Komunikat amvo.exe


(Liwosz) #1

Witam!

Mam podejrzenia o zainfekowaniu komputera trojanem Amvo. Przy uruchamianiu komputera wyswietla mi sie komunikat o bledzie w aplikacji amvo.exe. Zauwazylam brak mozliwosci wyswietlania ukrytych plikow i folderow.

Przeskanowalam system ComboFixem.

Oto log:

http://wklej.org/id/a4b7b88f1d

Prosze o pomoc.


(huber2t) #2

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\jfvkcsy.bat 

C:\gjn2pjlw.exe

E:\gjn2pjlw.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Liwosz) #3

nowy log:

http://wklej.org/id/8c897ad3d2


(huber2t) #4

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Liwosz) #5

oto raport z Kaspersky'ego:

http://wklej.org/id/2cd9dc126b


(huber2t) #6

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Przeczyść komputer Ccleanerem

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\33C20FE0.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\4D743612.wma

C:\WINDOWS\system32\ fsmgmt.dll

C:\WINDOWS\system32\ fsmgmt.dll.tmp

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\NewServer[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\Server[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TX3IK5Q1\NewServer[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[2].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[3].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[4].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\ZLAEOMTF\NewServer[1].dll

C:\WINDOWS\system32\secpol.exe

F:\autorun.inf

F:\gjn2pjlw.exe

F:\UFO.exe


Folders to delete:

C:\Documents and Settings\All Users\Dane aplikacji\Build Tick Tray Drive

C:\Documents and Settings\kaha\Dane aplikacji\Chic active

C:\Documents and Settings\LocalService\Dane aplikacji\Chic active

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK. Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt_W dniu_ 21.06.2008 , o godzinie 19:19 został dopisany post przez huber2t Do wyleczenia pendrive z wirusów użyj Perlovg Removal ToolFlash Disinfectorlub format**** Przeczyść komputer CcleaneremPobierz The Avengerwklej do niego ten tekst:

Files to delete:

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\33C20FE0.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\4D743612.wma

C:\WINDOWS\system32\ fsmgmt.dll

C:\WINDOWS\system32\ fsmgmt.dll.tmp

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\NewServer[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\Server[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TX3IK5Q1\NewServer[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[1].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[2].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[3].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[4].dll

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\ZLAEOMTF\NewServer[1].dll

C:\WINDOWS\system32\secpol.exe

F:\autorun.inf

F:\gjn2pjlw.exe

F:\UFO.exe


Folders to delete:

C:\Documents and Settings\All Users\Dane aplikacji\Build Tick Tray Drive

C:\Documents and Settings\kaha\Dane aplikacji\Chic active

C:\Documents and Settings\LocalService\Dane aplikacji\Chic active

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Liwosz) #7

raport z avenger:

http://wklej.org/id/cfb6e7cdd3


(huber2t) #8

Pliki z dysku sie pousuwały, zostały tylko pliki z dysku wymiennego nie usunięte, usuń te wirusy programami które podałem wyżej