Mam podejrzenia o zainfekowaniu komputera trojanem Amvo. Przy uruchamianiu komputera wyswietla mi sie komunikat o bledzie w aplikacji amvo.exe. Zauwazylam brak mozliwosci wyswietlania ukrytych plikow i folderow.
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Files to delete:
C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\33C20FE0.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\4D743612.wma
C:\WINDOWS\system32\ fsmgmt.dll
C:\WINDOWS\system32\ fsmgmt.dll.tmp
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\NewServer[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\Server[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TX3IK5Q1\NewServer[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[2].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[3].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[4].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\ZLAEOMTF\NewServer[1].dll
C:\WINDOWS\system32\secpol.exe
F:\autorun.inf
F:\gjn2pjlw.exe
F:\UFO.exe
Folders to delete:
C:\Documents and Settings\All Users\Dane aplikacji\Build Tick Tray Drive
C:\Documents and Settings\kaha\Dane aplikacji\Chic active
C:\Documents and Settings\LocalService\Dane aplikacji\Chic active
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK. Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt_W dniu_ 21.06.2008, o godzinie19:19został dopisany post przez huber2tDo wyleczenia pendrive z wirusów użyj Perlovg Removal ToolFlash Disinfectorlub format** Przeczyść komputer** CcleaneremPobierz The Avengerwklej do niego ten tekst:
Files to delete:
C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\33C20FE0.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\4D743612.wma
C:\WINDOWS\system32\ fsmgmt.dll
C:\WINDOWS\system32\ fsmgmt.dll.tmp
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\NewServer[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\S1KLDWFP\Server[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TX3IK5Q1\NewServer[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[1].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[2].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[3].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WS8T4GU6\NewServer[4].dll
C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\ZLAEOMTF\NewServer[1].dll
C:\WINDOWS\system32\secpol.exe
F:\autorun.inf
F:\gjn2pjlw.exe
F:\UFO.exe
Folders to delete:
C:\Documents and Settings\All Users\Dane aplikacji\Build Tick Tray Drive
C:\Documents and Settings\kaha\Dane aplikacji\Chic active
C:\Documents and Settings\LocalService\Dane aplikacji\Chic active
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt