Wirus amvo.exe, m9j.com


(Kubiniak) #1

Prosze o sprawdzenie logów. Miałem problem z amvo, a oprócz tego komp sam się restartuje (ale przyczyną restartów może być też płyta główna)

Teraz jest jakiś wirus m9j.com

http://wklej.org/id/b38309ceb5 Combo

http://wklej.org/id/4a93af9062 Hijack

Czy do ComboFix'a istnieje jakaś stronka do sprawdzania logów jak to ma miejsce dla Hijack'a

Z góry dziękuję

Pozdrawiam Andrzej


(Leon$) #2

Nie ma takiej strony

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Kubiniak) #3

Kiedy przeciągam ikonkę CFScript.txt na ikonkę ComboFix.exe odpala się 39583PULPIT01.jpgczy tak powinno być.

To skąd takie mądre głowy jak WY wiedzą co usunąć?

Pozdro


(Leon$) #4

(Kubiniak) #5

Dziękuję serdecznie za pomoc. Trochę mnie nie było dlatego się nie odzywałem.

Miałem pewne trudności z usuwaniem za pomocą ComboFix'a ale coś tam chyba się udało.

W między czasie amvo.exe i 2.bat ponowiło próbę ataku (to wszystko pewnie przez mój drugi komp którego mam w sieci i przenosiłem dane przez pena), straciłem też możliwość pokazania ukrytych plików, lecz pogrzebałem tochę w trybie awaryjnym i udało mi się to przywrócić. Za pomocą Hijack'a 2 razy usuwałem amvo.exe z ....system32.

Kolejnym moim problemem jest (tak twierdzi mo dostawca internetu - Vectra), że mam jakiegoś wirusa który sam rozsyła maile z mojego programu pocztowego (IncrediMail), przez co dostawca blokuje mi port 25.

Podaję teraz logi i proszę o spr.

http://wklej.org/id/dc692f3ba1

http://wklej.org/id/f8f55cedb0

Z góry wielkie dzięki jak uda mi się wyleczyć tego kompa biorę się za drugi, gdzie też będę potrzebował pomocy przy logach :blush:

Chyba, że ktoś nauczy mnie jak to samemu analizować (z Hijacka robie to za pomocą stronki www)

Pozdrawiam


(huber2t) #6

Log z Hijackthis jest czysty


(Leon$) #7

start >> uruchom >> cmd

sc stop AvFlt >> Enter

sc stop PavSRK.sys >> Enter

sc stop PavTPK.sys >> Enter

sc delete AvFlt >> Enter

sc delete PavSRK.sys >> Enter

sc delete PavTPK.sys >> Enter

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:


(Kubiniak) #8

Dziękuję za pomoc. Włąśnie skanuję Kasperskim. A w tym czasie podaje logi z drugiego mojego kompa którego mam w sieci i przenosze dane poprzez pena.

Przed chwilą zainstalowałem na nim nową Pandę i przeskanowałem kompa usuwając wszelaki syf.

http://wklej.org/id/f24ea09dd0

http://wklej.org/id/4d2c0169ef

A tak apropo to co kazałeś usunąć mi poprzez wiersz poleceń i skąd wiedziałeś, że to akurat trzeba było to?

Może podzielisz się wiedzą i czegoś mnie nauczysz?

Czy to "coś" miało związek z samoczynnym wysyłaniem maili.

Pozdrawiam Andrzej


(Kubiniak) #9

Spoglądając teraz na Screen Twoich dokumentów widze, że masz mnóstwo przygotowanych wpisów do rejestru.

Czy taka "apteczka" jest uniwersalna i przydatna tak jak dla mnie.

Wielki respekt i pokłony dla Ciebie.


(huber2t) #10

Log z Hijackthis jest czysty


(Leon$) #11

Zastosuj te same komendy co poprzednio

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

również na tym kompie wył przywracanie przeskanuj Kasperskim

to wynika z logu

:slight_smile:


(Kubiniak) #12

Ok zrobiłem to co kazałeś. Tylko na obu komputerach wpisując komendy

wyskakuje błąd "[sC] ControlService Failed 1052" usuwanie tych plików przebiega sukcesem.

Jeśli nie chcesz zdradzić tajemnicy rozszyfrowywania logów to nic, bedę opierał się na Twojej i innych pomocy.

Pozdrawiam


(Leon$) #13

A co ze skanem http://www.kaspersky.pl/virusscanner.html pokaż raport

:slight_smile:


(Kubiniak) #14

Cały czas się skanuje. Dopiero jest 14%. Więc jeszcze się zejdzie.

Czy uważasz, że Kaspersky będzie lepszy od Panda Security Internet 2008 jako AV na stałe? Wiem, że to zależy od indywidualnych upodobań, ale chciałbym poznać Twoją opinię.


(Leon$) #15

Kasperski jest jednym z najlepszych tyle że płatny

Ja używam go od trzech lat nigdy nie miałem problemów

:slight_smile:


(Kubiniak) #16

Zamieszczam raport z Kasperskiego z pierwszego kompa.

http://up.wklej.org/download.php?id=f7fbc4bafcc80cbf690acbef25f2ce1c

Pozdrawiam Andrzej


(Gutek) #17

Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

tcup3_0.exe - do czego masz ten plik? Co on instaluje na komputerze?


(Kubiniak) #18

To jest Total Commander Ultima Prime.


(Leon$) #19

usuń tą instalkę

oczyść kosz E i D

:slight_smile:


(Kubiniak) #20

Dzięki serdeczne za pomoc. Po weekendzie wrzucę jeszcze raport z drugiego kompa.

Pozdrawiam Andrzej