PC AntiSpyware pod postacią wirusa

Wazon · 8 Sierpień 2009 09:37

Jak w temacie, w pasku szybkiego uruchamiania wyskakuje mi “computer is infected” i zaczyna się pobieranie PC Antispyware 2010. Malwarebytes znajduje pełno trojanów i jeśli ich nie usunę co jakiś czas to nie moge otwierać niektórych programów np. hijacka albo spybota, firewall też się nie otwiera.

Log z hijacka:

http://www.wklejto.pl/40128

Log z OTL:

http://wklejto.pl/40126

jasio96 · 8 Sierpień 2009 10:40

Wklej w oknie Custom Scans/Fixes wklej :

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O3 - HKU\s-1-5-21-57989841-562591055-725345543-1003…\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\s-1-5-21-57989841-562591055-725345543-1003…\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\s-1-5-21-57989841-562591055-725345543-1003…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O4 - HKLM…\Run: [braviax] File not found O4 - HKLM…\Run: [PC Antispyware 2010] C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe File not found O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKU.DEFAULT…\Run: [braviax] File not found O4 - HKU\S-1-5-18…\Run: [braviax] File not found O4 - HKU\s-1-5-21-57989841-562591055-725345543-1003…\Run: [braviax] File not found O4 - HKU\s-1-5-21-57989841-562591055-725345543-1003…\Run: [Paweł] C:\Documents and Settings\Paweł\Paweł.exe File not found O33 - MountPoints2{28248c24-75b3-11dd-9fc2-000fea5c08d1}\Shell\AutoRun\command - “” = H:\USBNB.exe – File not found :Files C:\WINDOWS\System32\braviax.exe C:\Documents and Settings\Paweł\Pulpit\8mwxf9fd.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ywyk.com C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\qosov._sy :Commands [emptytemp] [start explorer] [Reboot]

Kliknij Run Fix.

Daj log z usuwania i nowy log z OTL

Wazon · 8 Sierpień 2009 11:03

Nic z tego dalej syf siedzi

nowy log z OTL

http://www.wklejto.pl/40140

a tu jeszcze log z malwarebytes

http://www.wklejto.pl/40141

niby pokazuje ze usunął, ale to od nowa wraca;/

jasio96 · 8 Sierpień 2009 11:07

A gdzie log z usuwania ??

Wazon · 8 Sierpień 2009 11:12

No właśnie chyba zamknąłem to okienko przez przypadek i teraz nie wiem gdzie go szukać.

trela · 8 Sierpień 2009 16:25

jeśli uda ci się wejdź w msconfig i wyłącz wpis dotyczączy braviaxa

jasio96 · 8 Sierpień 2009 16:39

Pobierz The Avenger

Skopiuj do niego :

Wciskasz Execute potwierdzasz restart . Dajesz raport z usuwania(C:\avenger.txt) na forum . Na koniec kasujesz ręcznie plik C:\Avenger\backup.zip

Wazon · 9 Sierpień 2009 08:56

Jak wklejam to do avengera i klikam execute to wyskakuje: “Error: invalid script. A valid script must begin with a command directive. Aborting Execution”

Leon1 · 9 Sierpień 2009 10:04

Wazon · 9 Sierpień 2009 12:48

log z avengera

http://www.wklejto.pl/40181

Niestety dalej nie jest dobrze;/

Joan28 · 9 Sierpień 2009 13:52

/pusty/

spandaupol · 9 Sierpień 2009 15:02

Wazon Proszę pobrać Combofix Już w trakcie pobierania proszę zmienić mu nazwę na losową (z rozszerzeniem com nie exe) np 123.com Przed uruchomieniem program proszę zapoznać się z tym tematem http://www.bleepingcomputer.com/combofi … a-combofix i zainstalować - jeśli nie ma - konsolę odzyskiwania windows.

Po ściągnięciu programu proszę wejść w tryb awaryjny windows http://cybertrash.pl/Tata/Wiedza/trybaw … ryjny.html punkt 1 i uruchomić program, przeskanować system i dać loga na forum

Wazon · 9 Sierpień 2009 16:29

log z combofixa

http://www.wklejto.pl/40199

spandaupol · 9 Sierpień 2009 16:44

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA Przeskanuj plik c:\program files\Common Files\goqyfin._dl http://www.virustotal.com/pl/ daj raport na forum wklej do notatnika: File:: c:\windows\system32\wusi.bat c:\windows\uzubiwylo.bin c:\program files\Common Files\xigexamuhi.bat c:\program files\Common Files\jawunozi.bin c:\windows\iduvipuzy.dat c:\windows\isawym.exe c:\windows\orituxoto.bat c:\program files\Common Files\jetobyd.bat c:\windows\system32\vekemud.bin c:\windows\afyfiraraq.com c:\windows\system32\base.dat c:\windows\dovyb.vbs Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum. Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Wazon · 9 Sierpień 2009 17:44

Raport z virustotal:

http://www.virustotal.com/pl/analisis/1 … 1249838709

Log z combofix:

http://wklejto.pl/40202

nie wiem czy to usunął, najpierw skanował, potem reboot.

delf1 · 9 Sierpień 2009 19:10

Moje 3 grosze do dyskusji:

Jeżeli nie instalowałeś sam tego programu - to znaczy, że został on zainstalowany za pośrednictwem, któregoś z ostatnich wirusów.

Sugeruje więc zacząć od znalezienia i wyeliminowania nośnika.

Co do usunięcia samego programu PC AntiSpyware 2010 to:

Zakonczyć proces PC_Antispyware2010.exe
wyrejestrować biblioteki dll należące do tego programu (polecenie regsvr32)
usunąc wpisu w rejestrze dokonane przez ten program
usunąc wszsytkie pliki, które ten program umieszcza na dysku

Lista plików,wpisó do rejestru, bibliotek dll znajdziesz na tej stronie: http://antywir.net/index.php/2009/08/06/pc-antispyware-2010/

spandaupol · 10 Sierpień 2009 06:16

Wazon · 15 Sierpień 2009 23:35

Mam tylko płyte z XP home i 98 a zainstalowany mam Xp Pro;/

Na parę dni problem zanikł a teraz znowu wrócił;/