|
Messengerin kautta levinnyt virus. Apuja kaivataan
|
|
|
konerikko
Junior Member
|
27. toukokuuta 2008 @ 23:42 |
Linkki tähän viestiin
|
|
Eli messengerin kautta levinnyt virus on päässyt jo saastuttamaan jo monen tuttavan koneen. Virus pääsi leviämään lähettämällä viestinä jotain vastaavaa että ootko tässä sinä humalassa? :D ja linkki josta sai ladattua jonkun tiedoston työpöydälle jota ei voi poistaa. Luultavasti messenger kansioon on tullut myös jotain ylimääräistä ja huonolla tuurilla vielä winukka kansioonkin. Apuja tarvittaisiin nopiaan kun se on jo niin moneen koneeseen kerennyt.
|
|
BlasterM
Newbie
|
28. toukokuuta 2008 @ 08:12 |
Linkki tähän viestiin
|
No niin on kerinny moneen koneeseen. Ainakin se minun tapauksessa loi seuraavat tiedostot:
%windir%\Winudspm.com (prosessi tapettavissa tehtävienhallinnalla, minkä jälkeen sen voi poistaa)
%windir%\system32\jkkhxnkk.dll (voi poistaa sen jälkeen, kun sen tiedot poistaa rekisteristä ja käynnistää uudelleen)
Kyseinen com-tiedosto ilmestyi välittömästi kyselemään liikennöintilupaa palomuurilta, mut siinä vaiheessa olin jo varma et kännikuvan sijasta sain pöpön kaverilta ja et on aika iskee netti kiinni ja tutkia tuhot.
Rekisteriin se tekee seuraavan rivin: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control
Elikkäs ton com-tiedoston käyttis lataa het käynnistyessä, samoin toi dll-tiedosto oli lukittuna ja käytössä. Muutama muu epämääräinen com-tiedosto oli niin ikään ilmaantunut levylle juureen.
Poistelin ite nuo tiedostot jokseenki vaivattomasti, kun sattuu olemaan dual-buutti järjestelmä koneessa. Toi com-tiedosto on arvatenkin trojan loaderi, mitä toi dll tekee, siitä ei ole mitään hajua. Kun sain noi poistettua rekisteritietoineen, niin tein F-securen Online skannauksen, ja se löysi lisää pöpöjä, joista osa ainakin liittyi tuohon kaiketi mese/irc -viruksen tunnettuun uuteen variaatioon (sdbot.jotain). En huomannu, et mese ois muuttunu mitenkään, eikä kukaan maininnu, et multa ois lähteny maailmalle noita linkkiviestejä... Ehkä sen loaderin välitön blokkaus autto, ois kai ladannu kaverit paikalle tekemään kunnon jäynää.
Oikeestaan ainut asia miten se vielä näkyy, kun noista fileistä on päässy eroon, on et explorer.exe yrittää päästää alituiseen liikennöimään tällaseen osotteeseen:
http.xn--mg-kka.com
Siitä ei ollut paljon juttua, mutta tämä linkki kuitenkin löyty: http://www.threatexpert.com/report.aspx?...ba-c93528116354
Elikkä joku botti siellä vastaa, mut et mitä tietoja explorer sille välittää... ei mitään käsitystä.
Jos joku keksii miten toista explorerin vaivasta pääsee eroon, niin vinkkiä vaan.
Pistin vielä varulta ESETin Online skannauksen menemään, kattoo jos se löytää vielä jotain.
Ai niin, konees on Avastin antivirus ja Windows Defender, sit Sygaten palomuuri.
|
|
pezkuu
Suspended permanently
|
28. toukokuuta 2008 @ 08:42 |
Linkki tähän viestiin
|
|
|
|
BlasterM
Newbie
|
28. toukokuuta 2008 @ 09:19 |
Linkki tähän viestiin
|
|
|
|
Eikeksi
Junior Member
1 tuotearvio
|
28. toukokuuta 2008 @ 12:15 |
Linkki tähän viestiin
|
|
Morjes vaa kakille. Itekki menin lankaa ku hyvä tuttu laitto kyseisen "hei onko tässä sun kuvas....."-jutun. Yks tuttu oli kuulemma ihan avastilla saanu kyseiset pöpöt poistettua. Itse zippasin tehtävien hallinassa sexy.exen ja jonkun Winudspm.com. Tämän jälkeen poistin työpöydältä sen jonkun kuvakkeen ja c-asemalta niitä joitakin ylimääräsiä kuvakkeita, mutta ei se saakelin sexy.exe tai vastaava lähde millään jos joku kyseisen saa vielä poistettua kertokaa täällä miten se tapahtuu.
|
|
cirkle
Newbie
|
28. toukokuuta 2008 @ 12:50 |
Linkki tähän viestiin
|
TÄLLÄ LÄHTEE windudspm.exe ja sexy.exe
1. Lataa tästä poistotyökalu ja tallenna se työpöydällesi http://sosvirus.changelog.fr/MSNFix.zip
2. Pura se MSNFix kansioon
3. Avaa kansio ja käynnistä MSNFix.bat
4. Valitse haluamasi kieli ikkunassa näkyvästä listasta kirjoittamalla joku niistä kirjaimista ja paina ENTER. E = englanti
5. Kirjoita seuraavaksi R kirjain ja paina ENTER käynnistääksesi virushaun.
6. Sen jälkeen paina uusiksi ENTER poistaaksesi työkalun löytämät tiedostot.
(laitetaan nyt tähänkin ketjuun kun typerästi pitää olla 2 topicia samalle aiheelle)
musta tuntuu että toi virus vittuilee palomuurille. avast! ollu nyt aktiivisempi kuin koskaan. poistin kaikki pöpöt mitä 2 eri virusohjelmalla löysin ja nyt kun taas ollaan netissä niin löyty 1 pöpö lisää... eli ESTÄÄKÖ TÄMÄ VIRUS PALOMUURIA TÄYSIN TOIMIMASTA POISTONKIN JÄLKEEN?? ja mitä tehdä.
zonealarm ei toimi ollenkaan. kertokaa toinen ilmainen palomuuriohjelma jotta voisin kokeilla estääkö virus sitäkin toimimasta.
|
|
cirkle
Newbie
|
28. toukokuuta 2008 @ 13:46 |
Linkki tähän viestiin
|
|
ei lähtenytkään kuin sexy.com tiedostot (ja mahdolliset ´.dll:t)
joka kerta kun laittaa nettipiuhan kiinni winudspm.exe ilmestyy task manageriin
|
|
BlasterM
Newbie
|
28. toukokuuta 2008 @ 13:59 |
Linkki tähän viestiin
|
Hyvä kysymys, täällä on tullu pyöritettyä F-Securen ja ESETin Online skanneri ja Normaninkin netistä ladattava poistotyökalu, ja jokainen niistä on löytäny jotain. Ne on ollu piilossa system restoren tai roskakorin kansiossa, et ei edes millään resurssienhallinnalla nähtävissä. En tiiä, oliko ne jo kaikki alun pitäen ton pöpön tullessa, vai miten, mistä niitä sikiää.
Explorer.exe haluaa edelleen nettiin kovasti tohon samaiseen osotteeseen, liekö siellä sit joku IRC-botti vastaamassa, tai herra hakkeri itse ottaakseen koneen lopullisesti haltuun. No, blokkasin sen Sygatella, et ei kiitos ennen kun tietää mikä prosessi sitä explorer.exeä ohjaa. Eli luulisin, ettei noista muutamasta tiedostosta eroon hankkiutumalla siitä lopullisesti eroon pääse.
Mut joo, Sygatea voin kyllä suositella palomuuriksi, vaikka sitä ei enää päivitetä. Se on toiminu kyllä ihan moitteettomasti... paitsi edellisen pöpön aikaan, mikä samutti sen kunnes sain sammutettua sen Winkkarin uudelleenasennuksella. Hitto... toivottavasti ei tarvi sitä tehä.
Katelkaahan muuten ilmaantuuko teille tollanen .dll-tiedosto niin ikään sen sexy.comin lisäksi. Mulla se oli ilmaantunu jokseenkin samaan aikaan kun toi Winudspm.com, se nimi voi olla kans ihan satunnainenkin, mut kuitenkin .dll-tiedosto joka on luotu samaan aikaan kun toi pöpö on iskeny alunperin.
Ja tosiaan mullakin tosiaan Avast tunnisti jonkun pöpön välittömästi kun toi virus tuli, et huroo sille. Tosin se ei ollu ainoa sit.
|
|
BlasterM
Newbie
|
28. toukokuuta 2008 @ 14:10 |
Linkki tähän viestiin
|
|
Se on sulla tosiaan .exe-tiedosto eikä .com? Sehän on varsinainen variaattori matopaska. No joo, näkyykö se tehtävienhallinnalla? Näin pitäs olla... Jos on, niin lopeta se sitä kautta, sen jälkeen poista se avain rekisteristä (se suojaa omat rekisteriasetukset niin kauan kun se on aktiivinen), tai sit msconfigilla, ja ruksi asetuksista näkyviin järjestelmätiedostot ja poista se pentele.
|
|
nnkoo
Member
|
28. toukokuuta 2008 @ 14:15 |
Linkki tähän viestiin
|
|
Voisitteko kertoa onko tuossa mikä ylimääräistä ja puuttuuko jotain oleellista.
Poistin nuista autorun jutuista jotai joiden julkaisia oli microsoft corporation mutta ne näytti epäilyttävilta kun osa oli kiinaksi kirjoitettu ja vuodelta 2002
Käyttikseni on xp
C:\WINDOWS\system32\ctfmon.exe
Alaunch
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"C:\Program Files\Arcade\PCMService.exe"
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\acer\epm\epm-dm.exe
C:\Acer\ePM\ePM.exe boot
C:\Program Files\Acer\eRecovery\Monitor.exe
"C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Launch Manager\QtZgAcer.EXEKHALMNPR.EXE"C:\Program Files\QuickTime\QTTask.exe" -atboottime
"C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
"C:\Program Files\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSWrundll32.exe
"C:\WINDOWS\system32\aiujexht.dll",b
"C:\Program Files\iTunes\iTunesHelper.exe"
|
|
eSo19
Junior Member
|
28. toukokuuta 2008 @ 14:19 |
Linkki tähän viestiin
|
|
Minäkin menin "IT-asiantuntijana" saastuttamaan koneeni tällä shaissella. Ainakin minun tapauksessani SDfix-niminen ohjelma tepsi.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 14:21
|
|
nnkoo
Member
|
28. toukokuuta 2008 @ 14:31 |
Linkki tähän viestiin
|
|
tuli vaan mieleen että voikohan näihin ohjeisiin luottaa. Aika moni on näköjään newbie statuksella liikenteessä. niin että ei välttämättä kannata sokeasti uskoa kaikkiin ohjeisiin
|
|
eSo19
Junior Member
|
28. toukokuuta 2008 @ 14:40 |
Linkki tähän viestiin
|
Itselläni pöpö poistui seuraavasti (Win XP):
SDfix.zip
1) lataa ja pura paketti kovalevyllesi
2) käynnistä kone vikasietotilassa
3) aja ohjelma (itselläni kesti n. 30min)
4) ohjelma käynnistää koneen uudelleen normaalisti
5) uudelleenkäynnistyksen jälkeen ohjelma ruksuttaa vielä hetken (minun tapauksessani n. 15min)
6) poista tiedosto c:\sexy.com (ja mahdolliset pöpön luomat kansiot) ja rekisteristä HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control mikäli nämä jämät ovat jäljellä.
7) käynnistä kone uudelleen
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 15:04
|
|
eSo19
Junior Member
|
28. toukokuuta 2008 @ 15:09 |
Linkki tähän viestiin
|
|
lisättäköön vielä, että en missään vaiheessa itse löytänyt itse ongelmaa (olkoon se sitten tiedosto, komentojono tai rekisteriavain) joka luo sexy.comin tai edellämainitun rekisteriavaimen. vasta sdfixin jälkeen probleema ei uusiutunut.
|
|
cirkle
Newbie
|
28. toukokuuta 2008 @ 15:12 |
Linkki tähän viestiin
|
|
Näin lähti multa. hyvin yksinkertaisesti maalaisjärjellä
1) tehtävienhallinta päälle, sulje winudspm.exe
2) ÄLÄ MISSÄÄN NIMESSÄ SULJE TEHTÄVIENHALLINTAA
3) tehtävienhallinta yhä päällä poista rekisteristä Windows UDP Control rivi
4) tehtävienhallinta yhä päällä aja virusohjelman quick scan
5) tuhoa pöpöt
6) boottaa
eli jos tehtävienhallinan sulkee tämän prosessin välissä käynnistyy winudspm.exe uudestaan, mutta ei osaa käynnistää itseään jos tehtävienhallintaa ei sulje.
toivottavasti oli apua.
haittapuolena tuli kyllä jotain valitusta ettei mese toimi enää, mut ajattelinkin vaihtaa Mirandaan.
|
|
eSo19
Junior Member
|
28. toukokuuta 2008 @ 15:30 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti cirkle:
Näin lähti multa. hyvin yksinkertaisesti maalaisjärjellä
minulla kyllä "oman prosessini jälkeen" msn ja muut ohjelmat toimii moitteetta. eikö tämän mainitsemasi prosessin jälkeen c:\sexy.com uusiudu?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 15:31
|
|
cirkle
Newbie
|
28. toukokuuta 2008 @ 15:51 |
Linkki tähän viestiin
|
|
mesessä tuli ilmoitus internet explorer off-tilassa, ei voi käynnistää messengeriä? en tiedä liittykö edes aiheeseen, kun en tiedä mitä tarkoittaa. en käytä edes IE:ta.
sexy.comit sain pois samalla periaatteella kuin tuon winudspm.exen
EDIT: nyt toimii mesekin kun laittoi IEn on-tilaan.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 16:14
|
|
BlasterM
Newbie
|
28. toukokuuta 2008 @ 16:14 |
Linkki tähän viestiin
|
|
Mullakin toi SDfix tuotti tuloksia! Se löysi vielä yhden troijalaisen ja enää explorer.exe ei yritä päästä minnekkään, elikkäs ongelma näyttäs olevan lopullisesti hoidettu. Varmaankin helpommalla pääsettä, jos käyttättä samantien sitä ilman mitään muita kikkailuja. Tai ajatta sen ihan varmuudeksi lopuksi.
Mistä tulikin mieleeni... tietääkö kukaan kertoa ihan varmaksi poistaako toi SDfix myös ton Winudspm.comin?
|
Member
|
28. toukokuuta 2008 @ 16:33 |
Linkki tähän viestiin
|
[off]
Lainaus:
tuli vaan mieleen että voikohan näihin ohjeisiin luottaa. Aika moni on näköjään newbie statuksella liikenteessä. niin että ei välttämättä kannata sokeasti uskoa kaikkiin ohjeisiin
hoh hoh, se rankkihan kertoo kaiken käyttäjän tiedoista/taidoista, onhan tässä paikassa x^n1 ihmistä, jotka ovat saaneet esim. member "statuksen" spämmimällä epäoleellista kuraa. Mikä heitä estää neuvomasta metsään?
[/off]
Omasta puolestani kiitokset ohjeista, nämä ainakin auttoivat kaveriani suuresti ongelmien kanssa!
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 16:37
|
|
igore
Newbie
|
28. toukokuuta 2008 @ 16:37 |
Linkki tähän viestiin
|
|
Mesestä tuli vieti ``ootko tässä kuvassa`` ja se linkki
virus tuli työpöydälle enkä saa sitä pois.
Norton scannaus löytää sen mutta en voi poistaa sitä.
viruksen nimi W32.spybot.worm
Auttakaa tyhmää:(!
|
Member
|
28. toukokuuta 2008 @ 16:42 |
Linkki tähän viestiin
|
Herran nenä, tuossa ylhäällähän on lueteltuna monta tapaa, oletko niistä kokeillut yhtäkään? Samoin voit tietekin jättää Hjt- lokin tuonne.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 16:43
|
|
cirkle
Newbie
|
28. toukokuuta 2008 @ 16:57 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti afokafko:
[off]
Lainaus:
tuli vaan mieleen että voikohan näihin ohjeisiin luottaa. Aika moni on näköjään newbie statuksella liikenteessä. niin että ei välttämättä kannata sokeasti uskoa kaikkiin ohjeisiin
hoh hoh, se rankkihan kertoo kaiken käyttäjän tiedoista/taidoista, onhan tässä paikassa x^n1 ihmistä, jotka ovat saaneet esim. member "statuksen" spämmimällä epäoleellista kuraa. Mikä heitä estää neuvomasta metsään?
[/off]
Omasta puolestani kiitokset ohjeista, nämä ainakin auttoivat kaveriani suuresti ongelmien kanssa!
No mä liityin tälle foorumilla ihan äsken vain tämän ongelman takia. kysyäkseni ja selvittääkseni mitä en tiennyt ja sen jälkeen kertoakseni mitä tiedän.
EDIT: Mun ohjeet toimivat täydellisesti ja viruksen saa korjattuun 10minuutissa. tuli pari varmistusta tutuiltakin. samoin pystyin asentaa zonealarminkin takaisin koska explorer.exe ei yritä päästä enää nettiin.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 17:05
|
|
Hoijari
Member
16 tuotearviota
|
28. toukokuuta 2008 @ 17:20 |
Linkki tähän viestiin
|
|
Onko kellään kellä tämä virus nyt on tai on ollu niin ollut Vista SP1 x64 Ultimate Windowssia eli 64-bittinen Vista?
Itselläni kun on niin ei ole mitään löytynyt vaikka kuinka etsisi.
|
|
Mikovits
Newbie
|
28. toukokuuta 2008 @ 17:50 |
Linkki tähän viestiin
|
|
Jaa, mikäs sitten avuksi, kun explorer yrittää edelleen nettiin ("explorer.exe is trying to connect to http.xn--mg-kka.com [21.6.6.232] using remote port 81") vaikka olen kaikkea tässä ketjussa ehdotettua koittanut. Nuo väittävät konetta puhtaaksi, mutta silti se yrittää tuonne. Seuraava hyvä idea?
|
|
Mainos
|
|
|
|
Silenssi
Newbie
1 tuotearvio
|
28. toukokuuta 2008 @ 17:58 |
Linkki tähän viestiin
|
|
Sain ton mato-ongelman kuntoon, mutta samassa lykyssä meni Windows Update tietenkin epäkuntoon.
Elikkäs toi winudspm oli ilmeisesti alunperin joku update-tiedosto.
Mikä neuvoksi saadakseen updaten taas toimii?
PS: Jotta tulee aivan selväksi niin viimeisenä tekonani siis poistin winudspm-tiedoston... Muuten toimii kone normaalisti
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. toukokuuta 2008 @ 18:19
|
