grzenioo
(Grzenio6)
16 Październik 2009 10:51
#1
Witam, Wczoraj Avast wykrył mi Win32:Amvo we wszystkich partycjach. Niby nic szkodliwego nie zauważyłem poza ciągłym komunikatom Avasta.Ani kwarantanna ani usuń nic nie pomagało. Dziś się pogorszyło bo nie mogłem wejść na żadną partycję. Dopiero gdy wyłączę antywirusa mogę wchodzić na dyski. Pierwszy raz się z tym spotkałem, poszukałem trochę mam kilka programów:Combofix, Hijack, Otl. Ale nie orientuje się w tym i nie chce pogorszyć sprawy. Mógłby ktoś pomóc?
jessica
(jessica)
16 Październik 2009 10:59
#2
Najszybciej tę infekcję usunie ComboFix, ale jeśli Ci się nie śpieszy, to daj log z OTL
Log oczywiście wklej na http://wklejto.pl/ , a w poście dasz tylko link.
jessi
jessica
(jessica)
16 Październik 2009 11:27
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKU\S-1-5-21-854245398-527237240-1417001333-1003…\Run: [cdoosoft] C:\Documents and Settings\Paweł\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-10-16 13:04:43 | 00,000,055 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-16 13:04:44 | 00,000,055 | RHS- | M] () - D:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-10-16 13:04:43 | 00,000,055 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-16 13:04:43 | 00,000,055 | RHS- | M] () - F:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-16 13:04:44 | 00,000,055 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{21de3153-2c27-11de-ba7f-806d6172696f}\Shell\AutoRun\command - “” = C:\s3ek.exe – [2009-10-14 11:24:56 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3153-2c27-11de-ba7f-806d6172696f}\Shell\open\Command - “” = C:\s3ek.exe – [2009-10-14 11:24:56 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3154-2c27-11de-ba7f-806d6172696f}\Shell\AutoRun\command - “” = E:\s3ek.exe – [2009-10-14 11:24:56 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3154-2c27-11de-ba7f-806d6172696f}\Shell\open\Command - “” = E:\s3ek.exe – [2009-10-14 11:24:56 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3155-2c27-11de-ba7f-806d6172696f}\Shell\AutoRun\command - “” = F:\s3ek.exe – [2009-10-14 11:24:56 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3155-2c27-11de-ba7f-806d6172696f}\Shell\open\Command - “” = F:\s3ek.exe – [2009-10-14 11:24:56 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3156-2c27-11de-ba7f-806d6172696f}\Shell\AutoRun\command - “” = D:\s3ek.exe – [2009-10-14 11:24:58 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3156-2c27-11de-ba7f-806d6172696f}\Shell\open\Command - “” = D:\s3ek.exe – [2009-10-14 11:24:58 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3157-2c27-11de-ba7f-806d6172696f}\Shell\AutoRun\command - “” = G:\s3ek.exe – [2009-10-14 11:24:58 | 00,115,989 | RHS- | M] () O33 - MountPoints2{21de3157-2c27-11de-ba7f-806d6172696f}\Shell\open\Command - “” = G:\s3ek.exe – [2009-10-14 11:24:58 | 00,115,989 | RHS- | M] () O33 - MountPoints2{47204eed-b009-11de-8655-00046197cfef}\Shell\AutoRun\command - “” = J:\xerp8nj.exe – File not found O33 - MountPoints2{47204eed-b009-11de-8655-00046197cfef}\Shell\open\Command - “” = J:\xerp8nj.exe – File not found O33 - MountPoints2{4a697342-3103-11de-83d5-00046197cfef}\Shell\AutoRun\command - “” = I:\mje12tni.exe – File not found O33 - MountPoints2{4a697342-3103-11de-83d5-00046197cfef}\Shell\open\Command - “” = I:\mje12tni.exe – File not found O33 - MountPoints2{a7eac6f4-2c54-11de-83b8-00046197cfef}\Shell\AutoRun\command - “” = L:\mje12tni.exe – File not found O33 - MountPoints2{a7eac6f4-2c54-11de-83b8-00046197cfef}\Shell\open\Command - “” = L:\mje12tni.exe – File not found O33 - MountPoints2{cef59030-b814-11de-8676-00046197cfef}\Shell\AutoRun\command - “” = I:\mje12tni.exe – File not found O33 - MountPoints2{cef59030-b814-11de-8676-00046197cfef}\Shell\open\Command - “” = I:\mje12tni.exe – File not found :Files C:\autorun.inf D:\autorun.inf E:\autorun.inf F:\autorun.inf G:\autorun.inf C:\s3ek.exe D:\s3ek.exe E:\s3ek.exe F:\s3ek.exe G:\s3ek.exe C:\mje12tni.exe D:\mje12tni.exe E:\mje12tni.exe F:\mje12tni.exe G:\mje12tni.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
grzenioo
(Grzenio6)
16 Październik 2009 11:37
#5
Na końcu wyskoczył błąd a w okienku zostało:
[emptytemp]
[Reboot]
Ponowić operacje czy samemu zrestartować PC?
jessica
(jessica)
16 Październik 2009 11:41
#6
zrestartuj i zrób nowy log - zobaczymy, jaka jest sytuacja.
jessi
grzenioo
(Grzenio6)
16 Październik 2009 11:55
#7
Po włączeniu PC pokazało mi się to:
http://www.wklejto.pl/44530
A nowy log:
http://www.wklejto.pl/44531
Pojawiły mi się też różne pliki w folderach które są ukryte, są półprzezroczyste.
jessica
(jessica)
16 Październik 2009 12:10
#8
Jest czysto, a więc usuwanie, mimo wszystko, się udało.
Kiedyś trzeba będzie usunąć te bezplikowe usługi, zostawione przez “RootkitRevealer”.
Możesz to zresztą zrobić teraz:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera.
Logu oczywiście już nie dawaj.
Potem kliknij w OTL na przycisk “CleanUp”.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Te przeźroczyste foldery, to efekt ujawnienia się folderów Systemowych, do których i tak nie masz dostępu.
jessi
grzenioo
(Grzenio6)
16 Październik 2009 12:26
#9
Wielkie dzięki wszystko wróciło do normy Dziękuje i pozdrawiam