Elikkäs tällainen mokoma on koneelle putkahtanut, ja antivir varoittaa tiedostosta löytyneestä troijalaisesta vähän väliä. Tiedosto on kuitenkin kokoajan käytössä, eli sen nimeä ei voi muuttaa tai sitä ei voi poistaa. Myöskään karanteenit, käytönestot yms eivät auta. Olisi mukava päästä moisesta riesasta eroon.
Tee tollatti (ohjeet loen laittoon kohdasta 2.) -> http://keskustelu.afterdawn.com/thread_view.cfm/316714 ja logi tänne.
tässä olis: Logfile of HijackThis v1.99.1 Scan saved at 16:28:08, on 6.5.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\VIAudioi\SBADeck\ADeck.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\System32\vtuts.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: vtuts - C:\WINDOWS\SYSTEM32\vtuts.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\icntrl.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
1. Avaa HjT-> [bold]Do a system scan only[/bold] -> Merkkaa seuraavat: O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\System32\vtuts.dll Paina [bold]fix checked[/bold] 2. [bold]Poista:[/bold] C:\WINDOWS\System32\==>vtuts.dll<== [bold]Huom![/bold] Jos ei lähde niin, käynnistä kone vikasietotilaan näpyttämällä F8 käynnistyksen yhteydessä ja valitset vikasietotilan.
@Marku2: Hyvä yritys, mutta ei lähde Vundo tuolla @suoliis: Hae VundoFix.exe -> http://www.atribune.org/ccount/click.php?id=4 ja tallenna työpöydälle [*]Tuplaklikkaa VundoFix.exe [*]Klikkaa Scan for Vundo [*]Kun skanni on valmis, klikkaa Remove Vundo -nappulaa [*]Kun kysytään, haluatko poistaa tiedostot, vastaa YES [*]Kun klikkaat yes, työpöytä häviää, kun Vundon poisto alkaa. [*]Kun se on valmis, fixi ilmoittaa, että kone sammutetaan. Klikkaa ok. [*]Käynnistä kone uudelleen [*]Lähetä C:\vundofix.txt-tiedoston sisältö ja uusi HiJackThis-loki.
Joiduin hieman kikkailemaan tuon kanssa. Vundofixi ei vain suostunut pelittämään kunnolla ja rekisteriin ilmeistyi aina sen käynnistys uudestaan. Minulla onnistui poistaminen niinkin yksinkertaisesti (loppujen lopuksi) että otin kaikki muut oikat siltä tiedostolta paitsi kirjoituksen. Ihan kaikilta, eli kukaan ei saanut kuin kirjoittaa siihen. Ei adminit ei systeemi jne. Sen jälkeen käynnistin koneen ja dellin filut + rekisteri merkinnät. Eli qtutv.inf ja vtutq.dll system32 hakemistossa + rekisteri viittaukset niihin. Lähti.
Jaahas, tämä oli uusi tapa mulle Poisto olisi käynyt näinkin, jos vundofix ei pelitä: 1. Lataa http://download.bleepingcomputer.com/sUBs/combofix.exe työpöydällesi. 2. Mene käynnistä -> suorita. Kirjoita boksiin tämä ja klikkaa ok "%userprofile%\desktop\combofix.exe" /v vtutq 3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi. 4. Käynnistä uudelleen Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen
