Mesessä TAAS joku virus.

Mjoo, täällähän on aika paljon jo näitä mesevirus-triidejä, mutta en nyt ainakaan pikaisesti nähnyt mitään vastaavaa. Eli tämäpä oli sellainen virus, että jopa minä (lasken itseni jo ihan kokeneeksi koneen käyttäjäksi) menin sen saamaan. Eli kaverilta, jonka kanssa en ole aikoihin jutellut tuli viesti jossa oli suurinpiirtein lause "Ootko sä tässä " jota seurasi linkki, joka päättyi omaan nimeeni/osoitteeseeni. Linkki oli jopa ihan ok:n olonen.

Noh, menin painamaan linkkiä jolloin tuli pyyntö tallentaa joku DOS-tiedosto. Tallensin tämän ja katoin avastilla, niin ei mitään löytynyt. Mitä siihen DOSsiin tulee, niin ainahan kone senssii jotku tiedostot ihan vitulleen. Enivei, kun sitten avasin tämän tiedoston, alkoi meseni aukoa ikkunoita ja uskoakseni lähettää tätä samaa ootko-sä-tässä-viestiä yhteystiedoilleni.

Joten, olisiko kellään tähän ratkaisua?

 

Joo siis mulle tuli kanssa tollanen viesti kaverilta et "ootko sä oikeesti tossa " ja sit linkki missä oli jotain "msnsälää.@omasähkis" tai joku suunnilleen tollanen (ja siis tuo linkki oli ihan uskottava oikeasti). Toi on siis ilmeisesti se viesti mitä se viirus lähettää ja miten se siis leviää.

Mutta onko viirus poistettu, kun poistaa vaan sen tiedoston minkä tosta linkinstä menee tyhmyyksissään tallentamaan tietokoneelleen?
Eli that's it, kerro kavereille ja ei avaa enään tollasta niin kaikki ok?

 

Mjoo, tosiaan itse poistin tuon lataamani tiedoston mutta kun nyt avasin mesen, niin ruutu smearaantui keskusteluikkunoista eli ilmeisesti tätä kusetusviestiä lähtee vielä yhteystiedoilleni.
Laitoin kyllä mailia kaikille, että eivät klikkaa linkkiä jos sen saavat, mutta olisi tosiaan kivaa tietää että miten tän saa lopullisesti pois.

 

juu, ite onnistuin kans sössimään tuon viruksen koneelleni. ei kannata katsoa tv:tä ja availla linkkejä lukematta , mut miten ton saa poistettua kokonaan? ajoin http://www.f1-forum.fi/vb/showthread.php?t=24841&highlight=messenger tuolla mitä tuossa ohjeessa oli, mut silti näytti tekevän vielä samaa.

 

Tosiaan, edelleenkin apuja kaivataan. Tänne oli näköjään ilmestynyt pari muutakin aihetta, jossa on kyse oletettavasti samasta pöpöstä. Minä kyllä pystyin poistamaan työpöydälleni lataaman tiedoston, kun tuolla uudessa ketjussa oli joku maininnut että sitä ei saanut veks.

Niin ja olisi myös kiva tietää kaappaako tämä pöpö mesen (ja samalla windows live ID vai mikä lie) tunnukset ja passut?

 

Mulle tuli kanssa toi sama ongelma. Itse en ole poistanut vielä koko tiedostoa, mutta suljin kyseisen prosessin ("winudpmgr.exe") ja otin sen pois Windowsin käynnistyksen yhteydessä käynnistettävistä prosesseista. Tietääkseni mese ei ole tämän jälkeen enää lähetellyt kyseistä viestiä.

 

Itsekin lankesin kyseiselle meseviirukselle. Löysin eScanilla tommosen viruksen:

File C:\WINDOWS\winudspm.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.

Lisäksi C:-aseman juureen tarttui vielä sexy.exe -niminen tiedosto, joka tulee siihen yhä uudelleen... Perus deletointi ei auta. Joten mitä pitäisi tehdä?

Mese meni totaalisen juntturaan heti sen tiedoston avaamisen jälkeen, joten päätin poistaa koko ohjelman.

CCleanerin, RegSeekerin, SpyBotin, AdAware2007:n ja F-Securen kanssa olen skannaillut konetta ja nyt viimeisimpänä tuon eScanin (Kapersky) kanssa. Tuo yksi paskatiedosto (sexy.exe) ei näytä poistuvan millään, mitä tehdä? Kiitos jo etukäteen sille nerolle, joka osaa auttaa!

 

Lataa ja asenna Malwarebytes' Anti-Malware päivitä ohjelma ja suorita täys skannaus ja lähetä logi tänne.

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

 

Noh, äsken sai Avast koneen kokonaan syynättyä, eikä mitään löytynyt mistään. Näin kuitenkin prosesseissa tämän Winudspm.com-paskan ja C:-aseman juuresta löytyi tosiaan tämä sexy.exe. En jaksanyt yrittää poistaa kumpaakaan, kun täällä sanottiin, että ne uusivat.

Enivei, päätinpä piruuttaan kokeilla niinkin yksinkertaista ratkaisua kuin järjestelmän palauttamista ja nyt sen tehtyäni, ei prosesseissa näy tätä edellä mainittua skeidaa ja Sexyexekin on hävinnyt.

Joten mitä luulette, onkohan homma nyt hoidettu?

 

Joo, sama homma. postasin hjt login viereiseen threadiin.
Kertokaapas kanssaveljet ja sisaret sitten kun pääsette siitä prk...n viruksesta ja sexy.com, yms eroon lopullisesti ja ohjeita peliin. Täällä varmaan monet odottavat innolla..

 

Onko toiminut? miten sen saa poistettua käynnistyksen yhteydestä avattavista ohjelmista?

 

Kirjoita suorita ikkunaan: msconfig. Sieltä selaat ylhäältä Käynnistys, josta löytyy automaattisesti käynnistyvät ohjelmat ja rasti pois ruudusta.

 

1. Lataa tästä poistotyökalu ja tallenna se työpöydällesi http://sosvirus.changelog.fr/MSNFix.zip
2. Pura se MSNFix kansioon
3. Avaa kansio ja käynnistä MSNFix.bat
4. Valitse haluamasi kieli ikkunassa näkyvästä listasta kirjoittamalla joku niistä kirjaimista ja paina ENTER. E = englanti
5. Kirjoita seuraavaksi R kirjain ja paina ENTER käynnistääksesi virushaun.
6. Sen jälkeen paina uusiksi ENTER poistaaksesi työkalun löytämät tiedostot.


TÄLLÄ LÄHTEE!!!

mutta uudeksi ongelmaksi koitui tuo Windows UDP Control sydeemi joka vissiin estää palomuuria toimimasta?? esim. ZoneAlarm aiheuttaa Windows Explorerin jumittumisen. ja lähti käyntiin ainostaan poistamalla koko ZoneAlarm. ja nyt on ollu vähän sellaista fiilistä että XPn oma firewall päästelee myös juttuja läpi. ainakin avast! on ollut yllättävän aktiivinen tänä aamuna.
tähän ongelmaan tarvitaan ratkaisua ja pikaisesti!

 

Ei ole ainakaan sen jälkeen tuota prosessia enää käynnistänyt, mutta olisihan tietysti mukavaa saada koko winudpmgr pois koneelta. Ongelmana vaan on, että en löydä sitä mistään.

 

arvelen että tämä winupdmgr.exe ei ole itse onkhelma, vaan yksi pöpön luomuksista. omassa tapauksessani kyseinen ohjelma ei edes ilmestynyt käynnistyksen yhteydessä starttaaviin ohjelmiin eikä tehtävienhallintaan, mutta löytyi kuitenkin rekisteristä. lähinnä keskityin sexy.com-tiedoston kanssa tappelemiseen, vaikkakin ilmeni että taistelin tuulimyllä vastaan sillä jokin loi sen aina uudelleen.

seuraavasti minulta poistui kaikki pöpöt ja kaikki ohjelmat toimivat yhä moitteetta. eikä f-securekaan löydä enää mitään huomautettavaa.

http://keskustelu.afterdawn.com/thread_view.cfm/667951#4064950

 

Mulla ei edes ole tuota sexy.com-tiedostoa. Ei ollut C-aseman juuressa eikä löytyny haullakaan.

 

Skannasin Kaperskyn eScanilla (joka kesti reilut 6 h) ja tämmöstä paskaa löytyi:

File C:\WINDOWS\winudspm.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP377\A0051193.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP378\A0051366.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP378\A0051372.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051482.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051483.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051484.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051485.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051486.exe infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051488.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{3ED89C74-D6BB-409A-8C38-E87D24C10102}\RP379\A0051489.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.
File C:\sexy.com infected by "Backdoor.Win32.SdBot.eay" Virus. Action Taken: File Renamed.

Voiko näitä poistaa, vai riittääkö, että toi ohjelma nimeää ne uudelleen?

Kaiken lisäksi sexy.com on nyt muuttanut muotoaan ilmeisesti harmittomaksi, mutta sen kylkiäisinä tullutta dciz-tiedostoa (joka on samassa C:-aseman juuressa, kuin tuo sexy.com) se ei huomannut / muuttanut...

Seuraavaksi skannaan koneen yaht-käyttäjän suosituksen mukaan Malwarebytes' Anti-Malware -ohjelmalla.

Voiko joku auttaa tuon yllämainitun kanssa? Kiitos jo etukäteen!

 

Nuo ovat Windowssin palautustiedostoja. Otat vain Windowsista sen järjestelmän palautuksen pois päältä niin häviävät samantien. Windows XP koneessa?

 

Juu, XP koneessa. Vaikuttaako se asiaan? Entäs tuo dciz-tiedosto?

 

veikkaanpa että tämä pöpö on varsin muuntautumiskykyinen ja kaikille ei tämä sexy.com-tiedosto välttämättä ilmestykkään, mutta jotain vastaavaa roskaa kuitenniin. koittakaapa noilla postaamillani SDfix-ohjeilla, jos ette vielä näin ole tehneet. monilla se on tähän asti toiminut.