Użytkownik "OMSON" <omson_at_interia.pl> napisał w wiadomości
news:ke8jfj$1g1$1_at_usenet.news.interia.pl...
> Panowie - Avast 7 Pro cyklicznie zgłasza mi komunikat o zablokowanym
> adresie url, tego typu:
>
> Obiekt: http://stream-xtech.eu/xmlrpc.php
>
> Zarażenie: URL: Mal
>
> Proces: C:\WINDOWS\Explorer.EXE
>
> System operacyjny, to Windows XP Professional SP3. skanowałem Avastem w
Wypisz, wymaluj, kilkanaście dni temu miałem niemal identycznie. Nie
ukrywam, że stało się to po wizycie, Operą, na kilku warezowych stronach,
bez uruchamiania programów z nich, po prostu wlazło (ale musiałem
akurat...). Czyściłem autostart, ale po przemłóceniu pojawiało się znów. Bo
startowało nie z klucza autorun, etc, ale towarzysząc którejś usłudze
systemowej. Kurde, uleciało mi z pamięci.. ale ubiłem to ostatecznie chyba
tak:
Obejrzałem uważnie listę odpalonych procesów taskmgr.exe (ctrl-alt-esc),
zobaczyłem na liście, który jest nowy, nietypowy, odnalazłem w Rejestrze
klucz, który był z tym programem powiązany, skasowałem ten klucz, klucz
usługi zostawiłem, ubiłem ten proces (WAŻNE! Żeby się przy zamykaniu nie
odtworzył), włączyłem zamazywanie swapa, zamknąłem system. Babol już nie
wstał, avast pyskować przestał, zamazywanie można było wyłaczyć. System
przeleciany, zdrowy, także w innym kompie, stuprocentowo zdrowym. Avast,
przy bezpośrednim podstawieniu pliku do sprawdzenia (również w zdrowym
systemie), nie wykazywał zagrożenia.
Z zachowania systemu wynikało, że wirus zaraża w jakiś sposób Avasta - u
mnie alarmowało także jego proces, że się łączy z dziwnymi adresami, ścieżka
zgadzała się. Odpaliłem też Netstat, solo i z opcją -b, pokazywało dość
śmiałe obłożenie portów SMTP, zatem to jakiś wirus spamerski.
-- Pod żadnym pozorem nie zezwalam na wysyłanie mi jakichkolwiek reklam, ogłoszeń, mailingów, itd., ani nawet zapytań o możliwość ich wysyłki. Nie przyjmuję ŻADNYCH tłumaczeń, że mój adres e-mail jest ogólnodostępny i nie został ukryty. Wszelkie próby takich wysyłek potraktuję jako stalking.Received on Tue 29 Jan 2013 - 18:10:02 MET
To archiwum zostało wygenerowane przez hypermail 2.2.0 : Tue 29 Jan 2013 - 18:42:01 MET