Braviax + Your computer is infected

Annabell · 26 Czerwiec 2008 14:12

Witam.

Przy starcie systemu informacja, że do rejestru został dodany wpis: braviax= .

Poza tym w pasku ikon permanentna informacja: “Your computer is infected. …”.

Widzę po forum, że jest to znany problem, ale wymaga wiedzy, które linie loga skasować.

Pod adresem

http://wklej.org/id/10902edba8

log zrobiony programem HijackThis.

Proszę o wskazanie, które linie mam zafixować i co dalej zrobić?

pozdrawiam

huber2t · 26 Czerwiec 2008 14:41

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Documents and Settings\User\Pulpit\ola.exe


Folder::

C:\Program Files\XPSecurityCenter

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link

Annabell · 26 Czerwiec 2008 16:05

Dzięki za odpowiedź.

Po upuszczeniu ikonki CFScript.txt na ComboFix.exe zapytał czym ma otworzyć plik pv.cfexe. Nie wiedząc,co to za plik, wskazałem Notatnik, więc wyświetlił robale. Potem pytał o zmianę ustawień kolejnych kluczy w rejestrach, na wszystko się zgadzałem. Aha, nie napisałem wcześniej, że pod nazwą ola.exe kryła się kopia Hijacka (bez zmiany nazwy nie chciał się wywołać).

Poniżej wygenerowany log:

http://www.wklej.org/id/b8ee782d8a

Po resecie wykonanym przez ComboFix, komunikat “Your compter is infected” nie pojawił się.

Zresetuję jeszcze raz i zobaczę, czy trwale.

Co widać w tym nowym logu?

Pozdrawiam

Leon1 · 26 Czerwiec 2008 18:27

Otwórz notatnik i wklej

File:: C:\Documents and Settings\All Users\Dane aplikacji\pehecomyxa.vbs C:\WINDOWS\system32\univrs32.dat C:\Documents and Settings\User\Dane aplikacji\xejab.com C:\Program Files\Common Files\atuwe.pif C:\Program Files\Common Files\izufa.bat C:\WINDOWS\vatoka.inf C:\WINDOWS\vabo.com C:\WINDOWS\yrica.dat C:\WINDOWS\system32\yvovatek.dat C:\Documents and Settings\User\Dane aplikacji\nokozuhapa.exe C:\WINDOWS\dojimowequ.scr C:\WINDOWS\myweli.pif C:\WINDOWS\system32\wemygicap.ban C:\Program Files\Common Files\jujuxeqok.exe C:\WINDOWS\system32\eqaqytehi.vbs C:\Documents and Settings\User\Dane aplikacji\iminalyj.scr C:\WINDOWS\dygopuzac.lib C:\WINDOWS\lirani.ban C:\WINDOWS\system32\umifyb.lib C:\WINDOWS\nahefax.bat C:\Program Files\Common Files\teriqony.lib Folder:: C:\Documents and Settings\User\Ustawienia lokalne\Temporary Internet Files

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Annabell · 26 Czerwiec 2008 19:01

Po upuszczeniu ikonki ComboFix pyta czym ma otworzyć plik pv.cfexe.

Jaki program mam mu wskazać?

huber2t · 26 Czerwiec 2008 19:09

Ty musisz przenieść plik txt nad combofix a nie odwrotnie

Annabell · 26 Czerwiec 2008 19:28

Tak robię, bo zglasza się program ComboFix. Rozumiem, że plik .txt stanowi dane dla niego.

Najpierw otwiera sie niebieskie okienko:

"Please wait.

ComboFix is preparing to run.

A potem pojawia sie okienko systemu Windows:

“System Windows nie moze otworzyc pliku pv.cfexe” i pytanie czy wybiore z listy program do otwarcia tego pliku.

Co mam mu wskazać? W poprzednim przebiegu wskazalem Notatnik i dalej poszlo, ale to chyba nie o to chodzilo.

huber2t · 26 Czerwiec 2008 19:36

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\All Users\Dane aplikacji\pehecomyxa.vbs 

C:\WINDOWS\system32\univrs32.dat

C:\Documents and Settings\User\Dane aplikacji\xejab.com 

C:\Program Files\Common Files\atuwe.pif 

C:\Program Files\Common Files\izufa.bat 

C:\WINDOWS\vatoka.inf 

C:\WINDOWS\vabo.com 

C:\WINDOWS\yrica.dat 

C:\WINDOWS\system32\yvovatek.dat 

C:\Documents and Settings\User\Dane aplikacji\nokozuhapa.exe 

C:\WINDOWS\dojimowequ.scr 

C:\WINDOWS\myweli.pif 

C:\WINDOWS\system32\wemygicap.ban 

C:\Program Files\Common Files\jujuxeqok.exe 

C:\WINDOWS\system32\eqaqytehi.vbs 

C:\Documents and Settings\User\Dane aplikacji\iminalyj.scr 

C:\WINDOWS\dygopuzac.lib 

C:\WINDOWS\lirani.ban 

C:\WINDOWS\system32\umifyb.lib 

C:\WINDOWS\nahefax.bat 

C:\Program Files\Common Files\teriqony.lib


Folders to delete:

C:\Documents and Settings\User\Ustawienia lokalne\Temporary Internet Files

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Annabell · 26 Czerwiec 2008 19:59

Oto on (log z Avenger):

http://www.wklej.org/id/56cef2606c

huber2t · 26 Czerwiec 2008 20:00

Jest ok

Pokaż nowy log z combofix

Annabell · 26 Czerwiec 2008 20:06

Z jakim plikiem .txt mam ten ComboFix wywołać ?

Po tej operacji z Avenger komputer przestał dzialac w tempie żółwia…

huber2t · 26 Czerwiec 2008 20:08

Uruchom sam combofix bez niczego

Annabell · 26 Czerwiec 2008 20:25

Oto on:

http://www.wklej.org/id/5e63e82a0d

Leon1 · 26 Czerwiec 2008 20:31

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

Annabell · 26 Czerwiec 2008 21:05

Wygląda, że jest już OK.

Jeszcze muszę popracować nad powrotem komputera do poprzedniej szybkości działania przez wykonanie pozostałych zaleceń.

Wieeeelkie dzięki za pomoc!

Robicie świetną robotę!

Pozdrawiam

Annabell

huber2t · 26 Czerwiec 2008 22:51

Przeskanuj jeszcze kompa antywirusem i daj raport ze skanowania na forum