Proszę o sprawdzenie logów

Gość: @ Re: Proszę o sprawdzenie logów IP: *.chello.pl 15.11.08, 16:03

Wklej do notatnika to:

File::
C:\0w.com
c:\windows\system32\gasretyw2.dll
C:\lky.exe
c:\windows\system32\gasretyw1.dll
C:\whi.com
c:\windows\system32\kamsoft.exe
c:\windows\system32\gasretyw0.dll
C:\sq.com
C:\xlk9.com
C:\tknapl.exe
C:\rdsfk.com
c:\windows\system32\ws40644.dll
c:\windows\system32\amvo.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER.EXE"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{846a4e4f-80a6-11dd-a3d7-000fea2b2731}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bd083e-5030-11dd-a379-000fea2b2731}]

Plik zapisz pod nazwą: CFScript.txt
Plik przeciągnij i upuść na ikonę ComboFix:
img.wklej.org/images/56635combofix_cfscript.gif
Pokaż nowy log z ComboFix i napisz czy znasz ten folder:
c:\program files\MSVideoPlugin

Gość: spinaczo Re: Proszę o sprawdzenie logów IP: *.neoplus.adsl.tpnet.pl 15.11.08, 16:57

wklej.org/id/18214/ combofix

Użytkowniczka nie zna tego folderu ja też nie:)
Z góry dzięki za dalsze wskazówki:) Pozdrawiam
- Gość: Kolobos Re: Proszę o sprawdzenie logów IP: *.escom.net.pl 15.11.08, 17:40
  
  Uzyj Flash Disinfector oraz zablokuj dostep do klucza mountpoints2 tak jak to masz opisane na dole tej strony: www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html
  
  Nowy CFScript.txt:
  
  File::
  c:\windows\system32\amvo.exe
  C:\lky.exe
  c:\windows\system32\gasretyw1.dll
  c:\windows\system32\kamsoft.exe
  c:\windows\system32\gasretyw0.dll
  
  Folder::
  c:\program files\MSVideoPlugin
  
  Przed uzyciem wylacz avg, po wykonaniu daj nowy log. Zrob tez skan przy pomocy Dr.WebCureIt.

Gość: spinaczo Re: Proszę o sprawdzenie logów IP: *.neoplus.adsl.tpnet.pl 15.11.08, 19:42

wklej.org/id/18265/ comobfix

Zeskanowałem też Dr.WebCureIt, po skanowaniu pełnym wyrzucił jedno archiwum.

Gość: spinaczo Re: Proszę o sprawdzenie logów IP: *.neoplus.adsl.tpnet.pl 15.11.08, 19:44

czemu nie może usunąć tego pliku c:\windows\system32\amvo.exe ?? Po restarcie
jest napisane w oknie cobofixa że ..\\system32\amvo.exe does not exist.
- Gość: Kolobos Re: Proszę o sprawdzenie logów IP: *.escom.net.pl 15.11.08, 19:59
  
  Probowales recznie usunac ten plik lub przy pomocy Unlocker'a?
  
  Jezeli plik bedzie stawial opor to uzyj:
  swandog46.geekstogo.com/avenger.zip
  z takim skryptem:
  
  Files to delete:
  
  c:\windows\system32\amvo.exe
  
  Po wykonaniu daj nowy log z combofix.

Gość: spinaczo Re: Proszę o sprawdzenie logów IP: *.neoplus.adsl.tpnet.pl 15.11.08, 20:34

wklej.org/id/18286/

Nic z tego... po wszystkim w cobofixie nadal wpis
c:\windows\system32\amvo.exe . . . . nie udało się usunąć

Ja tego pliku tam nie widzę, Combofix i Avenger też nie. Jakiś pomysł?

Gość: spinaczo Re: Proszę o sprawdzenie logów IP: *.neoplus.adsl.tpnet.pl 15.11.08, 20:35

wklej.org/id/18291/
dla uzupełnienia:) najświeższy
- Gość: Kolobos Re: Proszę o sprawdzenie logów IP: *.escom.net.pl 15.11.08, 20:48
  
  Czy przed uzyciem combofix/avanger wylaczyles avg?
  
  Plik byl i jest, wylacz ukrywanie plikow w opcjach folderow oraz odznacz ukrywanie chronionych to zobaczysz ten plik.
  
  Uruchom komputer z plyty instalacyjnej XP, wlacz konsole odzyskiwania (lub lepiej zainstaluj konsole odzyskiwania jak radzil combofix) i wpisz: del c:\windows\system32\amvo.exe
  
  Mozesz tez uzyc gmer'a, w zakladce cmd wklejasz:
  del c:\windows\system32\amvo.exe
  
  Pozniej -> Procesy -> Zabij wszystko. Wroc do zakladki CMD i uruchom.
  - Gość: spinaczo Re: Proszę o sprawdzenie logów IP: *.neoplus.adsl.tpnet.pl 16.11.08, 22:48
    
    Problem okazał się mieć drugie dno... Nastąpiła awaria dysku. Nie daje się
    sformatować, wydaje dziwne odgłosy:) Dziękuje za pomoc. Pozdrawiam

Najnowsze z forum Wirusy, trojany, spyware

Zaloguj się