убитая amv0-й

Printable View

15.03.2008, 00:55
blondinka

убитая amv0-й

все очень хорошо и красиво написано (но только для тех, кто понимает о чем он пишет), но ответьте честно,есть ли какая-нибудь программа (если можное дайте на нее ссылку), которая бьет amv0.dll и всю эту дрянь. anti-autorun не помогает - на всех дисках это горе по-прежнему сидит.
помогите...я час угрохала на регистрацию...
есть ли человечные люди здесь?:( это как сапожник без сапог - девушка программиста с полуживым железом
15.03.2008, 00:58
wise-wistful

Люди есть. Прочитайте, пожалуйста, внимательно [url=http://virusinfo.info/showthread.php?t=1235]правила[/url], выложите нам 3 необходимых лога и мы вам постараемся помочь.
15.03.2008, 01:14
blondinka

если вас не затруднит, скажите какие ссылки скачать,эти правила могу перечитать еще несколько раз, но эффект будет тот же.
на работе этот вирусняк (autorun, amva, oufhhd) убили через regedit
дома такой вариант не проходит
пробовала АVG, NOD32, каспер
)))))куда нажимать прикажите?!!
15.03.2008, 01:19
wise-wistful

Скачайте [url=http://z-oleg.com/avz4.zip]АВЗ[/url] и [url=http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip]хиджак[/url]. После того как скачаете выполните пункты с 6 по 14. Т.е. Вы должны выложить [b]virusinfo_syscure.zip[/b], [b]virusinfo_syscheck.zip[/b], [b]hijackthis.log[/b] проанализировав которые хелперы подскажут Вам как быть дальше.
15.03.2008, 16:37
blondinka

Вложений: 3

надеюсь, что все сделала правильно:)
15.03.2008, 22:05
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('smtpdrv', 4);
StopService('smtpdrv');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\GlamGirls\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\Documents and Settings\GlamGirls\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: Microsoft copyright - {5DF6AFEE-2291-4041-9A74-354624861746} - judgemq.dll (file missing)
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\GlamGirls\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - Startup: PowerReg SchedulerV2.exe [/CODE]
в АВЗ файл-обновление баз обновите базы АВЗ.
Повтоите логи...
17.03.2008, 00:17
blondinka

Вложений: 1

в HijackThis я не нашла строчки
F3 - REG:....
O4 - HKCU\..\Run: [Tok-Cirrhatus] ........
O4 - HKCU\..\Run: [amva] .......
а отмеченные галочкой исчезли
17.03.2008, 00:21
wise-wistful

Ну логи нужны все 3, как в первый раз, только новые.
17.03.2008, 00:39
blondinka

я понимаю, что все нужны, но не получается их загрузить
17.03.2008, 00:43
wise-wistful

Ну крайний случай логи в один архив, последний на файлообменник, а нам тут в теме ссылочку.
17.03.2008, 22:18
blondinka

Вложений: 1

вроде бы отправилось, до этого выдавалась какая-то ошибка
17.03.2008, 22:28
wise-wistful

Н-да. Октлючите Восстановление системы. Перед выполнением скрипта обязательно отключите антивирус
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\System Volume Information\_restore{B8B7B2C9-C093-4DFC-8783-0573250F9763}\RP155\A0043114.cmd');
DeleteFile('C:\System Volume Information\_restore{B8B7B2C9-C093-4DFC-8783-0573250F9763}\RP155\A0043141.cmd');
DeleteFile('C:\v.cmd');
DeleteFile('D:\System Volume Information\_restore{B8B7B2C9-C093-4DFC-8783-0573250F9763}\RP155\A0043116.cmd');
DeleteFile('D:\System Volume Information\_restore{B8B7B2C9-C093-4DFC-8783-0573250F9763}\RP155\A0043143.cmd');
DeleteFile('D:\v.cmd');
DeleteFile('E:\System Volume Information\_restore{B8B7B2C9-C093-4DFC-8783-0573250F9763}\RP155\A0043118.cmd');
DeleteFile('E:\System Volume Information\_restore{B8B7B2C9-C093-4DFC-8783-0573250F9763}\RP155\A0043145.cmd');
DeleteFile('E:\v.cmd');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\Documents and Settings\GlamGirls\Local Settings\Application Data\smss.exe');
BC_ImportAll;
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19848[/url]
Обновите базы АВЗ. Повторите логи.
17.03.2008, 23:20
blondinka

я снова не то сделала?
17.03.2008, 23:23
wise-wistful

[quote]я снова не то сделала?[/quote]
Простите, что Вы имеете в виду?
17.03.2008, 23:33
blondinka

имею в виду, что отправила не те логи.
точнее там не логи, а список карантина в архиве
17.03.2008, 23:34
wise-wistful

Ну карантин, как карантин - вирусы в основном. Карантин загрузили, а логи, простите, где?
18.03.2008, 22:04
blondinka

Вложений: 1

вот и логи
18.03.2008, 22:12
akok

В логах ничего вредоносного

Если играете в онлайн игры, необходимо сменить пароли

Какие проблемы еще остались?
18.03.2008, 22:12
wise-wistful

hijackthis.log дайте посмотреть. Отключите Восстановление системы, там могут быть враги. Потом после отключения включайте.
19.03.2008, 01:23
blondinka

Вложений: 1

что такое восстановительные системы?
19.03.2008, 01:28
wise-wistful

В качестве стартовой страницы ИЕ - 13.0.0.254 сделано Вами?

Если нет, тогда пофиксите
[quote]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]https://13.0.0.254/[/url][/quote]

Больше ничего подозрительного в логах нет.

Касаемо Восстановления системы.
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".
Потом. Снимаете птичку там же и ОК.

Нам интересно Ваше [url=http://virusinfo.info/showthread.php?t=19883]мнение[/url] о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать [url="http://security-advisory.virusinfo.info/"]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
24.03.2008, 01:13
blondinka

большое спасибо за оперативную помошь, надеюсь, что amva больше не будет беспокоить
22.02.2009, 04:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]52[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] c:\\system volume information\\_restore{b8b7b2c9-c093-4dfc-8783-0573250f9763}\\rp155\\a0043114.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] c:\\system volume information\\_restore{b8b7b2c9-c093-4dfc-8783-0573250f9763}\\rp155\\a0043141.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] c:\\v.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.ajx[/B] (DrWEB: Trojan.Proxy.2634)[*] d:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] d:\\system volume information\\_restore{b8b7b2c9-c093-4dfc-8783-0573250f9763}\\rp155\\a0043116.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] d:\\system volume information\\_restore{b8b7b2c9-c093-4dfc-8783-0573250f9763}\\rp155\\a0043143.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] d:\\v.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] e:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] e:\\system volume information\\_restore{b8b7b2c9-c093-4dfc-8783-0573250f9763}\\rp155\\a0043118.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] e:\\system volume information\\_restore{b8b7b2c9-c093-4dfc-8783-0573250f9763}\\rp155\\a0043145.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] e:\\v.cmd - [B]Trojan-GameThief.Win32.OnLineGames.uaw[/B] (DrWEB: Trojan.PWS.Wsgame.3603)[*] \\2008-03-16\\bcqr00003.dta - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] \\2008-03-16\\bcqr00004.dta - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] \\2008-03-16\\bcqr00005.dta - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] \\2008-03-16\\bcqr00006.dta - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] \\2008-03-16\\bcqr00007.dta - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[*] \\2008-03-16\\bcqr00008.dta - [B]Trojan-GameThief.Win32.OnLineGames.upg[/B] (DrWEB: Win32.HLLW.Autoruner.1491)[/LIST][/LIST]