Infekcja amvo


(Efemek) #1

Witam serdecznie! Dziś podczas zajęć na uczelni, na swoim laptopie podczas podpinania pendrive'a (aby skopiować wykład) wyskoczył dziwny błąd, który podobno jest komunikatem o istnieniu w systemie robaka/trojana/wirusa amvo. bardzo proszę, o pomoc. poniżej mój log,

PS. "przejechałem" swój system ComboFix'em. na dysku C w katalogu Windows utworzył się plik Nircmd.exe - czy jest to prawidłowy plik tego programu ? wyczytałem że najprawdopodobniej tak, ale proszę o potwierdzenie (istnieją podobno trojany o takowej nazwie) pozdrawiam serdecznie i dziękuję!

log: http://wklej.org/id/b5588dcd71


(jessica) #2

Wklej do Notatnika :

File::

C:\cayfq2.cmd

J:\cayfq2.cmd

I:\xp19.com

J:\EXPLORER.EXE


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4401a0d1-c741-11dc-9657-00a0d16c230e}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b457c55-f297-11dc-96d4-00a0d16c230e}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca2ee0e7-e6df-11dc-96b0-00037ae6ea39}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C:**** Qoobox.

A pena najlepiej sformatuj i nigdy więcej nie podpinaj pod komputer, z którego korzysta więcej osób.

jessi


(Monczkin) #3

Jesteś tu już wystarczająco długo, żeby znać te tematy. Popraw temat i posta.

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=213350

Za chwile zacznę wyciągać konsekwencje.


(Efemek) #4

Owszem znam i dość długo jestem, niestety potrzebowałem pilnie pomocy w związku z tym, że chodzi również o moją pracę mgr. Przepraszam, jeśli coś było tutaj nie tak jak powinno. Temat poprawiony i mam nadzieję że tym razem jest lepiej. Starałem się go poprzednio ująć jak najlepiej – jak widać nie bardzo się to udało. Log – wkleiłem pospiesznie – i tutaj fakt – moja wina. Przepraszam raz jeszcze.


(jessica) #5

Ponieważ widzę, że Script u Ciebie nie działa w ogóle, więc spróbuj inaczej:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4401a0d1-c741-11dc-9657-00a0d16c230e}] 


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b457c55-f297-11dc-96d4-00a0d16c230e}] 


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca2ee0e7-e6df-11dc-96b0-00037ae6ea39}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Zrestartuj komputer.

Potem:

Ściągnij OTMoveIt2

Do pola Paste List of Files/Folders to be Moved wklej poniższą ścieżkę:

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:**** _OTMoveIt (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Potem daj nowy log z ComboFixa do kontroli (na wklej.org).

jessi

PS. Ja nie mam możliwości odpowiadania na PW (Administracja Forum uznała mnie za "persona non grata").


(Efemek) #6

wydaje się że jest lepiej :slight_smile:

http://www.wklej.org/id/f4a58549c6

jessi - bardzo proszę looknij raz jeszcze i serdecznie dziękuję za pomoc i wytrwałość! =D> jeśli potrzeba coś jeszcze zadziałać - daj proszę znać :slight_smile:


(jessica) #7

Uważam, że log jest czysty.

jessi


(Efemek) #8

dzięki serdeczne :slight_smile: