Prosba o pomoc - walcze od 2 dni bez sukcesu (braviax)

[maro100]

Bardzo prosze o pomoc.

Od 2 dni walcze z diabelskim Pc Antispyware 2010 a jeszcze bardziej z braviax.
Probowalem roznych opisow jakie sa na forum ale niestety nie poskutkowalo.
Nie jestem jednak tak zorientowany w temacie (brak umiejetnosci) aby sobie samemu z tym poradzic.
Wykasowywanie pliku braviax.exe (co zreszta widac w logu) , kilowanie procesu braviax nic nie daje gdyz braviax ODRADZA!!! sie za kazdym razem jak restaruje kompa. Dodatkowo teraz co 10 min komp mi sie samoczynnie restartuje wraz z blue screenem. Jestem juz u kresu wkurzenia i bardzo prosze o pomoc i odp. czy cos sie jeszcze da z tym zrobic. Widze ze to jakas mini plaga z tym braviaxem ostatnio.

Zalaczam zrzut z loga z Combofixa. Bede bardzo zobowiazany za pomoc.

http://wklej.eu/index.php?id=f78bbfd32d

[mateo8898]

Wklej do notatnika:

Kod: Zaznacz wszystko

File::
c:\program files\Common Files\byhixuha.bin
c:\program files\Common Files\agokydu.com
c:\documents and settings\marek.cybulski\Ustawienia lokalne\Dane aplikacji\axas.dat
c:\windows\loxef.dat
c:\documents and settings\marek.cybulski\Dane aplikacji\exofo.pif
c:\program files\Common Files\pigo.bat
c:\windows\system32\izugagowyp.reg
c:\windows\system32\pamuredy.bin
c:\documents and settings\marek.cybulski\Dane aplikacji\syka.bat
c:\documents and settings\marek.cybulski\Ustawienia lokalne\Dane aplikacji\terusovuhi.com
c:\program files\Common Files\yqob.vbs
c:\documents and settings\marek.cybulski\Ustawienia lokalne\Dane aplikacji\ococak.reg
c:\windows\system32\_monitor_svc.exe
c:\windows\jiwuletin.bat
c:\program files\Common Files\ybyh.dll
c:\documents and settings\marek.cybulski\Ustawienia lokalne\Dane aplikacji\ixorewo.sys
c:\windows\erukiqofop.dat
c:\windows\system32\oxunuxytym.pif
c:\program files\Common Files\acehowe.exe
c:\windows\system32\owud.sys
c:\windows\rogy.vbs
c:\windows\lyqy.bat
c:\program files\Common Files\xugen.scr
c:\program files\Common Files\qynequs.reg
c:\documents and settings\marek.cybulski\Dane aplikacji\ocid.com
c:\documents and settings\All Users\Dane aplikacji\wavejugac.pif
c:\windows\lihul.com
c:\documents and settings\marek.cybulski\Ustawienia lokalne\Dane aplikacji\ujehate.exe
c:\documents and settings\marek.cybulski\msword98.exe
c:\program files\Common Files\etacuwohyg.inf
c:\documents and settings\All Users\Dane aplikacji\nyzykiped.vbs
c:\documents and settings\All Users\Dane aplikacji\sykax.dat
c:\documents and settings\marek.cybulski\Dane aplikacji\wijynyhow.dat
c:\program files\Common Files\tadof._dl
c:\program files\Common Files\azytelu.db
c:\documents and settings\marek.cybulski\Dane aplikacji\ycakytewic.bin
c:\documents and settings\All Users\Dane aplikacji\cuxilycelo.bin
c:\program files\Common Files\igem.ban
c:\documents and settings\marek.cybulski\Dane aplikacji\avepyr.vbs
c:\windows\system32\msword98.exe
c:\windows\system32\drivers\tfsfqvmrq.sys

Folder::
C:\found.001

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msword98"=-

Driver::
egiaij

FCopy::
c:\windows\system32\dllcache\cache\beep.sys | c:\windows\system32\drivers\beep.sys
c:\windows\system32\dllcache\cache\beep.sys | c:\windows\system32\dllcache\beep.sys

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[maro100]

Bardzo dziekuje za pomocna dlon. Zrobilem tak jak poradziles i na pierwszy rzut oka nie ma chyba juz tego braviaxa bo nie pokazal sie ponownie po restarcie. W zwiazku z tym ze nie wiem na 100 proc. czy sie go pozbylem prosze jeszcze raz o zerkniecie tym razem na nowy log po operacji jaka wykonalem wg. instrukcji powyzej.

oto log po tej operacji:


http://www.wklej.eu/index.php?id=ee16f9d03f

[mateo8898]

Przeskanuj plik: c:\windows\system32\_monitor_svc.exe na http://www.virustotal.com/pl/ i podaj wyniki.

Wklej do notatnika:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPFNF7"=-
"TVT Scheduler Proxy"=-
"AwaySch"=-
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"iTunesHelper"=-
"Adobe Reader Speed Launcher"=-

Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG uruchom utworzony plik i potwierdź

[maro100]

Kroku pierwszego niestety nie moge wykonac gdyz w folderze
C:\WINDOWS\system32\_monitor_svc.exe
mam pusto tzn. mimo wlaczonej opcji "pokaz ukryte pliki i foldery" nie ma tam ani jednego pliku wiec nie moge zeskanowac wg. Twojej instrukcji. Czy cos robie nie tak?

Krok drugi wykonalem. Dodano wpis do rejestru.

Rozumiem ze skoro nie wykonany byl krok pierwszy to nadal nie wiemy czy to diablestwo zostalo usuniete.

Jeszcze raz bardzo dziekuje za wszelka pomoc.

[mateo8898]

W opcjach folderów odznacz jeszcze opcję "Ukryj chronione pliki systemu operacyjnego" i sprawdź czy jest ten plik

[maro100]

NIe bylo to zaznaczone tak wiec jesli bylby tam plik to powinien byc widoczny. Dla pewnosci zaznaczylem a nastepnie odznaczylem jeszcze raz ta opcje ale nic sie nie zmienilo. Powyzszego pilku NIE MA

Nie wiem czy to cos pomoze ale ten katalog to ma rozmiar 0 kb tak wiec wogole wydaje mi sie ze tam i tak nic nie ma chyba ze rozmiar 0 pokazuje sie rowniez gdy pliki sa jakos ukryte.

[mateo8898]

To dobra, zostawmy już ten plik. Jak coś to skaner go wykryje.

Pobierz OTC uruchom i wciśnij CleanUp

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik Zapisz Listę Raportu)

Usuń Bonjour http://www.searchengines.pl/Usuwanie-Bo ... 03177.html

[maro100]

Pobierz OTC uruchom i wciśnij CleanUp - WYKONALEM

Przeczyść system oraz rejestr CCleaner - WYKONALEM

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja - WYKONALEM

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik Zapisz Listę Raportu) - tu niestety mam problem. Skanowalem dwukrotnie ale po osiagnieciu 75% zaawansowania statusu niestety ale program sie jakos wiesza i mnie wyrzuca a sam sie zamyka. Tak sie stalo dwa razy a jeden skan to 4 godz. wiec juz sie poddalem. Za pierwszym razem skaner do 75% zaawansowania wykryl jakies spyware ale je wykasowal. Drugi skan juz nic nie wykryl ale i tak mnie wywalilo po 75%.

Usuń Bonjour http://www.searchengines.pl/Usuwanie-Bo ... 03177.html - tego niestety nie wykonalem bo sie wystraszylem opisow mowiacych o tym ze po wykaswaniu bonjour traci sie czasem dostep do internetu lub pojawiaja sie inne problemy z systemem. Jako ze ja jestem za slaby aby zrobic cos gdyby cos poszlo nie tak to nie zdecydowalem sie wykonac tego kroku.

Czy jednak uwazasz ze sa szanse ze juz pozbylem sie calkowicie tego braviaxa?

[maro100]

Pobierz OTC uruchom i wciśnij CleanUp - WYKONALEM

Przeczyść system oraz rejestr CCleaner - WYKONALEM

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja - WYKONALEM

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik Zapisz Listę Raportu) - tu niestety mam problem. Skanowalem dwukrotnie ale po osiagnieciu 75% zaawansowania statusu niestety ale program sie jakos wiesza i mnie wyrzuca a sam sie zamyka. Tak sie stalo dwa razy a jeden skan to 4 godz. wiec juz sie poddalem. Za pierwszym razem skaner do 75% zaawansowania wykryl jakies spyware ale je wykasowal. Drugi skan juz nic nie wykryl ale i tak mnie wywalilo po 75%.

Usuń Bonjour http://www.searchengines.pl/Usuwanie-Bo ... 03177.html - tego niestety nie wykonalem bo sie wystraszylem opisow mowiacych o tym ze po wykaswaniu bonjour traci sie czasem dostep do internetu lub pojawiaja sie inne problemy z systemem. Jako ze ja jestem za slaby aby zrobic cos gdyby cos poszlo nie tak to nie zdecydowalem sie wykonac tego kroku.

Czy jednak uwazasz ze sa szanse ze juz pozbylem sie calkowicie tego braviaxa?

[mateo8898]

Zamiennie możesz przeskanować Malwarebytes' Anti-Malware

Czy jednak uwazasz ze sa szanse ze juz pozbylem sie calkowicie tego braviaxa?

W logach już nic nie było, więc myślę, że tak

[maro100]

Zeskanowalem tym Malwarebytes wszystkie dyski i wyszlo ....niestety chyba dalej siedzi:

Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Dodatek Service Pack 2

2009-08-23 23:15:25
mbam-log-2009-08-23 (23-15-21).txt

Scan type: Full Scan (C:\|K:\|)
Objects scanned: 191609
Time elapsed: 1 hour(s), 6 minute(s), 9 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 4
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) No action taken.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) Bad: (1) Good: (0) No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) Bad: (1) Good: (0) No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) Bad: (1) Good: (0) No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) Bad: (1) Good: (0) No action taken.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


co robic ??? czy to cos groznego nadal w moim kompie siedzi?

[mateo8898]

To już strzęp infekcji, pozostałość w rejestrze, reszta to wpisy od centrum zabezpieczeń. Ale:

No action taken.

usuń wszystko co znalazł Malwarebytes

[maro100]

Tak tak juz to usunalem od razu - zrzucilem Ci poprostu wczesniejsze info zaraz po skanie. Potem juz sam wcisnalem delete wiec wszystko usunalem.

Chcialbym CI bardzo podziekowac za wszelka pomoc , jasne instrukcje oraz bardzo szczegolowy i prosty sposob postepowania.

Jestem Ci bardzo zobowiazany.