Infekcja laptopa

[nasm777]

Objawy zainfekowania:
Od 22.02.2013 program antywirusowy avast! bez przerwy zgłasza co kilkanaście minut
przemiennie dwa komunikaty o treści: (niezależnie od tego co robi się na komputerze)

KOMUNIKAT 1:

Osłona sieciowa zablokowała niebezpieczną stronę
Obiekt:[malware]

[Aby zobaczyć linki, zarejestruj się tutaj]

[/malware]
Zarażenie: URL: Mal
Proces:C:\WINDOWS\system32\svchost.exe

KOMUNIKAT 2:

Osłona sieciowa zablokowała niebezpieczną stronę
Obiekt:[malware]

[Aby zobaczyć linki, zarejestruj się tutaj]

[/malware]
Zarażenie: URL: Mal
Proces:C:\WINDOWS\system32\svchost.exe

Wykonywane działania:
Skanowanie całego dysku avastem! w trakcie uruchamiania systemu => avast! niczego nie wykrył
Skanowanie pojedyńczego pliku C:\WINDOWS\system32\svchost.exe => avast! niczego nie wykrył

Logi:

OTL.txt=>

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt =>

[Aby zobaczyć linki, zarejestruj się tutaj]

GMER.txt =>

[Aby zobaczyć linki, zarejestruj się tutaj]

Dziękuje z góry za pomoc.

[rafikrafiki]

Według virustotal oba linki są czyste:

1.

[Aby zobaczyć linki, zarejestruj się tutaj]

2.

[Aby zobaczyć linki, zarejestruj się tutaj]

Podejrzane linki umieszczaj w znaczniku malware , aby ktoś przypadkowo nie kliknął na zainfekowaną stronę. Możesz zrobić skan MBAM, a co do logów to chłopki je przejrzą

[tachion]

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: AVAST Software = C:\Documents and Settings\TOM\Dane aplikacji\3215D4\3215D4.exe ()
O18 - Protocol\Handler\msdaipp - No CLSID value found
O24 - Desktop Components:0 (Moja bieżąca strona główna) - AboutHome

:Files
C:\Documents and Settings\TOM\Pulpit\Google.url
C:\Documents and Settings\TOM\Pulpit\URL.lnk
C:\Documents and Settings\TOM\Pulpit\Forum DarkWarezPL.url
C:\Documents and Settings\TOM\Dane aplikacji\3215D4

:Commands
[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Odinstaluj
HTTrack Website Copier

Po wykonaniu przestaw raport z OTLi AdwCleaner ,napisz czy coś uległo zmianie.

[nasm777]

Witam ponownie!!!

Rano 23.02.2013 uruchomiłem komputer i po tym jak się avast! zaktualizował
przeprowadziłem skanowanie avastem! w trakcie uruchamiania systemu.
I niespodzianka. Wczoraj dwa razy skanowałem dysk i avast! niczego nie wykrył
a tu za pierwszym uruchomieniem antywirus wyświetlił komunikat:

C:\Documents and Settings\TOM\Dane aplikacji\3215D4\3215D4.exe jest zarażony Win32:Rootkit-gen [Rtk]

Usunąłem z poziomu avasta! zarażony plik. Dla pewności przeprowadziłem drugie
skanowanie antywirusem dysku i tym razem avast! niczego nie znalazł.
Od tego momentu przestały się pojawiać komunikaty o zagrożeniach o których pisałem
w poprzednim liście.

Stan systemu w tym momencie: (Windows XP = Tryb normalny)
OTL.txt=>

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt =>

[Aby zobaczyć linki, zarejestruj się tutaj]

info.txt =>

[Aby zobaczyć linki, zarejestruj się tutaj]

log.txt=>

[Aby zobaczyć linki, zarejestruj się tutaj]

Po południu 23.02.2013 otrzymałem instrukcje z Waszego forum. Dla pewności wykonałem je

Stan systemu w tym momencie: (Windows XP = Tryb awaryjny)
02232013_172315.log =>

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner[R3] .txt=>

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner[S2] .txt=>

[Aby zobaczyć linki, zarejestruj się tutaj]

Dziękuje serdecznie. Bardzo szybka i profesjonalna pomoc.
Jak będę miał w przyszłości problemy z wirusami to będę
pamiętał o Waszej witrynie.

PS:
1) Nie odinstalowałem programu HTTrack Website Copier.
Ja bardzo często go używam. Jest mi bardzo potrzebny.
Cały mój system gromadzenia danych z Internetu
oparty jest o ten program.
Nie rozumiem dlaczego mam się go pozbyć?
Chyba że odinstalować i zainstalować ponownie?

2) Mały szczegół. Dzisiaj w nocy gdy tworzyłem pliki OTL.txt
i Extras.txt miałem wyłączone prawie wszystkie automatycznie
uruchamiające się programy widoczne np. w oknie programu msconfig.
W trakcie tworzenia plików logów dzisiaj po południu przywróciłem
automatyczne uruchamianie tych programów.

[tachion]

Ok co się tyczy odinstalowanie programu HTTrack Website Copierto tylko taka weryfikacja miała być czy czasem avastowi jego działania nie pasowały.
W autostarcie oczywiście warto powyłączać niepotrzebne programy które się uruchamiają w raz z systemem o wiele szybciej system będzie się ładował.
A na koniec użyj sprzątania w programie OTL