Problem z amvo.exe


(Mariusz Przerada) #1

Witam, proszę o pomoc w związku z pojawieniem się na moim kompie wirusa amvo. Wczoraj kolega poprosił mnie o zgranie mu na pendrive'a zdjęć z jego 18 i w ten sposób zaraziłem swój komputer ww. wirusem.

Po zainfekowaniu nie widziałem w systemie plików ukrytych oraz komputer trochę się spowolnił. Teraz po skanowaniu ComboFix widzę już ukryte pliki, ale mimo wszystko proszę o pomoc w całkowitym usunięciu tego wirusa!

W związku z czym proszę o sprawdzenie loga:

http://wklejto.pl/5224

Z góry bardzo serdecznie dziękuję za odpowiedź i pomoc w usuwaniu tego dokuczliwego oprogramowania.

PS. Czy muszę użyć zainfekowanego pendrive'a kolegi, aby poradzić sobie z problemem?


(huber2t) #2

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\00hoeav.com

C:\qxbx9blb.com


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17df3a4c-1057-11dd-a19a-00c09fe5daca}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d3a07c4-a13d-11dc-a0c1-0060b34d3f06}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41675066-a99c-11db-a8d3-00c09fe5daca}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41675067-a99c-11db-a8d3-00c09fe5daca}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f5796cf-088f-11dd-a186-00c09fe5daca}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63f93b06-0adc-11dd-a18c-0013ce84c76e}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63f93b07-0adc-11dd-a18c-0013ce84c76e}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{655d9940-a3a0-11dc-a0c3-00c09fe5daca}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3d9f69e-8790-11dc-a0b1-00c09fe5daca}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf9f2e50-4d7b-11dc-aa12-000e50878f0c}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7e81e45-e386-11db-a96e-00c09fe5daca}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Mariusz Przerada) #3

jeszcze jedno małe pytanko, czy aby usunąć z systemu amvo potrzebuje tego zainfekowanego pendrive'a kolegi (nie mam go w tej chwili) czy mogę zrobić to bez niego?


(huber2t) #4

Tak ale lepiej dla jego bezp. wylecz jego pendrive gdy go będziesz mniał, daj log z usuwania z combofix


(Mariusz Przerada) #5

oto log o który prosiłeś:

http://wklejto.pl/5234


(huber2t) #6

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Mariusz Przerada) #7

wielkie dzięki, właśnie trwa skanowanie kasperskim.

mam tylko jeszcze jedno pytanie, po restarcie systemu wyskoczyła mi ikonka prevx CSI, która wskazała na obecność 2 groźnych plików:

00hoeav.com

qxbx9blb.com

Obydwa są typu: cloaked malware

Czy aby nie są one powiązane z amvo? Jak ewentualnie je usunąć?

z góry wielkie dzięki


(huber2t) #8

Tak sa zwiazane ale Kasperski powinien je wykryć, a my jak dostaniemy raport to usuniemy te pliki

W dniu 08.07.2008 , o godzinie 16:06 został dopisany post przez huber2t

Tak sa zwiazane ale Kasperski powinien je wykryć, a my jak dostaniemy raport to usuniemy te pliki

W dniu 08.07.2008 , o godzinie 16:06 został dopisany post przez huber2t

Tak sa zwiazane ale Kasperski powinien je wykryć, a my jak dostaniemy raport to usuniemy te pliki