Infekcja amvo, pomoc logiem i combofixem


(Tede7gangsta) #1

Yo

Mam mały problem, a mianowicie amvo.exe. Zrobiłem skan combofix'em i otrzymałem taki log:

http://wklej.org/id/80b560b6d5

no więc co teraz?? Z jakieś innej stronki dowiedziałem się ze powinienem wstawić ten log na jakieś profesjonalne forum ażebym dostał treść jakiegoś pliczku .txt (chyba CFScript.txt) który następnie mam przeciągnąć combofix'a. No więc proszę o pomoc.

ps. jeśli coś namotałem lub muszę coś jeszcze zrobić to napiszcie.

pps. w najbliższym czasie wstawię jeszcze jeden taki log gdyż mój znajomy też się tego nabawił ;/


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\oq.cmd

C:\WINDOWS\system32\geebb.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15CEED55-7C60-4951-8F55-AD09E16AFC04}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PowerBar"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxvsst]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Tede7gangsta) #3

No więc otrzymałem taki log:

http://wklej.org/id/726afaad77

co dalej?? ;>

ps. przepraszam modów :slight_smile:


(huber2t) #4

Log wyglada na czysty

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Monczkin) #5

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=213350

Przeczytaj i popraw tytuł i posty z logami. Inaczej temat wyleci.


(Tede7gangsta) #6

no więc raport z kasperskiego wygląda tak:

http://wklej.org/id/9d9cf1567b

wywaliło mi 8 wirusów i 18 zainfekowanych obiektów z czego część jest w kwarantannie ... mam je usunąć/wyczyścić przez kasperskiego czy symantec wystarczy?


(huber2t) #7

Wyczyść kwarantannę Symanteca lub usuń te pliki:

usuń z dysku te pliki:

Usuń ten folder:

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja


(Tede7gangsta) #8

dzięki wielkie za pomoc :smiley: kwarantanna wyczyszczona za pliczki się już zabieram i potem przywracania systemu. pozdrawiam

W dniu 05.05.2008 , o godzinie 11:59 został dopisany post przez tede7

no więc przyszła pora na kumpla. Jego log z combofix'a wygląda tak:

http://wklej.org/id/91ccffca70

Też ma problem z amvo.exe, poproszę o pomoc z pliczkiem CFScript.txt :slight_smile:

ps. qoobox już jest usunięty.


(huber2t) #9

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\oq.cmd 

C:\pa39xth.cmd


Folder::

C:\Program Files\Search Settings


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Tede7gangsta) #10

no to mój kumpel otrzymał taki log:

http://wklej.org/id/2408167a44


(Leon$) #11

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml lub format

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

włącz przywracanie systemu

:slight_smile: