SafeGroup

Stron: 1 2

Witam.
Widziałem już kilka razy na forum problem podobny do mojego. Avast co pare sekund wyrzuca mi info o zablokowaniu złośliwego adresu URL.
Szczegóły infekcji
URL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Proces: C:\WINDOWS\system32\spoolsv.exe
Infekcja: URL:Mal

Prosze o pomoc. Jestem zielony wiec nawet nie wiem skąd wziąć LOGI itp wiec prosze mnie szczegółowo przeprowadzić przez ten temat Smile

Z góry dziekuje

Logi z programu OTL. Masz w wątku przyklejonym wyjaśnione. Wystarczy zajrzeć.

Prosze oto Logi z OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Masz starą wersję avasta bo aż wersję 5. Wykonaj aktualizację do 7.x Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

przeskanuj :

Kod:
C:\WINDOWS\Ckrfresh.exe

C:\WINDOWS\System32\abgx360.exe

Podaj linki do skanów.

Do OTL w własne pole skanowania/ skrypt wklej:

Kod:

:Processes

Killallprocesses



:OTL

PRC - [2012-11-28 16:41:36 | 001,123,720 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe

PRC - [2012-11-28 16:34:18 | 000,793,600 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe

SRV - [2012-11-28 16:34:18 | 000,793,600 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)

IE - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)

IE - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253

FF - prefs.js..extensions.enabledAddons: [email protected]:6.6

FF - prefs.js..extensions.enabledItems: [email protected]:4.3

[2012-12-09 19:17:21 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM

[2012-12-09 19:17:21 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF

O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)

O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)

O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)

O3 - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)

O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)

[2012-12-09 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Spigot

[2012-12-09 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\pdfforge Toolbar

[2010-02-23 20:10:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\pdfforge

O33 - MountPoints2\{86df00fe-5528-11df-84a4-0011678e06bf}\Shell\AutoRun\command - "" = wyskq6lt.exe

O33 - MountPoints2\{86df00fe-5528-11df-84a4-0011678e06bf}\Shell\open\Command - "" = wyskq6lt.exe

O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\AutoRun\command - "" = bbidpliy.exe

O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\explore\Command - "" = bbidpliy.exe

O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\open\Command - "" = bbidpliy.exe

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)

O4 - HKLM..\Run: []File not found

O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)

O3 - HKLM\..\Toolbar: (&Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)

[2011-10-03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:File not found

@Alternate Data Stream - 24 bytes -> C:\WINDOWS:4F606036EDBF8E6E

@Alternate Data Stream - 200 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:EC236BDF

@Alternate Data Stream - 145 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:436DEE1E

@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF

@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:182F0EEA



:Commands

[EMPTYTEMP]

[EMPTYFLASH]

Avast zaktualizowałem do 7.0.1474

C:\WINDOWS\Ckrfresh.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

C:\WINDOWS\System32\abgx360.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

Co po wklejeniu skryptu do OTL?? - "WYKONAJ SKRYPT"??

Cytat: Co po wklejeniu skryptu do OTL?? - "WYKONAJ SKRYPT"??

Tak, tak . Zapomniałem. Wybacz Smile

Wszystko zrobione. Dzieki wielkie

mrjames napisał(a):C:\WINDOWS\Ckrfresh.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

C:\WINDOWS\System32\abgx360.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

te pliki są ok
Ckrfresh.exe ma 2 wykrycia tylko a analiza już była przeprowadzanana ponad 3 lata temu i wydaje się być częścią po programie AceReader Pro
a abgx360.exe to coś do sprawdzania gier na xboxa

mrjames napisał(a):Wszystko zrobione. Dzieki wielkie

Rozumiem że już nie ma problemu ?

Jak na razie nic nie wyskakuje z Avasta Smile

Dla świętego spokoju przeskanuj system hitmanem. Avast jak każdy av nie jest nieomylny Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

No i znów mam problem Smile

dzień po pozbyciu sie powyzszego problemu zaczął mi wyskakiwać komunikat:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dawałem "usuń natychmiast zalecane" jednak po ponownym uruchomieniu komp znów to samo.
Prosze o pomoc

mrjames napisał(a): No i znów mam problem dzień po pozbyciu sie powyzszego problemu zaczął mi wyskakiwać komunikat:

[Aby zobaczyć linki, zarejestruj się tutaj]
Dawałem "usuń natychmiast zalecane" jednak po ponownym uruchomieniu komp znów to samo.
Prosze o pomoc

Mogłbys wrzucić ten plik na VirusTotal?

VIRUSTOTAL:

[Aby zobaczyć linki, zarejestruj się tutaj]

A zapodaj go jeszcze na sendfile.pl Craze

[Aby zobaczyć linki, zarejestruj się tutaj]

Wedle Aviry

Cytat: 74360 rasacd.sys 8.63 KB KNOWN CLEAN

Please find a detailed report concerning each individual sample below:
Filename Result
rasacd.sys KNOWN CLEAN

The file ''rasacd.sys'' has been determined to be ''KNOWN CLEAN''. In particular this means that we could not find any malicious content. Please note that the file is part of ''Hewlett Packard''.

Trzeba poczekać na Tachiona, ale pamiętam, że jak używałem Avasta to mi wiecznie Rootkity wykrywał Suspicious

No to czekamy Smile

Plik czysty. FP avasta Smile

tzn?? Mam ignorować ten błąd i zaznaczyć by nie powiadamiał mnie o nim wiecej??

Stron: 1 2

mrjames

Waves

mrjames

Waves

mrjames

Waves

mrjames

tachion

Waves

mrjames

Street

mrjames

McAlex

mrjames

McAlex

mrjames

McAlex

mrjames

Waves

mrjames