Eli tommonen Win32:VunDrop [Drp] tuli koneelle jostain ja Avast ilmottaa siitä jatkuvasti. Kone on hitaampi kuin ennen eikä Avast osaa näköjään poistaa/pistää karantiiniin tuota virusta. Kertokaahan sitte ihan perusteellisesti mitä pitää tehä että saan tuon pois koneelta. HJT-loki on tässä: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:28:13, on 29.5.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\winudspm.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1196772565644 O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe -- End of file - 5943 bytes
Oletko saanut mesessä kummallisia viestejä: "oletko sä tässä kuvassa? "ootko tässä? " Viestin perässä tulee linkki, jossa on sinun sähköpostiosoitteesi esim: "msn-photos.wls.net/?Photo95.JPG =vastaanottajan_osoite@ vastaanottajan_domain.com." Mikäli klikkasit linkkiä, tallensit tietokoneeseesi jonkin tiedoston jonka luulit olevan haluamasi kuva. Sen jälkeen virus aktivoitui koneeseesi. -se ei välttämättä heti ala näkyä käytössä, mutta joillain se voi estää mesestä sähköpostiin pääsyn, tai lakkauttaa windowsin automaattiset päivitykset. Sullakin taitaa olla sama ongelma kyseessä kuin täällä: http://keskustelu.afterdawn.com/thread_view.cfm/3/667951 Käy läpi tätä viestiketjua ja kokeile muiden antamia neuvoja tarkalleen. Tuo msnfix ei oikein auta tässä ongelmassa. SDfix auttoi monilla, mutta jos ei auta, kokeile näitä neuvoja miten itse pääsin viruksesta eroon: 1) Poista välittömästi tallentamasi tiedosto. Tyhjennä sen jälkeen roskakori. 2) Vaihda sähköpostisi/messengerisi salasana 3) Poista Windows Live Messenger 4) Laita viruksen torjuntaohjelmasi skannaamaan koneesi (full scan). Avast toimi parhaiten. 5) Avaa Windows tehtävien hallinta (prosessit) ---Etsi sieltä Winudspm.exe, ja sen jälkeen paina oikeella hiirennäppäimellä "lopeta prosessi". ---Jätä Windows tehtävienhallinta ikkuna auki (ÄLÄ SULJE!) 6) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "Winudspm". Kun tietokone löysi tiedoston(t) paina winudspm.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä winudspm.exe tiedosto ja POISTA SE. ---Tyhjennä roskakori 7) Poista HJT:lla seuraavat rivit: O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) ---Laita ruksi niihin ja paina "Fix checked" ja sulje ohjelma ---Käynnistä tietokone uudestaan 8) Paina käynnistä -> Etsi -> Kaikki tiedostot ja kansiot -> kirjoita hakuun "sexy.exe". Kun tietokone löysi tiedoston(t) paina sexy.exe oikeella hiirellä ja "Avaa kansion kanssa". Etsi sieltä sexy.exe ja POISTA SE. ---Tyhjennä roskakori --- Mene uudestaan -> Etsi -> Kaikki tiedostot ja kansiot ->kirjoita kirjoituskohtaan "sexy.com". ja toista sama toiminta kuin edellisessä ohjeessa --- Tyhjennä roskakori 9) Lataa koneellesi SDfix -ohjelma osoitteesta: http://downloads.andymanchesta.com/RemovalTools/SDFix.zip --- Tallenna se työpöydällesi ja pura kansio --- Etsi puretusta kansiosta "RunThis" kuvake ja paina sitä --- Sulje kaikki ohjelmat ja ikkunat, seuraa SDfixin ruudussa näkyviä ohjeita tarkasti!! --- Mene kaikki numerot järjestyksessä aina uudestaan entisen loppuessa 10) Lataa "Malwarebytes' Anti-Malware" ohjelma työpöydällesi täältä: http://www.besttechie.net/tools/mbam-setup.exe * Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman. * Lopuksi varmista, että seuraavat on valittu: Update Malwarebytes' Anti-Malware ja Launch Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Finish. * Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version. * Kun ohjelma on latautunut, valitse Perform full scan ja klikkaa Scan. * Kun skanni on valmis, klikkaa OK ja sitten Show Results nähdäksesi tulokset. * Varmista, että kaikki on merkitty ja klikkaa Remove Selected. Käynnistä tietokoneesi uudestaan 11) Varmista, että tietokoneessasi on muukin palomuuri kuin Windowsin oma. Tässä esimerkiksi yksi varsin toimiva Sygate-palomuuri, jonka voi ladata täältä: http://www.download.fi/verkko_ohjelmat/p...al_firewall.cfm ---Yleensä tässä vaiheessa virus yrittää päästä nettiin (http.xn--mg-kka.com) explorer.exe:n kautta. Kannattaa siis blokata tuo yritys tuolla Sygatella jos näin tapahtuu. Koneesi on puhdas : -jos Winudspm -tiedostoja, tai sexy-tiedostoja ei löydy enää tietokoneesta -jos explorer.exe ei yritä nettiin
Wattu!. Mulle kävi just noin että "ootsä tässä kuvassa", avasin tyhmänä tiedoston ja poks. Malaria mikä lie ilmoitusta Avasti pistää. Pääsenkö tästä eroon cleanereilla vaiko forkkaanko?
Kiitos paljon ohjeista GooZe. Tuo virus taisi lähteä jo ihan COMODO Firewall Pro:n tarkastuksella. Virus ei tullut mesestä vaan jostain tiedostosta koska se rupes herjaamaan tota juttua kun yhdistin MP3-soittimen koneeseen. Teen nyt jälkitarkastuksia vielä tuolla Malwarebytes Anti-Malware ohjelmalla mutta ei noita sexy.exe tiedostoja yms enää löytynyt kun pistin hakuun. Kiitos siis GooZe ohjeistasi TÄRKEÄ: MISTÄ SIIS TIEDÄN MILLON EXPLORER.EXE YRITTÄÄ NETTIIN? Olen vähän tohelo näiden juttujen kanssa mutta jos joku viitsisi kertoa
Helppii! Mulla on/oli toi sama viirus. Tein noitten ohjeitten mukaan, mutta Windows ei vieläkään anna pistää automaattisia päivityksiä päälle. Mitä pitäisi tehdä? E: Sain ne käyttöön, mutta sitten se taas sanoo, että ei käytössä. Kun yrittää laittaa käyttöön, niin se välillä sanoo, että "Tietoturvakeskus ei voinut muuttaa automaattisten päivitysten asetuksia..."
1. Lataa Combofix.exe työpöydällesi jommastakummasta linkistä: Combofix.exe Combofix.exe Avaa Combofix.exe ja seuraa näyttöön tulevia ohjeita Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen. Käynnistä kone uudelleen, jos niin pyydetään ja lähetä combofix.txt-tiedoston sisältö tänne. Tyhjennä roskakori ja käynnistä koneesi uudelleen. Postita tänne seuraavat lokit: * Tuore HijackThis loki (Otetaan viimeisenä ennen postitusta) * (C:\ComboFix.txt) raportti *
