Zainfekowane 2 kompy i 2 pendrivy (amvo, qwc)

Dla specjalistów Bezpieczeństwo
#1

zainfekowany jest komp stacjonarny i laptop, i 2 pendrivy

po podłączeniu i otwarciu pendrivów lub przy samym starcie systemu pojawia się komunikat “pamięć nie może być read” z nagłówkami “amvo.exe” lub “qwc.exe”, z kompem stacjonarnym jest szczególnie źle, bo non stop się wiesza, często nawet już przy samym starcie systemu, odhaczenie programów które uruchamiają się przy autostarcie nic nie pomogło, a gdy proóbowałem przeskanować system paroma antivirami (m.in. avast, nod, antispyware) za każdym razem komp sie wiesza…2 razy reinstalowałem już system w nim i niestety dalej to samo…poniżej umieszczam logi z HiJackThis i ComboFix z dwóch kompów:

  1. Stacjonarny

HiJackThis - http://wklejto.pl/9479

ComboFix - http://wklejto.pl/9480

  1. Laptop ( z podpiętymi pendrivami)

HiJackThis - http://wklejto.pl/9481

ComboFix - http://wklejto.pl/9482

#2

Komp 1

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Log combofix wygląda na czysty.

usuń folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!

Komp 2 laptop

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

#3

Serdecznie dziękuję za pomoc. Oto logi o które Pan prosił po wprowadzeniu zmian:

KOMP 1

raport z Kaspersky - http://wklejto.pl/9491

KOMP 2 - LAPTOP

log ComboFix - http://wklejto.pl/9492

PS. Czy na laptopie również przeprowadzić skan CCleaner, włączyć i wyłączyć przywracanie systemu i zeskanować Kaspersky’m czy jest to zbędne?

#4

Komp1

Przeskanowano

Proszę przeskanować obszar Mój komputer nie tylko obszary krytyczne.

Komp2

Tak dodatkowo podłącz pendrive i przeskanuj Kasperskim online scanner.

Log combofix wygląda na czysty.

usuń folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!

#5

Niestety kompa 1 nie dało rady zeskanować ani Kaspersky Online Scanner ani DrWeb CureIt, w kazdym przypadku komp wieszał się w trakcie przeprowadzania skanów…najczęściej przed samym “zwisem” znika na chwilę obraz w monitorze po czym pojawiają się jednokolorowy ekran i jakies tam paski…zaczynam podejrzewać że to wieszanie może być winą sprzętu a nie trojanów/wirusów…

na laptopie z podłączonymi pendrivami zaś udało mi się to bezproblemowo przeprowadzić skan poprzez DrWeb CureIt, oto raport:

http://wklejto.pl/9593

Jak się okazało zainfekował się jeszcze komputer kumpla, później prześle skany z jego kompa ComboFixem i HiJackThis.

#6

Komp1

Może to problem z kartą graficzną (sterowniki, ustawienia)

Spróbuj

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

Włącz przywracanie systemu

Komp2 laptop

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Ponownie skan Dr.WEB CureIt!