Problem z AMVO

Dla specjalistów Bezpieczeństwo
#1

Witam

Od tygodnia mam problemy z kompem. Działa wolniej, często się wiesza, rozłącza mi internet. Zrobiłem skan niezaktualizowanym (bazy z kwietnia 2008) MKS_VIR 2007 i odnalazł mi kilka trojanów, które usuwałem lub poddawałem kwarantannie i teraz przy skanie nic już nie znajduje.

Ale komputer nadal źle działa a w logach Hijacka pojawiało się: “amvo.exe”.

Przed chwilą zrobiłem skan ComboFixem i wydaje się, że oczyściło, ale wolałbym abyście zerkneli na logi i poradzili mi jak pozbyć się problemu.

ComboFix:

http://www.wklejto.pl/24854

Hijack:

http://www.wklejto.pl/24855

Z góry dzięki

Anvil

#2

To jest wirus “VIRUT”, który zaraża wszystkie *.exe.

Ponieważ szanse na wyjście z tej infekcji są baaaardzo nikłe, to pomyśl, czy nie lepiej od razu sformatować dysk. Zarażony plik Systemowy “NTDLL.dll” będzie cały czas dbał o to, by VIRUT ciągle odradzał się na nowo.

Jeśli jednak uznasz, że spróbujesz walczyć, to:

  1. Użyj >Dr. Web CureIt!

Napisz, co wykrył.

Użyj (w Trybie Awaryjnym!)–>SDFix -na dole strony z linku

Pokaż Report.txt znajdujący się w folderze SDFix.

  1. Wklej do Notatnika :

    File::

    c:\docume~1\admini~1\daneap~1\upload~1\blehcitydupe.exe

    c:\windows\system32\ridjzide32.dll

    c:\windows\system32\drivers\ndisio.sys

    c:\windows\services.exe

    c:\windows\system32\A.tmp

    c:\windows\adobe.bat

    c:\windows_id.dat

    c:\windows\system32\ridjzide.dll

    C:\wgqjqf.exe

    c:\windows\system32\ecfyjnav.dll

    c:\windows\system32\drivers\ati6pkxx.sys

    C:\eych.exe

    C:\nwurjr.exe

    c:\windows\instsp1.exe

    C:\ywdhlny.exe

    C:-588877555

    c:\windows\system32\drivers\166dae73.sys

    c:\docume~1\ADMINI~1\DANEAP~1\UPLOAD~1\Live Flaw.exe

    c:\windows\Tasks\A6DF21069184DFBA.job

    c:\windows\Tasks\mbkjsktk.job

    Folder::

    c:\docume~1\ADMINI~1\DANEAP~1\UPLOAD~1

    c:\documents and settings\All Users\Dane aplikacji\Drv Audio Dog About

    c:\program files\Upload for

    c:\system

    Driver::

    ati6pkxx

    166dae73

    Registry::

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    “NVIDIA nTune”=“c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe” [2007-04-04 102400]

    “BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe” [2006-12-23 143360]

    “CTZDetec.exe”=“f:\creative media lite\CTZDetec.exe” [2007-05-15 98304]

    “Heart Less”=“c:\docume~1\ADMINI~1\DANEAP~1\UPLOAD~1\Live Flaw.exe” [2009-02-01 655360]

    “services”=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    “services”=-

    [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    “services”=-

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

    “services”=-

    [HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]

    “services”=-

    [HKEY_USERS.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]

    “services”=-

    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ridjzide]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6pkxx.sys]

    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]

    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FCI]

    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ICF]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi