Win32.banker.fs trojan.spyagent.da hyökkäsi.

Otsikon mukainen virus hyökkäsi.
Ilmeisesti sain madon pois, mutta virus jätti jälkensä
Taustakuvaa ei pysty vaihtamaan eikä tehtävien hallintaa pysty katsomaan. Ilmoittaa vain että järjestelmänvalvoja on poistanut tehtävienhallinnan käytöstä.
Pystyykö kukaan jelppimään?

 

Moro

Lataa Malwarebytes' Anti-Malware työpöydällesi.

* Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
* Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta.
* Jos päivitys löytyy. ohjelma lataa ja asentaa uusimman version.
* Kun ohjelma on latautunut, valitse Suorita täysi tarkistus ja klikkaa Tarkista.
* Kun skanni on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.
* Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.
* Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös
täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
* Lähetä lokin sisältö seuraavassa viestissäsi.

 

Moi! En tiedä onko tämä oikea loki..

a-squared Anti-Malware - Version 4.0
Last update: 16.11.2008 20:57:23

Scan settings:

Objects: Memory, Traces, Cookies, C:\, D:\
Scan archives: On
Heuristics: On
ADS Scan: On

Scan start: 16.11.2008 20:57:42

[1768] C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\ieobj.dll detected: Hoax.Win32.Renos.awm!IK
[3988] C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\ieobj.dll detected: Hoax.Win32.Renos.awm!IK
C:\Documents and Settings\Järjestelmänvalvoja\Local Settings\Temp\ieobj.dll detected: Hoax.Win32.Renos.awm!IK
C:\System Volume Information\_restore{3FF3AB9A-DC99-46FE-9C64-5079A65C86E6}\RP298\A0028459.sys detected: Backdoor.WinNT.Rustock.E!IK
C:\System Volume Information\_restore{3FF3AB9A-DC99-46FE-9C64-5079A65C86E6}\RP301\A0029521.dll detected: Adware.Win32.AskJeeves.e!A2

Scanned

Files: 153443
Traces: 446685
Cookies: 175
Processes: 49

Found

Files: 3
Traces: 0
Cookies: 0
Processes: 2
Registry keys: 0

Scan end: 16.11.2008 21:58:12
Scan time: 1:00:30

C:\System Volume Information\_restore{3FF3AB9A-DC99-46FE-9C64-5079A65C86E6}\RP301\A0029521.dll Deleted Adware.Win32.AskJeeves.e!A2
C:\System Volume Information\_restore{3FF3AB9A-DC99-46FE-9C64-5079A65C86E6}\RP298\A0028459.sys Deleted Backdoor.WinNT.Rustock.E!IK
[1768] C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\ieobj.dll Deleted Hoax.Win32.Renos.awm!IK
[3988] C:\DOCUME~1\JRJEST~1\LOCALS~1\Temp\ieobj.dll Deleted Hoax.Win32.Renos.awm!IK
C:\Documents and Settings\Järjestelmänvalvoja\Local Settings\Temp\ieobj.dll Deleted Hoax.Win32.Renos.awm!IK

Deleted

Files: 3
Traces: 0
Cookies: 0

 

Eipä sattunut oikea logi.

Avaa Malwarebytes' ja klikkaa välilehteä Lokit ja sieltä valitse ja se aukeaa muistioon. Kopioi se viestissä tänne.

Jos se jotain löysi, tyhjennä myös karanteeni osasto.

 

tommonen loki löytyi.

Malwarebytes' Anti-Malware 1.30
Tietokantaversio: 1437
Windows 5.1.2600 Service Pack 3

30.11.2008 19:52:07
mbam-log-2008-11-30 (19-52-07).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 169837
Kulunut aika: 1 hour(s), 4 minute(s), 56 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 1
Saastuneita rekisteriavaimia: 10
Saastuneita rekisteriarvoja: 14
Saastuneita rekisterikohteita: 7
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 13

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
C:\Documents and Settings\Järjestelmänvalvoja\Local Settings\Temp\ieobj.dll (Trojan.FakeAlert) -> Delete on reboot.

Saastuneita rekisteriavaimia:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b3b010a1-a877-4cd7-bab5-9ee8f9965e20} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b3b010a1-a877-4cd7-bab5-9ee8f9965e20} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{df16c60e-f85b-4459-86ae-4977656339ec} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3e6201fa-02dd-4a0b-8699-1328e0602314} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b3b010a1-a877-4cd7-bab5-9ee8f9965e20} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\windowsupdate.windowsupdate (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\windowsupdate.windowsupdate.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{020487cc-fc04-4b1e-863f-d9801796230b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UninstallSXS (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ssnipe (Rogue.SpySnipe) -> Quarantined and deleted successfully.

Saastuneita rekisteriarvoja:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\updatewin (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\updatewin (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{020487cc-fc04-4b1e-863f-d9801796230b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{24e31ea9-fce2-404f-bd80-20543565d946} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runsql (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdmon (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.

Saastuneita rekisterikohteita:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
C:\Documents and Settings\Järjestelmänvalvoja\Local Settings\Temp\ieobj.dll (Trojan.BHO.H) -> Delete on reboot.
C:\WINDOWS\system32\adsnwj.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\System Volume Information\_restore{3FF3AB9A-DC99-46FE-9C64-5079A65C86E6}\RP301\A0029522.exe (Rogue.SpySnipe) -> Quarantined and deleted successfully.
C:\WINDOWS\runsql.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\vlc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\wdmon.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\winxplogon.sys (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\U.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Järjestelmänvalvoja\Local

Settings\Temp\60325cahp25ca0.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Järjestelmänvalvoja\Local Settings\Temp\60325cahp25car.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\config.cfg (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Järjestelmänvalvoja\Application Data\~tmp.html (Malware.Trace) -> Quarantined and deleted successfully.

kaikki ilmeisesti saatin pois... tässä uudestaan ajettu..
Malwarebytes' Anti-Malware 1.30
Tietokantaversio: 1437
Windows 5.1.2600 Service Pack 3

30.11.2008 21:21:37
mbam-log-2008-11-30 (21-21-37).txt

Tarkistustyyppi: Täysi tarkistus (C:\|D:\|)
Tarkistetut kohteet: 170822
Kulunut aika: 1 hour(s), 10 minute(s), 5 second(s)

Saastuneita muistiprosesseja: 0
Saastuneita muistimoduuleja: 0
Saastuneita rekisteriavaimia: 0
Saastuneita rekisteriarvoja: 0
Saastuneita rekisterikohteita: 0
Saastuneita hakemistoja: 0
Saastuneita tiedostoja: 0

Saastuneita muistiprosesseja:
(Haitallisia kohteita ei löydetty)

Saastuneita muistimoduuleja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriavaimia:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisteriarvoja:
(Haitallisia kohteita ei löydetty)

Saastuneita rekisterikohteita:
(Haitallisia kohteita ei löydetty)

Saastuneita hakemistoja:
(Haitallisia kohteita ei löydetty)

Saastuneita tiedostoja:
(Haitallisia kohteita ei löydetty)

 

No ratkesiko ongelma? Ite nimittäin sain saman viruksen. Malwarebytes' Anti-Malwarea en vielä kokeillut, katsotaan mitä F-Securen skanni sanoo. Iteltä löytyy myös Spybot Search&Destroy ja Ad-Aware. Onko näistä apua?

 

Aja sinäkin vain tuo malwarebytes. Näyttihän tuo lähteneen sillä

Postaa loki sit tähän samaan ketjuun ja tee noiden ohjeiden mukaisesti

 

Päivittäkää ensin Malwarebytes' Anti-Malware sitten täysi scannaus.

 

F-Secure ja Ad-Aware eivät muistaakseni löytäneet mitään, Spybotti löysi. Putsauksen jälkeen Tehtävien hallintaan pääsee, mutta taustakuvaa ei voi vieläkään vaihtaa.
Kokeilin tämän jälkeen Spyware doctoria, se löysi kaikenlaista backdooria yms muuta jänskää. Päädyin koneen uudelleen asennukseen, kun se oli tarkoitus muutenkin tehdä lähiaikoina.

 

Malware korjasi kaikki ongelmat koneessa. Just nuo taustakuva yms. muut härdellit.

 

Päivitä malware ja aja se vielä uudelleen josset ole hujon ohjeesta sitä vielä tehnyt