Jak usunąć AMVO

Masahiro · 22 Maj 2008 21:13

Witam

Ostatnio podczas podłączenia pendriva od kolegi NOD32 wykrył wirusa AMVO. Niby wszystko OK ale jednak nie bo nadal siedzi w systemie. Zwracam się z prośbą o sprawdzenie loga z ComboFix’a http://www.wklej.org/id/576b6ef4e0

Leon1 · 22 Maj 2008 21:57

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Masahiro · 23 Maj 2008 06:54

Proszę tutaj jest log z usówania ComboFixem (z podłączonym uprzednio pendrivem F:) http://www.wklej.org/id/f56d660ee4

huber2t · 23 Maj 2008 06:56

Znasz te pliki jeśli nie to je usuń

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

kamek1984 · 23 Maj 2008 08:09

Mam problem z amvo. Przeleciałem dysk ComboFixem. Oto log (a! zaczął mi się restartować Firefox…):

ComboFix 08-05-21.3 - miszka 2008-05-23 9:48:38.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.429 [GMT 2:00]

Running from: D:\INTERNETOWE\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll

.

((((((((((((((((((((((((( Files Created from 2008-04-23 to 2008-05-23 )))))))))))))))))))))))))))))))

.

2008-05-23 09:34 . 2008-05-23 09:34

2008-05-23 09:34 . 2008-05-23 09:35

2008-05-23 09:34 . 2008-05-23 09:34 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys

2008-05-22 13:01 . 2008-05-22 13:00 107,828 -r-hs---- C:\tfk8.exe

2008-05-20 09:24 . 2008-05-20 09:34

2008-05-19 22:58 . 2008-05-17 21:58 105,503 -r-hs---- C:\d.cmd

2008-05-19 17:39 . 2008-05-19 17:39

2008-05-19 12:02 . 2008-05-21 16:32

2008-05-19 12:01 . 2008-05-19 12:01

2008-05-19 00:40 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD

2008-05-18 19:49 . 2008-05-21 16:05

2008-05-18 19:49 . 2008-05-18 19:49 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat

2008-05-18 19:45 . 2008-05-19 12:01

2008-05-17 12:48 . 2008-05-17 12:48

2008-05-17 12:45 . 2008-05-17 13:10

2008-05-14 00:15 . 2008-05-14 00:15

2008-05-13 20:13 . 2008-05-13 20:59

2008-05-13 13:47 . 2008-05-13 13:47

2008-05-09 23:20 . 2008-05-09 23:20

2008-05-09 17:58 . 2008-05-09 17:58

2008-05-09 17:58 . 2008-05-19 17:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-05-09 17:58 . 2008-05-09 17:58 1,409 --a------ C:\WINDOWS\QTFont.for

2008-05-09 17:57 . 2008-05-09 17:57

2008-05-09 15:41 . 2008-05-09 15:41 0 --a------ C:\WINDOWS\PowerReg.dat

2008-05-09 15:40 . 2008-05-09 15:40

2008-05-09 15:28 . 2008-05-09 15:28

2008-05-09 15:28 . 2002-05-21 08:37 131,072 -ra------ C:\WINDOWS\system32\eax.dll

2008-05-09 15:26 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl

2008-05-08 09:51 . 2008-05-08 09:51

2008-05-07 14:52 . 2008-05-07 14:52

2008-05-07 14:37 . 2008-05-07 14:37

2008-05-07 14:28 . 2008-05-07 14:28

2008-05-06 17:36 . 2008-05-06 17:36

2008-05-06 11:59 . 2008-05-06 11:59

2008-05-06 11:49 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe

2008-05-06 11:49 . 2002-12-17 16:23 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll

2008-05-06 11:49 . 2002-10-20 14:05 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll

2008-05-06 11:48 . 2008-05-06 11:48

2008-05-06 11:47 . 2008-05-06 11:57

2008-05-06 11:47 . 2008-05-06 11:47

2008-05-06 11:45 . 2008-05-06 11:45

2008-05-05 23:16 . 2008-05-07 08:39 174 --a------ C:\WINDOWS\wcx_ftp.ini

2008-05-05 22:13 . 2008-05-05 22:13

2008-05-05 13:22 . 2008-05-05 13:22

2008-05-05 13:22 . 2008-05-05 13:22 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-05-05 13:22 . 2008-05-05 13:22 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-05-05 12:47 . 2008-05-05 12:47

2008-05-05 12:47 . 2008-05-07 14:37

2008-05-05 12:47 . 2008-05-05 12:47

2008-05-04 22:51 . 2008-05-04 22:51 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-05-04 21:57 . 2008-05-04 21:57

2008-05-04 21:57 . 2008-05-04 21:57 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-05-04 18:27 . 2008-05-21 17:37

2008-05-04 15:25 . 2008-05-04 15:25 406 --a------ C:\WINDOWS\system32\ioloBootDefrag.cfg

2008-05-04 14:02 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys

2008-05-04 14:02 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys

2008-05-04 13:47 . 2008-05-06 11:21

2008-05-04 13:47 . 2008-05-04 13:47 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll

2008-05-04 10:08 . 2008-05-23 09:27

2008-05-04 09:52 . 2008-05-14 08:04

2008-05-04 01:27 . 2008-05-04 01:27

2008-05-04 01:25 . 2008-05-20 12:45

2008-05-04 01:21 . 2008-05-04 01:21

2008-05-04 01:20 . 2008-05-07 08:42 655 --a------ C:\WINDOWS\wincmd.ini

2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF

2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF

2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF

2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF

2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF

2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF

2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF

2008-05-04 00:52 . 2008-05-04 00:52

2008-05-04 00:51 . 2008-05-04 00:51 0 --a------ C:\WINDOWS\ativpsrm.bin

2008-05-04 00:43 . 2008-05-04 00:43

2008-05-04 00:42 . 2008-05-04 00:42

2008-05-04 00:41 . 2008-05-04 00:42

2008-05-04 00:41 . 2008-05-04 00:41

2008-05-04 00:40 . 2008-05-04 00:40

2008-05-04 00:40 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll

2008-05-04 00:38 . 2008-05-04 00:38

2008-05-04 00:38 . 2006-10-16 16:10 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-05-04 00:32 . 2008-05-04 16:43

2008-05-04 00:30 . 2008-05-04 00:30

2008-05-04 00:29 . 2008-05-04 00:30

2008-05-04 00:27 . 2008-05-17 12:49

2008-05-04 00:19 . 2007-09-27 14:22 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll

2008-05-04 00:19 . 2007-09-04 17:56 164,352 --a------ C:\WINDOWS\system32\unrar.dll

2008-05-04 00:17 . 2008-05-04 00:19

2008-05-04 00:17 . 2008-05-08 09:51 1,823 --a------ C:\WINDOWS\mozver.dat

2008-05-04 00:14 . 2008-05-04 00:14 0 --a------ C:\WINDOWS\nsreg.dat

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-23 07:48 6,736 ----a-w C:\WINDOWS\system32\drivers\PROCEXP90.SYS

2008-05-23 07:39 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-05-23 07:37 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Symantec

2008-05-18 22:40 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-05-09 13:26 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-05-04 19:35 94,208 ----a-w C:\WINDOWS\DUMP2f1e.tmp

2008-05-03 22:49 --------- d-----w C:\Program Files\ATI Technologies

2008-05-03 22:06 --------- d-----w C:\Program Files\Norton Internet Security

2008-05-03 22:03 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF

2008-05-03 22:03 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2008-05-03 22:03 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2008-05-03 22:03 --------- d-----w C:\Program Files\Symantec

2008-05-03 21:58 --------- d-----w C:\Documents and Settings\miszka\Dane aplikacji\Symantec

2008-05-03 21:57 --------- d-----w C:\Program Files\Windows Sidebar

2008-05-03 21:46 --------- d-----w C:\Documents and Settings\miszka\Dane aplikacji\ATI

2008-05-03 21:27 --------- d-----w C:\Program Files\Realtek Sound Manager

2008-05-03 21:27 --------- d-----w C:\Program Files\AvRack

2008-05-03 21:26 --------- d-----w C:\Program Files\AMD

2008-05-03 20:14 --------- d-----w C:\Program Files\microsoft frontpage

2008-05-03 20:13 --------- d-----w C:\Program Files\Usługi online

2008-03-29 06:21 2,873,856 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys

2008-03-29 03:18 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]

2007-08-24 21:51 316784 --a------ C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]

2008-05-04 00:03 116088 --a------ C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

“{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}”= “C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll” [2007-08-24 21:51 316784]

[HKEY_CLASSES_ROOT\clsid{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]

[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]

[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

“{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}”= C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 21:51 316784]

[HKEY_CLASSES_ROOT\clsid{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]

[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]

[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“DAEMON Tools Lite”=“D:\Program Files\DAEMON Tools Lite\daemon.exe” [2008-04-01 11:39 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“SoundMan”=“SOUNDMAN.EXE” [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE]

“ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-05-03 21:05 344064]

“ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2008-02-14 11:01 51048]

“osCheck”=“C:\Program Files\Norton Internet Security\osCheck.exe” [2007-08-24 22:53 714608]

“googletalk”=“C:\Program Files\Google\Google Talk\googletalk.exe” [2007-01-01 23:22 3739648]

“StartCCC”=“C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2008-01-21 12:17 61440]

“UnlockerAssistant”=“D:\Program Files\Unlocker\UnlockerAssistant.exe” [2008-05-02 06:15 15872]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]

“QuickTime Task”=“C:\Program Files\QuickTime\QTTask.exe” [2008-03-28 23:37 413696]

“gidle”=“C:\Program Files\gAlwaysIdle\gidle.exe” [2008-01-07 22:35 49152]

“Google Desktop Search”=“C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” [2008-05-17 12:49 29744]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360]

C:\Documents and Settings\miszka\Menu Start\Programy\Autostart\

OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

“AppInit_DLLs”=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Google\Google Talk\googletalk.exe”=

“C:\Program Files\Bonjour\mDNSResponder.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“19894:TCP”= 19894:TCP:BitComet 19894 TCP

“19894:UDP”= 19894:UDP:BitComet 19894 UDP

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-05-23 09:34]

R2 CSIScanner;CSIScanner;“C:\Program Files\PrevxCSI\prevxcsi.exe” /service []

R2 LiveUpdate Notice;LiveUpdate Notice;“C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe” /h ccCommon []

S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]

S3 GoogleDesktopManager-022208-143751;Menedżer Google Desktop 5.7.802.22438;“C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” [2008-05-17 12:49]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c2708222-1d95-11dd-aa81-000fea302f29}]

\Shell\AutoRun\command - G:\d.cmd

\Shell\explore\Command - G:\d.cmd

\Shell\open\Command - G:\d.cmd

*Newly Created Service* - COMHOST

.

Contents of the ‘Scheduled Tasks’ folder

“2008-05-22 14:51:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

C:\Program Files\Apple Software Update\SoftwareUpdate.exe

“2008-05-19 19:09:52 C:\WINDOWS\Tasks\Norton Internet Security - Uruchom pełne skanowanie systemu - miszka.job”

huber2t · 23 Maj 2008 09:05

Podłącz pendrive

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\tfk8.exe

C:\d.cmd

G:\d.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

Masahiro · 23 Maj 2008 09:06

Log z Kaspersky’ego http://www.wklej.org/id/0ed4f3dfff

JNJN · 23 Maj 2008 09:08

Proszę zmienić temat postu na konkretny, opcja edytuj i popraw.JNJN

huber2t · 23 Maj 2008 09:09

Usuń te obiekty:

Daj log z combofix

Masahiro · 23 Maj 2008 09:47

Tytuł nadany przeze mnie “Problem z AMVO - proszę o pomoc [ComboFix]”

Ostatnio edytowany przez Monczkin, 23.05.2008 (Pią) 8:56, edytowano w sumie 1 raz

Powód: Tytuł zmieniono.

W dniu 23.05.2008 , o godzinie 11:47 został dopisany post przez Masahiro

Log z ComboFixa: http://www.wklej.org/id/2e634efc84

huber2t · 23 Maj 2008 09:49

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

kamek1984 · 23 Maj 2008 12:39

Tego pendrive`a już nie mam to był dysk przenośny kolegi.

Mój log: http://www.wklej.org/id/3bdd928c66

huber2t · 23 Maj 2008 12:53

Daj całego loga z combofix

kamek1984 · 23 Maj 2008 13:01

sorki, porąbałem

http://www.wklej.org/id/c9f58d85f8

huber2t · 23 Maj 2008 13:45

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.