"Your computer is infected" jak to usunąć?

Dla specjalistów Bezpieczeństwo
#1

Witam!

Co chwilę wyskakuje mi dymek z ikony koło zegara (biały krzyżyk na czerwonym tle)

z napisem “Your computer is infected …”.

Klikając na ten dymek uruchamia się jakiś program WinReanimator i próbuje się zainstalować.

Nic się dalej nie dzieje bo wyskakuje błąd. Raz sie zdażyło, że instalacja się zaczęła ale przerwałem bo nie wiem czy ten program nie szkodzi komputerowi. :expressionless:

Ponadto przeprowadziłem skan Avastem i niby usunąłem zarażone pliki.

Przy uruchomianiu internetu zmieniła się strona główna na Google.

Czy da się to jakoś usunąć?

Podaje loga z HiJackThis.

:arrow: http://wklej.org/id/21171dc9f8

#2

plik braviax.exe to wirus

#3

I to wystarczy usunąc by przywrócić komputer do normalności??

Usuwanie przez HiJacka???

#4

możesz w trybie awaryjnym, ale ten wirus jest dokładnie od tego.

usuń jeszcze :86. # O4 - HKCU…\Run: [DoNotDelete] C:\WINDOWS\system32\explore.exe

#5

wpisy usun w HJT

Pobierz Combofix viewtopic.php?f=16&t=36654

Wklej do notatnika:

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Potem log z usuwania

#6

Usunąłem pliki przez HJT a następnie uruchomiłem proces w ComboFixie.

Ikona krzyżyka i dymek zniknęło ale podczas usuwania w ComboFixie pokazał się komunikat,

że jednego pliku nie można usunąc bo jest używany przez jakiś proces.

Nie wyłączałem komputera jeszcze.

Wstawiam log z ComboFix:

http://wklej.org/id/03a43523e9

#7

Wklej do Notatnika:

File::

C:\CF26107.exe

C:\WINDOWS\IFinst27.exe


Folder::

C:\Program Files\YourSiteBar


Driver::

"Boonty Games"


Registry::

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 

"{86227D9C-0EFE-4F8A-AA55-30386A3F5686}"=-

[-HKEY_CLASSES_ROOT\clsid\{86227d9c-0efe-4f8a-aa55-30386a3f5686}] 

[-HKEY_CLASSES_ROOT\Ysb.YsbObj.1] 

[-HKEY_CLASSES_ROOT\TypeLib\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}] 

[-HKEY_CLASSES_ROOT\Ysb.YsbObj]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Czy ostatnio instalowałeś, a później usuwałeś Pandę?

#8

http://wklej.org/id/173a734141

Powyżej zamieściłem log z ComboFixa po usunięciu podanych zapisów.

Proces został przeprowadzony lecz na początku nie padło pytanie 1 i 2 tylko jakaś inforamcja, której nie zrozumiałem.

Usunąłem po restarcie folder Qoobox.

Pandę miałem kiedyś zainstalowaną ale dawno. Napewno ją odinstalowałem ale może zostały jakies pliki.

Teraz używam Avasta.

Mam jeszcze jeden problem, otóż po włączeniu systemu wyskakuje dymek, że Panda jest nie włączona a już długo jej nie używam.

#9

Wklej do Notatnika:

File::

C:\CF26107.exe

C:\WINDOWS\IFinst27.exe


Driver::

PavProc

AvFlt


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Onet.pl AutoUpdate"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo