Miten tää virus lähtee pois?

Auttakaa nyt joku!Koneella on norton antivirus ohjelma ja koneella on nyt virus ollu jo jonkin aikaa mutta kun en osaa sitä poistaa ja kone ei sitä automaattisesti poista,en tiedä miksi.Viruksen nimi on w32.spybot.worm ja peräs lukee että tiedostoa ei voi korjata.Onko tästä paljonkin haittaa koneelle? Kiitos jos joku vaivautu noloa naista auttaa

 

Rauhoitu! Hätä ei ole tämännäköinen!

Hengitäppä nyt ensin

Sitten laita Hijack This-loki, ohjelma: -> http://koti.mbnet.fi/pattaya1/HijackThis.exe
Tallenna hakemistoon c:\hjt\, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

Kopioit siis sen tekstitiedoston missä lukee se loki, ja pastetat tänne.

Skannaa kuitenkin vielä eWidolla:
http://www.ewido.net/en/

Sieltä Free Download ja laita skannaamaan.

 

No niin nyt on harjoteltu hengittämistä ja toi juttu tehty tämmönen hirvee rimpsu sieltä tuli,onko oikee:
Logfile of HijackThis v1.99.1
Scan saved at 23:16:20, on 15.2.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\A-Link\RoadRunner 11 ADSL\CnxDslTb.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\scvhost.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Omistaja\Omat tiedostot\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O1 - Hosts: 204.10.37.254 personal.barclays.co.uk
O1 - Hosts: 204.10.37.254 barclays.co.uk
O1 - Hosts: 204.10.37.254 ibank.barclays.co.uk
O1 - Hosts: 204.10.37.254 www.barclays.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\COMPAQ\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\A-Link\RoadRunner 11 ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\scvhost.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: Norton AntiVirus -ohjelman automaattinen suojaus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

@ SSS

Kyllä, oikea rimpsu tuli

Tästä siis näkee, mitä prosesseja koneellasi pyörii. Sieltä näkee örkit yms.

En kuitenkaan itse vielä tunne näitä logien merkintöjä NIIN hyvin, että osaisin kertoa, mitä fiksata. Noista 01-riveistä en kauheasti pidä...

Älä kuitenkaan SSS tee vielä mitäänn, vaan odota että joku heistä:

http://keskustelu.afterdawn.com/thread_view.cfm/292129

Saa tsekattua lokisi

 

Asia selvä siis odottelenko nyt van jos joku sattuis katsomaan.Mikäs se toinen ohjelma oli? tallennanko vai avaanko sen?

 

Joo odotamme että joku näistä:

http://keskustelu.afterdawn.com/thread_view.cfm/292129

Saa tarkistettua lokin.

Niin tarkoitit varmaan tuota [bold]eWido[/bold]a. Täällä on hyvät ohjeet sille. Seuraa näitä:

http://keskustelu.afterdawn.com/thread_view.cfm/269186

Ja laita se eWdion loki kanssa tänne sitten.

 

No niin tuolla olikin hyvät ohjeet,vähä tyhmempiki käyttäjä osaa iso kiitos sulle.Tartuntoja löytyny tuon ewidon mukaan jo 37 iiik mut lähettelen lisää lokia sitten ku toi on valmis...Jos sitten joku neuvois ettenpäin.

 

No niin tässä tulee nyt rimpsu ewidon skannauksesta
wido anti-malware - Scan report
---------------------------------------------------------

+ Created on: 0:18:24, 16.2.2006
+ Report-Checksum: EAC7F602

+ Scan result:

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\7SUZ2ZXV\xxx[1].exe -> Logger.Banker.aqu : Cleaned with backup
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E61YI366\xxx[1].exe -> Logger.Banker.aqu : Cleaned with backup
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FNV3TDFN\file[1].exe -> Trojan.Delf.ja : Cleaned with backup
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FNV3TDFN\paradise[1].raw -> Proxy.Lager.af : Cleaned with backup
:mozilla.6:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned with backup
:mozilla.22:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup
:mozilla.23:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup
:mozilla.80:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup
:mozilla.81:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup
:mozilla.83:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.84:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned with backup
:mozilla.99:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.100:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Euroclick : Cleaned with backup
:mozilla.103:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Googleadservices : Cleaned with backup
:mozilla.111:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned with backup
:mozilla.115:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Hitbox : Cleaned with backup
:mozilla.116:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Hitbox : Cleaned with backup
:mozilla.119:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Webtrendslive : Cleaned with backup
:mozilla.137:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Hitbox : Cleaned with backup
:mozilla.150:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Casalemedia : Cleaned with backup
:mozilla.151:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Fastclick : Cleaned with backup
:mozilla.152:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.153:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.154:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.155:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
:mozilla.157:C:\Documents and Settings\Omistaja\Application Data\Mozilla\Firefox\Profiles\teo3hs4h.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@2o7[2].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@advertising[1].txt -> TrackingCookie.Advertising : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@symantec.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup
C:\Documents and Settings\Omistaja\Cookies\omistaja@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Cleaned with backup
C:\file.exe -> Trojan.Delf.ja : Cleaned with backup
C:\WINDOWS\system32\msiehelp.exe -> Trojan.Delf.ja : Cleaned with backup
C:\WINDOWS\system32\paradise.raw.exe -> Proxy.Lager.af : Cleaned with backup
C:\xxx.exe -> Logger.Banker.aqu : Cleaned with backup


::Report End

 

Ewidon 37 löydöstä nyt ei meinaa mitään.. Todennäköisesti suurinosa ovat vaan ihan evästeitä. Joten voit hengitellä edelleen rauhallisesti.

 

@SSS
ainakin nuo tracking cokiet(ja nuo muutkin cooki tiedostot) joita tuo ewido löysi,niin häviää kun
lataat hosts zip-paketin tuolta:

http://www.mvps.org/winhelp2002/hosts.zip

ja purat sen sitten esim. c:\hosttemp -hakemistoon ja aja paketista purkautunut mvps.bat.<--- ymmäritkö?
jos ei natsannu,paa viestiä niin neuvotaan lisää ja joku kyllä kattoo sen sun HJT-login joka siitä tietää
Edit: ittellä oli kans toi cookie ongelma ja toi host flu auttoi siihen

 

Kaksi antivirusta käytössä, poista toinen.

Fixaa:

O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\scvhost.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Ja poista vikasietotilassa (F8 käynnistyksen yhteydessä):

C:\WINDOWS\System32\==>scvhost.exe<==
C:\WINDOWS\web\==>related.htm<==

Käynnistä uudelleen ja lähetä uusi HjT-loki.

 

No niin elikkäs ku en mikään tietokone ihminen ole niin noista en ymmärtäny yhtään mitää et jos joku vähä tarkemmin neuvois

 

@SSS
eli avaat hjt:n ja "painat do a system scan only"
sit kun se on skannunu niin ruksit noi kohdat (elikkä ruksi vasemalla rivin edessä olevaan neliöön)ja painat alhaalta vasemmalta
"fix checked" ja siihen mitä se kysyy,niin kyllä.

eli näihin se ruksi eteen
O4 - HKLM\..\Run: [Internet Explorer Helper] C:\WINDOWS\System32\scvhost.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a}-C:\WINDOWS\web\related.htm

kun olet tuon tehnyt,niin käynnistät koneen uudestaan ja "rämpytät" samalla F8..tulee mustalla pohjalla valikko.sieltä meet kohtaan vikasietotila ja paina enter..kun windows käynnistyy,niin etsit nuo kaksi kohdettta ja poistat ne normaalisti
eli oma tietokonen=>c:\=>windows=>system32=> ja etit ton scvhost.exe ja poistat.. sama tole alemalle!

C:\WINDOWS\System32\==>scvhost.exe<==
C:\WINDOWS\web\==>related.htm<==

sit käynnistät koneen uudestaan normaalisti ja laitat uuden hjt-login tänne
helppoa

 

Niin elikkäs avaanko mä ton ewidon? ja sieltä toi do system scan only löytyy`?

 

@SSS
ei ewidoa vaan sen HJT(hijack this):n minkä sillon ihan ensimäisen tänne kirjottamasi viestin jälkeen asensit.. ja sitten seuraat noita edellisiä ohjeita

 

No niin elikkäs oon nyt päässy tohon toiseen poisto kohtaan ton relatedin sain poistettua mutta system32,schost sitä en saanu.tuli eka haluatko siirtää roskakoriin kyllä,ei voi poistaa,käyttö estetty varmista ettei levyke ole täynnä,kirjoitussuojattu ta käytössä. mitäs nytten?

 

@SSS: Huomaa, että se poistettava tiedosto on C:\WINDOWS\System32\scvhost.exe
EIKÄ C:\WINDOWS\System32\svchost.exe!!! Tämä jälkimmäinen tiedosto on Windowsin oma tiedosto eikä Windows anna poistaa sitä.
Yritäpä uudestaan

 

no tollasta sieltä ei löyty ollenkaan.kuinkas nyt sitten?

 

Kyllä sellainen on sun koneessa, kun on kerran aktiivisena muistissa:

Running processes:

C:\WINDOWS\System32\scvhost.exe

Laita piilotiedostot näkyviin, ohje ->
http://keskustelu.afterdawn.com/thread_view.cfm/248944 ja katso, löydätkö nyt. Jos, niin poista se.