Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
Witam.
Widziałem już kilka razy na forum problem podobny do mojego. Avast co pare sekund wyrzuca mi info o zablokowaniu złośliwego adresu URL.
Szczegóły infekcji
URL: [Aby zobaczyć linki, zarejestruj się tutaj]
Proces: C:\WINDOWS\system32\spoolsv.exe
Infekcja: URL:Mal
Prosze o pomoc. Jestem zielony wiec nawet nie wiem skąd wziąć LOGI itp wiec prosze mnie szczegółowo przeprowadzić przez ten temat Z góry dziekuje
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Logi z programu OTL. Masz w wątku przyklejonym wyjaśnione. Wystarczy zajrzeć.
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
Prosze oto Logi z OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Masz starą wersję avasta bo aż wersję 5. Wykonaj aktualizację do 7.x
Na [Aby zobaczyć linki, zarejestruj się tutaj] przeskanuj :
Kod: C:\WINDOWS\Ckrfresh.exe
C:\WINDOWS\System32\abgx360.exe
Podaj linki do skanów.
Do OTL w własne pole skanowania/ skrypt wklej:
Kod: :Processes
Killallprocesses
:OTL
PRC - [2012-11-28 16:41:36 | 001,123,720 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
PRC - [2012-11-28 16:34:18 | 000,793,600 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe
SRV - [2012-11-28 16:34:18 | 000,793,600 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
IE - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
FF - prefs.js..extensions.enabledAddons: [email protected]:6.6
FF - prefs.js..extensions.enabledItems: [email protected]:4.3
[2012-12-09 19:17:21 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM
[2012-12-09 19:17:21 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\6.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
[2012-12-09 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Spigot
[2012-12-09 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\pdfforge Toolbar
[2010-02-23 20:10:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\pdfforge
O33 - MountPoints2\{86df00fe-5528-11df-84a4-0011678e06bf}\Shell\AutoRun\command - "" = wyskq6lt.exe
O33 - MountPoints2\{86df00fe-5528-11df-84a4-0011678e06bf}\Shell\open\Command - "" = wyskq6lt.exe
O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\AutoRun\command - "" = bbidpliy.exe
O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\explore\Command - "" = bbidpliy.exe
O33 - MountPoints2\{8f8d9372-d6aa-11dd-80b6-0011678e06bf}\Shell\open\Command - "" = bbidpliy.exe
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O4 - HKLM..\Run: []File not found
O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O3 - HKLM\..\Toolbar: (&Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
[2011-10-03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:File not found
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:4F606036EDBF8E6E
@Alternate Data Stream - 200 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:EC236BDF
@Alternate Data Stream - 145 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:436DEE1E
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:182F0EEA
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
Avast zaktualizowałem do 7.0.1474
C:\WINDOWS\Ckrfresh.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
C:\WINDOWS\System32\abgx360.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
Co po wklejeniu skryptu do OTL?? - "WYKONAJ SKRYPT"??
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Cytat: Co po wklejeniu skryptu do OTL?? - "WYKONAJ SKRYPT"??
Tak, tak . Zapomniałem. Wybacz
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
Wszystko zrobione. Dzieki wielkie
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
mrjames napisał(a):C:\WINDOWS\Ckrfresh.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
C:\WINDOWS\System32\abgx360.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
te pliki są ok
Ckrfresh.exe ma 2 wykrycia tylko a analiza już była przeprowadzanana ponad 3 lata temu i wydaje się być częścią po programie AceReader Pro
a abgx360.exe to coś do sprawdzania gier na xboxa
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
mrjames napisał(a):Wszystko zrobione. Dzieki wielkie
Rozumiem że już nie ma problemu ?
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
Jak na razie nic nie wyskakuje z Avasta
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
Liczba postów: 857
Liczba wątków: 16
Dołączył: 01.02.2012
Reputacja:
22
Dla świętego spokoju przeskanuj system hitmanem. Avast jak każdy av nie jest nieomylny
[Aby zobaczyć linki, zarejestruj się tutaj]
ESET Smart Security 10
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
No i znów mam problem dzień po pozbyciu sie powyzszego problemu zaczął mi wyskakiwać komunikat:
[Aby zobaczyć linki, zarejestruj się tutaj]
Dawałem "usuń natychmiast zalecane" jednak po ponownym uruchomieniu komp znów to samo.
Prosze o pomoc
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
mrjames napisał(a): No i znów mam problem dzień po pozbyciu sie powyzszego problemu zaczął mi wyskakiwać komunikat:
[Aby zobaczyć linki, zarejestruj się tutaj]
Dawałem "usuń natychmiast zalecane" jednak po ponownym uruchomieniu komp znów to samo.
Prosze o pomoc
Mogłbys wrzucić ten plik na VirusTotal?
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
VIRUSTOTAL:
[Aby zobaczyć linki, zarejestruj się tutaj]
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
A zapodaj go jeszcze na sendfile.pl
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj]
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
Wedle Aviry
Cytat: 74360 rasacd.sys 8.63 KB KNOWN CLEAN
Please find a detailed report concerning each individual sample below:
Filename Result
rasacd.sys KNOWN CLEAN
The file ''rasacd.sys'' has been determined to be ''KNOWN CLEAN''. In particular this means that we could not find any malicious content. Please note that the file is part of ''Hewlett Packard''.
Trzeba poczekać na Tachiona, ale pamiętam, że jak używałem Avasta to mi wiecznie Rootkity wykrywał
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
No to czekamy
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Plik czysty. FP avasta
Liczba postów: 64
Liczba wątków: 13
Dołączył: 17.12.2012
Reputacja:
0
tzn?? Mam ignorować ten błąd i zaznaczyć by nie powiadamiał mnie o nim wiecej??
MrJames
_____________________
Intel® Celeron® CPU N2830 @ 2.16GHz
Ram:4gb
Windows 8.1
|