Problem z Win32:Amvo . Proszę o pomoc. o Spr. loga - pilne


(Mck9) #1

Wiem ze było już trochę takich tematów , ale mam nadzieje że ktoś mi pomorze , bo ja w tych sprawach jestem ciemny i dlatego prosze o POMOC !!

Otóż avast wykryl najpierw rootkit , a pozniej klkanascie Win32.Amvo. Według zalecen avasta wyłaczylem kopma i przy uruchamianiu zaczał skanować kompa. Trochę tego powykrywał i ja tu usuwałem F1 , ale nie moglem znaleźć tej listy tego co usunąl.

A i jescze nie mam dostepu do żadneego dysku

to log OTL po tym skanowaniu avastem http://wklej.org/hash/3a064bfaaf/

Z pendriva korzystalem na obydwu komp. - na pc-cie - XP(gdzie ten wirus został wykryty) i laptopie - Vista(tez z avastem ( nic mnie nie powiadamia o tym wirusie)

dlatego też podaję log OTL i hijackthis z notebooka

http://wklej.org/hash/2259d5a54e/ z otl vista

http://wklej.org/hash/8196bc7de7/ z hijackthis vista

P.S dlaczego na 2 pendrive( ktorego przeskanowałem flash disinfector [tego 1-szego na ktorym jest wirus nie skanowałem]) potwaorzyly sie jakies foldery autorun.inf i jakaś ~$Prezentacja1.pptx( ktorej w ogóle nie wklejałem do pendriva)

z Góry THX za pomoc .


(jessica) #2

Komputer:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Notebook:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

"Flash Disinfector" tworzy na każdym dysku/partycji folder o nazwie "autorun.inf", takiej samej jak plik infekcji. Dzięki temu utrudnia wejście infekcji, bo System nie pozwoli na powstanie innego obiektu w tej samej lokalizacii o identycznej nazwie.

Nie wiem natomiast nic o tym: "$Prezentacja1.pptx".

jessi


(Mck9) #3

Ok. Wkleiłem do OTL to powyżej i jak zatwierdzilem Run Fix - cos sie robilo... a potem wyskoczyło Range check error . A to do notebooka to gdzie mam zapisać ?

I czy jak wezmę pendrive - (tego zainfekowanego) tym programem to napewno(na dobre ) mi usunie tego wirusa ?


(jessica) #4

Więc powtórz, a potem, bez względu na wynik tego - daj nowy log z OTL.

Obojętnie gdzie, możesz np. na pulpicie.

Takiej pewności nie ma, Flash usuwa tylko niektóre elementy infekcji, innych w ogóle nie zauważa.

Większą pewność daje ComboFix, ale pendrive musi być przestawiony z trybu read only na pełne zapisywanie.

jessi


(Mck9) #5

po właczeniu komp pojawił mi się błąd :

sygnatura błedu

BCCode : ea BCP1 : 89ACD3F8 BCP2 : 89DFDE88 BCP3 : 89B23820

BCP4 : 00000001 OSVer : 5_1_2600 SP : 3_0 Product : 256_1

Tresc raportu o bledach

C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\WER0fb5.dir00\Mini100909-01.dmp

C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\WER0fb5.dir00\sysdata.xml

natepnie http://wklej.org/hash/853a4f94b9/

pózniej coś takiego http://wklej.org/id/184539/

w otl po funkcji Run scan http://wklej.org/hash/b53e2b60a2/

po cleanup http://wklej.org/hash/11d2508714/

I jak ?

a jesli chodzi o pendrive - czyli ze juz z niego nie korzystac ,czy co ? ( a jak sie ma panda usb vaccine do tego)


(jessica) #6

Log jest czysty.

Jeśli chodzi o

(cytat z http://www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html)

Jeśli dobrze zrozumiałam ten tekst >http://research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx, to Panda V. potrafi trochę więcej, niż "Flash", ale chyba też nie oczyszcza całkowicie pena.

jessi


(Mck9) #7

ok , dzięki .

a coś z przywracaniem systemu trzeba robić ?

a co do pena najlepiej go wyrzucić ? Avast nadal wykrywa ten wirus(usunolem go , ale czy to coś da) a mam tam pliki ...

(http://www.bezpieczenstwosystemow.pl/in ... pic=1647.0)


(jessica) #8

Eee! Wydaje mi się, że chyba oszczędniej wyszłoby, gdyby przegrać pliki z pena na dysk twardy, potem pena sformatować, potem od nowa oczyścić dysk twardy, i z powrotem wgrać pliki na pena.

Najlepiej do czyszczenia użyć ComboFix, można spróbować nawet przed wgraniem plików z pena na dysk, tylko podpiąć pena i ustawić w nim z trybu tylko do odczytu na pełny tryb z zapisem (przełącznik Hold na obudowie). Log dać na Forum, by sprawdzić, co usunąć zarówno z dysku, jak i z pena.

jessi


(Mck9) #9

pendrive kngstom datatraveler czarny(wysuwany) i nie widze przelocznika hold.

bede probowal , ale moze juz jutro.

Dzieki

-- Dodane 25.10.2009 (N) 12:26 --

ok.

przegrałem pliki z pendrive(tylko autorun.inf nie chciał sie skopiować ) najperw na dysk d i tu log z combofix http://wklej.org/hash/2491e060eb/

poznej przenioslem na dysk c(no w tym logu było tylko jakby sprawdzany dysk C więc : http://wklej.org/hash/25266438c6/

tak troche pokrecone ale chyba da sie zrozumiec

jakby co to jeszce z otl http://wklej.org/hash/51ecf564b6/

czy jest taka mozliwość ze tro wlasnie combo fix pusuwał mi pliki otl i hijackthis - a byc moze tz inne ? ( bo ja ich napewno nie usuwałem....

?

co to są te foldery recycler, system volume.... config msi, msocache

P.s .

jestem tu nowy i za bardzo sie nie znam ale czy jak podaje się te logi z kompa na wklej... to czy te informacje moga zostac uzyte przez osoby trzecie (byc moze na moją szkodę)?


(jessica) #10

Wszystkie logi wyglądają na czyste, ani śladu infekcji.

Oczywiście, nie wiem, co jest w tym folderze:

Być może w nim są jakieś pliki infekcji?

Nie bardzo rozumiem, o co Ci chodzi z tym:

A może po prostu w OTL kliknąłeś przypadkiem na przycisk "CleanUp"? Bo wtedy rzeczywiście się usuną samoczynnie różne narzędzia skanujące, w tym OTL.

Nie wiem, czy komuś przydadzą się takie wiadomości, jakie są w logach.

Ale oczywiście możesz, zamiast na wklej.org, wklejać na http://wklejto.pl/. Tam pod wklejką zaznaczasz opcję "Prywatny" i podajesz hasło. Nikt nie obejrzy tego logu, jeśli nie dostanie od Ciebie hasła. Hasło oczywiście musisz zapamiętać, by podać komuś na Forum.

jessi


(Mck9) #11

no i ja tak zrobilem , z gralem pliki z pendriva na dysk D , a pozniej przenislem na C ( wiec C:\Pendrive - to tu są te pliki ) no niby avastem nic mi nie wykrywa(oprucz takego:

2009-10-26 17:21:35 ... 2256 Sign of "Win32:Malware-gen" has been found in "C:\Pendrive\Nowy folder (3)\PhotoS ( bardzo fajny ).rar\PhotoZoom_Pro_2.3.2_MultiLang__Portable_.rar\PhotoZoom Pro 2.3.2 MultiLang [Portable]\photozoom_pro_2.3.2_portable.exe\PhotoZoomPro2Portable\PhotoZoomPro2Portable.exe" file. , jak chce usunać to wyskakuje ze nie mozna przetworzyc

tyle ze jest taki problem ze funkcja skanowania jest tylko aktywana przez prawoklik - i tam jast np. ikona avasta i pisze skanuj pendrive(tu nazwa tego folderu)

ale jak chce uruchomic normalnie avasta czyli przez nacisniecia polecenia uruchom avast ! - troche sie ładuje i wyskakuje mi: Nieznany bład.skórka nie jest kompletna. Zobacz następujący opis: Skórka nie jest załadowana poprawanie.

I w ogóle nic sie nie da zrobić ....

plik FOUND000\FILE0000.CHK ( jest niby w tym folderze [pendrive] przy tym szybkim skanowaniu dosc dlugo sie skanuje, a w ogóle nie ma go w tym folderze - a zobaczyelm w necie co to moze byc to mi rece opadaja .

HELP!!


(jessica) #12

Eee1 Tego pliku ",rar" to chyba nie musisz usuwać Avastem - nie wygląda na szkodliwy.

Avasta chyba musisz przeinstalować, jeśli nie działa - albo ściągnij tę skórkę, której brakuje.

jessi


(Mck9) #13

ale co z tym


(jessica) #14

Teraz zaczynam żałować, że Ci doradziłam to z przegrywaniem z pena na dysk i spowrotem.

Ale jeśli już wgrałeś spowrotem z dysku na pen, to cały ten folder C:\ Pendrive usuń ręcznie w diabły.

EDIT:

jessi


(deFco247) #15

Usuń również foldery FOUND.XXX z dysku, gdyż zawierają tylko odzyskane fragmenty plików, które są zbędne.

Żeby zobaczyć te foldery musisz włączyć pokazywanie ukrytych plików systemowych w Panel Sterowania -> Opcje folderów -> zakładka Widok.


(Mck9) #16

no wlasnie jest tak ze jeszce nie przegralem tych plików na pena z powrotem(czyli ze calego pena mam teraz sormatować?) tyle ze niektore plki z tego folderu sa mi potzrebne , czy cos sie stanie jesli kilka z nich przeniosę. - sa to rar. vademeka(napewno czyste o ile ze nie zostały zarazone czyms ?)

nie widze tych plików Foundxxx, tylko przezroczyste foldery system volume information ... a na dysku C : cmdcons ; i pliki : ntldr ; NTDETECT; MSDOS; IO ; CONFIG ; Bootfont ;boot AUTOEXEC .


(jessica) #17

Sprawdź te pliki przeniesione na dysk, czy nie są uszkodzone, tzn, czy możesz normalnie znich korzystać.

Jeśli nie są uszkodzone, to sformatuj pena, i potem wgraj na niego te pliki, - tylko te, które sam stworzyłeś. Żadnych nieznanych, żadnych "checkdisk", itp.

jessi


(Mck9) #18

ok , pendrive sformatowany , najpotrzebniejsze pliki poprzenosilem

też usunołem - czy jakies logi bedą potrzebne ?

jest jakas mozliwosc ze ten wirus jeszcze gdzieś moze być ?


(jessica) #19

Wg mnie - już nie masz tego szkodnika.

Zabezpiecz się na przyszłość używając albo "Flash Disinfector", albo "Panda Vaccine".

Te narżedzia utrudnią wejście tej infekcji na dysk twardy.

jessi