Показано с 1 по 17 из 17.

amvo (заявка № 18072)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59

    Thumbs up amvo

    Доброй ночи. Появилась проблема: при попытке открыть диск из проводника открывается новое окно. При дальнейшем рассмотрении стало ясно, что нет возможности просматривать скрытые файлы и папки: по закрытии окна свойств папки галочка просто возвращается на пункт "не отображать скрытые файлы и папки". В автозагрузке появился процесс "amvo.exe", при попытке снять его из автозагрузки он дублируется.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59
    забыл добавить: при попытке просканить symantec antivirus завешивается, переустановка антивируса не помогла

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\3wcxx91.cmd','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\wincab.sys');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\3wcxx91.cmd');
     DeleteFile('D:\autorun.inf');
     DeleteFile('D:\3wcxx91.cmd');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18072).
    Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59
    Файл карантина закачал.
    Вот новые логи
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    А базы антивируса обновляются? Неделю назад у меня Симантек запросто справлялся с этими гадами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Больше ничего плохого в логах не видно.
    Для устранения возможных последствий выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если играете в онлайн-игры, то надо менять пароли.
    Вот что было:
    3wcxx91.cmd1,
    autorun.inf1 - Trojan-PSW.Win32.OnLineGames.rem,

    amvo0.dll - Trojan-PSW.Win32.OnLineGames.rel

    Второй причем свежий.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59
    Всем большое спасибо за помощь, видимых причин для беспокойства нет.
    З.Ы. В онлайн-игры не играю, из сети ничего не выкачиваю, поскольку доступ через GPRS канал.
    З.З.Ы. потенциально опасные службы отключаются из msconfig или какими-то иными способами? Они тоже находятся в автозагрузке?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от AndRoom Посмотреть сообщение
    потенциально опасные службы отключаются из msconfig или какими-то иными способами?
    Просто скажите, что нужно что нет, напишем скрипт.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59
    Цитата Сообщение от Bratez Посмотреть сообщение
    Просто скажите, что нужно что нет, напишем скрипт.
    Службы не нужны никакие, из параметров безопасности следует оставить только административный доступ к дискам

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от AndRoom Посмотреть сообщение
    из параметров безопасности следует оставить только административный доступ к дискам
    вы администрируете свой компьютер через сети ?

  13. #12
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59
    Цитата Сообщение от V_Bond Посмотреть сообщение
    вы администрируете свой компьютер через сети ?
    Нет, если здесь подразумевается удаленное администрирование, тогда и в этом параметре нет необходимости

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    для домашнего компьютера без локальной сети ... выполните скрипт ..
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  15. #14
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59
    Скрипт выполнил. Еще какие-то действия необходимы?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  17. #16
    Junior Member Репутация
    Регистрация
    15.02.2008
    Сообщений
    11
    Вес репутации
    59
    Чтож, тогда всем огромное спасибо за помощь! Удачи и вам в вашем деле!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 36
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Win32.HLLW.Autoruner.1294)
      2. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Trojan.MulDrop.6474)
      3. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.rel (DrWEB: Trojan.PWS.Wsgame.2387)
      4. c:\\3wcxx91.cmd - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Trojan.MulDrop.6474)
      5. d:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Win32.HLLW.Autoruner.1294)
      6. d:\\3wcxx91.cmd - Trojan-GameThief.Win32.OnLineGames.rem (DrWEB: Trojan.MulDrop.6474)


  • Уважаемый(ая) AndRoom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. amvo.exe
      От yara в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.12.2009, 16:55
    2. Та же AMVO % (
      От PaPa в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 04:28
    3. amvo
      От CaRNaGe в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:07
    4. amvo.exe и что-то еще...
      От Rambrandt в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.03.2008, 11:50
    5. AMVO
      От belt-chonok в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 02.03.2008, 23:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01182 seconds with 20 queries