Trojan amvo - log z combofix


(Zzebrucki) #1

Witam

Złapałem trojana, prawdopodonie Amvo - z opisów na forum i z objawów na kompie to wywnioskowałem. Poproszę o sprawdzenie logów i wskazówki jak wyczyścić komputer. Wirusa przyciągnąłęm pewnie z uczelni bądź z komputerów w pracy na pendraivach.

Log z combofix: http://wklejto.pl/10827

Log z hijackthis: http://wklejto.pl/10828

Pozdrawiam i z góry dzięki za pomoc

Zbyszek


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\Internet Logs\xDB34.tmp

C:\WINDOWS\Internet Logs\xDB35.tmp

C:\WINDOWS\Internet Logs\xDB45.tmp

C:\WINDOWS\Internet Logs\xDB46.tmp

C:\WINDOWS\Internet Logs\xDB32.tmp

C:\WINDOWS\Internet Logs\xDB33.tmp

C:\WINDOWS\Internet Logs\xDB30.tmp

C:\WINDOWS\Internet Logs\xDB31.tmp

C:\WINDOWS\Internet Logs\xDB2F.tmp

C:\WINDOWS\Internet Logs\xDB2E.tmp

C:\WINDOWS\Internet Logs\xDB2D.tmp

C:\WINDOWS\Internet Logs\xDB2B.tmp

C:\WINDOWS\Internet Logs\xDB2C.tmp

C:\WINDOWS\Internet Logs\xDB2A.tmp

C:\WINDOWS\Internet Logs\xDB29.tmp

C:\WINDOWS\Internet Logs\xDB27.tmp

C:\WINDOWS\Internet Logs\xDB28.tmp

C:\WINDOWS\Internet Logs\xDB20.tmp

C:\WINDOWS\Internet Logs\xDB25.tmp

C:\WINDOWS\Internet Logs\xDB1C.tmp

C:\WINDOWS\Internet Logs\xDB18.tmp

C:\WINDOWS\Internet Logs\xDB10.tmp

C:\WINDOWS\Internet Logs\xDB14.tmp

C:\WINDOWS\Internet Logs\xDB7.tmp

C:\WINDOWS\Internet Logs\xDBD.tmp

C:\WINDOWS\Internet Logs\xDB26.tmp

C:\WINDOWS\Internet Logs\xDB24.tmp

C:\WINDOWS\Internet Logs\xDB22.tmp

C:\WINDOWS\Internet Logs\xDB1E.tmp

C:\WINDOWS\Internet Logs\xDB1A.tmp

C:\WINDOWS\Internet Logs\xDB16.tmp

C:\WINDOWS\Internet Logs\xDB12.tmp

C:\WINDOWS\Internet Logs\xDBE.tmp

C:\WINDOWS\Internet Logs\xDBA.tmp

C:\WINDOWS\Internet Logs\xDB4.tmp


Driver::

MEMSWEEP2

VNUSB

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Zzebrucki) #3

Witam

Postąpiłem zgodnie ze wskazówkami

Nowy log: http://wklej.eu/index.php?id=cfc204b25e

Pozdrawiam


(huber2t) #4

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Zzebrucki) #5

Wykonałem wszystkie wskazane zadania.

Nowy log po skanowaniu (Kaspersky) - opcja obszary krytyczne: http://www.wklej.eu/index.php?id=3e1d5ed280

Zostały chyba tylko "stare wirusy" ukryte w kwarantannie czy w kopii listów e-mail, no chyba, że jeszcze w tych obiektach zamkniętych??

Sprawdziłem także komputer stacjonarny, było na nim trochę świństwa, po ich usunięciu otrzymałem taki log z combofix: http://www.wklej.eu/index.php?id=8a5676e7ea

proszę o jego sprawdzenie, jeżeli to możliwe.

Dziękuje bardzo za pomoc:)

Pozdrowienia


(huber2t) #6

komp pierwszy:

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\043C0000\4CFEB4B4.VBN

D:\Moje ze starego kompa\Zbyszek\po formacie\Outlook Express\Zbychu.dbx/[From =?iso-8859-2?Q?=AFebrucki_Zbigniew?=][Date Sat, 19 Jan 2008 09:24:18 +0100]/UNNAMED

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK. Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt drugi komp:**** Pobierz ComboFix, ale nie uruchamiaj Otwórz notatnik i wklej do niego:

Folder::

C:\FOUND.000


Driver::

SBAPIFS

sbpcint4

MEMSWEEP2


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34d7abc0-7a6d-11dc-8137-0000c06ddbd3}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6632e860-2c81-11dc-8038-0000c06ddbd3}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Zzebrucki) #7

Po zrealizowaniu wskazówek otrzymałem następujące logi:

laptop log z avenger'a: http://www.wklej.eu/index.php?id=7732b68edc

pc stacjonarny log z combofix'a: http://www.wklej.eu/index.php?id=7a0fb860f9

Widzę że niezły syf pościągałem z uczelni, pracy...

Wielkie dzięki, nie ma jak fachowa i szybka pomoc:)


(Zzebrucki) #8

Udało się już pozbyć tego świnstawa na 2 komputerach? Powinienem coś jeszcze zrobić?

Pozdrawiam

Zbyszek


(huber2t) #9

Komp pierwszy:

Powinno być juz ok

Komp drugi:

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Zzebrucki) #10

Skan Kasperskim na 2 kompie wykonany:

Log (skan dysków): http://www.wklej.eu/index.php?id=0173c1455e

Log (skan obszarów): http://www.wklej.eu/index.php?id=1a619bc925

Z poczty wyrzuciłem zawirusowaną pocztę, czy coś jeszcze trzeba by zrobić?

pozdrawiam


(huber2t) #11

Jeśli to zrobiłeś to powinno być ok

:slight_smile:


(Zzebrucki) #12

Wielkie dzięki za pomoc :slight_smile:


(Sowa F) #13

Witam, mam ten sam problem. przy każdej próbie otworzenia jakiegokolwiek katalogu pojawia się komunikat "some dangerous viruses detected in your system..." poniżej daję link do loga z Combofix'a. proszę o pomoc. dziekuje i pozdrawiam.

http://www.wklejto.pl/13461