Virus koneessani

tälläinen viirus on koneellani ja kysyisin miten saisin poistettua sen?

Name: PFV-Exploit
Alias: WMF, Exploit.Win32.IMG-WMF, Exploit.Win32.Agent.r, Trojan-Downloader.Win32.Agent.acd
Category: Virus
Platform: Win32

Kun tarkastelen viiruksen tietoja niin..näyttää viirus olevan ja sinisellä on teksti Trojan-Downloader.Win32.Agent.acd Käytän f-secure viirusohjelmaa... viirusohjelma on nimennyt sen uudelleen ja sijainti on C:/PROGRAM FILE.../OPR11BII.WMF

Viirus on poistanut näytöltäni kaikki pikakuvakkeet ja käynnistä valikon. Tiedostoihin pääsen käsiksi painamalla ctrl+alt+delete ja siitä aukeaa tehtävienhallinta.!!!!!!

 

En missään nimessä formatois ennenkun joku Ratnunter, Kemisti, Axel jne. pro-fixaaja olisi kokeillut koneesi puhdistamista.

 

Teit uudeleen asennuksen jo?
http://keskustelu.afterdawn.com/thread_view.cfm/328610

Päiviykset kunnossa?
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fi

Ajas Escan lue ohjeet kunnolla....
http://koti.mbnet.fi/pattaya1/escanmwav.htm

Edit:
Mikä estää lataamasta SP2.sta?

 

@NUIJJA: Virus itsessään voi estää SP2:sen lataamisen, yhden rekisteriavaimen arvon muuttaminen riittää

@stafero:

Laita HjT-loki, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

 

@-kemisti-
Ok noinhan sen ajattelin, oli ensin tossa editissä poistin.
Mutta tarkoitin vain yleensä syitä "joku sanoi että pa..a, ei kannata", mahdollisesti pakettikone vaatis valmistajan sivujen kautta fiksailua.

 

@NUIJJA: En nyt ihan ymmärtänyt, mutta jos winukka pitää asentaa uusiksi, niin se voi vaatia pakettikoneilla erikoisjärjestelyjä.

 

@-kemisti-
"Jos ja kun saat koneesi puhtaaksi, mikä estää lataamasta SP2.sta?"
Tuo oli alun perin mutta poistin tuon alku osan enen edittiä.

Joihinkin vanhempiin pakettikoneisiin on täytynyt hakea korjaus paketti valmistajalta ennen SP2.en asennusta.

Varmaan samaa mieltä että sp2 kanattaa kuitenkin asentaa.
Noh katsellaan ensin mitä stafero@ saa aikaiseksi, jos sitten lisä neuvvoa.

 

@NUIJJA: Juu olen samaa mieltä ja tiedän tuon korjausjutunkin

 

Logfile of HijackThis v1.99.1
Scan saved at 14:07:41, on 15.4.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\FSPC\fspc.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\internet\Opera\Opera.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.phnet.fi:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\internet\SPYBOT~1\SDHelper.dll
O3 - Toolbar: HP-näkymä - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\multimedia\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Tomppa\Omat tiedostot\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\multimedia\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BackupNotify] C:\Program Files\multimedia\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Documents and Settings\Tomppa\Omat tiedostot\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Näytä &Web-sivuluettelo... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Keskeytä Web-sivujen suodatus - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Kiellä tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Salli tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure Internet Security\FSPC\fspcmsie.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: F-Secure Internet Security 2005 OEM (BackWeb Plug-in - 1245240) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

ja öö...mikä toi sp2 on? tai mistä sen sais haettuu.???

 

Info...
http://www.microsoft.com/finland/products/windowsxp/sp2/default.mspx
Saat sen tuolta windows updatesta.
Lue ensin tämä..
http://www.microsoft.com/finland/products/windowsxp/sp2/sp2/sp2_whattoknow.mspx

Ennenkuin haeskelet/latailet SP2.ta, odotas että -kemisti-@ tarkastaa tuon logisi.

 

Loki on puhdas. Tosin kaksi virustorjuntaa, antivir ja f-secure. Poista toinen.

SP2 = Service Pack 2. Sen saa windows updatesta

Kokeiles tätä tohon käynnistä-valikko-juttuun:

Hae -> http://www.kellys-korner-xp.com/regs_edits/startmenuenable.reg
ja tallenna työpöydälle. Tuplaklikkaa, paina kyllä ja ok. Käynnistä uudelleen. Auttoiko?

 

edit: kerkesivät kele...

 

ei toimi explorer eikä kone anna ladata sitä....
ei saa myöskään haettua SP2 kun ei ole explorer koneella, niin ei suosto aloittamaan latausta.
en saanut auki tuota osoitetta http://www.kellys-korner-xp.com/regs_edits/startmenuenable.reg

 

ööö..niin tota taitaa olla sellai virus että on melkee pakko formatoida kone..mitäs sä olisit mieltä? ja mistä pääsen tän formatoimaa sitte???? tai sanoisit eka mitä mun kanttis tehä...??

 

Tehtävienhallinta/ Sovellukset/ Uusi tehtävä/ Selaa/ C:\ Program Files\ kansio Internet Explorer\ iexplore.exe"

Koita uudestaan tuota -kemisti-@ antamaa linkkiä.
http://www.kellys-korner-xp.com/regs_edits/startmenuenable.reg

Sitten tuonne.
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fi

 

Scannaa kone http://koti.mbnet.fi/pattaya1/escanmwav.htm ja sen jälkeen http://www.ewido.net/en/

Puhdista windows turhista tempeistä ja kekseistä http://www.ccleaner.com/

Scannausten jälkeen päivitä windows

 

Tehtävienhallinta/ Sovellukset/ Uusi tehtävä/ Selaa/ C:\ Program Files\ kansio Internet Explorer\ iexplore.exe" oon jo satakertaa koittanu aikasemminki avata tota....mut se ei vaan ala avaamaa tota exploreria... ja toi kemistin antama linkki on siis sellai et tulee vaa tekstii ni mihin mä ne tekstit laitan :S mut joo yritän tota skannausta...olisko -kemistillä- neuvoja???

 

Klikkaa linkkiä -> http://www.kellys-korner-xp.com/regs_edits/startmenuenable.reg hiiren oikealla ja valitse tallenna kohde nimellä tms. Älä siis vasemmalla.

 

noniin...joo sain tehtyy toimimaa ton sun juttus ja sit uudelleen käynnistin koneen, mutta ei mitään ollut tapahtunut. Tein myös skannauksen ja siitä näky yks virus löytyvän ja sitte siin lopussa painoin ok ja ei sekään muuttanu asiaa. Että olisko viel jotai mil sais tän koneen normaaliks???