amvo.exe

[myatut]

podejrzewam ze pendrive tez moze byc zarazony

 

logi dodane prosze o porade.

 

 

co do tego:

File D:\Documents and Settings\Administrator\Pulpit\ff

 

zawsze po uruchomieniu systemu pojawia sie na pulpicie folder 'ff' i po chwili znika;

 

 

dzieki za poswiecony czas.

[Landuss]

Kto ci kazał używać ComboFix? Widziałeś może to?: KLIK

 

Zgodnie z zasadami działu wykonaj i wklej logi z OTL + Gmer oraz przy podpiętym urządzeniu przenośnym wykonaj log z USBFix z opcji Listing

[myatut]

specjalisci moga juz dzialac : )

[picasso]

Przechodząc do usuwania infekcji (dysk J musi być podłączony) i sprzątania wpisów "not found":

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
ceb6eu98.bat /alldrives
J:\a.jpg
J:\desktop.ini
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:OTL
SRV - File not found [Auto | Stopped] -- D:\Documents and Settings\Administrator\Dane aplikacji\Element Software\Element Anti-Virus 2011\ETPDEFRAG.EXE -- (DefragSvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
O3 - HKU\S-1-5-21-602162358-813497703-839522115-500\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O16 - DPF: {CAFEEFAC-0015-0000-0017-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_17-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces opcją Wykonaj skrypt. Po restarcie otrzymasz z tego log.

 

2. System (oceniając po wyglądzie reszty wpisów) jest zainstalowany na D, konkretniej w katalogu D:\WIN_XP, ale jedna z jego usług kieruje do C:

 

SRV - [2008-04-14 21:51:02 | 000,006,656 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

 

Dwuklik w wartość ServiceDll i zamień C:\WINDOWS\system32\wuauserv.dll na D:\WIN_XP\system32\wuauserv.dll.

 

3. Przejdź do Dodaj / Usuń i odinstaluj śmieci sponsoringowe pdfforge Toolbar (skutek jego działania to trwała praca w tle obiektu "Application updater") + Clip Extractor Toolbar (ComboFix się rozprawiał z jednym jego plikiem, ale to nadal jest w formie zainstalowanej). pdfforge Toolbar to wynik nieuważnej instalacji PDFCreator, należało odznaczyć sponsora w instalatorze.

 

4. Element Anti-Virus 2011 wygląda tu na odinstalowany, ale wg nagłówka loga z ComboFix ma ciągle zapis we WMI (co daje fałszywe odczyty w Centrum zabezpieczeń):

 

AV: Element Anti-Virus *On-access scanning enabled* (Updated) {385C2AD3-E043-4696-9BD2-961867F4734F}

Do wykonania artykuł: KLIK. Konkretniej: "Metoda usuwania 1", wpis identyfikacyjny jest tu podany na tacy {385C2AD3-E043-4696-9BD2-961867F4734F}.

 

5. Po wykonaniu punktów 1 do 4 prezentujesz: log powstały z usuwania OTL, nowy log z OTL opcji Skanuj i nowy USBFix opcji Listing.

 

co do tego:

File D:\Documents and Settings\Administrator\Pulpit\ff

 

zawsze po uruchomieniu systemu pojawia sie na pulpicie folder 'ff' i po chwili znika;

 

Ten skrót "FF" kojarzy się z Firefoxem, tak jakbyś sam ręcznie kiedyś taki folder utworzył, a on się odtwarza. Czy to przypadkiem nie jest związane z ustawieniem konfiguracji pobierania plików = folder docelowy pobierania?

 

 

 

.

[myatut]

Ten skrót "FF" kojarzy się z Firefoxem, tak jakbyś sam ręcznie kiedyś taki folder utworzył, a on się odtwarza. Czy to przypadkiem nie jest związane z ustawieniem konfiguracji pobierania plików = folder docelowy pobierania?

 

Firefoxa zainstalowalem kilka dni temu, a ten folder pojawil sie kilka miesiecy temu.

 

Od momentu uzycia Combofix (wiem, niepowinienem) wyswietla sie komunikat po uruchomieniu systemu:

 

[picasso]

Usuwanie szkodników z dysku J przebiegło pomyślnie. Do przodu jesteś o 761MB miejsca na dysku (tyle Tempów było). Reszta zadań, przynajmniej częściowo (nie wszystko mogę zobaczyć w OTL), wykonana. Finalizacja:

 

1. Usuń kwarantanny OTL i ComboFix, a także odinstaluj w prawidłowy sposób ComboFix (bo na dysku liczne ślady są zostawiane, jeśli tego nie zrobisz):

 

• W Start > Uruchom > wklej polecenie "d:\documents and settings\Administrator\Pulpit\Instalki\ComboFix.exe" /uninstall
  
• W OTL wywołaj funkcję Sprzątanie.
  

2. Zabezpiecz system i urządzenia przenośne przy udziale Panda USB Vaccine.

 

3. Wreszcie system sito (w związku z tym m.in. brak także łaty zapobiegającej infekcji z USB inną metodą niż autorun.inf, czyli ze skrótów LNK):

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

Obowiązkowa aktualizacja do stanu: Service Pack 3 + Internet Explorer 8. IE nadpisywany niezależnie od faktu czy w ogóle go używasz, to komponent integrowany, a jego maszyna jest utylizowana przez wiele fragmentów systemowych oraz programów trzecich.

 

4. Oprogramowanie:

 

• Dodatkowo jeszcze możesz zaktualizować do wersji Adobe Reader X
  
• Komentarz poboczny: GG10, Spik..... Jeśli chodzi o alternatywnego klienta Gadu z pełną obsługą nowego protokołu (a nie proteza jak w Spiku) to możesz obejrzeć temat Darmowe komunikatory. Propozycje: WTW, Miranda. Zresztą sam popatrz na tabelki zgodności protokołowej.
  

Firefoxa zainstalowalem kilka dni temu, a ten folder pojawil sie kilka miesiecy temu.

 

Może inny program ma to skonfigurowane. Możesz wykonać śledztwo przy pomocy Process Monitor. Wykonaj trace pełnego koła startowego Windows. Po uruchomieniu programu zatrzymaj monitorowanie przez zakreślenie lupki, z menu Options > Enable Boot Logging. Otrzymasz komunikat o zaplanowanym uruchomieniu przy następnym resecie, co też czynisz. Po restarcie, gdy już Windows wejdzie na Pulpit uruchom Process Monitor i zatwierdź pytanie o zapis loga. Nagrany log PML zaś zanalizuj, szukając który proces się odwołuje do tej ścieżki. W razie wątpliwości, zapakuj cały plik PML do ZIP, na jakiś hosting i tu podaj do analizy.

 

Poza tym, tak się zastanawiam czy tu nie ma jakieś interferencji z programem typu Folder Lock (bo widzę jego sterowniki, czyli musi być w systemie).

 

 

 

EDIT: Dopisałeś nowy wątek z błędem.

 

Od momentu uzycia Combofix (wiem, niepowinienem) wyswietla sie komunikat po uruchomieniu systemu:

 

To się zgłasza wpis od softu obsługi mobilnej:

 

O4 - HKLM..\Run: [sony Ericsson PC Suite] D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB)

W raporcie ComboFix brak akcji związanej z tą biblioteką, czyli bezpośrednio on nic nie kasował. Wejdź w Dodaj / Usuń programy, podświetl ten soft, powinna być opcja reperacji.

 

 

 

 

.

[myatut]

Poza tym, tak się zastanawiam czy tu nie ma jakieś interferencji z programem typu Folder Lock (bo widzę jego sterowniki, czyli musi być w systemie).

 

Miałeś racje.

 

To się zgłasza wpis od softu obsługi mobilnej:

 

O4 - HKLM..\Run: [sony Ericsson PC Suite] D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB)

W raporcie ComboFix brak akcji związanej z tą biblioteką, czyli bezpośrednio on nic nie kasował. Wejdź w Dodaj / Usuń programy, podświetl ten soft, powinna być opcja reperacji

.

 

A w jaki sposób mogę to odinstalować (jest mi zbędne)?

Tutaj nie mam możliwości:

 

[picasso]

Miałeś racje.

 

Miałeś > Miałam. Wracając na tory techniczne: czyli?

 

A w jaki sposób mogę to odinstalować (jest mi zbędne)?

Tutaj nie mam możliwości:

 

Istotnie, nie widzę w spisie Dodaj / Usuń pozycji pasującej do PC Suite. Skorzystaj z narzędzia Windows Installer Cleanup do usunięcia danych instalacyjnych tego programu. Folder na dysku trzeba będzie już ręcznie wykończyć, podobnie jak usunąć zapis ze startu:

 

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Usuń wartość Sony Ericsson PC Suite.

 

 

 

.

[myatut]

.

[picasso]

Podane tu logi = infekcja z USB. Ta sama co poprzednio, z drobnym urozmaiceniem.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
ceb6eu98.bat /alldrives
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kav320.dll
C:\Documents and Settings\Krzyś\Dane aplikacji\hotfix.exe
C:\Documents and Settings\Krzyś\Dane aplikacji\aswhj.bat
C:\Documents and Settings\Krzyś\Dane aplikacji\completescan
C:\Documents and Settings\Krzyś\Dane aplikacji\start
C:\Documents and Settings\Krzyś\Dane aplikacji\install
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amva"=-
 
:OTL
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Real Alternative\Update_OB\realsched.exe File not found
O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found
O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [DIMPobieranie aktualizacji...1208273154345] C:\Program Files\Corel\DVD9\DIM.exe File not found
O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Wykonaj skrypt > reset > log powstanie.

 

2. Usługa Windows ma źle skonfigurowaną ścieżkę:

 

SRV - File not found [On_Demand | Stopped] -- C:\WINNT\system32\msiexec.exe -- (MSIServer)

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer

 

Dwuklik na wartość ImagePath i skoryguj w ścieżce fragment C:\WINNT na C:\WINDOWS.

 

3. Do oceny: log z usuwania OTL, nowy z OTL opcji Skanuj, plus oczekuję na niedostarczony tu GMER.

 

 

 

 

.

[myatut]

.

[picasso]

Ale... pokazujesz mi nieaktualny "log z usuwania" z ... poprzedniego podejścia! Tym razem dałam przecież zupełnie inny skrypt do wykonania. Czyli: powtarzaj raz jeszcze zadanie, z właściwym dopasowanym skryptem, a urządzenie mapowane jako J też niech będzie podpięte (bo na nim są te dwa pliki infekcji = skrypt je obejmie).

[myatut]

.

[picasso]

Poszło elegancko, z systemu i urządzeń. Nic więcej nie widzę.

 

1. Drobnostki. Popraw literówkę, w konfiguracji Opcji internetowych Internet Explorer:

 

IE - HKU\S-1-5-21-1214440339-796845957-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.gogle.pl/"

Dodatkowo, możesz skasować wszystkie alfanumeryczne foldery z partycji (to szczątki po wypakowywaniu się instalatorów aktualizacji) oraz FOUND.00X (to odpadki po pracy checkdisk):

 

[21/10/2010 - 17:43:52 | D ]     C:\013fae880a5cc4a788b6
[27/10/2010 - 17:17:19 | D ]     C:\133ef999d9f62d3201a95bbb
[26/11/2010 - 17:55:13 | D ]     C:\2742aaa5b43a53f41318dc1bdc967d3e
[27/10/2010 - 16:50:58 | D ]     C:\3e71ae9abaa822d4c82de05da9125a
[21/10/2010 - 17:43:52 | D ]     C:\54f57f58bab0ceb748cb216412
[27/10/2010 - 17:01:39 | D ]     C:\61d2f89e36ebb8875ba4
[18/09/2010 - 14:53:12 | D ]     C:\65536bdea49f5dd351e0a216b4a6
[27/10/2010 - 16:58:00 | D ]     C:\8234d5573736d9c18780cd
[18/09/2010 - 14:53:12 | D ]     C:\9ac68e1ad9951112125e3e
[27/10/2010 - 16:52:00 | D ]     C:\9bd6e13474a6d5ccaf9df8be
[27/10/2010 - 17:15:03 | D ]     C:\aad35f7d2240a1f9a4a8c9
[18/09/2010 - 14:53:12 | D ]     C:\acf7bb490f4a715237d44cd112
[27/10/2010 - 17:06:01 | D ]     C:\c71cd7aac3c8d923e4acfe4529b3a8d1
[27/10/2010 - 17:01:31 | D ]     C:\ccd5e5abc19f0fe790e656b3ed
[24/11/2010 - 20:01:40 | D ]     D:\48405b65bd09d70558
[18/08/2010 - 18:45:11 | D ]     D:\found.000

Te losowe foldery przy kasacji zwrócą "Odmowę dostępu". Należy im zresetować uprawnienia (przejęcie na własność + ustawienie Pełnej kontroli): KLIK.

 

2. Standardowe pozbycie się kopii po usuwaniu: w OTL funkcja Sprzątanie + wyczyść foldery Przywracania systemu.

 

3. Na wszelki wypadek przejedź ten system przez Malwarebytes' Anti-Malware (widzę na dysku, że jest lub był zainstalowany). Jeśli coś zostanie znalezione, zaprezentuj do weryfikacji.

 

daj mi jakies wskazowki jak to zabezpieczyc na przyszlosc

 

Już podałam, przy poprzednich zmaganiach:

 

Zabezpiecz system i urządzenia przenośne przy udziale Panda USB Vaccine.

 

Poza tym, ten system nie ma w ogóle antywirusa i zapory. Może za darmo pełny pakiet: COMODO Internet Security.

 

 

 

.

[myatut]

 

[21/10/2010 - 17:43:52 | D ]     C:\013fae880a5cc4a788b6

[27/10/2010 - 17:17:19 | D ] C:\133ef999d9f62d3201a95bbb

[26/11/2010 - 17:55:13 | D ] C:\2742aaa5b43a53f41318dc1bdc967d3e

[27/10/2010 - 16:50:58 | D ] C:\3e71ae9abaa822d4c82de05da9125a

[21/10/2010 - 17:43:52 | D ] C:\54f57f58bab0ceb748cb216412

[27/10/2010 - 17:01:39 | D ] C:\61d2f89e36ebb8875ba4

[18/09/2010 - 14:53:12 | D ] C:\65536bdea49f5dd351e0a216b4a6

[27/10/2010 - 16:58:00 | D ] C:\8234d5573736d9c18780cd

[18/09/2010 - 14:53:12 | D ] C:\9ac68e1ad9951112125e3e

[27/10/2010 - 16:52:00 | D ] C:\9bd6e13474a6d5ccaf9df8be

[27/10/2010 - 17:15:03 | D ] C:\aad35f7d2240a1f9a4a8c9

[18/09/2010 - 14:53:12 | D ] C:\acf7bb490f4a715237d44cd112

[27/10/2010 - 17:06:01 | D ] C:\c71cd7aac3c8d923e4acfe4529b3a8d1

[27/10/2010 - 17:01:31 | D ] C:\ccd5e5abc19f0fe790e656b3ed

[24/11/2010 - 20:01:40 | D ] D:\48405b65bd09d70558

[18/08/2010 - 18:45:11 | D ] D:\found.000

Te losowe foldery przy kasacji zwrócą "Odmowę dostępu". Należy im zresetować uprawnienia (przejęcie na własność + ustawienie Pełnej kontroli): KLIK.

 

 

Jakoś nie potrafię tego wyrzucić.

[picasso]

Czy wykonałeś dostosowanie uprawnień, przejęcie na własność + pełna kontrola dla swojego konta? Czy Pełną kontrolę przyznawałeś rekursywnie dla folderu (tzn. czy objąłeś podobiekty opcją Zaawansowane > Zastąp wszystkie uprawnienia obiektów podrzędnych uprawnieniami dziedziczonymi z tego obiektu)?

[myatut]

fakt. pominąłem ten szczegół. wielkie dzięki.

temat do skasowania.

Edytowane 27 Listopada 2010 przez picasso
Ejże, takich rzeczy z zerowaniem tematu się nie robi! Jak ten temat teraz wygląda! I tak zamykam, jak każdy rozwiązany. //picasso