Lawina wirusów (m.in. w amvo.exe) - proszę o pomoc


(system) #1

Witam!

Około 2 tygodnie temu ktoś przyniósł mojego pendrive’a z kawiarenki w której coś drukował. Niestety po włożeniu do laptopa (WinXPPRo) okazało się że zaraził się w kawiarence wirusem:

Win32:Detnat-AX na I[wtedy pendrive]:\explorer.exe

Mimo że Avast go wykrył i wybrałem usuń na dobre, to jednak jakoś się dostał do laptopa (pewnie w związku z tym że nie miałem wtedy niestety wyłączonego autoodtwarzania).

Od wtedy jak lawina zaczęły pojawiać się kolejne trojany i wirusy typu Win32 (np. Bloodhound.Morphine, Worm.Mytob, Trojan.MulDrop.6474, Trojan.PWS.Wsgame.3434, Trojan.NtRootKit.880, Trojan.PWS.Gamania.5967, Trojan.Nsanti.Packed, Win32.HLLW.Autoruner, W32.Gammima, Infostealer.Gampass

na wszystkich moich dyskach (wewnętrznych i zewnętrznych) w podobnych plikach (wiele z nich dokładnie te same na wszystkich dyskach a niektóre unikalnie na konkretnym dysku) np. autorun.inf, xpbkh.com, i.exe, uisvkqr.exe, y82td3td.com itp. oraz w wielu plikach przywracania systemu.

Nie można było pokazać ukrytych plików. Po usunięciu niektórych wirusów przestały się otwierać dyski normalnie przez dwuklik.

Używając głównie Dr.Weba usunąłem chyba wszystkie na wszystkich dyskach – mam kilka zewnętrznych dysków. Laptop przeszedł też ponowną instalację systemu – i na szczęście problem z laptopem jest zażegnany.

Jednak w którymś momencie coś musiałem przeoczyć (albo ktoś z domowników) ponieważ zawirusił się dokładnie tak samo również stacjonarny komputer (WinXPPRo) (zarówno dysk systemowy C: jak i dysk D: ) który zaczął wolno pracować, tak ze trudno go było używać– również na nim pousuwałem tak samo prawie dokładnie te same wirusy prawie wszystkie w takich samych plikach (co ciekawe często niektóre wirusy infekowały plik który na laptopie był też zainfekowany ale przeciwnym wirusem np. xpbkh.com zainfekowany na dysku C: przez wirusa A, na dysku D: przez wirusa B, a na F: przez wirusa C – czy one uczą się tego od siebie nawzajem jakie zainfekowane pliki tworzyć/infekować?). Jednak już nie przeinstalowywałem systemu, bo komp zaczął trochę szybciej pracować i był niestety komuś bardzo potrzebny „na teraz” .

Dzisiaj po restarcie systemu Avast wykrył:

Win32.aucrypt [cryp] w pliku C:\WINDOWS\SYSTEM32\amvo0.dll

Oraz pojawił się komunikat pliku amvo.exe w stylu że " Instrukcja spod ……. odwołuje sie do pamięci pod adresem ……. Pamięć nie może byc "read" ". (ten komunikat pojawił się już parę razy w ciągu ostatniego tygodnia ).

I niby go usunął, ale w msconfig w zakładce Uruchamianie nadal jest proces amvo.exe. Nie daje się też pokazać ukrytych plików.

Następnie Dr.Web wykrył między innymi i niby usunął:

Trojan.MulDrop.6474, Trojan.PWS.Wsgame.3434, Trojan.PWS.Gamania.5967, Win32.HLLW.Autoruner, Trojan.PWS.Gamania.5967 (wszystkie były też wcześniej na tym moim laptopie) w plikach np. xpbkh.com, cfdflx.com, y02mq6.exe w głównym katalogu dysków, amvo.exe w C:\WINDOWS\SYSTEM32\amvo.exe

Poniżej zamieszczam log z Combofixa z prośbą o sprawdzenie czy mój komputer można by uznać za czysty (chociaż mam wątpliwości, bo nadal jest ten amvo.exe w msconfig w zakładce Uruchamianie)?

Czy jeśli bym ponownie zainstalował system na C:, to jeśli zostałyby jakieś zainfekowane pliki na dysku D: (bo może czegoś Dr.Web i Avast nie usunęły), to czy ten system może się znów zainfekować i jeśli tak to w jakich przypadkach może się to zdarzyć?

I mam oczywiście pytanie w związku z powyższym czy znacie lepszy antywirus niż avast (nawet płatny) (może NOD32?), i czy oprócz tego antywirusa powinienem coś jeszcze mieć na stałe zainstalowane aby zmniejszyć w przyszłości możliwość takiego zmasowanego ataku wiruso-trojanów? (do tej pory używałem Avasta + gdy był problem sprawdzałem komp zazwyczaj głównie Dr.Webem)

Przepraszam że tyle tego napisałem ale gdzieś musiałem wylać jakby swój żal z powodu tego co wynikło z podłączenia jednego małego pendrive’a.

Dołączam życzenia świąteczne i przepraszam że tak przed świętami

Oto log z Combofixa:

http://wklej.org/id/4b45569fc1

EDIT: poprawiłem by log był ze strony wklej


(Wojtas_16) #2

Tak

Darmowy Program

:arrow: http://dobreprogramy.pl/index.php?dz=2& ... .06.00.270

Płatne

:arrow: http://dobreprogramy.pl/index.php?dz=2& ... 0.1.325+PL

:arrow: http://dobreprogramy.pl/index.php?dz=2& ... 0.572.0+PL

Jeśli chcesz mieć lepszą ochronę polecam

:arrow: http://dobreprogramy.pl/index.php?dz=2& ... 0.572.0+PL

:arrow: http://dobreprogramy.pl/index.php?dz=2& ... 0.1.325+PL

Możesz jeszcze zobaczyć ten program

:arrow: http://dobreprogramy.pl/index.php?dz=2& ... urity+2008


(Gutek) #3

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:

File::

C:\WINDOWS\system32\amvo.exe

F:\xpbkh.com

G:\xpbkh.com

H:\xpbkh.com

G:\i.exe


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(system) #4

Dziękuję za pomoc. Log z Combofix:

http://wklej.org/id/1ae3b43afc


(Leon$) #5

start >> uruchom >> cmd

sc stop ABBYY.Licensing.FineReader.Professional.9.0

sc delete ABBYY.Licensing.FineReader.Professional.9.0

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

:slight_smile:


(system) #6

Dziękuję bardzo za rady.