Skocz do zawartości

amvo.exe


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przechodząc do usuwania infekcji (dysk J musi być podłączony) i sprzątania wpisów "not found":

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
ceb6eu98.bat /alldrives
J:\a.jpg
J:\desktop.ini
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:OTL
SRV - File not found [Auto | Stopped] -- D:\Documents and Settings\Administrator\Dane aplikacji\Element Software\Element Anti-Virus 2011\ETPDEFRAG.EXE -- (DefragSvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
O3 - HKU\S-1-5-21-602162358-813497703-839522115-500\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O16 - DPF: {CAFEEFAC-0015-0000-0017-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_17-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces opcją Wykonaj skrypt. Po restarcie otrzymasz z tego log.

 

2. System (oceniając po wyglądzie reszty wpisów) jest zainstalowany na D, konkretniej w katalogu D:\WIN_XP, ale jedna z jego usług kieruje do C:

 

SRV - [2008-04-14 21:51:02 | 000,006,656 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

 

Dwuklik w wartość ServiceDll i zamień C:\WINDOWS\system32\wuauserv.dll na D:\WIN_XP\system32\wuauserv.dll.

 

3. Przejdź do Dodaj / Usuń i odinstaluj śmieci sponsoringowe pdfforge Toolbar (skutek jego działania to trwała praca w tle obiektu "Application updater") + Clip Extractor Toolbar (ComboFix się rozprawiał z jednym jego plikiem, ale to nadal jest w formie zainstalowanej). pdfforge Toolbar to wynik nieuważnej instalacji PDFCreator, należało odznaczyć sponsora w instalatorze.

 

4. Element Anti-Virus 2011 wygląda tu na odinstalowany, ale wg nagłówka loga z ComboFix ma ciągle zapis we WMI (co daje fałszywe odczyty w Centrum zabezpieczeń):

 

AV: Element Anti-Virus *On-access scanning enabled* (Updated) {385C2AD3-E043-4696-9BD2-961867F4734F}

Do wykonania artykuł: KLIK. Konkretniej: "Metoda usuwania 1", wpis identyfikacyjny jest tu podany na tacy {385C2AD3-E043-4696-9BD2-961867F4734F}.

 

5. Po wykonaniu punktów 1 do 4 prezentujesz: log powstały z usuwania OTL, nowy log z OTL opcji Skanuj i nowy USBFix opcji Listing.

 

co do tego:

File D:\Documents and Settings\Administrator\Pulpit\ff

 

zawsze po uruchomieniu systemu pojawia sie na pulpicie folder 'ff' i po chwili znika;

 

Ten skrót "FF" kojarzy się z Firefoxem, tak jakbyś sam ręcznie kiedyś taki folder utworzył, a on się odtwarza. Czy to przypadkiem nie jest związane z ustawieniem konfiguracji pobierania plików = folder docelowy pobierania?

 

 

 

.

Odnośnik do komentarza
Ten skrót "FF" kojarzy się z Firefoxem, tak jakbyś sam ręcznie kiedyś taki folder utworzył, a on się odtwarza. Czy to przypadkiem nie jest związane z ustawieniem konfiguracji pobierania plików = folder docelowy pobierania?

 

Firefoxa zainstalowalem kilka dni temu, a ten folder pojawil sie kilka miesiecy temu.

 

Od momentu uzycia Combofix (wiem, niepowinienem) wyswietla sie komunikat po uruchomieniu systemu:

 

blado.jpg

Odnośnik do komentarza

Usuwanie szkodników z dysku J przebiegło pomyślnie. Do przodu jesteś o 761MB miejsca na dysku (tyle Tempów było). Reszta zadań, przynajmniej częściowo (nie wszystko mogę zobaczyć w OTL), wykonana. Finalizacja:

 

1. Usuń kwarantanny OTL i ComboFix, a także odinstaluj w prawidłowy sposób ComboFix (bo na dysku liczne ślady są zostawiane, jeśli tego nie zrobisz):

 

  • W Start > Uruchom > wklej polecenie "d:\documents and settings\Administrator\Pulpit\Instalki\ComboFix.exe" /uninstall
  • W OTL wywołaj funkcję Sprzątanie.

2. Zabezpiecz system i urządzenia przenośne przy udziale Panda USB Vaccine.

 

3. Wreszcie system sito (w związku z tym m.in. brak także łaty zapobiegającej infekcji z USB inną metodą niż autorun.inf, czyli ze skrótów LNK):

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

Obowiązkowa aktualizacja do stanu: Service Pack 3 + Internet Explorer 8. IE nadpisywany niezależnie od faktu czy w ogóle go używasz, to komponent integrowany, a jego maszyna jest utylizowana przez wiele fragmentów systemowych oraz programów trzecich.

 

4. Oprogramowanie:

 

  • Dodatkowo jeszcze możesz zaktualizować do wersji Adobe Reader X
  • Komentarz poboczny: GG10, Spik..... Jeśli chodzi o alternatywnego klienta Gadu z pełną obsługą nowego protokołu (a nie proteza jak w Spiku) to możesz obejrzeć temat Darmowe komunikatory. Propozycje: WTW, Miranda. Zresztą sam popatrz na tabelki zgodności protokołowej.

Firefoxa zainstalowalem kilka dni temu, a ten folder pojawil sie kilka miesiecy temu.

 

Może inny program ma to skonfigurowane. Możesz wykonać śledztwo przy pomocy Process Monitor. Wykonaj trace pełnego koła startowego Windows. Po uruchomieniu programu zatrzymaj monitorowanie przez zakreślenie lupki, z menu Options > Enable Boot Logging. Otrzymasz komunikat o zaplanowanym uruchomieniu przy następnym resecie, co też czynisz. Po restarcie, gdy już Windows wejdzie na Pulpit uruchom Process Monitor i zatwierdź pytanie o zapis loga. Nagrany log PML zaś zanalizuj, szukając który proces się odwołuje do tej ścieżki. W razie wątpliwości, zapakuj cały plik PML do ZIP, na jakiś hosting i tu podaj do analizy.

 

Poza tym, tak się zastanawiam czy tu nie ma jakieś interferencji z programem typu Folder Lock (bo widzę jego sterowniki, czyli musi być w systemie).

 

 

 

EDIT: Dopisałeś nowy wątek z błędem.

 

Od momentu uzycia Combofix (wiem, niepowinienem) wyswietla sie komunikat po uruchomieniu systemu:

 

To się zgłasza wpis od softu obsługi mobilnej:

 

O4 - HKLM..\Run: [sony Ericsson PC Suite] D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB)

W raporcie ComboFix brak akcji związanej z tą biblioteką, czyli bezpośrednio on nic nie kasował. Wejdź w Dodaj / Usuń programy, podświetl ten soft, powinna być opcja reperacji.

 

 

 

 

.

Odnośnik do komentarza
Poza tym, tak się zastanawiam czy tu nie ma jakieś interferencji z programem typu Folder Lock (bo widzę jego sterowniki, czyli musi być w systemie).

 

Miałeś racje.

 

To się zgłasza wpis od softu obsługi mobilnej:

 

O4 - HKLM..\Run: [sony Ericsson PC Suite] D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB)

W raporcie ComboFix brak akcji związanej z tą biblioteką, czyli bezpośrednio on nic nie kasował. Wejdź w Dodaj / Usuń programy, podświetl ten soft, powinna być opcja reperacji

.

 

A w jaki sposób mogę to odinstalować (jest mi zbędne)?

Tutaj nie mam możliwości:

 

pcsuite.jpg

Odnośnik do komentarza
Miałeś racje.

 

Miałeś > Miałam. Wracając na tory techniczne: czyli?

 

A w jaki sposób mogę to odinstalować (jest mi zbędne)?

Tutaj nie mam możliwości:

 

Istotnie, nie widzę w spisie Dodaj / Usuń pozycji pasującej do PC Suite. Skorzystaj z narzędzia Windows Installer Cleanup do usunięcia danych instalacyjnych tego programu. Folder na dysku trzeba będzie już ręcznie wykończyć, podobnie jak usunąć zapis ze startu:

 

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Usuń wartość Sony Ericsson PC Suite.

 

 

 

.

Odnośnik do komentarza

Podane tu logi = infekcja z USB. Ta sama co poprzednio, z drobnym urozmaiceniem.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
ceb6eu98.bat /alldrives
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kav320.dll
C:\Documents and Settings\Krzyś\Dane aplikacji\hotfix.exe
C:\Documents and Settings\Krzyś\Dane aplikacji\aswhj.bat
C:\Documents and Settings\Krzyś\Dane aplikacji\completescan
C:\Documents and Settings\Krzyś\Dane aplikacji\start
C:\Documents and Settings\Krzyś\Dane aplikacji\install
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amva"=-
 
:OTL
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Real Alternative\Update_OB\realsched.exe File not found
O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found
O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [DIMPobieranie aktualizacji...1208273154345] C:\Program Files\Corel\DVD9\DIM.exe File not found
O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Wykonaj skrypt > reset > log powstanie.

 

2. Usługa Windows ma źle skonfigurowaną ścieżkę:

 

SRV - File not found [On_Demand | Stopped] -- C:\WINNT\system32\msiexec.exe -- (MSIServer)

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer

 

Dwuklik na wartość ImagePath i skoryguj w ścieżce fragment C:\WINNT na C:\WINDOWS.

 

3. Do oceny: log z usuwania OTL, nowy z OTL opcji Skanuj, plus oczekuję na niedostarczony tu GMER.

 

 

 

 

.

Odnośnik do komentarza

Poszło elegancko, z systemu i urządzeń. Nic więcej nie widzę.

 

1. Drobnostki. Popraw literówkę, w konfiguracji Opcji internetowych Internet Explorer:

 

IE - HKU\S-1-5-21-1214440339-796845957-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.gogle.pl/"

Dodatkowo, możesz skasować wszystkie alfanumeryczne foldery z partycji (to szczątki po wypakowywaniu się instalatorów aktualizacji) oraz FOUND.00X (to odpadki po pracy checkdisk):

 

[21/10/2010 - 17:43:52 | D ]     C:\013fae880a5cc4a788b6

[27/10/2010 - 17:17:19 | D ] C:\133ef999d9f62d3201a95bbb

[26/11/2010 - 17:55:13 | D ] C:\2742aaa5b43a53f41318dc1bdc967d3e

[27/10/2010 - 16:50:58 | D ] C:\3e71ae9abaa822d4c82de05da9125a

[21/10/2010 - 17:43:52 | D ] C:\54f57f58bab0ceb748cb216412

[27/10/2010 - 17:01:39 | D ] C:\61d2f89e36ebb8875ba4

[18/09/2010 - 14:53:12 | D ] C:\65536bdea49f5dd351e0a216b4a6

[27/10/2010 - 16:58:00 | D ] C:\8234d5573736d9c18780cd

[18/09/2010 - 14:53:12 | D ] C:\9ac68e1ad9951112125e3e

[27/10/2010 - 16:52:00 | D ] C:\9bd6e13474a6d5ccaf9df8be

[27/10/2010 - 17:15:03 | D ] C:\aad35f7d2240a1f9a4a8c9

[18/09/2010 - 14:53:12 | D ] C:\acf7bb490f4a715237d44cd112

[27/10/2010 - 17:06:01 | D ] C:\c71cd7aac3c8d923e4acfe4529b3a8d1

[27/10/2010 - 17:01:31 | D ] C:\ccd5e5abc19f0fe790e656b3ed

[24/11/2010 - 20:01:40 | D ] D:\48405b65bd09d70558

[18/08/2010 - 18:45:11 | D ] D:\found.000

Te losowe foldery przy kasacji zwrócą "Odmowę dostępu". Należy im zresetować uprawnienia (przejęcie na własność + ustawienie Pełnej kontroli): KLIK.

 

2. Standardowe pozbycie się kopii po usuwaniu: w OTL funkcja Sprzątanie + wyczyść foldery Przywracania systemu.

 

3. Na wszelki wypadek przejedź ten system przez Malwarebytes' Anti-Malware (widzę na dysku, że jest lub był zainstalowany). Jeśli coś zostanie znalezione, zaprezentuj do weryfikacji.

 

daj mi jakies wskazowki jak to zabezpieczyc na przyszlosc

 

Już podałam, przy poprzednich zmaganiach:

 

Zabezpiecz system i urządzenia przenośne przy udziale Panda USB Vaccine.

 

Poza tym, ten system nie ma w ogóle antywirusa i zapory. Może za darmo pełny pakiet: COMODO Internet Security.

 

 

 

.

Odnośnik do komentarza

 

[21/10/2010 - 17:43:52 | D ]     C:\013fae880a5cc4a788b6

[27/10/2010 - 17:17:19 | D ] C:\133ef999d9f62d3201a95bbb

[26/11/2010 - 17:55:13 | D ] C:\2742aaa5b43a53f41318dc1bdc967d3e

[27/10/2010 - 16:50:58 | D ] C:\3e71ae9abaa822d4c82de05da9125a

[21/10/2010 - 17:43:52 | D ] C:\54f57f58bab0ceb748cb216412

[27/10/2010 - 17:01:39 | D ] C:\61d2f89e36ebb8875ba4

[18/09/2010 - 14:53:12 | D ] C:\65536bdea49f5dd351e0a216b4a6

[27/10/2010 - 16:58:00 | D ] C:\8234d5573736d9c18780cd

[18/09/2010 - 14:53:12 | D ] C:\9ac68e1ad9951112125e3e

[27/10/2010 - 16:52:00 | D ] C:\9bd6e13474a6d5ccaf9df8be

[27/10/2010 - 17:15:03 | D ] C:\aad35f7d2240a1f9a4a8c9

[18/09/2010 - 14:53:12 | D ] C:\acf7bb490f4a715237d44cd112

[27/10/2010 - 17:06:01 | D ] C:\c71cd7aac3c8d923e4acfe4529b3a8d1

[27/10/2010 - 17:01:31 | D ] C:\ccd5e5abc19f0fe790e656b3ed

[24/11/2010 - 20:01:40 | D ] D:\48405b65bd09d70558

[18/08/2010 - 18:45:11 | D ] D:\found.000

Te losowe foldery przy kasacji zwrócą "Odmowę dostępu". Należy im zresetować uprawnienia (przejęcie na własność + ustawienie Pełnej kontroli): KLIK.

 

 

Jakoś nie potrafię tego wyrzucić.

bladgn.jpg

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...