|
Messengerin kautta levinnyt virus. Apuja kaivataan
|
|
|
GooZe
Junior Member
|
29. toukokuuta 2008 @ 22:10 |
Linkki tähän viestiin
|
|
Mulla toi explorer.exe vinkuu vieläkin http.xn--mg-kka.com:iin.
Oon pyörittänyt läpi kaikenmaailman ohjelmat ja yrittänyt googlata lisää tietoa tuosta viruksesta, mutta mistään ei ole löytynyt sen enempää apua.
Latasin tänään vielä Malwarebytes' Anti-Malwarenja se löysi yhden trojan agentin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
käynnistin koneen uudelleen ja jälleen tuo explorer.exe yrittää sinne osoitteeseen.
Laitoin uudestaan tuon Malwarebytesin pyörimään (full scan) ja jälleen tämä löysi sen saman trojan agentin samasta paikasta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
koneestani siis olen onnistunut poistamaan sexy.exet/comit sekä winusdpm:t. Mikä neuvoksi? en tiedä yhtään mitä tässä tekis :(
|
|
cirkle
Newbie
|
29. toukokuuta 2008 @ 22:17 |
Linkki tähän viestiin
|
|
start -> run -> regedit
h_key_local_machine/software/microsoft/windows/currentversion/run/windows udp control
löytyykö tuollainen? jos löytyy. poista. aja quick virus scan. ja boot.
jos ei löydy ja silti jatkaa explorer.exe nettiin menoa niin enpä taida osaa sanoa. mä sain oman viruksen pois toimimalla ripeästi joten en osaa sanoa mitä se on kehitelly tähän päivään mennessä.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 29. toukokuuta 2008 @ 22:20
|
|
GooZe
Junior Member
|
29. toukokuuta 2008 @ 22:34 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti cirkle:
start -> run -> regedit
h_key_local_machine/software/microsoft/windows/currentversion/run/windows udp control
löytyykö tuollainen? jos löytyy. poista. aja quick virus scan. ja boot.
jos ei löydy ja silti jatkaa explorer.exe nettiin menoa niin enpä taida osaa sanoa. mä sain oman viruksen pois toimimalla ripeästi joten en osaa sanoa mitä se on kehitelly tähän päivään mennessä.
Juu eipä löydy tuota. Sain viruksen koneelleni illalla 27.05. Seuraavana päivänä sain pois nuo kriittisimmät mömmöt (winusdpm.exe ja sexy.exe)
Sen jälkeen ei ole ollut muita ongelmia, kuin tuo explorer.exen yrittäminen http.xn--mg-kka.com:iin.
Plus tuon Trojan agentin uusiutuminen.
Täällä näytetään olevan samassa ongelmatilanteessa:
http://keskustelu.afterdawn.com/thread_view.cfm/668237
|
|
Mikovits
Newbie
|
29. toukokuuta 2008 @ 22:38 |
Linkki tähän viestiin
|
|
Tuo on vähän turhan mielenkiintoinen mato. Eli minullakin tuo sexy oli, mutta winusdpm ei ole näkynyt. virusskannerit väittävät puhtaaksi, mutta silti resurssienhallinta yrittää tuonne osoitteeseen.
h_key_local_machine/software/microsoft/windows/currentversion/run/windows udp control
^- tuo oli, mutta poistin sen kuten ketjussa ehdotettiin. Poistui kiltisti eikä tullut takaisin, mutta ongelma ei poistunut.
|
|
cirkle
Newbie
|
29. toukokuuta 2008 @ 22:39 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti GooZe:
Lainaus, alkuperäisen viestin kirjoitti cirkle:
start -> run -> regedit
h_key_local_machine/software/microsoft/windows/currentversion/run/windows udp control
löytyykö tuollainen? jos löytyy. poista. aja quick virus scan. ja boot.
jos ei löydy ja silti jatkaa explorer.exe nettiin menoa niin enpä taida osaa sanoa. mä sain oman viruksen pois toimimalla ripeästi joten en osaa sanoa mitä se on kehitelly tähän päivään mennessä.
Juu eipä löydy tuota. Sain viruksen koneelleni illalla 27.05. Seuraavana päivänä sain pois nuo kriittisimmät mömmöt (winusdpm.exe ja sexy.exe)
Sen jälkeen ei ole ollut muita ongelmia, kuin tuo explorer.exen yrittäminen http.xn--mg-kka.com:iin.
Plus tuon Trojan agentin uusiutuminen.
Täällä näytetään olevan samassa ongelmatilanteessa:
http://keskustelu.afterdawn.com/thread_view.cfm/668237
mutta poistitko missään vaiheessa tuolta rekisteristä tuollaista windows udp control riviä ?
|
|
sorva
Member
5 tuotearviota
|
29. toukokuuta 2008 @ 22:42 |
Linkki tähän viestiin
|
|
Täällä taas kone valittaaa käynnistyessä tuosta winudspm:stä, kysyy, että sallitaanko sen suorittaminen, aina vastattu ei, eikä tehtävienhallinnassa mitään sen nimistä prosessia sitten ole. Eli ei mitään tuhoa saa aikaiseksi vai? Olisi kiva päästä kuitenkin eroon tosta. Niin monta eri neuvoa lukenut, mikä se paras nyt on?
E6750 - P5K - GTX260 - 4GB DDR2 - P182+525W Modu82+ - Vista x64 - X-Fi Xtrememusic - G51 - Samsung 226BW - Reclusa - MX518
|
|
GooZe
Junior Member
|
29. toukokuuta 2008 @ 23:10 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti cirkle:
Lainaus, alkuperäisen viestin kirjoitti GooZe:
Lainaus, alkuperäisen viestin kirjoitti cirkle:
start -> run -> regedit
h_key_local_machine/software/microsoft/windows/currentversion/run/windows udp control
löytyykö tuollainen? jos löytyy. poista. aja quick virus scan. ja boot.
jos ei löydy ja silti jatkaa explorer.exe nettiin menoa niin enpä taida osaa sanoa. mä sain oman viruksen pois toimimalla ripeästi joten en osaa sanoa mitä se on kehitelly tähän päivään mennessä.
Juu eipä löydy tuota. Sain viruksen koneelleni illalla 27.05. Seuraavana päivänä sain pois nuo kriittisimmät mömmöt (winusdpm.exe ja sexy.exe)
Sen jälkeen ei ole ollut muita ongelmia, kuin tuo explorer.exen yrittäminen http.xn--mg-kka.com:iin.
Plus tuon Trojan agentin uusiutuminen.
Täällä näytetään olevan samassa ongelmatilanteessa:
http://keskustelu.afterdawn.com/thread_view.cfm/668237
mutta poistitko missään vaiheessa tuolta rekisteristä tuollaista windows udp control riviä ?
Kyllä, olen poistanut sen jo eilen. se ei enää vaivaa.
Toisessa viestiketjussa (missä on sama ongelma kyseessä), kehotettiin fixaamaan HJT:lla tällainen rivi:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Minulla näkyy se sama HJT-lokissani. Mahtaako tuon poistamisesta olla hyötyä?
|
Member
4 tuotearviota
|
29. toukokuuta 2008 @ 23:26 |
Linkki tähän viestiin
|
Hmm... Tännekin onnistui tuo virus yrittämään, Avira tosin esti sen täysin (irc.bot.jotain quearantine), mutta on pakko vielä katsoa löytääkö Avira/Superantispyware mitään. Huvittavan huonoja virusohjelmia ilmeisesti, kun jotkut eivät edes tunnista tuota.
Q6600, 9800GT, IP35-E, 2x 2GB DDR2-800MHZ +Sonata III
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 00:42 |
Linkki tähän viestiin
|
|
Huomio!
Poistettuani HJT:llä rivin:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
explorer.exe rauhoittui, eikä enää ole yrittänyt päästä nettiin.
Eli kaikinpuolin pitäisi kaikki olla kondiksessa?
|
|
Peniston
Newbie
|
30. toukokuuta 2008 @ 00:46 |
Linkki tähän viestiin
|
|
Mistä sen huomaa, jos explorer.exe yrittää ottaa yhteyttä koneesta ulos? Vaivaa pieni epäluulo, koska muuten ollut samat ongelmat kuin muilla...
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 01:07 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Peniston:
Mistä sen huomaa, jos explorer.exe yrittää ottaa yhteyttä koneesta ulos? Vaivaa pieni epäluulo, koska muuten ollut samat ongelmat kuin muilla...
Minä latasin itselleni Sygaten palomuurin
Blokkasin sen sillä ja sygate ilmoitti AINA kun explorer.exe yritti nettiin.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. toukokuuta 2008 @ 01:09
|
|
SieGu
Member
|
30. toukokuuta 2008 @ 09:11 |
Linkki tähän viestiin
|
|
Ite sain poistettua tuolla SDFixillä nuo sex.com jne. Ihan hyvä ohjelma. Koittakaa myös MSNFixillä koittaa. Kaikki ei toki lähtenyt, ajattelin formaamista.
|
|
tti82
Suspended due to non-functional email address
|
30. toukokuuta 2008 @ 12:28 |
Linkki tähän viestiin
|
|
meikulle tuli kans toi virus pari päivää sit.ainoa huono puoli on se että en ymmärrä tietokoneista mitään.vaikuttaa siltä että minulla on pahemmin saastunut kone kuin yleisesti ottaen muilla.esim. näytöllä lukee kokoajan "windows - levyä ei löydy",yritin mennä omaan tietokoneeseen ja katsoa c-asemaa,lataaminen kesti melkein 10minuuttia ennenkuin aukesi.netti jökittää aivan simona,eilen olin 15min netissä ja f-secure esti 4 troijalaista.f-securella kun scannaa koko koneen niin ei löydy mitään poikkeavaa.jos painan ctrl+alt+del ja yritän sammuttaa jonkun ohjelman esim.explorerin mitä en ikinä käytä niin kone menee täysin jökkiin,pelkästään sininen näyttö,10min sitä katsoin ja painoin virran pois power napista.
tietokone kytki itse päivitykset pois käytöstä,pitäiskö ne pistää takaisin päälle vai?
täällä kun puhutaa jostain sex.exestä ja winudspm.exestä niin mistä tommoset ees löytää?
ajattelin illalla tehä ton msnfixin ja sdfixin,jos vain kone toimii sen verran että pystyy latamaan kyseiset ohjelmat.
vai vaikuttaako tietokone jo sudelta??
|
|
GooZe
Junior Member
|
30. toukokuuta 2008 @ 14:09 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti tti82:
meikulle tuli kans toi virus pari päivää sit.ainoa huono puoli on se että en ymmärrä tietokoneista mitään.vaikuttaa siltä että minulla on pahemmin saastunut kone kuin yleisesti ottaen muilla.esim. näytöllä lukee kokoajan "windows - levyä ei löydy",yritin mennä omaan tietokoneeseen ja katsoa c-asemaa,lataaminen kesti melkein 10minuuttia ennenkuin aukesi.netti jökittää aivan simona,eilen olin 15min netissä ja f-secure esti 4 troijalaista.f-securella kun scannaa koko koneen niin ei löydy mitään poikkeavaa.jos painan ctrl+alt+del ja yritän sammuttaa jonkun ohjelman esim.explorerin mitä en ikinä käytä niin kone menee täysin jökkiin,pelkästään sininen näyttö,10min sitä katsoin ja painoin virran pois power napista.
tietokone kytki itse päivitykset pois käytöstä,pitäiskö ne pistää takaisin päälle vai?
täällä kun puhutaa jostain sex.exestä ja winudspm.exestä niin mistä tommoset ees löytää?
ajattelin illalla tehä ton msnfixin ja sdfixin,jos vain kone toimii sen verran että pystyy latamaan kyseiset ohjelmat.
vai vaikuttaako tietokone jo sudelta??
Vaikuttaa siltä, että tuo virus pahenee päiväpäivältä..
Jossain olikin juttua että pahimmillaan tuo virus voi pistää windowsin ihan sekaisin. Toivottavasti en pidä sinua ihan tyhmänä kun sanoit että sammutat tehtävien hallinnasta "explorerin", jos sammutit explorer.exen niin se reaktio on ihan normaali että tietokone menee jökkiin sen jälkeen. sitä ei saisi sammuttaa.
Käy läpi tätä viestiketjua ja kokeile muiden antamia neuvoja tarkalleen. Tuo msnfix ei oikein auta tässä ongelmassa. SDfix auttoi monilla, mutta jos ei auta, kokeile näitä neuvoja miten itse pääsin viruksesta eroon:
1) Poista välittömästi tallentamasti tiedosto. Tyhjennä sen jälkeen roskakori.
2) Vaihda sähköpostisi/messengerisi salasana
3) Poista Windows Live Messenger
4) Laita viruksen torjuntaohjelmasi skannaamaan koneesi (full scan). Avast toimi parhaiten.
5) Avaa Windows tehtävien hallinta (prosessit)
---Etsi sieltä Winudspm.exe, ja sen jälkeen paina oikeella hiirennäppäimellä "lopeta prosessi".
---Jätä Windows tehtävienhallinta ikkuna auki (ÄLÄ SULJE!)
6) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "Winudspm". Kun tietokone löysi tiedoston(t) paina winudspm.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä winudspm.exe tiedosto ja POISTA SE.
---Tyhjennä roskakori
7) Lataa hiJackThis -ohjelma Täältä: http://www.download.fi/tyopoytaohjelmat/.../hijackthis.cfm
---asennettuasi sen, klikkaa HijackThis-kuvaketta.
---Valitse "Do a system scan only"
---etsi sieltä seuraavat rivit:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control
---Laita ruksi niihin ja paina "Fix checked" ja sulje ohjelma
---Käynnistä tietokone uudestaan
8) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "sexy.exe". Kun tietokone löysi tiedoston(t) paina sexy.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä sexy.exe ja POISTA SE.
---Tyhjennä roskakori
--- Mene uudestaan -> Etsi -> Kaikki tiedostot ja kansiot ->kirjoita kirjoituskohtaan "sexy.com". ja toista sama toiminta kuin edellisessä ohjeessa
--- Tyhjennä roskakori
9) Lataa koneellesi SDfix -ohjelma osoitteesta: http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
--- Tallenna se työpöydällesi ja pura kansio
--- Etsi puretusta kansiosta "RunThis" kuvake ja paina sitä
--- Sulje kaikki ohjelmat ja ikkunat, seuraa SDfixin ruudussa näkyviä ohjeita tarkasti!!
--- Mene kaikki numerot järjestyksessä aina uudestaan entisen loppuessa
10) Lataa "Malwarebytes' Anti-Malware" ohjelma työpöydällesi täältä: http://www.besttechie.net/tools/mbam-setup.exe
* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmista, että seuraavat on valittu: Update Malwarebytes' Anti-Malware ja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Finish.
* Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
* Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan.
* Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset.
* Varmista, että kaikki on merkitty ja klikkaa Remove Selected.
Käynnistä tietokoneesi uudestaan
11) Varmista, että tietokoneessasi on muukin palomuuri kuin Windowsin oma.
Tässä esimerkiksi yksi varsin toimiva Sygate-palomuuri, jonka voi ladata täältä:
http://www.download.fi/verkko_ohjelmat/p...al_firewall.cfm
---Yleensä tässä vaiheessa virus yrittää päästä nettiin (http.xn--mg-kka.com) explorer.exe:n kautta. Kannattaa siis blokata
tuo yritys tuolla Sygatella jos näin tapahtuu.
Koneesi on puhdas :
-jos Winudspm -tiedostoja, tai sexy-tiedostoja ei löydy enää tietokoneesta
-jos explorer.exe ei yritä nettiin
|
|
eSo19
Junior Member
|
30. toukokuuta 2008 @ 21:12 |
Linkki tähän viestiin
|
|
virus näyttää "elävän", ja ainakaan tähän mennessä vaikuttaa siltä että mitään yksittäistä ratkaisua ei ole, vaan ratkaisut ovat tapauskohtaisia. eli tältä palstalta löytyy kyllä apu, mutta pitää vaan koittaa että mikä näistä pelittää kenenkin kohdalla.
|
|
Sehpu
Junior Member
|
30. toukokuuta 2008 @ 21:38 |
Linkki tähän viestiin
|
|
" FraudTool.Win32.MasterAntiVirus.a "
Virustarkastus löysi tollasen riskiohjelman. Onko tuo virus liittyen MSN ohjeelmaan?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. toukokuuta 2008 @ 22:03
|
|
Mikovits
Newbie
|
30. toukokuuta 2008 @ 21:54 |
Linkki tähän viestiin
|
|
Sehpu, jos mesesi ei lähettele viestejä/linkkejä/muuta sälää itsekseen niin todennäköisesti olet tältä säästynyt.
|
|
Sehpu
Junior Member
|
30. toukokuuta 2008 @ 22:04 |
Linkki tähän viestiin
|
|
" FraudTool.Win32.MasterAntiVirus.a "
Virustarkastus löysi tollasen riskiohjelman. Onko tuo virus liittyen MSN ohjeelmaan?
|
|
sorva
Member
5 tuotearviota
|
30. toukokuuta 2008 @ 22:07 |
Linkki tähän viestiin
|
|
Kenelläkään hajua miten ton saa pois koneelta siinä tapauksessa, että windows ei anna edes suorittaa sitä? Kysyy aina käynnistyksen yhteydessä, laittaa peruuta niin ei virus käynnisty. Kiva olisi kuitenkin päästä eroon.
E6750 - P5K - GTX260 - 4GB DDR2 - P182+525W Modu82+ - Vista x64 - X-Fi Xtrememusic - G51 - Samsung 226BW - Reclusa - MX518
|
|
Akutsi
Newbie
|
30. toukokuuta 2008 @ 22:22 |
Linkki tähän viestiin
|
|
Mulla MSNfix auttoi ettei lähetä enää mesessä noita viestejä. Mutta kun katon tehtävienhallinnasta niin siellä on 2 suuriinpiirtein tämän nimistä (winusdpm) ohjelmaa käynnissä..? Annanko niitten vain olla vai pitäisikö tehdä jotain asialle?
|
|
GooZe
Junior Member
|
31. toukokuuta 2008 @ 10:47 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Akutsi:
Mulla MSNfix auttoi ettei lähetä enää mesessä noita viestejä. Mutta kun katon tehtävienhallinnasta niin siellä on 2 suuriinpiirtein tämän nimistä (winusdpm) ohjelmaa käynnissä..? Annanko niitten vain olla vai pitäisikö tehdä jotain asialle?
Nuo winusdpm:t pitäisi saada pikaiseen pois. ne ovat ongelman ydin.
Katso kymmenet muut mese virus threadit läpi, siellä on ohjeet jaettu moneen kertaan ja tässäkin ketjussa on ohjeet.
|
Newbie
|
31. toukokuuta 2008 @ 11:46 |
Linkki tähän viestiin
|
|
Täällä olisi yksi joka kaipaa apua myös. Yritin noudattaa ohjeita ja lopetin tehtävien hallinnasta prosessin winundpsm.exe, mutta sen jälkeek un yritän etsiä winudpsm:n koneen etsi toiminnolla kone alkaa omia aikojaan käynnistyä uudestaan. Mikä oikein neuvoksi kun olen tässä kokeillut jo kaikkea salasanan vaihdosta järjestelmän palautukseen. Panda Antiviruksenkin olen pistänyt käymään koneen läpi ties kuinka moneen otteeseen, eikä se mitään löydä.
|
|
cirkle
Newbie
|
31. toukokuuta 2008 @ 12:31 |
Linkki tähän viestiin
|
|
Sanotaan nyt vielä kerran, sit lähen tästä topicista menee. ENSIMMÄISELLÄ SIVULLA ON ABOUT KAIKKI INFO VIIRUKSESTA MITÄ TARVITSEE TIETÄÄ, JOS ON PAHEMPI KATSO SIVU 2. tällä kolmos sivulla on ihan liikaa "kysyn, katosko viirus?" meininkiä. joudutte oikeasti hommiin ja perehtyy asiaan ja se voi kuulkaas pienokaiset VIEDÄ PÄIVIÄ!!!
vaikka tuossa neuvottiin käyttämään 'Etsi/Search' toimintoja niin KOETTAKAAA VÄLTTÄÄ koska 'Search' -toiminta haluaa päästää Windows Explorer.exen nettiin (joka on aivan normaalia windows käyttäytymistä) ja TÄTÄ VIRUSTA POISTAESSA explorer.exe EI MISSÄÄN NIMESSÄ SAA TOIMIA SERVERINÄ EIKÄ OTTAA YHTEYTTÄ NETTIIN.
tässä topicissa on käyty kaikki tiedosto- ja rekisteripolut hyvin selkeästi läpi.
Hauskaa tietokonekesää!
|
|
Apuavirus
Member
4 tuotearviota
|
31. toukokuuta 2008 @ 13:03 |
Linkki tähän viestiin
|
|
Pakko oli nyt sanoa tämmöinen hauska juttu, että minulla kävi aika tuuri tämän saman viruksen kanssa.
Kaverini lähetti tuon saman viestin joskus kuukausi sitten ja luulin että hän oikeasti tarkoitti sitä. En vain muista oliko englanniksi vai suomeksi.
No painoin tyhmänä linkkiä ja sitten tuuri iski. Kun sivu aukesi, tuli näkyviin pelkkä html -koodi :D. No sitten se ei onneksi ladannut tiedostoa koneelleni ja säästyin tuolta ikävältä virukselta. Tätähän tapahtuu todella todella harvoin (että kun sivu aukeaa, niin tulee pelkkä html koodi näkyviin). Ei ollut edes oma koneeni, niin olisin ollut ihan kusessa jos se virus olisi päässyt koneelle.
|
|
Mainos
|
|
|
Senior Member
2 tuotearviota
|
31. toukokuuta 2008 @ 13:42 |
Linkki tähän viestiin
|
|
Hyvät ihmiset. Te sen viruksen koneelle lataatte, ei se itsestään tule. Käyttäkää nyt edes pientä osaa aivosoluistanne ennen kuin klikkaatte linkkejä.
|
