Trojan amvo


(Marcinpsx) #1

Złapałem trojana amvo, wygenerował kilka plików w system 32, amvo.exe, amvo1.exe, amvo.dll i chyba coś jeszcze a na dyskach autoruny + dodatkowy o różnych nazwach, oczywiście niemiałem dostepu do dysków( omija to polecenie z menu start uruchom litera dysku://) oraz niemożna zobaczyć ukrytych plików. Udało mi się usunąć te utworzone pliki amvo ale niejestem pewien czy wszystkie gdyz wczoraj też tak zrobiłem a wirus rano sie odrodził, narazie mam dostep do dysków po skasowaniu plików (totalcomander widzi ukryte) niestety jakies wpisy w rejestrze musza byc napewno, dołączam linki do logów z hijacka i combofix. Proszę o pomoc.

http://wklej.org/id/7bccf7fcfa

http://wklej.org/id/ad8e259b31


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\ComboFix\winstart.bat


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox