mario_1986
(Mariusz Przerada)
8 Lipiec 2008 12:54
#1
Witam, proszę o pomoc w związku z pojawieniem się na moim kompie wirusa amvo. Wczoraj kolega poprosił mnie o zgranie mu na pendrive’a zdjęć z jego 18 i w ten sposób zaraziłem swój komputer ww. wirusem.
Po zainfekowaniu nie widziałem w systemie plików ukrytych oraz komputer trochę się spowolnił. Teraz po skanowaniu ComboFix widzę już ukryte pliki, ale mimo wszystko proszę o pomoc w całkowitym usunięciu tego wirusa!
W związku z czym proszę o sprawdzenie loga:
http://wklejto.pl/5224
Z góry bardzo serdecznie dziękuję za odpowiedź i pomoc w usuwaniu tego dokuczliwego oprogramowania.
PS. Czy muszę użyć zainfekowanego pendrive’a kolegi, aby poradzić sobie z problemem?
huber2t
(huber2t)
8 Lipiec 2008 12:59
#2
Do wyleczenia pendrive z wirusów użyj
Perlovg Removal Tool
Flash Disinfector
lub format
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\00hoeav.com
C:\qxbx9blb.com
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17df3a4c-1057-11dd-a19a-00c09fe5daca}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d3a07c4-a13d-11dc-a0c1-0060b34d3f06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41675066-a99c-11db-a8d3-00c09fe5daca}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41675067-a99c-11db-a8d3-00c09fe5daca}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f5796cf-088f-11dd-a186-00c09fe5daca}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63f93b06-0adc-11dd-a18c-0013ce84c76e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63f93b07-0adc-11dd-a18c-0013ce84c76e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655d9940-a3a0-11dc-a0c3-00c09fe5daca}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3d9f69e-8790-11dc-a0b1-00c09fe5daca}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf9f2e50-4d7b-11dc-aa12-000e50878f0c}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7e81e45-e386-11db-a96e-00c09fe5daca}]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklejto.pl a w poście dajesz tylko link
mario_1986
(Mariusz Przerada)
8 Lipiec 2008 13:03
#3
jeszcze jedno małe pytanko, czy aby usunąć z systemu amvo potrzebuje tego zainfekowanego pendrive’a kolegi (nie mam go w tej chwili) czy mogę zrobić to bez niego?
huber2t
(huber2t)
8 Lipiec 2008 13:06
#4
Tak ale lepiej dla jego bezp. wylecz jego pendrive gdy go będziesz mniał, daj log z usuwania z combofix
mario_1986
(Mariusz Przerada)
8 Lipiec 2008 13:09
#5
oto log o który prosiłeś:
http://wklejto.pl/5234
huber2t
(huber2t)
8 Lipiec 2008 13:12
#6
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
mario_1986
(Mariusz Przerada)
8 Lipiec 2008 13:58
#7
wielkie dzięki, właśnie trwa skanowanie kasperskim.
mam tylko jeszcze jedno pytanie, po restarcie systemu wyskoczyła mi ikonka prevx CSI, która wskazała na obecność 2 groźnych plików:
00hoeav.com
qxbx9blb.com
Obydwa są typu: cloaked malware
Czy aby nie są one powiązane z amvo? Jak ewentualnie je usunąć?
z góry wielkie dzięki
huber2t
(huber2t)
8 Lipiec 2008 14:06
#8
Tak sa zwiazane ale Kasperski powinien je wykryć, a my jak dostaniemy raport to usuniemy te pliki
W dniu 08.07.2008 , o godzinie 16:06 został dopisany post przez huber2t
Tak sa zwiazane ale Kasperski powinien je wykryć, a my jak dostaniemy raport to usuniemy te pliki
W dniu 08.07.2008 , o godzinie 16:06 został dopisany post przez huber2t
Tak sa zwiazane ale Kasperski powinien je wykryć, a my jak dostaniemy raport to usuniemy te pliki