проблема связанная с amvo0.dll и непоказом скрытых файлов
Добрый день! Надеюсь, вы мне поможете.
1. Дня три назад я подсоединил к компу телефон с картой памяти, который до того подключал к институтским компам. Как водится, с ней было что-то не в порядке, но я разбираться не стал и попросту форматнул карту памяти. С телефоном теперь все в порядке.
2. На следующий день после загрузки Windows мой avast обнаружил в папке system32 некий amvo0.dll, якобы зараженный. Я удалил этот файл. Однако при всех последующих перезагрузках компа avast продолжал кричать о том же, т.е. файл amvo0.dll самовосстанавливается.
3. Сегодня от нечего делать я решил посмотреть в Инете, что пишут по этой проблеме. Точного описания этого вируса и того, чем собственно он опасен нигде не нашел. Но где-то прочел, что этот вирус блокирует показ скрытых файлов и папок. Проверил у себя - и точно, не могу включить показ скрытых.
4. Набрел на ваш форум и решил написать. Сделал всё по инструкции, посылаю все требуемые логи. Единственное, что сделал не по правилам - не стал отключать восстановление системы, т.к. раньше меня частенько выручал этот инструмент и меня напугало заявление в ЧАВО, что после отключения сотрутся все точки восстановления. Впрочем, после выполенния скрипта лечения/карантина и сбора информации какие-то данные из System Restore были помещены в карантин, и когда после этого я пытался всё же (ради интереса) сделать откат системы, то получал от компа сообщение, что завершить процесс восстановления невозможно.
Кстати подскажите, нельзя ли сначала проверять, заражены ли файлы восстановления системы, и только потом удалять их? Я так понял, что спецы не очень-то доверяют этому инструменту. Почему?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
HOST-файл сами модифицировали?
Советуем отключить автозапуск (не путать с автозагрузкой!!!) на всех дисках во избежании повторного заражения.
Ваш антивирус не обеспечивает должного уровня защиты. Если есть возможность, используйте один из рекомендованных нами продуктов.
Добавлено через 3 минуты
Сообщение от Tim-tim
Кстати подскажите, нельзя ли сначала проверять, заражены ли файлы восстановления системы, и только потом удалять их? Я так понял, что спецы не очень-то доверяют этому инструменту. Почему?
Там остаются зараженные копии файлов. Есть инструменты и по надежней вроде Acronis'а.
Последний раз редактировалось Макcим; 12.02.2008 в 11:53.
Причина: Добавлено
Сделал все, как научили. За исключением двух моментов:
1) не нашел в HijackThis первую строчку, которую было нужно "профиксить" (начинающуяся на "F2 - REG:system.ini: ........." )
2) архив с карантином я создал и загрузил в последнюю очередь, а не в середине процесса, как вы написали. причина: по-моему во время повторной процедуры выполенния скрипта лечения/карантина и сбора информации был обнаружен ещё один файл, помещенный в карантин. таким образом мне показалось логичным создавать архив с карантином после всех процедур лечения.
вы спросили: "HOST-файл сами модифицировали? "
отвечаю: нет. понятия не имею о чем вы.
скрытые файлы уже можно смотреть. это радует!
если не затруднит, расскажите, что это за вирус такой и чем он опасен, или дайте ссылку.
Последний раз редактировалось Tim-tim; 12.02.2008 в 15:23.
Причина: только сейчас увидел фразу "Отключите восстановление системы!".
По поводу HOST-файла. 212.118.48.76 wmsc3.webmoney.ru - это Вам знакомо?
Враги сидят в точках восстановления. Убить их можно только отключением восстановлением. Все точки восстановления уйдут и враги вместе с ними. Потом снова включите - создастся новая точка восстановления, но уже без врагов. Если не сделаете этого, то потом при попытке отката назад все враги вернутся.
[quote=wise-wistful;186664]По поводу HOST-файла. 212.118.48.76 wmsc3.webmoney.ru - это Вам знакомо?[quote]
насчет этого могу сказать, что пару недель назад я пытался зарегистрироваться в системе webmoney, но процесс зависал из-за невозможности связаться с центром сертификации. насколько я понял, там нужно было дополнительно порт какой-то открыть. в общем, мне было не сильно надо и я бросил эту регистрацию.
вот и все что я могу сказать по поводу взаимоотношений моего компа и webmoney.ru.
восстановление уже отключил, через полчасика закину новые логи.
В карантин ещё попали C:\WINDOWS\Temp\39.tmp и C:\WINDOWS\Temp\9.tmp - Trojan-Spy.Win32.Zbot.bg
C:\WINDOWS\Temp\E.tmp - Trojan-Spy.Win32.Zbot.co, ну и в точках восстановления гады.
Хотите узнать побольше о врагах? Google Вам поможет.
Выполните контрольный выстрел в АВЗ
Спасибо всем, кто помог! Число находимых AVZ'ом вирусов упало с 14 до 0, а подозрительных программ с 10 до 2. Посмотрите текущие логи, если нетрудно - нельзя совсем вывести нечисть?
Кстати вспомнил, дырявая башка - HOSTS и в самом деле сам правил! Как раз тогда, когда пытался наладить связь с центром сертификации webmoney!Точно, был грешок!
Послушайте, я так понял, что этой штучкой (AVZ) можно решать все проблемы сетевой безопасности. Зачем тогда нужны антивирусы?
Ошибка карантина файла, попытка прямого чтения (E:\Distr\АНТИВИРУС\Комплекс диагностики и лечения (AVZ + Hijack)\avz4.29)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (E:\Distr\АНТИВИРУС\Комплекс диагностики и лечения (AVZ + Hijack)\avz4.29)
Карантин с использованием прямого чтения - ошибка
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: