[WinXP] Problema AMVO

[danio_]

Ciao ragazzi, il mio pc è infettato da questo virus, evidentemente il virus oltre che sul disco C deve per forza essere o sulla partizione D oppure sui 2 dischi esterni F o G.

Ho fatto la scansione con PREVXCSI e con HiJackThis e posto di seguito i log:

PREVXCSI: Clicca qui per scaricare

HiJackThis:
Clicca qui per scaricare

Per quanto riguarda gli altri dischi sto facendo una scansione online con kaspersky per vedere se mi trova qualcosa.

In attesa della scansione se magari mi aiutate ad eliminare amvo dal disco C ve ne sarei grato. ciao

[xcdegasp]

fai anche le altre scansioni richieste dalla Guida alla Disinfezione per Infetti e pubblica i log

prevx segnala:

Codice:

C:\Documents and Settings\Sergio\Desktop\setupitapro.exe	InMem: 0	Det [UP]	PX5: 9D29FED2282B7E488F68307C42E28201EF24F449

C:\Documents and Settings\Sergio\Impostazioni locali\Temp\dxw.dll	InMem: 0	Det [UP]	MD5: 27C1C9F1130CF49E55A19A0A593F54CA	PX5: 52D0153D4835C23669A700AD4967BF009B1FB4C1

C:\WINDOWS\system32\amvo0.dll	InMem: 1	Det [BP]	MD5: 6E397A74515A986D46E6F6EA3EA78520	PX5: F2CE369A005FBB231A0201210D7F0C00103ED2A4	Malware Group: Generic.Malware

C:\WINDOWS\system32\amvo.exe	InMem: 0	Det [BP]	MD5: 57F7ADF4582E0F752D907C14D85D6316	PX5: 41E9F34F88D446249065012D543F7D001EE7B517	Malware Group: Generic.Malware

	REGRUNKEY - \REGISTRY\User\S-1-5-21-1123561945-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run - amva [C:\WINDOWS\system32\amvo.exe]

C:\v.com	InMem: 0	Det [BP]	MD5: 57F7ADF4582E0F752D907C14D85D6316	PX5: 41E9F34F88D446249065012D543F7D001EE7B517	Malware Group: Generic.Malware

C:\Documents and Settings\Sergio\Impostazioni locali\Temporary Internet Files\Content.IE5\2NKVUFOL\help[1].exe	InMem: 0	Det [BP]	MD5: 57F7ADF4582E0F752D907C14D85D6316	PX5: 41E9F34F88D446249065012D543F7D001EE7B517	Malware Group: Generic.Malware


C:\WINDOWS\system32\amvo0.dll - [b] >> Generic.Malware

C:\WINDOWS\system32\amvo.exe - [b] >> Generic.Malware

apri il task manager e killa il processo attivo "C:\WINDOWS\system32\amvo.exe" poi rifai la scansione con HijackThis usando la funzione "only scan", a fine scansione seleziona la seguente voce:

Codice:

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

e premi il pulsante in fondo a sinistra contrassegnato dal nome "Fix IT"

[Chill-Out]

Quote:

Ciao ragazzi, il mio pc è infettato da questo virus, evidentemente il virus oltre che sul disco C deve per forza essere o sulla partizione D oppure sui 2 dischi esterni F o G.

allega gli altri log come richiesto, inoltre come da te evidenziato il Worm in questione infetta tutti i supporti removibili quindi bisognerà procedere a disinfettare anche quelli.

[danio_]

Quote:

Originariamente inviato da xcdegasp

fai anche le altre scansioni richieste dalla Guida alla Disinfezione per Infetti e pubblica i log

prevx segnala:

Codice:

C:\Documents and Settings\Sergio\Desktop\setupitapro.exe	InMem: 0	Det [UP]	PX5: 9D29FED2282B7E488F68307C42E28201EF24F449

C:\Documents and Settings\Sergio\Impostazioni locali\Temp\dxw.dll	InMem: 0	Det [UP]	MD5: 27C1C9F1130CF49E55A19A0A593F54CA	PX5: 52D0153D4835C23669A700AD4967BF009B1FB4C1

C:\WINDOWS\system32\amvo0.dll	InMem: 1	Det [BP]	MD5: 6E397A74515A986D46E6F6EA3EA78520	PX5: F2CE369A005FBB231A0201210D7F0C00103ED2A4	Malware Group: Generic.Malware

C:\WINDOWS\system32\amvo.exe	InMem: 0	Det [BP]	MD5: 57F7ADF4582E0F752D907C14D85D6316	PX5: 41E9F34F88D446249065012D543F7D001EE7B517	Malware Group: Generic.Malware

	REGRUNKEY - \REGISTRY\User\S-1-5-21-1123561945-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run - amva [C:\WINDOWS\system32\amvo.exe]

C:\v.com	InMem: 0	Det [BP]	MD5: 57F7ADF4582E0F752D907C14D85D6316	PX5: 41E9F34F88D446249065012D543F7D001EE7B517	Malware Group: Generic.Malware

C:\Documents and Settings\Sergio\Impostazioni locali\Temporary Internet Files\Content.IE5\2NKVUFOL\help[1].exe	InMem: 0	Det [BP]	MD5: 57F7ADF4582E0F752D907C14D85D6316	PX5: 41E9F34F88D446249065012D543F7D001EE7B517	Malware Group: Generic.Malware


C:\WINDOWS\system32\amvo0.dll - [b] >> Generic.Malware

C:\WINDOWS\system32\amvo.exe - [b] >> Generic.Malware

apri il task manager e killa il processo attivo "C:\WINDOWS\system32\amvo.exe" poi rifai la scansione con HijackThis usando la funzione "only scan", a fine scansione seleziona la seguente voce:

Codice:

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

e premi il pulsante in fondo a sinistra contrassegnato dal nome "Fix IT"

Nel task manager il processo amvo.exe non c'è. Ho rifatto la scansione con HiJackThis e ho fixato amvo.exe.

cmq mi appare anche un messaggio di errore v.com che se non sbaglio è sempre riferito ad amvo.exe

[xcdegasp]

Quote:

Originariamente inviato da danio_

Nel task manager il processo amvo.exe non c'è. Ho rifatto la scansione con HiJackThis e ho fixato amvo.exe.

cmq mi appare anche un messaggio di errore v.com che se non sbaglio è sempre riferito ad amvo.exe

v.com è un file alla radice del disco c:\ ed è infetto pure quello

C:\v.com InMem: 0 Det [BP] MD5: 57F7ADF4582E0F752D907C14D85D6316 PX5: 41E9F34F88D446249065012D543F7D001EE7B517 Malware Group: Generic.Malware

[danio_]

Questo è il log della scansione online di kaspersky:

Clicca qui per scaricare

Appena finisco le altre le metto

[xcdegasp]

edit:
ho visto che hai fatto correttamente

[xcdegasp]

ti ha trovato parecchia robetta:
file scaricati via p2p:
Trojan.Win32.Agent.acw (non indico il file)
Trojan-Downloader.Win32.Bagle.bv
Trojan-Downloader.Win32.Agent.bgy
Trojan-Proxy.Win32.Mitglieder.ei

via email:
Packed.Win32.Bagle
P2P-Worm.Win32.Kapucen.b

[danio_]

Questo è quello di GMER:

Clicca qui per scaricare

mancano i log di a-square e di ESET ADS Revealer che però non capisco come si salva il log

[meure]

Quote:

Originariamente inviato da danio_

Ciao ragazzi, il mio pc è infettato da questo virus, evidentemente il virus oltre che sul disco C deve per forza essere o sulla partizione D oppure sui 2 dischi esterni F o G.

Ho fatto la scansione con PREVXCSI e con HiJackThis e posto di seguito i log:

PREVXCSI: Clicca qui per scaricare

HiJackThis:
Clicca qui per scaricare

Per quanto riguarda gli altri dischi sto facendo una scansione online con kaspersky per vedere se mi trova qualcosa.

In attesa della scansione se magari mi aiutate ad eliminare amvo dal disco C ve ne sarei grato. ciao

ciao, ho appena disinfestato un pc con amvo.exe
sul link sotto trovi un piccolo script che ti permette di rimuovere il trojan.
riavvia il pc in mod provvisoria, esegui lo script scaricato, rispondi ok a tutti i riquadri poi una passata di ccleaner ed una pulizia con regseeker/regcleaner.
poi riavvii il pc in mod normale, devi disabilitare l'autoplay sulle chiavette usb così potrai inserire la tua chiavetta infetta e rimuovere i file .bat, .com, .inf che trovi nella directory principale.
non è terribile; poi ho dovuto reinstallare la stampante. eccoti il link:

http://www.mygeekside.com/?p=14

ciao

[xcdegasp]

procediamo con ordine perchè hanno un logica, gmer lo rifacciamo dopo

ora scaricare a-squared-free, c'è anche nella versione che non serve installazione ma bisogna lanciarlo da schermata dos (cmd) e non so quanto tu sia pratico, e installalo poi facendo la scansione deep alla fine ti mostra uil risultato e una serie di azioni che sono possibili, ad esempio "metti in quarantena", elimina e salva rapporto..



quelòlo che devi fare è mettere tutto in quarantena e poi salvi il rapporto (nomefile.txt)


per prevxCSI invece a fine scansione vai in "Option -> Save log" e stessa cosa (nomefile.txt)

[danio_]

Quote:

Originariamente inviato da xcdegasp

procediamo con ordine perchè hanno un logica, gmer lo rifacciamo dopo

ora scaricare a-squared-free, c'è anche nella versione che non serve installazione ma bisogna lanciarlo da schermata dos (cmd) e non so quanto tu sia pratico, e installalo poi facendo la scansione deep alla fine ti mostra uil risultato e una serie di azioni che sono possibili, ad esempio "metti in quarantena", elimina e salva rapporto..

http://img407.imageshack.us/my.php?image=quintaar6.jpg

quelòlo che devi fare è mettere tutto in quarantena e poi salvi il rapporto (nomefile.txt)


per prevxCSI invece a fine scansione vai in "Option -> Save log" e stessa cosa (nomefile.txt)

Allora, la scansione con a-squared-free la sta già facendo.
Ha già fatto quella con ESET ADS Revealer che però non mi da la possibilità di salvare il log, almeno io questa opzione non la vedo.

[danio_]

Quote:

Originariamente inviato da meure

ciao, ho appena disinfestato un pc con amvo.exe
sul link sotto trovi un piccolo script che ti permette di rimuovere il trojan.
riavvia il pc in mod provvisoria, esegui lo script scaricato, rispondi ok a tutti i riquadri poi una passata di ccleaner ed una pulizia con regseeker/regcleaner.
poi riavvii il pc in mod normale, devi disabilitare l'autoplay sulle chiavette usb così potrai inserire la tua chiavetta infetta e rimuovere i file .bat, .com, .inf che trovi nella directory principale.
non è terribile; poi ho dovuto reinstallare la stampante. eccoti il link:

http://www.mygeekside.com/?p=14

ciao

grazie della segnalazione, visto che ci sono seguo passo passo la guida visto che mi ha trovato altri virus poi provo anche il tuo metodo.

ps le chiavette le ho formattate quindi non hanno problemi, ora devo capire se gli altri dischi sono stati infettati.

[xcdegasp]

Quote:

Originariamente inviato da danio_

Allora, la scansione con a-squared-free la sta già facendo.
Ha già fatto quella con ESET ADS Revealer che però non mi da la possibilità di salvare il log, almeno io questa opzione non la vedo.

si tranquillo di quel tool nons erve il log, però elimina tutto cio che ti trova (non elimina nessun file)

[danio_]

Quote:

Originariamente inviato da xcdegasp

si tranquillo di quel tool nons erve il log, però elimina tutto cio che ti trova (non elimina nessun file)

ok, allora aspetto che finisce la scansione A-Squared Free e poi posto il log.

[danio_]

A-squared si è bloccato da 10 minuti, è la seconda volta che si blocca e se non sbaglio sempre sullo stesso file. che devo fare?
Forse perchè sta scansionando una cartella zippata?

edit: sono passati 30 minuti ed è ancora bloccato

[xcdegasp]

ora a che punto è sempre fermo?

[danio_]

Quote:

Originariamente inviato da xcdegasp

ora a che punto è sempre fermo?

alla fine l'ho fermato, stamattina provo a fargli rifare la scansione.

[xcdegasp]

altrimenti proviamo da linea di comando e per farlo puoi seguire questa procedura:
http://www.hwupgrade.it/forum/showpo...3&postcount=31

non far scansionare all'antivirus la cartella di a-squared, quindi dovrai mettere a-squared nell'exclusion-list, magari è per questo che si bloccava

[danio_]

Ciao, non sono sparito è che ho avuto molti impegni in questi giorni.
Allora, il problema con amvo.exe l'ho risolto seguendo il procedimento di meure che ringrazio. Era quello che mi premeva di più eliminare.
Ora per quanto riguarda gli altri virus negli altri 2 dischi sto facendo la scansione con a-squared-free, appena finisce la posto.
Si bloccava su un file che ho eliminato, ora vediamo come procede.
ciao