Messengerin kautta levinnyt virus. Apuja kaivataan

Liittyyköhän tohon samaan virukseen se että kun käytän internet explorelia niin tulee aina joku turva pc mainos. Miksi muuten ie ei poistu koneelta vaikka poistin sen sovellusten poistoon erikoistuneella ohjelmalla ja sen jälkeen vielä buuttasin koneen.

Kun menen käynnistä -> kaikki ohjelmat -> windows updater sivusto niin ie aukeaa ja tulee että et voi jatkaa koska joku seuraavista jutskista ei ole päällä ja yksi listalta on juuri tuo updater. Voiko updaterin ensiksi poistaa ja sitten asentaa jostain uudelleen?

 

Minäkin sain vastaavan linkin "oletko sinä tässä kuvassa ?", painoin sitä ja tiedosto tallentui omiin tiedostoihin. Koitin tyhmänä tietenkin avata sitä ja sitten ymmärsin tulleeni höpläytetyksi. Poistin tiedoston välittömästi, ja se onnistuikin moitteetta. Sen jälkeen vaihdoin sähköpostini salasanan, ja poistin koko meseni koneelta.

Minä sain poistettua winudspm:n ja sexy.exen koneeltani. sexy.exe palautui aina takaisin, mutta ajettuani SDfixin, sekin ogelma poistui.
Varsinkin tuon winudspm:n poistettua häipyi kymmenien uusiutuvien mömmöjen ongelma. Luulen että tuo winudspm on pahin, joka luo koko ajan uusia dll tiedostoja C: aseman kansioihin. kirjoitin ylös muutamia:

-efcBsRhi.dll
-LjJAqPhE.dll
-trz1C.tmp
-xxywTJYQ.dll
-hgGxUkJY.dll
-getBtSLFv.dll

Kaikista dll/tmp -tiedostoista Avast löysi Win32:VunDropin.


Sexy.exe jäi loisimaan C:n juurelle ja loi mukanaan pari muuta exe, ja dll tiedostoa.
Poistin rekisteristä winudspm:n ja sexy.comin. silti tuo explorer.exe koittaa tivata pääsyä siihen kummalliseen osoitteeseen.

En onnistunut suorittamaan SDfixiä vikasietotilassa. Ajoin sen normaalisti normaalitilassa.

Ongelmani siis on, että mentyäni vikasietotilaan, vasemmassa yläkulmassa vilkkuu pelkkä kursori. Näppäimistö ei toimi, vaikka olenkin asettanut BIOSeista USB-tuen. Jätettyäni sen 10 sekuntia vikasietotilan vilkkumaan, näyttö menee mustaksi ja seuraava vaithoehto on käynnistää kone uudelleen. Mitä tein väärin?

Toivottavasti keksitte keinon miten tuon explore.exen saa kuriin!
Minulla toimii päivitykset (ainakin eilen toimi).

Olen ajanut läpi seuraavat ohjelmat: Avast, Ad-Aware, Spybot, CCleaner, SuperAntispyware. Kaikki nuo löysivät jotain ennen sexyjen ja winudspm:n poistoa. Sen jälkeen Spybot ja ad-aware löysivät muutamia haittaohjelmia.


Tässä HJT-lokini:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:24, on 29.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VDOTool\TBPanel.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1035
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 7038 bytes

 

eikö se sitten pyydä sua asentaa jotain? klikkasin jotain siltä sivulta ja mitä ilmeisemmin se päivitti update ajurit läes automaattisesti.

EDIT: mainittakoon vielä että tähän virukseen tarvitaan tehokkaampaa palomuuria kuin windowsin oma eli suosittelen heti kun olet saanut winudspm.exen vittuun rekisteristä niin asentaa palomuuriohjelman kuten firealarmin.

 

Huhh! Olipas lähellä.

Olin jo klikannut linkistä mutta sitten älysin että siinä oli jotain outoa.. Sitten katsoin täältä ja suljin nopeasti välilehden..

Ei ehtinyt tämä tarttua minulle. Pitää kuitenkin olla vähän varovaisempi mesessä kun tämmöisiäkin on nykyään niin paljon.

 

Mun kohdalla ei ole tapahtunut ainakaan mitään näkyviä muutoksia koneen toiminnassa sen jälkeen kun klikkasin sitä mesen linkkiä. Prosesseihin ja käynnistysohjelmiin vain ilmaantui winudpmgr.exe, jonka poistin käytöstä kummassakin paikassa. Eikä ole sen jälkeen ollut mitään ongelmia, ainakaan tähän mennessä. Ei ole mitään sexy.com-tiedostojakaan yms. näkynyt...

 

circlen ja eso19 nimimerkkien ohjeita käyttäen, itsellä lähti myös tuo pöpö pois. Kiitoksia vaan.

päivitykset pelaa, mese ei sendaile enää jne jne.

Full scannin ajoin vielä avastilla tämän jälkeen.

 

tuleeko teillä samanlaine juttu?

 

mullekkin tuli toi viirus ja aviran viirusten skannauksella skannasin ja
löyty 10 matoo ja pari troijalaista.. helpoin tapa päästä kaikista viiruksista ja sun muusta paskasta eroon on formatoida koko kone ja asentaa wintoosa uudelleen..

 

Todellakin über kiitokset kaikille, jotka neuvoivat viruksen savustamisessa autuaammille mehtästysmaille. Spesial tänxit BlasterM:lle, you're da man!

 

Mulla toi explorer.exe vinkuu vieläkin http.xn--mg-kka.com:iin.
Oon pyörittänyt läpi kaikenmaailman ohjelmat ja yrittänyt googlata lisää tietoa tuosta viruksesta, mutta mistään ei ole löytynyt sen enempää apua.

Latasin tänään vielä Malwarebytes' Anti-Malwarenja se löysi yhden trojan agentin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

käynnistin koneen uudelleen ja jälleen tuo explorer.exe yrittää sinne osoitteeseen.

Laitoin uudestaan tuon Malwarebytesin pyörimään (full scan) ja jälleen tämä löysi sen saman trojan agentin samasta paikasta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.


koneestani siis olen onnistunut poistamaan sexy.exet/comit sekä winusdpm:t. Mikä neuvoksi? en tiedä yhtään mitä tässä tekis

 

start -> run -> regedit
h_key_local_machine/software/microsoft/windows/currentversion/run/windows udp control

löytyykö tuollainen? jos löytyy. poista. aja quick virus scan. ja boot.

jos ei löydy ja silti jatkaa explorer.exe nettiin menoa niin enpä taida osaa sanoa. mä sain oman viruksen pois toimimalla ripeästi joten en osaa sanoa mitä se on kehitelly tähän päivään mennessä.

 

Juu eipä löydy tuota. Sain viruksen koneelleni illalla 27.05. Seuraavana päivänä sain pois nuo kriittisimmät mömmöt (winusdpm.exe ja sexy.exe)
Sen jälkeen ei ole ollut muita ongelmia, kuin tuo explorer.exen yrittäminen http.xn--mg-kka.com:iin.
Plus tuon Trojan agentin uusiutuminen.

Täällä näytetään olevan samassa ongelmatilanteessa:
http://keskustelu.afterdawn.com/thread_view.cfm/668237

 

Tuo on vähän turhan mielenkiintoinen mato. Eli minullakin tuo sexy oli, mutta winusdpm ei ole näkynyt. virusskannerit väittävät puhtaaksi, mutta silti resurssienhallinta yrittää tuonne osoitteeseen.

h_key_local_machine/software/microsoft/windows/currentversion/run/windows udp control
^- tuo oli, mutta poistin sen kuten ketjussa ehdotettiin. Poistui kiltisti eikä tullut takaisin, mutta ongelma ei poistunut.

 

mutta poistitko missään vaiheessa tuolta rekisteristä tuollaista windows udp control riviä ?

 

Täällä taas kone valittaaa käynnistyessä tuosta winudspm:stä, kysyy, että sallitaanko sen suorittaminen, aina vastattu ei, eikä tehtävienhallinnassa mitään sen nimistä prosessia sitten ole. Eli ei mitään tuhoa saa aikaiseksi vai? Olisi kiva päästä kuitenkin eroon tosta. Niin monta eri neuvoa lukenut, mikä se paras nyt on?

 

Kyllä, olen poistanut sen jo eilen. se ei enää vaivaa.
Toisessa viestiketjussa (missä on sama ongelma kyseessä), kehotettiin fixaamaan HJT:lla tällainen rivi:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Minulla näkyy se sama HJT-lokissani. Mahtaako tuon poistamisesta olla hyötyä?

 

Hmm... Tännekin onnistui tuo virus yrittämään, Avira tosin esti sen täysin (irc.bot.jotain quearantine), mutta on pakko vielä katsoa löytääkö Avira/Superantispyware mitään. Huvittavan huonoja virusohjelmia ilmeisesti, kun jotkut eivät edes tunnista tuota.

 

Huomio!

Poistettuani HJT:llä rivin:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

explorer.exe rauhoittui, eikä enää ole yrittänyt päästä nettiin.

Eli kaikinpuolin pitäisi kaikki olla kondiksessa?

 

Mistä sen huomaa, jos explorer.exe yrittää ottaa yhteyttä koneesta ulos? Vaivaa pieni epäluulo, koska muuten ollut samat ongelmat kuin muilla...