Trojan w pliku amvo.dll

przez **recherka** » 02 Mar 2008, 14:55

Witam!
Mam problem z pewnym trojanem, który przedostał się do mojego komputera z pendriva i zainfekował plik WINDOWS/system32/amvo.dll. (widziałam, że nie tylko ja mam z nim problem). Ponieważ po każdorazowym przeskanowaniu avastem rzekomo wirus był usunięty, nipokoiło mnie, że przy każdym ponownym włączeniu komputera avast wykrywał go na nowo. Ściągnełam program "Trojan remover", który niby usunął wirus, jednak dla pewności przeskanowałam komputer jeszcze programem "Combo.fix". Będę wdzięczna za sprawdzenie loga i info czy jakiś wirus jeszcze sobie mieszka w moim kompie czy już jest czysty, oraz ponieważ jestem laikiem w tych sprawach, to ogromnie byłabym wdzięczna za jakąkolwiek pomoc w uratowaniu pendriva. Problem polega na tym, że gdy tylko podłączę go do kompa ten wirus ponownie włazi do systemu i cała zabawa zaczyna się od nowa. Nie mam już na nim żadnych plików, skanowałam go i avastem i tym Trojan removerem i nadal ten wirus gdzieś tam siedzi. Co zrobić pomóżcie. Z góry wielkie dzięki.

Ps. To ten log:
ComboFix 08-03-01.3 - Administrator 2008-03-02 13:00:13.1 - NTFSx86
Running from: C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\FunWebProducts
C:\Program Files\FunWebProducts\ScreenSaver\Images\02085A44.urr
C:\Program Files\FunWebProducts\Shared\Cache\CursorManiaBtn-new.html
C:\Program Files\FunWebProducts\Shared\Cache\CursorManiaBtn.html
C:\Program Files\FunWebProducts\Shared\Cache\SmileyCentralBtn-new.html
C:\Program Files\FunWebProducts\Shared\Cache\SmileyCentralBtn.html
C:\Program Files\internet explorer\msimg32.dll
C:\Program Files\MyWebSearch
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3BKGERR.JPG
C:\Program Files\MyWebSearch\bar\2.bin\F3BROVLY.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3CJPEG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3DTACTL.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HISTSW.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HTMLMU.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HTTPCT.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3IMSTUB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3POPSWT.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3PSSAVR.SCR
C:\Program Files\MyWebSearch\bar\2.bin\F3REPROX.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3RESTUB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SCHMON.EXE
C:\Program Files\MyWebSearch\bar\2.bin\F3SCRCTR.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SHLLVW.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SPACER.WMV
C:\Program Files\MyWebSearch\bar\2.bin\F3WALLPP.DAT
C:\Program Files\MyWebSearch\bar\2.bin\F3WPHOOK.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.JAR
C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.MANIFEST
C:\Program Files\MyWebSearch\bar\2.bin\M3HTML.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3IDLE.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3IMPIPE.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3MSG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.JAR
C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.MANIFEST
C:\Program Files\MyWebSearch\bar\2.bin\M3OUTLCN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3PLUGIN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3SKIN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3SKPLAY.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3SLSRCH.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3SRCHMN.EXE
C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
C:\Program Files\MyWebSearch\bar\2.bin\mwsoemon.exe.vir
C:\Program Files\MyWebSearch\bar\2.bin\MWSOEPLG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\MWSOESTB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\NPMYWEBS.DLL
C:\Program Files\MyWebSearch\bar\Avatar\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Cache\00017819
C:\Program Files\MyWebSearch\bar\Cache\0001B8CB
C:\Program Files\MyWebSearch\bar\Cache\00BFCAFF.hg
C:\Program Files\MyWebSearch\bar\Cache\00BFDFCF.bin
C:\Program Files\MyWebSearch\bar\Cache\00BFE260.bin
C:\Program Files\MyWebSearch\bar\Cache\00BFE4E0.bin
C:\Program Files\MyWebSearch\bar\Cache\00BFE751.bin
C:\Program Files\MyWebSearch\bar\Cache\files.ini
C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S
C:\Program Files\MyWebSearch\bar\Game\CHESS.F3S
C:\Program Files\MyWebSearch\bar\Game\REVERSI.F3S
C:\Program Files\MyWebSearch\bar\History\search2
C:\Program Files\MyWebSearch\bar\icons\CM.ICO
C:\Program Files\MyWebSearch\bar\icons\MFC.ICO
C:\Program Files\MyWebSearch\bar\icons\PSS.ICO
C:\Program Files\MyWebSearch\bar\icons\SMILEY.ICO
C:\Program Files\MyWebSearch\bar\icons\WB.ICO
C:\Program Files\MyWebSearch\bar\icons\ZWINKY.ICO
C:\Program Files\MyWebSearch\bar\Message\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Notifier\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Notifier\DOG.F3S
C:\Program Files\MyWebSearch\bar\Notifier\FISH.F3S
C:\Program Files\MyWebSearch\bar\Notifier\KUNGFU.F3S
C:\Program Files\MyWebSearch\bar\Notifier\LIFEGARD.F3S
C:\Program Files\MyWebSearch\bar\Notifier\MAID.F3S
C:\Program Files\MyWebSearch\bar\Notifier\MAILBOX.F3S
C:\Program Files\MyWebSearch\bar\Notifier\OPERA.F3S
C:\Program Files\MyWebSearch\bar\Notifier\ROBOT.F3S
C:\Program Files\MyWebSearch\bar\Notifier\SEDUCT.F3S
C:\Program Files\MyWebSearch\bar\Notifier\SURFER.F3S
C:\Program Files\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat
C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
C:\WINDOWS\system32\f3PSSavr.scr
E:\Autorun.inf

.
((((((((((((((((((((((((( Files Created from 2008-02-02 to 2008-03-02 )))))))))))))))))))))))))))))))
.

2008-03-01 21:27 . 2008-03-01 21:42 <DIR> d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-03-01 21:26 . 2008-03-01 21:26 <DIR> d-------- C:\Program Files\Trojan Remover
2008-03-01 21:26 . 2008-03-01 21:26 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Simply Super Software
2008-03-01 21:26 . 2008-03-01 21:26 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\Simply Super Software
2008-03-01 21:26 . 2006-05-25 14:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-03-01 21:26 . 2003-02-02 19:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-03-01 21:26 . 2005-08-26 00:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-03-01 21:26 . 2002-03-06 00:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-03-01 21:26 . 2006-06-19 12:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-02-28 21:09 . 2008-01-27 10:53 103,781 --a------ C:\WINDOWS\system32\amvo.exe.vir
2008-02-07 14:08 . 2008-02-07 14:08 <DIR> d-------- C:\Program Files\MP3Cutter

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 12:13 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\OpenOffice.org2
2008-02-26 21:38 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Skype
2008-02-21 15:21 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Corel
2008-01-25 12:42 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Nokia
2008-01-25 12:41 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\PC Suite
2008-01-25 12:41 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\PC Suite
2008-01-25 12:40 --------- d-----w C:\Program Files\Nokia
2008-01-25 12:40 --------- d-----w C:\Program Files\DIFX
2008-01-25 12:40 --------- d-----w C:\Program Files\Common Files\PCSuite
2008-01-25 12:40 --------- d-----w C:\Program Files\Common Files\Nokia
2008-01-25 12:39 --------- d-----w C:\Program Files\PC Connectivity Solution
2008-01-25 12:38 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Installations
2008-01-24 01:31 --------- d-----w C:\Program Files\AC3Filter
2008-01-23 21:25 --------- d-----w C:\Program Files\MSXML 4.0
2008-01-22 03:49 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-01-22 03:48 --------- d-----w C:\Program Files\Java
2008-01-22 03:46 --------- d-----w C:\Program Files\OpenOffice.org 2.3 Installation Files
2008-01-22 02:13 --------- d-----w C:\Program Files\TouchStoneSoftware
2008-01-13 14:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 11:12 695808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-05-12 08:15 102400]
"SiSPower"="SiSPower.dll" [2005-02-16 10:02 49152 C:\WINDOWS\system32\SiSPower.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 04:01 77824 C:\WINDOWS\SOUNDMAN.EXE]
"Hsfpwcfg.exe"="C:\WINDOWS\Hsfpwcfg.exe" [2004-01-28 09:36 167936]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 07:23 98394]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 07:23 688218]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-05-28 10:14 528384]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-12-10 15:12 185896]
"My Web Search Bar Search Scope Monitor"="C:\PROGRA~1\MYWEBS~1\bar\2.bin\m3SrchMn.exe" [ ]
"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2008-02-24 19:45 863824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 18:35 1294336]

C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\
OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Aktywacja Testera.lnk - C:\Program Files\YDP\YdpDict\Watch.exe [2007-02-26 17:19:46 352768]
Tester activation.lnk - C:\Program Files\YDP\YdpDict\Watch.exe [2007-02-26 17:19:46 352768]
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2007-02-19 19:41:32 331776]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"E:\\Programy\\E Extreme\\emule.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\AOL\\RC\\regClient.exe"=
"C:\\Program Files\\Common Files\\AOL\\ACS\\AOLDial.exe"=
"C:\\Program Files\\Common Files\\AOL\\ACS\\AOLacsd.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4400:TCP"= 4400:TCP:emule

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\ATK0100\ASNDIS5.SYS [2004-05-28 03:13]
R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys [2004-06-17 07:57]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 11:33]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 11:33]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 11:33]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 11:33]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 11:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{086ad866-9744-11dc-ba11-00038a000015}]
\Shell\AutoRun\command - H:\xo8wr9.exe
\Shell\explore\Command - H:\xo8wr9.exe
\Shell\open\Command - H:\xo8wr9.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41d8559c-e548-11dc-ba83-00038a000015}]
\Shell\AutoRun\command - H:\xo8wr9.exe
\Shell\explore\Command - H:\xo8wr9.exe
\Shell\open\Command - H:\xo8wr9.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfd58ae0-c51b-11dc-ba4c-00038a000015}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ee2b5de6-ad47-11dc-ba33-00038a000015}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs

.
Contents of the 'Scheduled Tasks' folder
"2008-02-27 06:07:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 13:12:47
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
.
**************************************************************************
.
Completion time: 2008-03-02 13:14:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-02 12:14:34
.
2008-01-23 22:15:10 --- E O F ---
:sad:

przez **kamuflasz** » 02 Mar 2008, 15:09

Log wydaje się być czysty tylko nie wiem co to jest

Kod: Zaznacz wszystko: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{086ad866-9744-11dc-ba11-00038a000015}] \Shell\AutoRun\command - H:\xo8wr9.exe \Shell\explore\Command - H:\xo8wr9.exe \Shell\open\Command - H:\xo8wr9.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41d8559c-e548-11dc-ba83-00038a000015}] \Shell\AutoRun\command - H:\xo8wr9.exe \Shell\explore\Command - H:\xo8wr9.exe \Shell\open\Command - H:\xo8wr9.exe

przez **recherka** » 02 Mar 2008, 16:07

Dzięki wielkie za tak szybką odpowiedź - ja też nie wiem co to jest, ale być może wynika to z tego, że po automatycznym restarcie po skanowaniu Combo.fix uruchomił mi się automatycznie scan Trojan removera, który szybko anulowałam, ale jednak się rozpoczął.
A ma ktoś może jakieś pomysły co zrobić teraz z tym pendrivem, da się go jeszcze jakoś ocalić?? Jeszcze raz dzięki. Pozdrawiam.

przez **kamuflasz** » 02 Mar 2008, 18:14

To usun te wpisy. A ten trojan to wskakuje ci na kompa przy kazdym podlaczeniu pena? Nawet gdy go sformatujesz?

przez **recherka** » 02 Mar 2008, 18:54

No niestety tak już nic na nim nie ma, skanowałam go i avastem i tym trojan removerem i rzekomo jest czysty, ale nadal coś na nim siedzi i w momencie podłączenia go do usb natychmiast avast informuje mnie, że mam Trojana w pliku Windows/system32/..... (przedtem było to amvo.dll), teraz już chyba nie powinno być tego pliku skoro jest usunięty. Da się z tym penem w ogóle coś zrobić?

przez **Bozz** » 02 Mar 2008, 21:23

Ale usunęłaś ręcznie, czy przed "Formatuj"? Bo to różnica? Jak nie próbowałaś formatować tego Pendrive'a to polecam

przez **recherka** » 02 Mar 2008, 22:14

Wielkie DZIĘKI

Rzeczywiście usuwałam tylko ręcznie pliki, nie próbowałam formatować

od czasu gdy dyskietki przestały funkcjonować zapomniałam, że coś takiego w ogóle istnieje. Sformatowałam i działa, nie wirusa na penie, nie ma na systemie więc wszystko jest si :))))))

Jeszcze raz dziękuję bardzo za pomoc

przez **Ryssus** » 03 Mar 2008, 21:10

Odnośnie tego trojana też z nim walczę, przenosi się właśnie przez pendrive. Polecam użyć programu Bitdefender - skaner online. Przed wystartowaniem skanera włożyć pendrive. Skanowanie będzie trwało długo, ale wszystko zostanie usunięte. Sprawdziłem - zrobiłem log Combofix'em i nic nie wykryło, więc polecam.

Trojan w pliku amvo.dll

Trojan w pliku amvo.dll

Kto jest na forum