Добрый день.
Пожалуйста подскажите как справиться с вирусом amvo.exe , при запуске системы возникает предупреждение об ошибке.
Спасибо.
Добрый день.
Пожалуйста подскажите как справиться с вирусом amvo.exe , при запуске системы возникает предупреждение об ошибке.
Спасибо.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\TEMP\uqtw.dll',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\TEMP\uqtw.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17499).
I am not young enough to know everything...
Скрипт выполнила. Но при открытии диска D: вылезло предупреждение об ошибке подписанное от "программы" 2ifetri.cmd
Не вирус ли это снова?
Выполните в АВЗ
Загрузите новый карантин согласно приложения 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=17499Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\2ifetri.cmd',''); QuarantineFile('C:\2ifetri.cmd',''); DeleteFile('c:\2ifetri.cmd'); DeleteFile('D:\2ifetri.cmd'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Повторите логи.
В карантине C:\WINDOWS\TEMP\uqtw.dll и C:\WINDOWS\system32\amvo.exe - Trojan-PSW.Win32.OnLineGames.qmf, меняйте пароли на он-лайн игры.
Все проделала .Спасибо.
А если с он-лайн играми вообще не связан, то другие пароли стоит поменять? Почтовые например...
Присылаю новые логи...
Один ещё остался.
Выполните в АВЗ
Загрузите карантин согласно приложения 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); DeleteFile('C:\WINDOWS\system32\amvo.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Профиксите в HJT
Пароли можете навсякий случай сменить и на почте. Подстраховка никогда не помешает.O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Повторите логи.
Скрипт выполнила, а вот профиксить не удалось, не нашла я такого "файла" в HJT почему-то ...
Ну, что вроде бы всех прибили. То, что строчки не оказалось - это хорошо, значит АВЗ удалила.
Из этого, что-то необходимо?
Какие-то проблему остались?>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
C:\2ifetri.cmd и D:\2ifetri.cmd, всё тот же Trojan-PSW.Win32.OnLineGames.qmf
Последний раз редактировалось wise-wistful; 05.02.2008 в 03:08.
А кто ж их знает, по моему нет Но я "чайник"
Может убрать всё?
У вас есть локальная сеть?
да , есть...
Выход в интернет через локалку? По локалке к вам на компьютер заходят анонимно или как-то по другому, для скачивания файлов например?
Поисковик файлов находит 2IFETRI.CMD-052A464E.pf в папке C:\Windows\Prefetch Это ничего?
Добавлено через 1 минуту
Вообще-то у меня роутер стоит, поэтому , насколько мне объясняли, ко мне на компьютер попасть нельзя...Но мало ли...
Есть программа StrongDC Prime ...может удалить ее.
Последний раз редактировалось Fillin; 05.02.2008 в 03:22. Причина: Добавлено
удалите всё в префетче. После этого первый раз немного дольше винда будет грузиться, но ничего.
это нужно просто через проводник сделать, или может через какой-то специальный вход?
Да просто заходите C:\Windows\Prefetch и удаляете все файлы. Если конечно настроено отображение скрытых и системных папок. Попробуйте.
Удалила 130 файлов, перезагружаюсь?
давайте, перезагрузитесь.
Готово. Поиск не нашел ничего похожего
Что-то еще проверить нужно?
Нет. Осталось только оопределится что из сервисов оставить, а что отключить.
Уважаемый(ая) Fillin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.