Witam
Ostatnio podczas podłączenia pendriva od kolegi NOD32 wykrył wirusa AMVO. Niby wszystko OK ale jednak nie bo nadal siedzi w systemie. Zwracam się z prośbą o sprawdzenie loga z ComboFix’a http://www.wklej.org/id/576b6ef4e0
Witam
Ostatnio podczas podłączenia pendriva od kolegi NOD32 wykrył wirusa AMVO. Niby wszystko OK ale jednak nie bo nadal siedzi w systemie. Zwracam się z prośbą o sprawdzenie loga z ComboFix’a http://www.wklej.org/id/576b6ef4e0
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Proszę tutaj jest log z usówania ComboFixem (z podłączonym uprzednio pendrivem F:) http://www.wklej.org/id/f56d660ee4
Znasz te pliki jeśli nie to je usuń
Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
Mam problem z amvo. Przeleciałem dysk ComboFixem. Oto log (a! zaczął mi się restartować Firefox…):
ComboFix 08-05-21.3 - miszka 2008-05-23 9:48:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.429 [GMT 2:00]
Running from: D:\INTERNETOWE\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
.
((((((((((((((((((((((((( Files Created from 2008-04-23 to 2008-05-23 )))))))))))))))))))))))))))))))
.
2008-05-23 09:34 . 2008-05-23 09:34
2008-05-23 09:34 . 2008-05-23 09:35
2008-05-23 09:34 . 2008-05-23 09:34 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-05-22 13:01 . 2008-05-22 13:00 107,828 -r-hs---- C:\tfk8.exe
2008-05-20 09:24 . 2008-05-20 09:34
2008-05-19 22:58 . 2008-05-17 21:58 105,503 -r-hs---- C:\d.cmd
2008-05-19 17:39 . 2008-05-19 17:39
2008-05-19 12:02 . 2008-05-21 16:32
2008-05-19 12:01 . 2008-05-19 12:01
2008-05-19 12:01 . 2008-05-19 12:01
2008-05-19 00:40 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
2008-05-18 19:49 . 2008-05-21 16:05
2008-05-18 19:49 . 2008-05-18 19:49 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-18 19:45 . 2008-05-19 12:01
2008-05-17 12:48 . 2008-05-17 12:48
2008-05-17 12:45 . 2008-05-17 13:10
2008-05-14 00:15 . 2008-05-14 00:15
2008-05-13 20:13 . 2008-05-13 20:59
2008-05-13 13:47 . 2008-05-13 13:47
2008-05-09 23:20 . 2008-05-09 23:20
2008-05-09 17:58 . 2008-05-09 17:58
2008-05-09 17:58 . 2008-05-09 17:58
2008-05-09 17:58 . 2008-05-19 17:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-09 17:58 . 2008-05-09 17:58 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-09 17:57 . 2008-05-09 17:57
2008-05-09 17:57 . 2008-05-09 17:57
2008-05-09 15:41 . 2008-05-09 15:41 0 --a------ C:\WINDOWS\PowerReg.dat
2008-05-09 15:40 . 2008-05-09 15:40
2008-05-09 15:28 . 2008-05-09 15:28
2008-05-09 15:28 . 2002-05-21 08:37 131,072 -ra------ C:\WINDOWS\system32\eax.dll
2008-05-09 15:26 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-08 09:51 . 2008-05-08 09:51
2008-05-07 14:52 . 2008-05-07 14:52
2008-05-07 14:37 . 2008-05-07 14:37
2008-05-07 14:28 . 2008-05-07 14:28
2008-05-06 17:36 . 2008-05-06 17:36
2008-05-06 11:59 . 2008-05-06 11:59
2008-05-06 11:49 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-05-06 11:49 . 2002-12-17 16:23 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2008-05-06 11:49 . 2002-10-20 14:05 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2008-05-06 11:48 . 2008-05-06 11:48
2008-05-06 11:47 . 2008-05-06 11:57
2008-05-06 11:47 . 2008-05-06 11:47
2008-05-06 11:45 . 2008-05-06 11:45
2008-05-05 23:16 . 2008-05-07 08:39 174 --a------ C:\WINDOWS\wcx_ftp.ini
2008-05-05 22:13 . 2008-05-05 22:13
2008-05-05 13:22 . 2008-05-05 13:22
2008-05-05 13:22 . 2008-05-05 13:22 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-05-05 13:22 . 2008-05-05 13:22 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-05-05 12:47 . 2008-05-05 12:47
2008-05-05 12:47 . 2008-05-07 14:37
2008-05-05 12:47 . 2008-05-05 12:47
2008-05-04 22:51 . 2008-05-04 22:51 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-05-04 21:57 . 2008-05-04 21:57
2008-05-04 21:57 . 2008-05-04 21:57 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-05-04 18:27 . 2008-05-21 17:37
2008-05-04 15:25 . 2008-05-04 15:25 406 --a------ C:\WINDOWS\system32\ioloBootDefrag.cfg
2008-05-04 14:02 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-05-04 14:02 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-05-04 13:47 . 2008-05-06 11:21
2008-05-04 13:47 . 2008-05-04 13:47 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll
2008-05-04 10:08 . 2008-05-23 09:27
2008-05-04 09:52 . 2008-05-14 08:04
2008-05-04 01:27 . 2008-05-04 01:27
2008-05-04 01:25 . 2008-05-20 12:45
2008-05-04 01:21 . 2008-05-04 01:21
2008-05-04 01:20 . 2008-05-07 08:42 655 --a------ C:\WINDOWS\wincmd.ini
2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF
2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF
2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF
2008-05-04 01:20 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF
2008-05-04 00:52 . 2008-05-04 00:52
2008-05-04 00:51 . 2008-05-04 00:51 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-05-04 00:43 . 2008-05-04 00:43
2008-05-04 00:42 . 2008-05-04 00:42
2008-05-04 00:41 . 2008-05-04 00:42
2008-05-04 00:41 . 2008-05-04 00:41
2008-05-04 00:40 . 2008-05-04 00:40
2008-05-04 00:40 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-05-04 00:38 . 2008-05-04 00:38
2008-05-04 00:38 . 2006-10-16 16:10 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-04 00:32 . 2008-05-04 16:43
2008-05-04 00:30 . 2008-05-04 00:30
2008-05-04 00:29 . 2008-05-04 00:30
2008-05-04 00:27 . 2008-05-17 12:49
2008-05-04 00:19 . 2007-09-27 14:22 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-05-04 00:19 . 2007-09-04 17:56 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2008-05-04 00:17 . 2008-05-04 00:19
2008-05-04 00:17 . 2008-05-08 09:51 1,823 --a------ C:\WINDOWS\mozver.dat
2008-05-04 00:14 . 2008-05-04 00:14 0 --a------ C:\WINDOWS\nsreg.dat
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 07:48 6,736 ----a-w C:\WINDOWS\system32\drivers\PROCEXP90.SYS
2008-05-23 07:39 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-05-23 07:37 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-05-18 22:40 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-05-09 13:26 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-05-04 19:35 94,208 ----a-w C:\WINDOWS\DUMP2f1e.tmp
2008-05-03 22:49 --------- d-----w C:\Program Files\ATI Technologies
2008-05-03 22:06 --------- d-----w C:\Program Files\Norton Internet Security
2008-05-03 22:03 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-05-03 22:03 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-05-03 22:03 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-05-03 22:03 --------- d-----w C:\Program Files\Symantec
2008-05-03 21:58 --------- d-----w C:\Documents and Settings\miszka\Dane aplikacji\Symantec
2008-05-03 21:57 --------- d-----w C:\Program Files\Windows Sidebar
2008-05-03 21:46 --------- d-----w C:\Documents and Settings\miszka\Dane aplikacji\ATI
2008-05-03 21:27 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-05-03 21:27 --------- d-----w C:\Program Files\AvRack
2008-05-03 21:26 --------- d-----w C:\Program Files\AMD
2008-05-03 20:14 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-03 20:13 --------- d-----w C:\Program Files\Usługi online
2008-03-29 06:21 2,873,856 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-03-29 03:18 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE~\Browser Helper Objects{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 21:51 316784 --a------ C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
[HKEY_LOCAL_MACHINE~\Browser Helper Objects{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-05-04 00:03 116088 --a------ C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
“{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}”= “C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll” [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
“{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}”= C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll [2007-08-24 21:51 316784]
[HKEY_CLASSES_ROOT\clsid{7febefe3-6b19-4349-98d2-ffb09d4b49ca}]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1]
[HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“DAEMON Tools Lite”=“D:\Program Files\DAEMON Tools Lite\daemon.exe” [2008-04-01 11:39 486856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“SoundMan”=“SOUNDMAN.EXE” [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
“ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-05-03 21:05 344064]
“ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2008-02-14 11:01 51048]
“osCheck”=“C:\Program Files\Norton Internet Security\osCheck.exe” [2007-08-24 22:53 714608]
“googletalk”=“C:\Program Files\Google\Google Talk\googletalk.exe” [2007-01-01 23:22 3739648]
“StartCCC”=“C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2008-01-21 12:17 61440]
“UnlockerAssistant”=“D:\Program Files\Unlocker\UnlockerAssistant.exe” [2008-05-02 06:15 15872]
“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]
“QuickTime Task”=“C:\Program Files\QuickTime\QTTask.exe” [2008-03-28 23:37 413696]
“gidle”=“C:\Program Files\gAlwaysIdle\gidle.exe” [2008-01-07 22:35 49152]
“Google Desktop Search”=“C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” [2008-05-17 12:49 29744]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360]
C:\Documents and Settings\miszka\Menu Start\Programy\Autostart\
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
“AppInit_DLLs”=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
“DisableMonitoring”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“C:\Program Files\Google\Google Talk\googletalk.exe”=
“C:\Program Files\Bonjour\mDNSResponder.exe”=
“C:\Program Files\Skype\Phone\Skype.exe”=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“19894:TCP”= 19894:TCP:BitComet 19894 TCP
“19894:UDP”= 19894:UDP:BitComet 19894 UDP
R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-05-23 09:34]
R2 CSIScanner;CSIScanner;“C:\Program Files\PrevxCSI\prevxcsi.exe” /service []
R2 LiveUpdate Notice;LiveUpdate Notice;“C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe” /h ccCommon []
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
S3 GoogleDesktopManager-022208-143751;Menedżer Google Desktop 5.7.802.22438;“C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” [2008-05-17 12:49]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c2708222-1d95-11dd-aa81-000fea302f29}]
\Shell\AutoRun\command - G:\d.cmd
\Shell\explore\Command - G:\d.cmd
\Shell\open\Command - G:\d.cmd
*Newly Created Service* - COMHOST
.
Contents of the ‘Scheduled Tasks’ folder
“2008-05-22 14:51:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”
“2008-05-19 19:09:52 C:\WINDOWS\Tasks\Norton Internet Security - Uruchom pełne skanowanie systemu - miszka.job”
Podłącz pendrive
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\tfk8.exe
C:\d.cmd
G:\d.cmd
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org
Proszę zmienić temat postu na konkretny, opcja edytuj i popraw.JNJN
Usuń te obiekty:
Daj log z combofix
Tytuł nadany przeze mnie “Problem z AMVO - proszę o pomoc [ComboFix]”
Ostatnio edytowany przez Monczkin, 23.05.2008 (Pią) 8:56, edytowano w sumie 1 raz
Powód: Tytuł zmieniono.
W dniu 23.05.2008 , o godzinie 11:47 został dopisany post przez Masahiro
Log z ComboFixa: http://www.wklej.org/id/2e634efc84
Log wyglada na czysty
Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
Tego pendrive`a już nie mam to był dysk przenośny kolegi.
Mój log: http://www.wklej.org/id/3bdd928c66
Daj całego loga z combofix
Log wyglada na czysty
Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.