamieszczam log z ComboFixa

http://wklej.org/id/e2cd86fe48

Dzieki z gory za pomoc.


(jessica) #2

Infekcja z pendrive'a.

Wklej do Notatnika :

File::

C:\f6cavn.bat 

C:\6x8be16.cmd 

C:\m88coaim.exe 

C:\e.cmd 

C:\nby.bat 

C:\tfk8.exe

C:\vy.cmd 

C:\jfvkcsy.bat 

C:\oq.cmd 

C:\pa39xth.cmd 

C:\t.com 

C:\ranvrgn.exe 

C:\xyw9tmdj.com 

C:\mvxm.cmd 

C:\q.com 

C:\rthrw.com 

C:\jiwsxh39.exe

E:\f6cavn.bat 

E:\6x8be16.cmd 

E:\m88coaim.exe 

E:\e.cmd 

E:\nby.bat 

E:\tfk8.exe

E:\vy.cmd 

E:\jfvkcsy.bat 

E:\oq.cmd 

E:\pa39xth.cmd 

E:\t.com 

E:\ranvrgn.exe 

E:\xyw9tmdj.com 

E:\mvxm.cmd 

E:\q.com 

E:\rthrw.com 

E:\jiwsxh39.exe

H:\f6cavn.bat 

X:\f6cavn.bat 

X:\6x8be16.cmd 

X:\m88coaim.exe 

X:\e.cmd 

X:\nby.bat 

X:\tfk8.exe

X:\vy.cmd 

X:\jfvkcsy.bat 

X:\oq.cmd 

X:\pa39xth.cmd 

X:\t.com 

X:\ranvrgn.exe 

X:\xyw9tmdj.com 

X:\mvxm.cmd 

X:\q.com 

X:\rthrw.com 

X:\jiwsxh39.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"swg"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39111142-6c00-11db-9f75-001302ae1fa9}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d826c74-3ae6-11db-9ef4-001302ae1fa9}]

Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

jessi


(Mar733) #3

Dzięki wielkie za szybką odpowiedź

Dysk X napewno nie jest u mnie pendrivem. Uzywam Deamona i X jest oznaczeniem wirtualnego dysku.

Wskazywałoby to więc na infekcję z płytki z gierką z której sobie zrobiłem obraz. W tym momencie podejrzane obrazy są jednak już skasowane.

Czy wobec tego powinienem się zastosować to powyższych wskazówek czy też lepiej coś zmienić?

Pozdrawiam


(huber2t) #4

Wykonaj to o co cię prosiła userka i daj log z usuwania


(Mar733) #5

Zastosowałem się do wskazówek:D Po czym powstał log:

http://wklej.org/id/1b9d27561f

Zrestartowałem kompa i skasowałem C:\Qoobox.


(huber2t) #6

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Mar733) #7

Zrobiłem co mi zaleciłeś.

Oto raport z Kaspersky:

obszary krytyczne: http://wklej.org/id/e3f9218c02

moj komputer: http://wklej.org/id/95cc6d3628

A tutaj to co znalazl DrWeb:

http://wklej.org/id/123f28c0d2


(huber2t) #8

Usuń pliki z tego folderu:

Usuń ten plik:

:slight_smile:

W dniu 25.06.2008 , o godzinie 1:44 został dopisany post przez huber2t

Usuń pliki z tego folderu:

Usuń ten plik:

:slight_smile:

W dniu 25.06.2008 , o godzinie 1:44 został dopisany post przez huber2t

Usuń pliki z tego folderu:

Usuń ten plik:

:slight_smile:

W dniu 25.06.2008 , o godzinie 1:46 został dopisany post przez huber2t

Usuń pliki z tego folderu:

Usuń ten plik:

:slight_smile:


(Mar733) #9

Cześć. Uratowaliście mojego kompa:) Dzięki ogromne.

....pozostał jednak jeszcze drugi (peny sformatowałem)....jeśli mógłbym prosić

Oto lob z ComboFixa:

http://wklej.org/id/e42a12de6f


(huber2t) #10

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\invwft2h.com

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Mar733) #11

http://wklej.org/id/6774feb1ce


(huber2t) #12

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Mar733) #13

Kaspersky - obszary krytyczne:

http://wklej.org/id/93938a7755

Kaspersky - moj komputer:

http://wklej.org/id/7fa09c8357

DrWeb:

http://wklej.org/id/4f2e8aedec


(huber2t) #14

Usuń to:

Usuń wszsystkie pliki z tego folderu: