amvo exe :: Pc Klinika ~ Doktori za vas kompjuter

Bas divno, svidja mu se kod tebe izgleda, mada mi nije jasno zasto ComboFix nije odradio posao Smile

Kaspersky 7 ima definicije za ovaj trojan, tako da bi mozda bilo najpametnije skinuti njega i instalirati ga, updateovati ga i pokrenuti scan iz safe mode-a. Trebalo bi da ga nadje.
Ako odlucis da skines i pokrenes Kaspersky scan, nakon odradjenog skeniranja i ako nadje zarazene fajlove i brise ih moze da se desi da neces moci da pristupis particijama (to radi taj trojan koji si ti pokupio). U slucaju da se ista slicno desi uradi sledece:
U safe modu udi u registry i navedi do sledeceg kljuca:
HKEY_CURRENT_USER\software\microsoft\windows\ currentversion\explorer\mountpoints2
Obrisi ga, dakle desni klik na njega u levom panelu i delete.
Ako ne mozes da pristupis particijama i dalje imas problem sa hidden files and folders, skini i pokreni Remove Restrictions Tool v2.0.
link
To bi trebalo da resi sve probleme koji mogu da se jave ako Kaspersky nadje i brise unose nakon ovoh trojanca.

Sada, u Safe modu pokreni ponovo HJT i fixuj sledece - sad ide totalno brutalno ciscenje svega preko cega amvo moze da radi (nakon cega dok si jos u Safe modu mozes da odradis rucno brisanje registry unosa, dakle nemoj restartovati masinu posle HJT fixeva vec odradi rucno brisanje iz registry baze):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe
O8 - Extra context menu item: &Windows Live Search - res://D:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: MSSQLServerADHelper - Unknown owner - D:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)

Dakle sve ovo fixuj i zatvori HJT, sad mozes dok si jos u safe modu da radis rucno brisanje iz registry-ja:

ComboFix log pokazuje gde je u registry bazi, ako neces scan sa Kasperskim onda mozes da probas da ga rucno skines i to ovako: (zapamti da svako rucno menjanje registry baze moze da dovede do problema sa stabilnoscu sistema, za koje mi nismo odgovorni):

Dakle i dalje si u safe modu ( u kome si od pocetka ovog macevanja)
ides na start, run i kucas regedit pa enter
Kada udjes u registry navedi do sledeceg kljuca:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
Sa desne strane bi trebalo da je unos:
avpa = "D:\Windows\System32\avpo.exe"
Obrisi taj unos (desni klik na taj unos u listi i delete).

Ne zatvaraj registry
Sad navedi do kljuca:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
U desnom panelu bi trebalo da je unos:
Hidden = "2"
Desni klik na value name i izaberi Modify. Promeni value data ovom unosu u 0 (nula)

Ne zatvaraj registry
Sad navedi do sledeceg kljuca:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
U desnom panelu trebalo bi da postoji ovaj unos:
ShowSuperHidden = "0"
Desni klik na value name i izaberi Modify. Promeni value data ovom unosu u 1

sad navedi do sledeceg kljuca:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder> Hidden>SHOWALL
U desnom panelu trebalo bi da postoji ovaj unos:
CheckedValue = "0"
Desni klik na value name i izaberi Modify. Promeni value data ovom unosu u 1

Ovo sve ne mora da se nalazi u registry bazi, ali ako je tu, odradi kao sto je receno.
Zatvori registry.

Sad idi na start pa search ili find
trazi u svim fajlovima i folderima i omoguci i hidden files and folders
dakle trazis AUTORUN.INF
kada ti izbaci listu fajlova otvori svaki autorun.inf i pregledaj unose i ako postoje sledeci unosi obrisi taj fajl: (ali samo ako postoje sledeci unosi, ako ih nema predji na drugi fajl):
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=utdetect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=utdetect.com

E sad mozes da izadjes iz safe moda. Pokreni masinu u normal modu odradi novi HJT scan i daj novi log.

P.S. u zivotu nisam imala duzi post pomoci na Klinici ... Smile

Uplatite mi odmor ... banja, planina, ne pravim pitanje Smile