Mam problem z wirusami z pendrive’a.

Objawy :

• częste zawieszanie się systemu

• tzw. zamulanie komputera

• po otwarciu zawartości dysku twardego w „Mój komputer” akcja nie jest kontynuowana w tym samym oknie, tylko otwiera się osobne

• relatywnie duże zużycie procesora

Podejrzane procesy, które zauważyłem :

• amvo.exe (sam się uruchamia ten proces od razu po włączeniu komputera – zawsze)

• urretnd.exe (sam się uruchamia ten proces od razu po włączeniu komputera – rzadko)

• IEXPLORE.EXE (sam się uruchamia ten proces od razu po włączeniu komputera – zawsze)

• na chwilę po uruchomieniu systemu pojawia się również cos podobnego do system 32 smms (nie pamiętam dokładnej nazwy; zawsze)

Proszę o pomoc (jak najbezpieczniejszą).

Log z programu HijackThis:

http://wklejto.pl/txt24162 (bardzo krótki - mam nadzieję, że to z tego powodu, iż mam porządek na twardzielu i kilkanaście uruchomionych procesów). Chciałbym posługiwać się tylko tym programem, nie chce uruchamiać innych.

PS. Przy próbie uruchomienia CombotFixa pojawia mi się takie coś:

Pozdrawiam.

Fix w HijackThis. Instrukcja viewtopic.php?f=16&t=36654

Spróbuj:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\amvo.exe

Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.

Przeciągnij i upuść plik zapisany plik (CFScript.txt) na ikonę ComboFix.exe.

Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.

Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Jeżeli się nie uda:

Pobierz The Avenger, zaznacz poniższy tekst

Skopiuj Kliknij na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

:!: Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja programu http://helpc.eu/viewtopic.php?f=26&t=20

viewtopic.php?f=16&t=36654

Logi dajesz na wklej.org lub wklej.eu a w poście Podajesz tylko link.

Pobierz i uruchom Malwarebytes’ Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Następnie zobacz czy uruchamia się Combofix. Jeśli tak, to wklej loga i daj link na forum.

Fix w HijackThis pomógł - proces “amvo.exe” już nie pokazuje się przy uruchamianiu systemu.

Niestety - objawy i inne procesy pozostały.

Log:

http://wklej.eu/index.php?id=ce53391ee3

PS. Po włączeniu CombotFixa błąd już nie wyświetla się, ale sam program nie pracuje (jest tylko te niebieskie okienko, nic się nie rusza).

Wpis cały czas jest.

Wykonaj to, co zaleciłem w moim poprzednim poście.

Nowy log:

http://wklej.eu/index.php?id=f1542a9653

Wszystko wydaje się na razie w porządku. Po otwarciu zawartości dysku twardego w „Mój komputer” akcja jest kontynuowana w tym samym oknie, a zużycie procesora zmalało, ale nadal jest stosunkowo wysokie.

Po uruchomieniu nadal pojawia się proces IEXPLORE.EXE.

Spróbuj uruchomić Combofixa i dać z niego loga.

1. Zauważyłem, że po stracie systemu znowu pojawia się tajemniczy proces. Zdążyłem zrobić screena (podejrzany proces to system32:smsss.exe ):

2. Niekiedy pojawią się tajemnicze procesy, na przykład wmiadap.exe i wuauclt.exe. Wszystkie od razu wyłączam.

3. Log z CombotFixa:

http://wklej.eu/index.php?id=0e40e5de2b

4. Po skanowaniu powyższym programem na pulpicie pojawiła się ikonka Internet Explorera i włączyły się trzy procesy wmiprvse.exe. Oczywiście od razu je wyłączam.

Do wyleczenia pendrive z wirusów użyj tych programów

Wklej do notatnika:

File::

C:\e8kj.exe 

c:\windows\system32\kav321.dll 

C:\x.cmd 

c:\documents and settings\Mateusz\Dane aplikacji\Samsung 

C:\imo.exe 

c:\windows\system32\urretnd.exe 

c:\windows\system32\optyhww0.dll

c:\windows\system32\tmp106.tmp 

c:\windows\system32\tmp105.tmp

c:\windows\system32:smsss.exe


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{708CCFE0-54F7-5E08-3606-74F82FB33EB8}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9de1c358-e7c5-11dd-895e-001fd094d5cd}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f1cede6-d119-11dd-88f0-c022f7ea608d}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Nowy log:

http://wklej.eu/index.php?id=8d40974818

Wszystko wydaje się w porządku. Mam nadzieję, iż komputer już nie będzie się zawieszał…

PS. Dzięki za programy do usuwania syfu na pendrive’ie. Ale tak sobie myślę, że po podłączeniu urządzenia do komputera wirusy OD RAZU wejdą mi na dysk - programy usuwające syf z nośnika pamięci mam uruchomić PO jego włożeniu?

Tak, po jego włożeniu

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

1. Czy folder " ComboFix" w głównym katalogu dysku twardego (C:) mam również usunąć (on jest pusty)?

2. W głównym katalogu dysku twardego (C:) mam plik tekstowy " CMLoader". Pojawił się kilka dni temu. W środku jest dziwna treść:

“[CMLoader]**************”. Cóż to?

3. Czy NA PEWNO mam podłączyć zakażonego pendrive’a do komputera PRZED włączeniem programu usuwającego syf na nim? Przecież chyba jak już włożę urządzenie, to wirus OD RAZU zainstaluje mi się na twardzielu i “zabawa” zacznie się od nowa…(?)

4. Niestety - użycie procesora nadal jest bardzo duże. Po włączeniu Menedżera zadań wartość ta osiąga z reguły 90 proc, ale - na szczęście - szybko maleje, jest już normalnie*.

Na dodatek, komputer nadal czasem zawiesza się**.

Log z HijackThis:

http://wklej.eu/index.php?id=f9d202fc9a

*

** Kursorem mogę ruszać, ale lampka na obudowie (bodajże odwzorowująca pracę dysku twardego) cały czas się świeci. Tylko reset…

EDIT:

• antywirusy nic nie znalazły

• komputer co kilka minut zawiesza się!