Messengerin kautta levinnyt virus. Apuja kaivataan

Eli messengerin kautta levinnyt virus on päässyt jo saastuttamaan jo monen tuttavan koneen. Virus pääsi leviämään lähettämällä viestinä jotain vastaavaa että ootko tässä sinä humalassa? ja linkki josta sai ladattua jonkun tiedoston työpöydälle jota ei voi poistaa. Luultavasti messenger kansioon on tullut myös jotain ylimääräistä ja huonolla tuurilla vielä winukka kansioonkin. Apuja tarvittaisiin nopiaan kun se on jo niin moneen koneeseen kerennyt.

 

No niin on kerinny moneen koneeseen. Ainakin se minun tapauksessa loi seuraavat tiedostot:

%windir%\Winudspm.com (prosessi tapettavissa tehtävienhallinnalla, minkä jälkeen sen voi poistaa)
%windir%\system32\jkkhxnkk.dll (voi poistaa sen jälkeen, kun sen tiedot poistaa rekisteristä ja käynnistää uudelleen)

Kyseinen com-tiedosto ilmestyi välittömästi kyselemään liikennöintilupaa palomuurilta, mut siinä vaiheessa olin jo varma et kännikuvan sijasta sain pöpön kaverilta ja et on aika iskee netti kiinni ja tutkia tuhot.

Rekisteriin se tekee seuraavan rivin: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control
Elikkäs ton com-tiedoston käyttis lataa het käynnistyessä, samoin toi dll-tiedosto oli lukittuna ja käytössä. Muutama muu epämääräinen com-tiedosto oli niin ikään ilmaantunut levylle juureen.
Poistelin ite nuo tiedostot jokseenki vaivattomasti, kun sattuu olemaan dual-buutti järjestelmä koneessa. Toi com-tiedosto on arvatenkin trojan loaderi, mitä toi dll tekee, siitä ei ole mitään hajua. Kun sain noi poistettua rekisteritietoineen, niin tein F-securen Online skannauksen, ja se löysi lisää pöpöjä, joista osa ainakin liittyi tuohon kaiketi mese/irc -viruksen tunnettuun uuteen variaatioon (sdbot.jotain). En huomannu, et mese ois muuttunu mitenkään, eikä kukaan maininnu, et multa ois lähteny maailmalle noita linkkiviestejä... Ehkä sen loaderin välitön blokkaus autto, ois kai ladannu kaverit paikalle tekemään kunnon jäynää.

Oikeestaan ainut asia miten se vielä näkyy, kun noista fileistä on päässy eroon, on et explorer.exe yrittää päästää alituiseen liikennöimään tällaseen osotteeseen:
http.xn--mg-kka.com
Siitä ei ollut paljon juttua, mutta tämä linkki kuitenkin löyty: http://www.threatexpert.com/report.aspx?uid=68c311c5-aeef-4d83-92ba-c93528116354
Elikkä joku botti siellä vastaa, mut et mitä tietoja explorer sille välittää... ei mitään käsitystä.
Jos joku keksii miten toista explorerin vaivasta pääsee eroon, niin vinkkiä vaan.

Pistin vielä varulta ESETin Online skannauksen menemään, kattoo jos se löytää vielä jotain.

Ai niin, konees on Avastin antivirus ja Windows Defender, sit Sygaten palomuuri.

 

kokeiles näitä ohjeita: http://koti.phnet.fi/kar02tu/mato.txt

 

pezkuu: Ei valitettavasti taida olla sama pöpö kysessä, kun toi. Toi on ihka uus, ilmaantunu vasta päivän-parin sisällä. Vastaavaa kohtaa ei löytynnä siis rekisteristä, mistä tossa on puhe.

http://keskustelu.plaza.fi/muropaketti/bbs/t497585,50
http://www.pakkotoisto.com/vbulletin/showthread.php?p=2021162

Jeps, on meillä jo kohtalonsisaria ja veljii.

 

Morjes vaa kakille. Itekki menin lankaa ku hyvä tuttu laitto kyseisen "hei onko tässä sun kuvas....."-jutun. Yks tuttu oli kuulemma ihan avastilla saanu kyseiset pöpöt poistettua. Itse zippasin tehtävien hallinassa sexy.exen ja jonkun Winudspm.com. Tämän jälkeen poistin työpöydältä sen jonkun kuvakkeen ja c-asemalta niitä joitakin ylimääräsiä kuvakkeita, mutta ei se saakelin sexy.exe tai vastaava lähde millään jos joku kyseisen saa vielä poistettua kertokaa täällä miten se tapahtuu.

 

TÄLLÄ LÄHTEE windudspm.exe ja sexy.exe

1. Lataa tästä poistotyökalu ja tallenna se työpöydällesi http://sosvirus.changelog.fr/MSNFix.zip
2. Pura se MSNFix kansioon
3. Avaa kansio ja käynnistä MSNFix.bat
4. Valitse haluamasi kieli ikkunassa näkyvästä listasta kirjoittamalla joku niistä kirjaimista ja paina ENTER. E = englanti
5. Kirjoita seuraavaksi R kirjain ja paina ENTER käynnistääksesi virushaun.
6. Sen jälkeen paina uusiksi ENTER poistaaksesi työkalun löytämät tiedostot.

(laitetaan nyt tähänkin ketjuun kun typerästi pitää olla 2 topicia samalle aiheelle)

musta tuntuu että toi virus vittuilee palomuurille. avast! ollu nyt aktiivisempi kuin koskaan. poistin kaikki pöpöt mitä 2 eri virusohjelmalla löysin ja nyt kun taas ollaan netissä niin löyty 1 pöpö lisää... eli ESTÄÄKÖ TÄMÄ VIRUS PALOMUURIA TÄYSIN TOIMIMASTA POISTONKIN JÄLKEEN?? ja mitä tehdä.
zonealarm ei toimi ollenkaan. kertokaa toinen ilmainen palomuuriohjelma jotta voisin kokeilla estääkö virus sitäkin toimimasta.

 

ei lähtenytkään kuin sexy.com tiedostot (ja mahdolliset ´.dll:t)

joka kerta kun laittaa nettipiuhan kiinni winudspm.exe ilmestyy task manageriin

 

Hyvä kysymys, täällä on tullu pyöritettyä F-Securen ja ESETin Online skanneri ja Normaninkin netistä ladattava poistotyökalu, ja jokainen niistä on löytäny jotain. Ne on ollu piilossa system restoren tai roskakorin kansiossa, et ei edes millään resurssienhallinnalla nähtävissä. En tiiä, oliko ne jo kaikki alun pitäen ton pöpön tullessa, vai miten, mistä niitä sikiää.

Explorer.exe haluaa edelleen nettiin kovasti tohon samaiseen osotteeseen, liekö siellä sit joku IRC-botti vastaamassa, tai herra hakkeri itse ottaakseen koneen lopullisesti haltuun. No, blokkasin sen Sygatella, et ei kiitos ennen kun tietää mikä prosessi sitä explorer.exeä ohjaa. Eli luulisin, ettei noista muutamasta tiedostosta eroon hankkiutumalla siitä lopullisesti eroon pääse.
Mut joo, Sygatea voin kyllä suositella palomuuriksi, vaikka sitä ei enää päivitetä. Se on toiminu kyllä ihan moitteettomasti... paitsi edellisen pöpön aikaan, mikä samutti sen kunnes sain sammutettua sen Winkkarin uudelleenasennuksella. Hitto... toivottavasti ei tarvi sitä tehä.

Katelkaahan muuten ilmaantuuko teille tollanen .dll-tiedosto niin ikään sen sexy.comin lisäksi. Mulla se oli ilmaantunu jokseenkin samaan aikaan kun toi Winudspm.com, se nimi voi olla kans ihan satunnainenkin, mut kuitenkin .dll-tiedosto joka on luotu samaan aikaan kun toi pöpö on iskeny alunperin.

Ja tosiaan mullakin tosiaan Avast tunnisti jonkun pöpön välittömästi kun toi virus tuli, et huroo sille. Tosin se ei ollu ainoa sit.

 

Se on sulla tosiaan .exe-tiedosto eikä .com? Sehän on varsinainen variaattori matopaska. No joo, näkyykö se tehtävienhallinnalla? Näin pitäs olla... Jos on, niin lopeta se sitä kautta, sen jälkeen poista se avain rekisteristä (se suojaa omat rekisteriasetukset niin kauan kun se on aktiivinen), tai sit msconfigilla, ja ruksi asetuksista näkyviin järjestelmätiedostot ja poista se pentele.

 

Voisitteko kertoa onko tuossa mikä ylimääräistä ja puuttuuko jotain oleellista.
Poistin nuista autorun jutuista jotai joiden julkaisia oli microsoft corporation mutta ne näytti epäilyttävilta kun osa oli kiinaksi kirjoitettu ja vuodelta 2002
Käyttikseni on xp

C:\WINDOWS\system32\ctfmon.exe
Alaunch
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"C:\Program Files\Arcade\PCMService.exe"
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\acer\epm\epm-dm.exe
C:\Acer\ePM\ePM.exe boot
C:\Program Files\Acer\eRecovery\Monitor.exe
"C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Launch Manager\QtZgAcer.EXEKHALMNPR.EXE"C:\Program Files\QuickTime\QTTask.exe" -atboottime
"C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
"C:\Program Files\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSWrundll32.exe
"C:\WINDOWS\system32\aiujexht.dll",b
"C:\Program Files\iTunes\iTunesHelper.exe"

 

Minäkin menin "IT-asiantuntijana" saastuttamaan koneeni tällä shaissella. Ainakin minun tapauksessani SDfix-niminen ohjelma tepsi.

 

tuli vaan mieleen että voikohan näihin ohjeisiin luottaa. Aika moni on näköjään newbie statuksella liikenteessä. niin että ei välttämättä kannata sokeasti uskoa kaikkiin ohjeisiin

 

Itselläni pöpö poistui seuraavasti (Win XP):

SDfix.zip

1) lataa ja pura paketti kovalevyllesi
2) käynnistä kone vikasietotilassa
3) aja ohjelma (itselläni kesti n. 30min)
4) ohjelma käynnistää koneen uudelleen normaalisti
5) uudelleenkäynnistyksen jälkeen ohjelma ruksuttaa vielä hetken (minun tapauksessani n. 15min)
6) poista tiedosto c:\sexy.com (ja mahdolliset pöpön luomat kansiot) ja rekisteristä HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control mikäli nämä jämät ovat jäljellä.
7) käynnistä kone uudelleen

 

lisättäköön vielä, että en missään vaiheessa itse löytänyt itse ongelmaa (olkoon se sitten tiedosto, komentojono tai rekisteriavain) joka luo sexy.comin tai edellämainitun rekisteriavaimen. vasta sdfixin jälkeen probleema ei uusiutunut.

 

Näin lähti multa. hyvin yksinkertaisesti maalaisjärjellä

1) tehtävienhallinta päälle, sulje winudspm.exe
2) ÄLÄ MISSÄÄN NIMESSÄ SULJE TEHTÄVIENHALLINTAA
3) tehtävienhallinta yhä päällä poista rekisteristä Windows UDP Control rivi
4) tehtävienhallinta yhä päällä aja virusohjelman quick scan
5) tuhoa pöpöt
6) boottaa

eli jos tehtävienhallinan sulkee tämän prosessin välissä käynnistyy winudspm.exe uudestaan, mutta ei osaa käynnistää itseään jos tehtävienhallintaa ei sulje.

toivottavasti oli apua.

haittapuolena tuli kyllä jotain valitusta ettei mese toimi enää, mut ajattelinkin vaihtaa Mirandaan.

 

minulla kyllä "oman prosessini jälkeen" msn ja muut ohjelmat toimii moitteetta. eikö tämän mainitsemasi prosessin jälkeen c:\sexy.com uusiudu?

 

mesessä tuli ilmoitus internet explorer off-tilassa, ei voi käynnistää messengeriä? en tiedä liittykö edes aiheeseen, kun en tiedä mitä tarkoittaa. en käytä edes IE:ta.

sexy.comit sain pois samalla periaatteella kuin tuon winudspm.exen


EDIT: nyt toimii mesekin kun laittoi IEn on-tilaan.

 

Mullakin toi SDfix tuotti tuloksia! Se löysi vielä yhden troijalaisen ja enää explorer.exe ei yritä päästä minnekkään, elikkäs ongelma näyttäs olevan lopullisesti hoidettu. Varmaankin helpommalla pääsettä, jos käyttättä samantien sitä ilman mitään muita kikkailuja. Tai ajatta sen ihan varmuudeksi lopuksi.

Mistä tulikin mieleeni... tietääkö kukaan kertoa ihan varmaksi poistaako toi SDfix myös ton Winudspm.comin?

 

[off]

hoh hoh, se rankkihan kertoo kaiken käyttäjän tiedoista/taidoista, onhan tässä paikassa x^n1 ihmistä, jotka ovat saaneet esim. member "statuksen" spämmimällä epäoleellista kuraa. Mikä heitä estää neuvomasta metsään?
[/off]

Omasta puolestani kiitokset ohjeista, nämä ainakin auttoivat kaveriani suuresti ongelmien kanssa!

 

Mesestä tuli vieti ``ootko tässä kuvassa`` ja se linkki
virus tuli työpöydälle enkä saa sitä pois.
Norton scannaus löytää sen mutta en voi poistaa sitä.
viruksen nimi W32.spybot.worm

Auttakaa tyhmää!