Eli tommonen Win32:VunDrop [Drp] tuli koneelle jostain ja Avast ilmottaa siitä jatkuvasti. Kone on hitaampi kuin ennen eikä Avast osaa näköjään poistaa/pistää karantiiniin tuota virusta.
Kertokaahan sitte ihan perusteellisesti mitä pitää tehä että saan tuon pois koneelta.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:28:13, on 29.5.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Oletko saanut mesessä kummallisia viestejä:
"oletko sä tässä kuvassa?
"ootko tässä? :D"
Viestin perässä tulee linkki, jossa on sinun sähköpostiosoitteesi esim:
"msn-photos.wls.net/?Photo95.JPG
=vastaanottajan_osoite@
vastaanottajan_domain.com."
Mikäli klikkasit linkkiä, tallensit tietokoneeseesi jonkin tiedoston jonka luulit olevan haluamasi kuva. Sen jälkeen virus aktivoitui koneeseesi.
-se ei välttämättä heti ala näkyä käytössä, mutta joillain se voi estää mesestä sähköpostiin pääsyn, tai lakkauttaa windowsin automaattiset päivitykset.
Käy läpi tätä viestiketjua ja kokeile muiden antamia neuvoja tarkalleen. Tuo msnfix ei oikein auta tässä ongelmassa. SDfix auttoi monilla, mutta jos ei auta, kokeile näitä neuvoja miten itse pääsin viruksesta eroon:
1) Poista välittömästi tallentamasi tiedosto. Tyhjennä sen jälkeen roskakori.
5) Avaa Windows tehtävien hallinta (prosessit)
---Etsi sieltä Winudspm.exe, ja sen jälkeen paina oikeella hiirennäppäimellä "lopeta prosessi".
---Jätä Windows tehtävienhallinta ikkuna auki (ÄLÄ SULJE!)
6) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "Winudspm". Kun tietokone löysi tiedoston(t) paina winudspm.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä winudspm.exe tiedosto ja POISTA SE.
---Tyhjennä roskakori
7) Poista HJT:lla seuraavat rivit:
O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
---Laita ruksi niihin ja paina "Fix checked" ja sulje ohjelma
---Käynnistä tietokone uudestaan
8) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "sexy.exe". Kun tietokone löysi tiedoston(t) paina sexy.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä sexy.exe ja POISTA SE.
---Tyhjennä roskakori
--- Mene uudestaan -> Etsi -> Kaikki tiedostot ja kansiot ->kirjoita kirjoituskohtaan "sexy.com". ja toista sama toiminta kuin edellisessä ohjeessa
--- Tyhjennä roskakori
9) Lataa koneellesi SDfix -ohjelma osoitteesta: http://downloads.andymanchesta.com/RemovalTools/SDFix.zip --- Tallenna se työpöydällesi ja pura kansio
--- Etsi puretusta kansiosta "RunThis" kuvake ja paina sitä
--- Sulje kaikki ohjelmat ja ikkunat, seuraa SDfixin ruudussa näkyviä ohjeita tarkasti!!
--- Mene kaikki numerot järjestyksessä aina uudestaan entisen loppuessa
* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmista, että seuraavat on valittu: Update Malwarebytes' Anti-Malware ja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Finish.
* Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
* Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
* Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
* Varmista, että kaikki on merkitty ja klikkaa Remove Selected.
---Yleensä tässä vaiheessa virus yrittää päästä nettiin (http.xn--mg-kka.com) explorer.exe:n kautta. Kannattaa siis blokata
tuo yritys tuolla Sygatella jos näin tapahtuu.
Koneesi on puhdas :
-jos Winudspm -tiedostoja, tai sexy-tiedostoja ei löydy enää tietokoneesta
-jos explorer.exe ei yritä nettiin
Wattu!. Mulle kävi just noin että "ootsä tässä kuvassa", avasin tyhmänä tiedoston ja poks. Malaria mikä lie ilmoitusta Avasti pistää. Pääsenkö tästä eroon cleanereilla vaiko forkkaanko? :)
Kiitos paljon ohjeista GooZe. Tuo virus taisi lähteä jo ihan COMODO Firewall Pro:n tarkastuksella.
Virus ei tullut mesestä vaan jostain tiedostosta koska se rupes herjaamaan tota juttua kun yhdistin MP3-soittimen koneeseen.
Teen nyt jälkitarkastuksia vielä tuolla Malwarebytes Anti-Malware ohjelmalla mutta ei noita sexy.exe tiedostoja yms enää löytynyt kun pistin hakuun.
Kiitos siis GooZe ohjeistasi :)
TÄRKEÄ: MISTÄ SIIS TIEDÄN MILLON EXPLORER.EXE YRITTÄÄ NETTIIN? Olen vähän tohelo näiden juttujen kanssa mutta jos joku viitsisi kertoa :)
Helppii! Mulla on/oli toi sama viirus. Tein noitten ohjeitten mukaan, mutta Windows ei vieläkään anna pistää automaattisia päivityksiä päälle. Mitä pitäisi tehdä?
E: Sain ne käyttöön, mutta sitten se taas sanoo, että ei käytössä. Kun yrittää laittaa käyttöön, niin se välillä sanoo, että "Tietoturvakeskus ei voinut muuttaa automaattisten päivitysten asetuksia..."
Avaa Combofix.exe ja seuraa näyttöön tulevia ohjeita
Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
Käynnistä kone uudelleen, jos niin pyydetään ja lähetä combofix.txt-tiedoston sisältö tänne.
Tyhjennä roskakori ja käynnistä koneesi uudelleen.
Postita tänne seuraavat lokit: * Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta)
* (C:\ComboFix.txt) raportti
*
