Wirus amvo.exe, m9j.com

kubiniak · 7 Kwiecień 2008 10:08

Prosze o sprawdzenie logów. Miałem problem z amvo, a oprócz tego komp sam się restartuje (ale przyczyną restartów może być też płyta główna)

Teraz jest jakiś wirus m9j.com

http://wklej.org/id/b38309ceb5 Combo

http://wklej.org/id/4a93af9062 Hijack

Czy do ComboFix’a istnieje jakaś stronka do sprawdzania logów jak to ma miejsce dla Hijack’a

Z góry dziękuję

Pozdrawiam Andrzej

Leon1 · 7 Kwiecień 2008 15:31

Nie ma takiej strony

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

kubiniak · 7 Kwiecień 2008 15:58

Kiedy przeciągam ikonkę CFScript.txt na ikonkę ComboFix.exe odpala się czy tak powinno być.

To skąd takie mądre głowy jak WY wiedzą co usunąć?

Pozdro

Leon1 · 7 Kwiecień 2008 16:24

kubiniak · 10 Kwiecień 2008 11:23

Dziękuję serdecznie za pomoc. Trochę mnie nie było dlatego się nie odzywałem.

Miałem pewne trudności z usuwaniem za pomocą ComboFix’a ale coś tam chyba się udało.

W między czasie amvo.exe i 2.bat ponowiło próbę ataku (to wszystko pewnie przez mój drugi komp którego mam w sieci i przenosiłem dane przez pena), straciłem też możliwość pokazania ukrytych plików, lecz pogrzebałem tochę w trybie awaryjnym i udało mi się to przywrócić. Za pomocą Hijack’a 2 razy usuwałem amvo.exe z …system32.

Kolejnym moim problemem jest (tak twierdzi mo dostawca internetu - Vectra), że mam jakiegoś wirusa który sam rozsyła maile z mojego programu pocztowego (IncrediMail), przez co dostawca blokuje mi port 25.

Podaję teraz logi i proszę o spr.

http://wklej.org/id/dc692f3ba1

http://wklej.org/id/f8f55cedb0

Z góry wielkie dzięki jak uda mi się wyleczyć tego kompa biorę się za drugi, gdzie też będę potrzebował pomocy przy logach

Chyba, że ktoś nauczy mnie jak to samemu analizować (z Hijacka robie to za pomocą stronki www)

Pozdrawiam

huber2t · 10 Kwiecień 2008 14:08

Log z Hijackthis jest czysty

Leon1 · 10 Kwiecień 2008 14:38

start >> uruchom >> cmd

sc stop AvFlt >> Enter

sc stop PavSRK.sys >> Enter

sc stop PavTPK.sys >> Enter

sc delete AvFlt >> Enter

sc delete PavSRK.sys >> Enter

sc delete PavTPK.sys >> Enter

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

kubiniak · 10 Kwiecień 2008 16:22

Dziękuję za pomoc. Włąśnie skanuję Kasperskim. A w tym czasie podaje logi z drugiego mojego kompa którego mam w sieci i przenosze dane poprzez pena.

Przed chwilą zainstalowałem na nim nową Pandę i przeskanowałem kompa usuwając wszelaki syf.

http://wklej.org/id/f24ea09dd0

http://wklej.org/id/4d2c0169ef

A tak apropo to co kazałeś usunąć mi poprzez wiersz poleceń i skąd wiedziałeś, że to akurat trzeba było to?

Może podzielisz się wiedzą i czegoś mnie nauczysz?

Czy to “coś” miało związek z samoczynnym wysyłaniem maili.

Pozdrawiam Andrzej

kubiniak · 10 Kwiecień 2008 16:30

Spoglądając teraz na Screen Twoich dokumentów widze, że masz mnóstwo przygotowanych wpisów do rejestru.

Czy taka “apteczka” jest uniwersalna i przydatna tak jak dla mnie.

Wielki respekt i pokłony dla Ciebie.

huber2t · 10 Kwiecień 2008 16:32

Log z Hijackthis jest czysty

Leon1 · 10 Kwiecień 2008 16:47

Zastosuj te same komendy co poprzednio

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

również na tym kompie wył przywracanie przeskanuj Kasperskim

to wynika z logu

kubiniak · 10 Kwiecień 2008 17:12

Ok zrobiłem to co kazałeś. Tylko na obu komputerach wpisując komendy

wyskakuje błąd “[sC] ControlService Failed 1052” usuwanie tych plików przebiega sukcesem.

Jeśli nie chcesz zdradzić tajemnicy rozszyfrowywania logów to nic, bedę opierał się na Twojej i innych pomocy.

Pozdrawiam

Leon1 · 10 Kwiecień 2008 17:20

A co ze skanem http://www.kaspersky.pl/virusscanner.html pokaż raport

kubiniak · 10 Kwiecień 2008 17:27

Cały czas się skanuje. Dopiero jest 14%. Więc jeszcze się zejdzie.

Czy uważasz, że Kaspersky będzie lepszy od Panda Security Internet 2008 jako AV na stałe? Wiem, że to zależy od indywidualnych upodobań, ale chciałbym poznać Twoją opinię.

Leon1 · 10 Kwiecień 2008 17:38

Kasperski jest jednym z najlepszych tyle że płatny

Ja używam go od trzech lat nigdy nie miałem problemów

kubiniak · 10 Kwiecień 2008 20:00

Zamieszczam raport z Kasperskiego z pierwszego kompa.

http://up.wklej.org/download.php?id=f7fbc4bafcc80cbf690acbef25f2ce1c

Pozdrawiam Andrzej

Gutek · 10 Kwiecień 2008 23:24

Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

tcup3_0.exe - do czego masz ten plik? Co on instaluje na komputerze?

kubiniak · 11 Kwiecień 2008 06:49

To jest Total Commander Ultima Prime.

Leon1 · 11 Kwiecień 2008 15:07

usuń tą instalkę

oczyść kosz E i D

D:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\Dd7\PassTool.exe Zainfekowanych: Backdoor.Win32.Delf.hae E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De17.zip/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook)/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook).rar/AdvPassw/Advanced Rar Password Recovery v1.11/DISTINCT.RAR/setup.exe/WISE0039.BIN Zainfekowanych: not-a-virus:PSWTool.Win32.OEPass.b E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De17.zip/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook)/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook).rar/AdvPassw/Advanced Rar Password Recovery v1.11/DISTINCT.RAR/setup.exe Zainfekowanych: not-a-virus:PSWTool.Win32.OEPass.b E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De17.zip/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook)/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook).rar/AdvPassw/Advanced Rar Password Recovery v1.11/DISTINCT.RAR Zainfekowanych: not-a-virus:PSWTool.Win32.OEPass.b E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De17.zip/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook)/Advanced Password Recovery - (Ace,Excel,Pdf,Zip,Icq,Rar,Access,Office,Outlook).rar Zainfekowanych: not-a-virus:PSWTool.Win32.OEPass.b E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De17.zip ZIP: zainfekowany - 4 E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De6.rar/AdvPassw/Advanced Rar Password Recovery v1.11/DISTINCT.RAR/setup.exe/WISE0039.BIN Zainfekowanych: not-a-virus:PSWTool.Win32.OEPass.b E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De6.rar/AdvPassw/Advanced Rar Password Recovery v1.11/DISTINCT.RAR/setup.exe Zainfekowanych: not-a-virus:PSWTool.Win32.OEPass.b E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De6.rar/AdvPassw/Advanced Rar Password Recovery v1.11/DISTINCT.RAR Zainfekowanych: not-a-virus:PSWTool.Win32.OEPass.b E:\RECYCLER\S-1-5-21-527237240-1450960922-725345543-1003\De6.rar RAR: zainfekowany - 3

kubiniak · 11 Kwiecień 2008 15:44

Dzięki serdeczne za pomoc. Po weekendzie wrzucę jeszcze raport z drugiego kompa.

Pozdrawiam Andrzej