Problem z Combofix/Amvo.exe?


(system) #1

Witam serdecznie.

Od jakiegoś czasu nabawiłem się już po raz kolejny jakiegoś świństwa, najprawdopodobniej przyniesionego na pendrive. Cała sytuacja mnie przerasta co sprawia, że pomocy szukam właśnie tutaj. Czytałem większość postów na temat wyżej wymienionego (już w temacie) robala? amvo.exe , z którym przyszło mi sie zmagać.

Problem wygląda następująco. Odpalam Combofix.exe wyskakuje ramka (podaje podlinkowany zrzut ekranu).

http://img182.imageshack.us/my.php?image=50893647jw5.jpg

Zgodnie z tym co jest tam napisane naciskam dowolny klawisz (próbowałem już chyba wszystkich możliwych:) ). Po czym jego praca ustaje i totalnie nic więcej się nie dzieje. Dodam iż samą aplikację combofix.exe probowałem otwierać w trybie awaryjnym, jednak cała sytuacja się powtarza. Acz to nie wszystko co mnie niepokoi często gdy restartowałem komputer wyskakiwał mi błąd Amvo.exe , w końcu postanowiłem poczytać o tym i dowiedziałem się co to za aplikacja. Na dodatek od 2 dni gdy uruchamiam system samoistnie otwiera mi się okno z zawartością "Mój komputer". Jakieś logiczne uzasadnienia ewentualne sugestie co do opisanych przeze mnie problemów? Poniżej wklejam loga wykonanego HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:02:38, on 2008-03-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\QuickPlay\QPService.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe


O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect

O4 - HKLM\..\Run: [QPService] "C:\Program Files\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [combofix] \ /c C:\ComboFix\Combobatch.bat

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 3645 bytes

Z góry dziękuje za jakiekolwiek próby naprawy.


(popula) #2

W Hijack This zafiksuj w Trybie awaryjnym

Zamiast ComboFix, uzyj Deckard’s System Scanner


(system) #3

Okej Amvo.exe usunięty. Teraz jak zlikwidować otwieranie się “Mój komputer” razem ze startem systemu?


(system) #4

Zapomniałem, log z poleconego programu.

Deckard's System Scanner v20071014.68

Run by Mart1n on 2008-03-15 12:15:54

Computer is in Normal Mode.

--------------------------------------------------------------------------------




-- HijackThis (run as Mart1n.exe) ----------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:16:00, on 2008-03-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\QuickPlay\QPService.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Documents and Settings\Mart1n\Pulpit\dss.exe

C:\PROGRA~1\HIJACK~1\Mart1n.exe


O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect

O4 - HKLM\..\Run: [QPService] "C:\Program Files\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [combofix] \ /c C:\ComboFix\Combobatch.bat

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 3663 bytes


-- Files created between 2008-02-15 and 2008-03-15 -----------------------------


2008-03-13 21:19:37 101291 -r-hs---- C:\32e2.com

2008-03-13 15:07:02 71680 -r-hs---- C:\WINDOWS\system32\amvo0.dll

2008-03-13 10:36:24 101492 -r-hs---- C:\22wcb21o.exe

2008-03-13 10:35:58 72192 -r-hs---- C:\WINDOWS\system32\amvo1.dll

2008-03-11 20:37:01 0 d-------- C:\Program Files\HPQ

2008-03-11 20:27:22 0 d-------- C:\Program Files\Broadcom

2008-03-11 20:24:06 107849 -r-hs---- C:\a3g3.bat

2008-03-11 20:23:39 107849 -r-hs---- C:\WINDOWS\system32\amvo.exe

2008-03-05 20:02:55 0 d-------- C:\Angielski w pracy

2008-03-05 19:56:56 0 d--hs---- C:\WINDOWS\ftpcache

2008-02-24 12:55:08 0 d-------- C:\Program Files\NAPI-PROJEKT

2008-02-18 18:52:49 0 d-------- C:\WINDOWS\system32\LogFiles

2008-02-17 21:33:44 106496 --a------ C:\WINDOWS\system32\TwnLib20.dll 

2008-02-17 21:33:43 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe 

2008-02-17 21:33:43 471040 -----n--- C:\WINDOWS\system32\ImagXRA7.dll 

2008-02-17 21:33:43 262144 -----n--- C:\WINDOWS\system32\ImagXR7.dll 

2008-02-17 21:33:43 1568768 -----n--- C:\WINDOWS\system32\ImagX7.dll 

2008-02-17 21:33:41 0 d-------- C:\Program Files\Common Files\Ahead

2008-02-17 21:33:41 0 d-------- C:\Program Files\Ahead



-- Find3M Report ---------------------------------------------------------------


2008-03-15 12:00:03 356068 --a------ C:\WINDOWS\system32\perfh015.dat

2008-03-15 12:00:03 49910 --a------ C:\WINDOWS\system32\perfc015.dat

2008-03-14 00:44:45 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-02-26 20:37:57 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\AdobeUM

2008-02-17 21:35:26 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\Ahead

2008-02-17 21:33:41 0 d-------- C:\Program Files\Common Files

2008-02-17 20:20:39 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\Adobe

2008-02-14 19:49:40 0 d-------- C:\Program Files\Lavasoft

2008-02-14 18:09:27 0 d-------- C:\Program Files\Alwil Software

2008-02-14 15:47:44 0 d-------- C:\Program Files\Common Files\InstallShield

2008-02-12 19:12:55 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\Media Player Classic

2008-02-12 18:47:19 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\CyberLink

2008-02-12 18:47:16 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\HP

2008-02-12 18:26:20 0 d-------- C:\Program Files\K-Lite Codec Pack

2008-02-12 18:23:23 0 d-------- C:\Program Files\SubEdit-Player

2008-02-12 18:14:59 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\Gadu-Gadu

2008-02-12 18:14:45 0 d-------- C:\Program Files\Gadu-Gadu

2008-02-12 18:14:07 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\Macromedia

2008-02-12 18:14:02 1167 --a------ C:\WINDOWS\mozver.dat

2008-02-12 18:09:41 0 d-------- C:\Program Files\Winamp

2008-02-12 18:08:03 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-12 18:08:01 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\Mozilla

2008-02-12 18:02:41 0 d-------- C:\Program Files\DIFX

2008-02-12 18:01:54 0 d-------- C:\Program Files\QuickPlay

2008-02-12 18:01:18 0 d-------- C:\Program Files\Common Files\ODBC

2008-02-12 18:01:15 0 d-------- C:\Program Files\Common Files\SpeechEngines

2008-02-12 18:00:45 62 --ahs---- C:\Documents and Settings\Mart1n\Dane aplikacji\desktop.ini

2008-02-12 17:56:06 0 d-------- C:\Program Files\Common Files\Adobe

2008-02-12 17:31:49 0 d-------- C:\Program Files\CONEXANT

2008-02-12 17:28:41 0 d-------- C:\Program Files\Hewlett-Packard

2008-02-12 17:17:06 0 d-------- C:\Documents and Settings\Mart1n\Dane aplikacji\Identities

2008-02-12 17:12:22 0 d-------- C:\Program Files\microsoft frontpage

2008-02-12 17:12:02 0 -rahs---- C:\MSDOS.SYS

2008-02-12 17:12:02 0 -rahs---- C:\IO.SYS

2008-02-12 17:12:02 0 --a------ C:\CONFIG.SYS

2008-02-12 17:12:02 0 --a------ C:\AUTOEXEC.BAT

2008-02-12 17:10:44 0 d--h----- C:\Program Files\WindowsUpdate

2008-02-12 17:10:40 0 d-------- C:\Program Files\Usługi online

2008-02-12 17:09:47 0 d-------- C:\Program Files\Common Files\MSSoap

2008-02-12 17:09:37 0 d-------- C:\Program Files\Movie Maker

2008-02-12 17:08:40 21856 --a------ C:\WINDOWS\system32\emptyregdb.dat

2008-02-12 17:08:08 0 d-------- C:\Program Files\Messenger

2008-02-12 17:08:02 0 d-------- C:\Program Files\MSN Gaming Zone

2008-02-12 17:07:52 0 d-------- C:\Program Files\Windows NT



-- Registry Dump ---------------------------------------------------------------


*Note* empty entries & legit default entries are not shown



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 01:02 C:\WINDOWS\system32\CHDAudPropShortcut.exe]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-18 09:00]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-18 09:00]

"nwiz"="nwiz.exe" [2006-08-18 09:00 C:\WINDOWS\system32\nwiz.exe]

"QPService"="C:\Program Files\QuickPlay\QPService.exe" [2006-07-11 21:55]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

"hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 14:58]

"combofix"="\ /c C:\ComboFix\Combobatch.bat" []


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=0 (0x0)


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

C:\WINDOWS\system32\amvo.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

C:\Program Files\Winamp\winampa.exe



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e62c613-d98d-11dc-9a53-001636c587d8}]

AutoRun\command- F:\a3g3.bat

explore\Command- F:\a3g3.bat

open\Command- F:\a3g3.bat





-- End of Deckard's System Scanner: finished at 2008-03-15 12:16:21 ------------