Win32:Kryptik-PFA [Trj] pomocy

sheewood · 7 Maj 2015 05:11

Witam

Wczoraj Avast wykrył trojana Win32:Kryptik-PFA [Trj]. Zresetowałem komputer i właczym skanowanie i w tedy usunołem te pliki: (zdjęcie w załączniku)

Póxniej zeskanowałem znowu komputer i usunołem pliki ze steam i odinstalowałem całego steama.

Mam pytanie jak sprawdzić czy trojan nadal jest? I czy komputer jest już bezpieczny?

Dimatheus · 7 Maj 2015 05:17

Hej,

Wygląda to na błąd Avasta. Zajrzyj do tematu: http://forum.dobreprogramy.pl/kryptik-trojan-80-infekcji-t505046/ Ewentualnie wrzuć też logi z FRST: http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/.

Pozdrawiam,

Dimatheus

sheewood · 7 Maj 2015 06:06

Dziękuje za odpowiedź

Acorus · 7 Maj 2015 07:26

Brak loga Addition.txt

sheewood · 7 Maj 2015 13:40

Dodałem logi z addition

FRST.txt

Addition.txt

Acorus · 7 Maj 2015 16:02

Odinstaluj Akamai NetSession Interface,IB Updater 2.0.0.574,IB Updater Service,Incredibar Toolbar on IE,McAfee Security Scan Plus,PutLockerDownloader,SweetIM for Messenger 3.7,WebCake 3.00.Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

Pokaż nowe logi z FRST.

sheewood · 7 Maj 2015 18:35

Zrobiłem To co napisałeś wyżej i wklejam nowe logi z FRST i Addition

FRST.txt

Addition.txt

Acorus · 8 Maj 2015 07:45

Otwórz notatnik systemowy i wklej:

Task: {16BDE8D0-C9D2-4B6A-B025-B1BC59EFACA9} - System32\Tasks\{E054AD4B-EADD-4A7D-9C43-F453C9FD9558} = Firefox.exe http://ui.skype.com/ui/0/5.5.0.113.259/pl/abandoninstall?source=lightinstalleramp;page=tsOptionsamp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered
Task: {F6893812-3802-4920-84C5-9DE233E426AC} - System32\Tasks\{96F226E3-2C12-4520-961D-B91EE361545C} = Firefox.exe http://ui.skype.com/ui/0/5.5.0.113/pl/abandoninstall?page=tsOptionsamp;installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered
HKLM\...\Run: [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11613288 2010-11-19] (Realtek Semiconductor)
HKU\S-1-5-21-1431685164-3186741488-848467224-1000\...\Run: [ALLUpdate] = "D:\ALLPlayer\ALLUpdate.exe" "sleep"
HKU\S-1-5-21-1431685164-3186741488-848467224-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweetpacks-search.com/?barid=src=10st=23did=10963UPN2=92826866693531176
URLSearchHook: HKU\S-1-5-21-1431685164-3186741488-848467224-1000 - (No Name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No File
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\.DEFAULT - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF NewTab: hxxp://www.sweetpacks-search.com/?barid=src=97did=10963st=23UPN2=92826866693531176
FF SelectedSearchEngine: Sweetpacks Search
FF Keyword.URL: hxxp://mysearch.sweetpacks.com?src=6barid=did=10963st=23UPN2=92826866693531176q=
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2015-04-24] ==== ATTENTION
CHR HomePage: Default - hxxp://www.sweetpacks-search.com/?barid=src=10st=23did=10963UPN2=92826866693531176
CHR StartupUrls: Default - "hxxp://www.sweetpacks-search.com/?barid=src=10st=23did=10963UPN2=92826866693531176"
CHR HKLM-x32\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\serach.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [Not Found]
S2 SkypeUpdate; "C:\Program Files (x86)\Updater\Updater.exe" [X]
S3 BRDriver64_1_3_3_E02B25FC; \\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S3 dump_wmimmc; \\E:\Rappelz\GameGuard\dump_wmimmc.sys [X]
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 X6va008; \\C:\Windows\SysWOW64\Drivers\X6va008 [X]
S3 X6va009; \\C:\Windows\SysWOW64\Drivers\X6va009 [X]
S3 xhunter1; \\C:\Windows\xhunter1.sys [X]
2015-05-07 18:53 - 2015-05-07 20:07 - 00000000 ____ D () C:\AdwCleaner
C:\ProgramData\hash.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

sheewood · 8 Maj 2015 12:16

Zrobiłem to co było napisane wyżej. Mam jeszcze wkleić jakieś logi czy coś, czy wszystko jest już w porządku?

Acorus · 8 Maj 2015 12:23

Skasuj folder C:\FRST

sheewood · 8 Maj 2015 12:46

Skasowałem

Acorus · 8 Maj 2015 12:52

Tak.Nic tu więcej nie widać.

Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/

sheewood · 8 Maj 2015 18:04

Zrobiłem skan tym programem i znalazł wirusy :