Usunięcie trojana amvo


(Rafalsadowski) #1

Kłaniam się niskooo...

Topic mało oryginalny, bo wielokrotnie już poruszany. Zafundowałem sobie trojana spod znaku amvo z pendriva. Z pena udało mi się usunąć tradycyjnymi metodami (kilkakrotnie AVG Anti-spyware, NOD32 i to małe cacuszko pod nazwą Flash Desinfector), nie mniej na kompie mój trojan wciąż fruwa.

Załączam link z Combofixa.

http://wklejto.pl/5176

Dziś przeskanowałem kompa AVG-spyware i Nod'em i ku mojemu zdziwieniu wszystko ok. Wiem, wiem...jest jeszcze rejestr i ten wpis...ale niestety nie potrafię go usunąć.

A swoją drogą, to muszę wyrazić swoje zdziwienie z powodu bezradności standardowym antywirów w stosunku do tego trojana. Koniec, końców trzeba użyć Combofixa i prosić o pomoc doświadczonych weteranów. Niby nic, tylko jaką mam pewność czy za chwilę nie złapie czegoś podobnego.

Pozdrawiam


(Sicu (Final)) #2

masz 2 antywirusy w kompie ?


(Rafalsadowski) #3

Kiedyś myślałem, że to nieprofesjonalne, bo się gryzą itp., ale niedawno naczytałem się o wzajemnym uzupełnianiu się antywira i dodatkowego antyspyware'a i postanowiłem spróbować. Dotychczas się sprawdzało, chodziaż zdaje sobie sprawę, że sam NOD32 również filturje szkodniki.


(Sicu (Final)) #4

NOD 32 Internet Security czy sam NOD 32 ?


(Gutek) #5

Wklej do Notatnika:

File::

C:\00hoeav.com

C:\Program Files\1049.mst

C:\Program Files\1026.mst

C:\Program Files\1058.mst

C:\Program Files\1033.mst

C:\Program Files\1038.mst

C:\Program Files\1045.mst

C:\Program Files\1029.mst

C:\Program Files\1051.mst

C:\Program Files\1055.mst

C:\Program Files\Manual~1.cab

C:\WINDOWS\system32\amvo.exe

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html


(Rafalsadowski) #6

Gutek2222 - dzięki za odpowiedź, niestety aktualnie jestem w pracy i nie mam dostępu do swojego kompa. Odkryłem jednak, że to mój firmowy komp jest zainfekowany amo.exe - stąd zapewne go przeniosłem do siebie. Gdyby to nie był problem, proszę sprawdź mojego loga z Combofixa (z firmowego kompa). Wiem, że jestem nudny i namolny, starałem się samemu rozwiązać problem, ale poległem...

Dzięki za wszystko.

Log z Combofixa.

http://wklejto.pl/5228


(huber2t) #7

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\00hoeav.com

C:\qxbx9blb.com


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{977e9f8c-4665-11dd-a69d-001d60761500}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{977e9f8d-4665-11dd-a69d-001d60761500}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be616181-f4d8-11dc-a655-001d60761500}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe331fa5-2315-11dd-a67b-001d60761500}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Rafalsadowski) #8

Powoli zaczynam wątpić czy mój pendrive jest "czysty". Skanowałem go Nod32 (bezpłatna wersja) a potem AVG anty-spyware, a na koniec użyłem Falsh Desinfecotr'a. Teoretycznie problem zniknął, ale "kolega z pracy" bez mojej wiedzy podłączył pena do mojego firmowego kompa (tego zainfekowanego amo) i od razu wyskoczyło ostrzeżenie Nod'a o trojanie "Zbiór C:\autorun.inf jest zainfekowany - trojan Win32/PSW.OnLineGames.NMY.". Teraz się zastanawiam czy świadczy to o tym, że komp jest po prostu zarażony czy też że mój trojan znowu powędrował na pena.

Boże przebacz....

bo nie wiem, co czynię...

W dniu 08.07.2008 , o godzinie 14:58 został dopisany post przez ikuku

hubert2t dzięki, ale czy twój post dotyczy drugiego przypadku (firmowy komp) czy też samego początku mojego problemu????


(huber2t) #9

Dotyczy firmowego kompa


(Rafalsadowski) #10

Poczyniłem tak, jak Gutek2222 mi poradził.... :smiley: (jescze raz dzięki =D> )

Dzięki hubert2t - jutro spróbuje na firmowym kompie.

Wynik nierównej walki z trojanem na domowym kompie:

Oto log z Combofixa zaraz po przeniesieniu CFScript.thx do Combofix.exe

http://wklejto.pl/5259

Log z Combofixa po restarcie kompa i usunięciu katalogu Qoobox

http://wklejto.pl/5258

No i niestety wyniku scanowania Kasperskim on-line

http://wklejto.pl/5260

Troszeczkę się podłamałem. Zaczynam się już zastanawiać czy nie szkoda waszego czasu, skoro idzie tak topornie (wiem, wiem moja wina, jak się wchodzi tu i tam i się ściąga to i tamto, to się ma......na co człowiek zasłużył #-o [-o<

A może przywrócić obraz systemu sprzed 2 miesięcy??? Czy to będzie oznaczało koniec mojego trojana ?

Pozdraawiam


(Leon$) #11

nie przejmuj się

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(huber2t) #12

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\qxbx9blb.com

C:\Documents and Settings\albi\Moje dokumenty\adni18\Hyalo-2xWeather(www.adni18.com).zip

D:\00hoeav.com 

D:\qxbx9blb.com


Folder::

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP232

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP233

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP234

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP235

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP236

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP232

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP233

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP234

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP235

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP236

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Rafalsadowski) #13

Skąd ta różnica w Waszych wskazówkach, co do treści tego, co mam wkleić w notatniku???

W dniu 08.07.2008 , o godzinie 23:39 został dopisany post przez ikuku

Wkleiłem zgodnie ze wskazówkami Leon$'a

Log z Combofixa (pen był podłączony - nie wiem czy to ma znaczenie, wcześniej potraktowałem go Flesh Desinfectorem).

http://wklejto.pl/5281

Tym razem bez skana Kasperskiego.


(huber2t) #14

Log ok

Ale przeskanuj system jeszcze Kasperskim


(Rafalsadowski) #15

Stary dobry Kaspersky...minie jeszcze trochę czasu...zanim go pokonam... :?

Na razie to on jest górą.

Raport (skanowanie: Kaspersky on line, tryb Mój komputer)

http://wklejto.pl/5310

Osobno raport ze skanowania pendriva (robak)

Przyszło mi do głowy usunięcie tego pliku (?), pokaż ukryte (?), usuń (?)....może coś majacze (z pewnością :wink: ). Rozumiem, że za chwilę będzie format. Tylko że ja mam na penie ważne dane. Każde dane są ważne... :wink:

http://wklejto.pl/5309

Pozdrawiam, o wielcy, o nieustępliwi...rycerze światła :wink:

Niech moc będzie z Wami.


(huber2t) #16

Usuń to:

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

:slight_smile:


(Rafalsadowski) #17

Zrobiłem huber2t jak kazałeś, wielkie dzięki :wink: . Czy to już na pewno wszystko ? A co z pendrivem i raportem Kasperskiego?


(huber2t) #18

To co było do usunięcia usunołeś

Powinno być ok

:slight_smile:


(Rafalsadowski) #19

Czy wykorzystanie obrazu całego dysku (wczytanie, wgranie go - nie wiem jak się powinno fachowo wyrażać) pozwala ominąć problem wirusów i szkodników, pod warunkiem oczywiście że obraz był wykonywany w momencie gdy komp był czysty?


(huber2t) #20

Tak ale wtedy tracisz bierzące ustawienia i programy i zastępujesz je tymi z dnia robienia obrazu