проблема связанная с amvo0.dll и непоказом скрытых файлов

**Tim-tim** · 12.02.2008, 11:43

Добрый день! Надеюсь, вы мне поможете.

1. Дня три назад я подсоединил к компу телефон с картой памяти, который до того подключал к институтским компам. Как водится, с ней было что-то не в порядке, но я разбираться не стал и попросту форматнул карту памяти. С телефоном теперь все в порядке.

2. На следующий день после загрузки Windows мой avast обнаружил в папке system32 некий amvo0.dll, якобы зараженный. Я удалил этот файл. Однако при всех последующих перезагрузках компа avast продолжал кричать о том же, т.е. файл amvo0.dll самовосстанавливается.

3. Сегодня от нечего делать я решил посмотреть в Инете, что пишут по этой проблеме. Точного описания этого вируса и того, чем собственно он опасен нигде не нашел. Но где-то прочел, что этот вирус блокирует показ скрытых файлов и папок. Проверил у себя - и точно, не могу включить показ скрытых.

4. Набрел на ваш форум и решил написать. Сделал всё по инструкции, посылаю все требуемые логи. Единственное, что сделал не по правилам - не стал отключать восстановление системы, т.к. раньше меня частенько выручал этот инструмент и меня напугало заявление в ЧАВО, что после отключения сотрутся все точки восстановления. Впрочем, после выполенния скрипта лечения/карантина и сбора информации какие-то данные из System Restore были помещены в карантин, и когда после этого я пытался всё же (ради интереса) сделать откат системы, то получал от компа сообщение, что завершить процесс восстановления невозможно.

Кстати подскажите, нельзя ли сначала проверять, заражены ли файлы восстановления системы, и только потом удалять их? Я так понял, что спецы не очень-то доверяют этому инструменту. Почему?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 12.02.2008, 11:53

Отключите восстановление системы!

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\Temp\39.tmp');
 DeleteFile('C:\WINDOWS\Temp\9.tmp');
 DeleteFile('C:\WINDOWS\Temp\E.tmp');
 DeleteFile('C:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFile('F:\autorun.inf');
 BC_ImportALL;
 BC_QrSvc('Pxincyip');
 BC_Activate;
 ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

HOST-файл сами модифицировали?

Советуем отключить автозапуск (не путать с автозагрузкой!!!) на всех дисках во избежании повторного заражения.

Ваш антивирус не обеспечивает должного уровня защиты. Если есть возможность, используйте один из рекомендованных нами продуктов.

Добавлено через 3 минуты

Сообщение от Tim-tim

Кстати подскажите, нельзя ли сначала проверять, заражены ли файлы восстановления системы, и только потом удалять их? Я так понял, что спецы не очень-то доверяют этому инструменту. Почему?

Там остаются зараженные копии файлов. Есть инструменты и по надежней вроде Acronis'а.

**Tim-tim** · 12.02.2008, 15:14

Maxim, спасибо за помощь.

Сделал все, как научили. За исключением двух моментов:

1) не нашел в HijackThis первую строчку, которую было нужно "профиксить" (начинающуяся на "F2 - REG:system.ini: ........." )

2) архив с карантином я создал и загрузил в последнюю очередь, а не в середине процесса, как вы написали. причина: по-моему во время повторной процедуры выполенния скрипта лечения/карантина и сбора информации был обнаружен ещё один файл, помещенный в карантин. таким образом мне показалось логичным создавать архив с карантином после всех процедур лечения.

вы спросили: "HOST-файл сами модифицировали? "
отвечаю: нет. понятия не имею о чем вы.

скрытые файлы уже можно смотреть. это радует!

если не затруднит, расскажите, что это за вирус такой и чем он опасен, или дайте ссылку.

**wise-wistful** · 12.02.2008, 15:27

По поводу HOST-файла. 212.118.48.76 wmsc3.webmoney.ru - это Вам знакомо?
Враги сидят в точках восстановления. Убить их можно только отключением восстановлением. Все точки восстановления уйдут и враги вместе с ними. Потом снова включите - создастся новая точка восстановления, но уже без врагов. Если не сделаете этого, то потом при попытке отката назад все враги вернутся.

C:\WINDOWS\system32\amvo0.dll - Trojan-PSW.Win32.OnlineGames.gyo - крадёт пароли он-лайн игрушек.

**Tim-tim** · 12.02.2008, 15:37

[quote=wise-wistful;186664]По поводу HOST-файла. 212.118.48.76 wmsc3.webmoney.ru - это Вам знакомо?[quote]

насчет этого могу сказать, что пару недель назад я пытался зарегистрироваться в системе webmoney, но процесс зависал из-за невозможности связаться с центром сертификации. насколько я понял, там нужно было дополнительно порт какой-то открыть. в общем, мне было не сильно надо и я бросил эту регистрацию.

вот и все что я могу сказать по поводу взаимоотношений моего компа и webmoney.ru.

восстановление уже отключил, через полчасика закину новые логи.

**wise-wistful** · 12.02.2008, 15:55

В карантин ещё попали C:\WINDOWS\Temp\39.tmp и C:\WINDOWS\Temp\9.tmp - Trojan-Spy.Win32.Zbot.bg
C:\WINDOWS\Temp\E.tmp - Trojan-Spy.Win32.Zbot.co, ну и в точках восстановления гады.
Хотите узнать побольше о врагах? Google Вам поможет.
Выполните контрольный выстрел в АВЗ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\x.com');
 DeleteFile('E:\x.com');
 DeleteFile('F:\x.com');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

**Tim-tim** · 12.02.2008, 18:48

Спасибо всем, кто помог! Число находимых AVZ'ом вирусов упало с 14 до 0, а подозрительных программ с 10 до 2. Посмотрите текущие логи, если нетрудно - нельзя совсем вывести нечисть?

Кстати вспомнил, дырявая башка - HOSTS и в самом деле сам правил! Как раз тогда, когда пытался наладить связь с центром сертификации webmoney!Точно, был грешок!

Послушайте, я так понял, что этой штучкой (AVZ) можно решать все проблемы сетевой безопасности. Зачем тогда нужны антивирусы?

**PavelA** · 12.02.2008, 18:54

AVZ - разовая проверка, а антивирус со сканером и прочими прибамбасами постоянная защита.

**Макcим** · 12.02.2008, 20:51

Выполните скрипт в AVZ

Код:

begin
 ClearQuarantine;
 QuarantineFile('E:\Distr\АНТИВИРУС\avz4.29\avz.exe','');
end.

Загрузите карантин согласно приложению №3 правил.

**Tim-tim** · 13.02.2008, 10:06

загрузил

**V_Bond** · 13.02.2008, 10:29

вы скрипт не выполняли ? ..... в карантине все что угодно кроме запрошенного файла ...

**Tim-tim** · 13.02.2008, 11:34

выдает вот что:

Ошибка карантина файла, попытка прямого чтения (E:\Distr\АНТИВИРУС\Комплекс диагностики и лечения (AVZ + Hijack)\avz4.29)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (E:\Distr\АНТИВИРУС\Комплекс диагностики и лечения (AVZ + Hijack)\avz4.29)
Карантин с использованием прямого чтения - ошибка

**V_Bond** · 13.02.2008, 11:37

avz.exe - заархивируйте с паролем virus и отправте согласно приложению №3 правил ....

**Tim-tim** · 13.02.2008, 13:23

сделал

**wise-wistful** · 13.02.2008, 15:04

Файл чистый. Проблемы какие-то остались?

**Tim-tim** · 13.02.2008, 22:06

нет. всем спасибо!

**CyberHelper** · 22.02.2009, 03:53

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 33
В ходе лечения обнаружены вредоносные программы:
1. c:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286)
2. c:\\system volume information\\_restore{7ef69e56-3966-45e1-a4ff-c2d38624a5af}\\rp122\\a0037766.exe - Trojan-Spy.Win32.Zbot.zf (DrWEB: Trojan.Proxy.2003)
3. c:\\system volume information\\_restore{7ef69e56-3966-45e1-a4ff-c2d38624a5af}\\rp122\\a0037767.exe - Trojan-Spy.Win32.Zbot.zf (DrWEB: Trojan.Proxy.2003)
4. c:\\system volume information\\_restore{7ef69e56-3966-45e1-a4ff-c2d38624a5af}\\rp76\\a0021950.exe - Trojan-Spy.Win32.Zbot.bk (DrWEB: Trojan.Proxy.2359)
5. c:\\system volume information\\_restore{7ef69e56-3966-45e1-a4ff-c2d38624a5af}\\rp85\\a0028002.exe - Trojan-Spy.Win32.Zbot.bk (DrWEB: Trojan.Proxy.2359)
6. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.qsj (DrWEB: Trojan.PWS.Wsgame.2387)
7. c:\\windows\\temp\\e.tmp - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Proxy.2071)
8. c:\\windows\\temp\\39.tmp - Trojan-Spy.Win32.Zbot.bg (DrWEB: Trojan.Proxy.2363)
9. c:\\windows\\temp\\9.tmp - Trojan-Spy.Win32.Zbot.bg (DrWEB: Trojan.Proxy.2363)
10. e:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286)
11. f:\\autorun.inf - Worm.Win32.AutoRun.cnw (DrWEB: Win32.HLLW.Autoruner.1286)

проблема связанная с amvo0.dll и непоказом скрытых файлов (заявка № 17913)

Опции темы

проблема связанная с amvo0.dll и непоказом скрытых файлов

Итог лечения

Похожие темы

не видно скрытых файлов

Проблема с отображением скрытых файлов и папок

Проблема с отображением скрытых файлов 2

Проблема с отображением скрытых файлов.

невидно скрытых файлов

Ваши права в разделе