Jak usunąć wirusy Amvo.exe i Win32:Aucrypt z komputera?

Ostatnio na komputerze zaczął pojawiać mi się błąd amvo.exe, później to samo stało się na laptopie. Na komputerze dalej się pojawia ale na lapie wyszedł mi własnie ten AuCrypt i nie mogę wejść na żaden dysk. Sprawdzałem Avastem i nie dało się naprawić pliku więc dałem usuń ale to nic nie dało. Teraz boje sie żeby mi sie nic nie zrypało na kompie.
W załączniku podaje loga z ComboFix'a z komputera.

Podalcz zainfekowane nosniki (G i H), uzyj Flash Disinfector, nastepnie uzyj takiego CFScript.txt z combofix:

File::
D:\u8jre9hv.bat
D:\f6cavn.bat
D:\6x8be16.cmd
D:\m88coaim.exe
D:\nby.bat
D:\qa8sywva.cmd
D:\tfk8.exe
D:\d.cmd
D:\l2f.cmd
G:\u8jre9hv.bat
H:\f6cavn.bat
H:\nby.bat
H:\qa8sywva.cmd
H:\6x8be16.cmd
H:\u8jre9hv.bat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009c4911-96c3-11dc-a4ce-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{062bbb10-3fc0-11dd-aa11-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2aa5ea12-3ac1-11dd-a9e4-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d997812-9107-11dc-a4a4-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f247ff0-2b44-11dd-a968-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac9d1b60-9421-11dc-a4b6-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc090f28-fb49-11dc-a7e6-4d6564696130}]

Ale co mam zrobic z tym CFScriptem gdzie go wkleić czy coś ? I wogóle to mam zrobic z kompem a zlaptopem to chyba musze podac wam loga z laptopa i wtedy mi spróbujecie cos pomóc ? Bo na lapie nie umiem wogóle wejśc na dyski, ale na kompie narazie mogę. I tak wogóle nosnik G to jest mój drugi dysk a nie np pendrive. One maja litery H oraz I nie wiem czy to robi jakąś dużą różnicę ale prosze o sprawdzenie.

Trafiles tu pewnie przez google, musiales znalezc podobny watek w ktorym bylo wszystko opisane, wiec po co te pytania? Pare watkow w dol masz opisane to samo:
https://www.elektroda.pl/rtvforum/topic1048829.html
Tez nie chcialo Ci sie go przeczytac?
Zeby uruchomic combofix nie trzeba wchodzic na partycje, oczywiscie odrobaczyc musisz wszystkie komputery do ktorych podlaczales zainfekowane nosniki.

Ok wkleiłem ten CfScript na ComboFixa. Macie tu loga i jeśli mozecie to sprawdźcie czy jest wszystko w porządku i czy trzeba coś jeszcze zrobić.

A o tym wczesniejszym temacie to czytałem go ale nie wiedziałem dokładnie czy zawsze jest takie samo postepowanie.

I kurde sprawdzając teraz Avastem jeszcze wyskakuja jakieś viry.

pulek2 napisał:

jakieś viry.

Kolega chce uzyskać poradę czy zajmuje nam czas?

Usun jeszcze: D:\RECYCLER(2), gdzie znjduja sie te wirusy? Podaj nazwy plikow oraz ich lokalizacje!

Nie potrafie znaleźć tego D:\RECYCLER nawet wyszukiwarką systemową. A wirusy wyszukuje mi avast i teraz nie wiem czy podawać po kolei to co on podaje czy zrobić jeszcze raz loga i wam wysłać?

W opcjach folderow wlacz pokazywanie plikow chronionych oraz ukrytych i dopiero usun katalog.
Masz podac nazwy zainfekowanych plikow oraz ich lokalizacje, a nie log.
Nie mam zamiaru Ci tego pisac kolejny raz.

Dobra zrobiłem tak jak teraz pisałeś i znalazłem ten D RECYCLER\2 i go usunąłem
Teraz avast i tak mi pokazuje takie wirusy.
C:\6x8be16.cmd
C:\d.cmd
C:\f6cavn.bat
C:\l2f.cmd
C:\m88coaim.exe
C:\nby.bat
C:\qa8sywva.cmd

C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP142\A0122346.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP142\A0122110.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP142\A0121999.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121970.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121931.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121909.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121875.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121854.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121821.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121795.exe
C:\System Volume Information\_restore{1226BFE5-2EAB-4953-A296-1987FC157F85}\RP141\A0121741.bat



i jeszcze pełno takich własnie System volume INformation.

Wylacz na chwile przywracanie systemu oraz usun z C:\ te pliki trojana.

Pousuwałem to z C i z tych innych dysków też te smieci. Wyłączyłem przywracanie systemu i włączyłem ponownie. Usunąlem także te Qoobox które stworzył ComboFix. Oby teraz było wszytko w porządku. Zeby to sprawdzić muszę wam dać loga ?

Nie musisz, wszystko zostalo usuniete juz wczesniej. Zostaly tylko pliki, jezeli uzyles Flash Disinfector to nie powinno dojsc do kolejnej infekcji.

No niby wszystko po sprawdzeniu avastem działało i śmigało, ale jak zrestartowałem kompa to już się nie włączył bo wyskakuje że brak pliku NTLDR wciśnij ctrl+alt+del . I cały czas się restartuje.

Jakie dokladnie pliki usunales z C:\? Czy usuwales, ktorys z tych plikow: NTDETECT.COM, boot.ini, ntldr ?

Teraz to ci napewno nie powiem bo nie wiem, możliwe bo usunąłem to co pokazywał jeszcze avast.

Dlaczego nie powiesz? Uruchom komputer z plyty instalacyjnej XP, wlacz konsole odzyskiwania i sprawdz.
Jezeli, ktoregos brakuje to wypakuj z plyty instalacyjnej.

Kolobos możesz mnie poprowadzić przez ten proces ? Bo kompletnie tego nie czaję.

http://www.searchengines.pl/index.php?showtopic=14270

Ok kolobos zrobiłem jednak ta strona mi nie pomogła bo nadal pokazywało mi ntldr is missing nawet nie wiem czemu zmieniło się na angielski. Skorzystałem ze strony Microsoftu i dałem rady. Ale i tak mam jeszcze 2 laptopy do zrobienia więc czekam na późniejszą pomoc przy logach.

Witam ponownie teraz znowu znalazłem czas żeby naprawiać laptopa od mamy i swojego. Najpierw pod skalpel biorę od mamy bo jest ważniejszy. Podaje wam więc loga z ComboFixa i proszę o pomoc. (Dodam że na tym kompie mogę dysk otworzyć ale pokazywał się właśnie błąd amvo.exe.)

CFScript.txt:

File::
C:\0gjn3yw.exe
C:\mp.cmd
C:\hgu.bat
C:\WINDOWS\system32\ckvo1.dll
C:\00hoeav.com
E:\l2f.cmd
E:\0gjn3yw.exe
D:\l2f.cmd

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{87178c20-91f0-11dc-b2ec-0001038c4259}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c775330-1e28-11dd-b378-0001038c4259}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2a01f30-4f1d-11dd-b3ce-0001038c4259}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c497dd20-910a-11dc-b2ea-0001038c4259}]

ok wkleiłem CfScript etraz podaję loga po tej właśnie akcji, jeżeli jest czysty to usuwam folder Qoobox stworzony przez Combofix.

Dalej do kasacji z C:
C:\0gjn3yw.exe
C:\mp.cmd
C:\hgu.bat
C:\WINDOWS\system32\ckvo1.dll
C:\00hoeav.com

ok usunąłem te które napisałeś, nie wiem czy to już wszystko czy jeszcze dać ci loga czy coś, zaraz jeszcze sprawdzę kompa czy avast coś wykryje.

Avast nic nie znalazł, prztestowałem go też skanerem online i nic nie znalazł więc raczej jest ok, jeszcze dzisiaj się wezmę za kolejnego laptopa.

OK zabieram sie za następnego laptopa, podaję log z Combofixa

CFScript.txt:

File::
C:\0gjn3yw.exe
D:\0gjn3yw.exe
F:\0gjn3yw.exe
G:\0gjn3yw.exe
C:\WINDOWS\~GLC0000.TMP

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dc11b0c-3fc6-11dd-a7d5-001b9e8fa6d4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89b0ea2e-46d7-11dd-a7dd-001b9e8fa6d4}]


Pamietaj zeby na wszystkich komputerach uzyc Flash Disinfector oraz opcjonalnie zablkowac dostep w rejestrze do galezi mountpoints2 tak jak masz podane na dole tej strony:
http://www.searchengines.pl/Infekcje-z-pendrivemediow-przenosnych-t94761.html

OK wkleiłem tego scripta, podaje loga po tej akcji, a tej opcji przy blokowaniu dostępu w rejestrze nie potrafię znaleźć to co na stronie którą podałeś jest to okienko Permissions for Mountpoints2. Gdzie mogę to znaleźć i czy jest to szczególnie potrzebne.
A Flash Disinfector'em odrazu zrobiłem wszystkie komputery.

Wyglada ok.