Problem z usunięciem wirusa -amvo

wisienka25 · 19 Czerwiec 2008 21:23

kupiłam sobie wczoraj laptopa asus i jak tylko zaczołam podłanczać do niego programy w pewnym momencie zaraz po strcie zaczoł pojawiac się dziwny komunikat związany z plikiem amvo.exe jak sie pozniej dowiedziałam jest to wirus przeskanowałam combofix-em tak jak to radzili na jednym z forów i mam oto takiego loga którego mam nadzieje ktoś mi sprawdzi, o co bardzo prosze.

http://wklej.org/id/5b9d3b975a

jestem laiczką dlatego proszę o dokładne instrukcje jeżeli coś trzeba by było robić. dziekuje i pozdrawiam

teo271 · 19 Czerwiec 2008 21:58

Witaj,miałem kilka razy przygody z robalami i najskuteczniejszym sposobem (jeśli nie można go usunąć)jest reinstalacja systemu tzn.wgrywamy system od nowa.Albo śćiągnij sobie z sieci AVASTA lub AVG.To są antyvirusy darmowe i po rejesrtacji same będą sie aktualizować do najnowszej wersji.Dodatkowo możesz na stałe zainstalować sobie program SPYBOT SERACH & DESTROY wer.1.5.2.0 On z kolei nie pozwala instalować sie w kompie niczemu bez Twojej zgody.Sam go używam i jest ok.Polecam.

wisienka25 · 19 Czerwiec 2008 22:01

hej, no nie zartuj sobie od wczoraj mam komputer i juz restart systemu… niewiem dokładnie jak działaja te logi o których tu tak wszyscy piszą ale chętnie bym spróbowała najpierw tego bo restart systemu mi sie nie usmiecha - za dużo roboty. wiesz może coś o tych logach ?

teo271 · 19 Czerwiec 2008 22:26

Witam.Nie bardzo orientuje sie w tych logach ale napisz co konkretnie dzieje sie z kompem,jak sie instalują priogramy i wogule jak się zachowuje komputerek.A co z Antyvirusem ?

wisienka25 · 19 Czerwiec 2008 22:36

no komp strasznie sie muli narazie nic oprucz tego sie nie dzieje. wolała bym uniknąć problemów za wczasu. zaden antywirus nie wykrywa tego świństwa. pliki same sie ukrywają dlatego nie są mozliwe do usuniecia ręcznie.innymi słowy kanał

teo271 · 19 Czerwiec 2008 23:05

http://mks.com.pl/skaner/ Wejdz na tą strone i przeskanuj system online

huber2t · 20 Czerwiec 2008 03:52

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

wisienka25 · 20 Czerwiec 2008 21:55

hej wielkie dzieki za pomoc jesli chodzi o amvo to chyba pomogło ale mam inne problemy są jeszcze jakies wiry ale to raport wyjasni moze bardziej - prosze powiedz co mam zrobić. ;(

raport z kaspersky: (chyba że to nie o to chodziło - to powiedz co mam przesłać)

KASPERSKY ONLINE SCANNER REPORT

20 czerwiec 2008 21:33:05

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus20/06/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus879791

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

F:\

Statystyki skanowania

Liczba skanowanych obiektów 39478

Liczba wykrytych wirusów 1

Liczba zainfekowanych obiektów 2

Liczba podejrzanych obiektów 0

Czas trwania skanowania 00:27:23

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\6x8be16.cmd Zainfekowanych: Worm.Win32.AutoRun.eed pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SYSTEM Object is locked pominięty

C:\WINDOWS\system32\config\SOFTWARE Object is locked pominięty

C:\WINDOWS\system32\config\DEFAULT Object is locked pominięty

C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty

C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\LiveUpdate\2008-06-20_Log.ALUSchedulerSvc.LiveUpdate Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Common Client\settings.dat Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SubEng\submissions.idx Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtViEvt.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtNvEvt.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtMoEvt.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtScEvt.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtErEvt.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtTxFEvt.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtETmp\C9823C7A.TMP Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtETmp\6EE321BF.TMP Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\SPPolicy.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\SPStart.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\SPStop.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBValid.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBConfig.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBRefr.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBNotify.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetCfg.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetCfg2.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetUsr.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBStHash.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetLoc.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetDev.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBDetect.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBDebug.log Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\szu&wisnia\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\szu&wisnia\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\w.ax Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\wb.vx Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\md.dat Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\adoc.bx Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\profile\vps\0000\url.ax Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\mail\omailbase.dat Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\mail\indexer\message_id Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\mail\indexer\indexer.ax Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\mail\indexer\indexer.bx Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\mail\lexicon\lexicon.ax Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Ustawienia lokalne\Dane aplikacji\Opera\Opera\mail\lexicon\lexicon.bx Object is locked pominięty

C:\Documents and Settings\szu&wisnia\Cookies\index.dat Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\NFWEVT.LOG Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\SNDSYS.log Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\SNDFW.log Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\SNDCON.log Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\SNDALRT.log Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\SNDIDS.log Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\SNDDBG.log Object is locked pominięty

C:\Program Files\Common Files\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked pominięty

C:\Program Files\ATK Hotkey\HControl.exe Object is locked pominięty

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVVirus.log Object is locked pominięty

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVApp.log Object is locked pominięty

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVError.log Object is locked pominięty

C:\System Volume Information_restore{63E26347-E98A-45D1-8C03-E68E57325152}\RP1\change.log Object is locked pominięty

D:\6x8be16.cmd Zainfekowanych: Worm.Win32.AutoRun.eed pominięty

Proces skanowania został zakończony.

spandaupol · 21 Czerwiec 2008 06:43

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym log na forum

Usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

wisienka25 · 25 Czerwiec 2008 21:34

hej dziękuje bardzo za pomoc chwilowo nie miałam dostepu do netu i stad ta zwłoka ale dalej bardzo mi zalezy aby wyczyscic komputer.

Zrobiłam jak prosiłeś - a oto log.

http://wklej.org/id/1fbcdd8b0f

prosze o dalsze instrukcje.

huber2t · 26 Czerwiec 2008 04:23

spandaupol Tak się nie usuwa…

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\6x8be16.cmd

D:\6x8be16.cmd

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link

spandaupol · 26 Czerwiec 2008 07:41

Dziękuje za uwagę huber2t. Cały czas zastanawiałem się dlaczego moje skrypty nie usuwają tego co powinny i nie mogłem znaleźć rozwiązania. Dopiero jeden z userów wskazał gdzie jest błąd. Dziękuje!

wisienka25 · 27 Czerwiec 2008 13:39

hej zrobiłam tak jak mi kazałeś a oto log z ostatniej operacji. dziekuje bardzo i prosze o sprawdzenie.

http://www.wklej.org/id/d590d02aa0

ps. aha i jeszcze jedno podczas skanowania combofix-em wyskakuje mi błąd z aplikacją Catchme.tmp i strasznie sie muli nie idzie kliknąć ani wyslij raport ani nie wysyłaj prosze o pomoc.

Leon1 · 27 Czerwiec 2008 15:11

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.