Infekcja: URL:Mal

[mrjames]

Witam.
Widziałem już kilka razy na forum problem podobny do mojego. Avast co pare sekund wyrzuca mi info o zablokowaniu złośliwego adresu URL.
Szczegóły infekcji
URL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Proces: C:\WINDOWS\system32\spoolsv.exe
Infekcja: URL:Mal

Prosze o pomoc. Jestem zielony wiec nawet nie wiem skąd wziąć LOGI itp wiec prosze mnie szczegółowo przeprowadzić przez ten temat Z góry dziekuje

[Waves]

Logi z programu OTL. Masz w wątku przyklejonym wyjaśnione. Wystarczy zajrzeć.

[mrjames]

Prosze oto Logi z OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

Masz starą wersję avasta bo aż wersję 5. Wykonaj aktualizację do 7.x
Na

[Aby zobaczyć linki, zarejestruj się tutaj]

przeskanuj :

Kod:

C:\WINDOWS\Ckrfresh.exe
C:\WINDOWS\System32\abgx360.exe

Podaj linki do skanów.

Do OTL w własne pole skanowania/ skrypt wklej:

Kod:

:Processes
Killallprocesses

:OTL
PRC - [2012-11-28 16:41:36 | 001,123,720 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
PRC - [2012-11-28 16:34:18 | 000,793,600 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe
SRV - [2012-11-28 16:34:18 | 000,793,600 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
IE - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
FF - prefs.js..extensions.enabledAddons: [email protected]:6.6
FF - prefs.js..extensions.enabledItems: [email protected]:4.3
[2012-12-09 19:17:21 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM
[2012-12-09 19:17:21 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
[2012-12-09 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Spigot
[2012-12-09 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\pdfforge Toolbar
[2010-02-23 20:10:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\pdfforge
O33 - MountPoints2\{86df00fe-5528-11df-84a4-0011678e06bf}\Shell\AutoRun\command - "" = wyskq6lt.exe
O33 - MountPoints2\{86df00fe-5528-11df-84a4-0011678e06bf}\Shell\open\Command - "" = wyskq6lt.exe
O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\AutoRun\command - "" = bbidpliy.exe
O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\explore\Command - "" = bbidpliy.exe
O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\open\Command - "" = bbidpliy.exe
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O4 - HKLM..\Run: []File not found
O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O3 - HKLM\..\Toolbar: (&Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
[2011-10-03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:File not found
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:4F606036EDBF8E6E
@Alternate Data Stream - 200 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:EC236BDF
@Alternate Data Stream - 145 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:436DEE1E
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:182F0EEA

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

[mrjames]

Avast zaktualizowałem do 7.0.1474

C:\WINDOWS\Ckrfresh.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

C:\WINDOWS\System32\abgx360.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

Co po wklejeniu skryptu do OTL?? - "WYKONAJ SKRYPT"??

[Waves]

Co po wklejeniu skryptu do OTL?? - "WYKONAJ SKRYPT"??

Tak, tak . Zapomniałem. Wybacz

[mrjames]

Wszystko zrobione. Dzieki wielkie

[tachion]

C:\WINDOWS\Ckrfresh.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

C:\WINDOWS\System32\abgx360.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

te pliki są ok
Ckrfresh.exe ma 2 wykrycia tylko a analiza już była przeprowadzanana ponad 3 lata temu i wydaje się być częścią po programie AceReader Pro
a abgx360.exe to coś do sprawdzania gier na xboxa

[Waves]

Wszystko zrobione. Dzieki wielkie

Rozumiem że już nie ma problemu ?

[mrjames]

Jak na razie nic nie wyskakuje z Avasta

[Street]

Dla świętego spokoju przeskanuj system hitmanem. Avast jak każdy av nie jest nieomylny

[Aby zobaczyć linki, zarejestruj się tutaj]

[mrjames]

No i znów mam problem dzień po pozbyciu sie powyzszego problemu zaczął mi wyskakiwać komunikat:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dawałem "usuń natychmiast zalecane" jednak po ponownym uruchomieniu komp znów to samo.
Prosze o pomoc

[McAlex]

No i znów mam problem dzień po pozbyciu sie powyzszego problemu zaczął mi wyskakiwać komunikat:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dawałem "usuń natychmiast zalecane" jednak po ponownym uruchomieniu komp znów to samo.
Prosze o pomoc

Mogłbys wrzucić ten plik na VirusTotal?

[mrjames]

VIRUSTOTAL:

[Aby zobaczyć linki, zarejestruj się tutaj]

[McAlex]

A zapodaj go jeszcze na sendfile.pl

[mrjames]

[Aby zobaczyć linki, zarejestruj się tutaj]

[McAlex]

Wedle Aviry

74360 rasacd.sys 8.63 KB KNOWN CLEAN

Please find a detailed report concerning each individual sample below:
Filename Result
rasacd.sys KNOWN CLEAN

The file ''rasacd.sys'' has been determined to be ''KNOWN CLEAN''. In particular this means that we could not find any malicious content. Please note that the file is part of ''Hewlett Packard''.

Trzeba poczekać na Tachiona, ale pamiętam, że jak używałem Avasta to mi wiecznie Rootkity wykrywał

[mrjames]

No to czekamy

[Waves]

Plik czysty. FP avasta

[mrjames]

tzn?? Mam ignorować ten błąd i zaznaczyć by nie powiadamiał mnie o nim wiecej??