Malwarebytes' Anti-Malware 1.34 Tietokantaversio: 1820 Windows 5.1.2600 Service Pack 3 5.3.2009 16:55:57 mbam-log-2009-03-05 (16-55-49).txt Tarkistustyyppi: Täysi tarkistus (C:\|E:\|F:\|) Tarkistetut kohteet: 119994 Kulunut aika: 19 minute(s), 42 second(s) Saastuneita muistiprosesseja: 0 Saastuneita muistimoduuleja: 0 Saastuneita rekisteriavaimia: 0 Saastuneita rekisteriarvoja: 0 Saastuneita rekisterikohteita: 0 Saastuneita hakemistoja: 0 Saastuneita tiedostoja: 14 Saastuneita muistiprosesseja: (Haitallisia kohteita ei löydetty) Saastuneita muistimoduuleja: (Haitallisia kohteita ei löydetty) Saastuneita rekisteriavaimia: (Haitallisia kohteita ei löydetty) Saastuneita rekisteriarvoja: (Haitallisia kohteita ei löydetty) Saastuneita rekisterikohteita: (Haitallisia kohteita ei löydetty) Saastuneita hakemistoja: (Haitallisia kohteita ei löydetty) Saastuneita tiedostoja: C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111317.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111318.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111321.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111322.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111323.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111324.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111325.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111326.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111335.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111336.exe (Trojan.Vundo) -> No action taken. C:\WINDOWS\ServicePackFiles\i386\wextract.exe (Trojan.Vundo) -> No action taken. C:\WINDOWS\$NtServicePackUninstall$\wextract.exe (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\wextract.exe (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\dllcache\wextract.exe (Trojan.Vundo) -> No action taken. _________________________________________________________ Eli tälläistä löytyi koneelta. Ainoa ongelma tuossa on se, että jos noi menee poistamaan, niin kone alkaa herjaamaan, että Service Pack 3 ei toimi vakaasti, koska sieltä on poistettu jotain tärkeää (tai jotain mutta sellaista). Aviran antivir ei löydä mitään ja sama homma Super Antispywarella, mutta Mawarebytes'Anti-malware taas löytää nämä 14 kohdetta. Mitä pitäisi tehdä (vai pitäisikö olla tekemättä mitään)? Kiitos jo etukäteen!
Ja vaikka esim. poistan pikatarkistuksen jälkeen tämän: Saastuneita tiedostoja: C:\WINDOWS\system32\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully. ^ Vaikka tuon poistaa, niin se löytyy heti seuraavasta tarkistuksesta uudestaan, eli siitä ei ole mitään hyötyä... Osaako joku fiksumpi heittää jotain hyvää vinkkiä mitä pitäisi tehdä, ettei koko kone ole kohta solmussa? Muuten poistaisin noi kaikki (14 kpl), mutta sen jälkeen alkaa Windows valittamaan puuttuvia tiedostoja SP3:sta.
tee näin 1. Klikkaa käynnistä > Oma tietokone oikean puoleisella hiiren napilla 2. Valitse ominaisuudet 3. Valitse järjestelmän palauttaminen välilehti 4. Ruksi eteen ¤ poista järjestelmän palauttaminen kaikissa asemissa 5. Paina Käytä 6. Paina ok 7. Sammuta ja käynnistä 8. Ota ruksi pois ¤ poista järjestelmän palauttaminen kaikissa asemissa 9. Käytä ja OK ============== sitten tuo erikoista että herjaa winukan tiedostoja ettei olis koneen exe tiedostot saastuneet.
^ Tein noin, mutta ongelma ei näytä poistuvan... Kokeilin heti tuon jälkeen Malwarebytesin' Anti-Malwarella pikatarkistusta ja se löysi heti tuon saman saastuneen tiedoston. _________________________________________________ Saastuneita tiedostoja: C:\WINDOWS\system32\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully. Näyttäisi siltä, että noi saastuneet tiedostot tuplaantuvat... Malwarebytes' Anti-Malware 1.34 Tietokantaversio: 1820 Windows 5.1.2600 Service Pack 3 5.3.2009 21:11:29 mbam-log-2009-03-05 (21-11-27).txt Tarkistustyyppi: Täysi tarkistus (C:\|) Tarkistetut kohteet: 111750 Kulunut aika: 20 minute(s), 28 second(s) Saastuneita muistiprosesseja: 0 Saastuneita muistimoduuleja: 0 Saastuneita rekisteriavaimia: 0 Saastuneita rekisteriarvoja: 0 Saastuneita rekisterikohteita: 0 Saastuneita hakemistoja: 0 Saastuneita tiedostoja: 30 Saastuneita muistiprosesseja: (Haitallisia kohteita ei löydetty) Saastuneita muistimoduuleja: (Haitallisia kohteita ei löydetty) Saastuneita rekisteriavaimia: (Haitallisia kohteita ei löydetty) Saastuneita rekisteriarvoja: (Haitallisia kohteita ei löydetty) Saastuneita rekisterikohteita: (Haitallisia kohteita ei löydetty) Saastuneita hakemistoja: (Haitallisia kohteita ei löydetty) Saastuneita tiedostoja: C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111317.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111318.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111321.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111322.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111323.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111324.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111325.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111326.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111335.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111336.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111400.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111401.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111402.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111403.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111431.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111398.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111399.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111412.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111413.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111417.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111418.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111430.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111440.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111441.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111443.exe (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP788\A0111444.exe (Trojan.Vundo) -> No action taken. C:\WINDOWS\ServicePackFiles\i386\wextract.exe (Trojan.Vundo) -> No action taken. C:\WINDOWS\$NtServicePackUninstall$\wextract.exe (Trojan.Vundo) -> No action taken. Tein juuri ennen tuota vinkkiä uuden (täyden) tarkistuksen ja tuossa tulos... Hitto kun noita ei voi tarkistuksen jälkeen suoraan vain poistaa...
Toi ongelma on nyt poistunut vähän niin kuin "itsestään"? a) Malwarebytesiltä tuli uusin päivitys tunti sitten ja latasin sen. Päivityksen jälkeen ohjelma ei enää löytänytkään outoja matoja koneeltani. b) Poistin tosin sen C:\WINDOWS\system32\wextract.exe (Trojan.Vundo) tiedoston taas kerran, mutta tälläpä kertaa tuhosin kohteen samantien myös "karanteenista"! En tiedä oliko noilla kummallakaan osuutta asiaan, mutta nyt Malwarebytes ei löydä enää yhtään saastunuttta kohdetta. Todella outoa.
Skannasin vielä Aviran Antivirilla läpi ja se löysi tuollaisia... Kannattaako edelleen tehdä toi Hujon vinkkaama neuvo vai onko kaikki ok? Avira AntiVir Personal Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP1\A0000002.exe [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was moved to '49e05a7e.qua'! C:\System Volume Information\_restore{C9D7FA55-4C5A-425A-AB06-B0A67CAA6D40}\RP1\A0000007.exe [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was moved to '49e05a83.qua'! C:\WINDOWS\system32\drivers\dtscsi.sys [WARNING] The file could not be opened! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! C:\WINDOWS\system32\drivers\sptd3821.sys [WARNING] The file could not be opened!
Noi winukan omat oli AIKOJA sitten tänään huomattu väärinä positiivisina! Löytyykö lainausboksissa olevat filut sulta koneella enään?
Ne löytyvät noista paikoista, mutta muodossa: wextract.exe 64kt sovellus Eli sellainen tiedostojen purkaminen logo tuon filun edessä... (win32 Cab-tiedostojen purkaminen). Eli onko toi OK, vai pitäisikö niiden olla "normaaleita" .exe tiedostoja? Ainakaan Windows ei ole vielä herjannut mitään virheistä tai mistään muusta sellaisesta. Niin ja toi viimeinen filu köytyy paikasta C:\WINDOWS\system32\wextract.exe (Eli tuollaista dllcache -kansiota ei edes löytynyt...) Eli multa löytyy koneelta tasan kolme kappaletta noita Wextrack.exe tiedostoja... Dllcache-kansioita ei ole.
Niin tyhjennä se restore Jos winukka toimii niin hyvä sitten. eihän toi winukka hevillä luovu omistaan
Niin eli se sama homma minkä aluksi neuvoitkin? Eli sieltä järjestelmän palauttamisesta ruksi pois jne...? Eli onko noi mun Wextract.exe filut niin kuin pitääkin? Voiko joku vaikka tarkistaa omastaan onko ne täysin samassa muodossa siellä kun mullakin? Etten vain poistanut mitään Malwarebytesin sekoilun takia mitään tärkeää... (olen tuossa ylempänä selvittänyt monta ja missä muodossa nuo extract filet löytyy mun Windowsista). Niin ja kiitos kaikille avusta!
ma ajoin tuolla ohjelmalla koneen lävitse ja mulla ei herjannut noita vundona mutta katotaas .. onkos sun käyttis xp home edition Pikasesti hajettuna Nuo löytyy C:\WINDOWS\system32\wextract.exe C:\WINDOWS\ServicePackFiles\i386\wextract.exe
Ok. Eli onko ne samassa "muodossakin" kun mulla, eli sellainen tiedostojen purkaminen logo tuon filun edessä...?? (win32 Cab-tiedostojen purkaminen "logo") Siis sellainen tiedoston kuva, jonka edessä avattu keltainen pahvilaatikko. heh! Sulla on siis yksi tuollainen wextract.exe vähemmän kun mulla... No, ehkäpä kaikki on ihan kondiksessa. Kiitos!
Ok. Kiitos arvon Hujo. BytheWay, kannattaako toi varmuuskopio olla edes "päällä"? Eli voiko sen ruksin laittaa siihen "Poista järjestelmän palauttaminen käytöstä kaikissa asemissa", jos siitä ei ole kuin harmia? Samalla voisi kysyä kannattaako tuota "etäjärjestelmä välilehdestä" löytyvää etätuki ruksia pitää päällä, jos ei moista edes käytä koskaan?
Eieiei, älä missään tapauksessa ota sitä järjestelmän palautustoimintoa pois käytöstä, se on nimittäin lähes ainoa keino saada kone takaisin toimintaan jos jokin menee pahasti vituilleen. Silloin tällöin (ehkä kerran kuukaudessa) kyllä voit sen tyhjentää mikäli koneesi toimii normaalisti. Ja käyttiksen tehdessä palautuspisteitä ne kaikkein aikaisimmat pisteet tuhotaan uusien tieltä, mikäli niille p.pisteille määritetyn levytilan koko alkaa täyttymään.
Ok! Kiitän. Ja seuraa vielä lisäkysymys; Miten tuon järjestelmän palauttamisen voi tehdä, jos hommat menee puihin todella pahasti? Onko siihen jokin nopea muutaman napin painallus ohje? Palauttaako kone järjestelmän totaalisesti takaisin, eli jos vaikka poistaa jotain tärkeitä ajureita vahingossa ja haluaa ne takaisin, niin kannattaako järjestelmän palauttamista käyttää tälläiseen? Entäpä viruksen saastuttamaan koneeseen? Saako sillä koneen takaisin "puhtaaksi", eli samanlaiseksi ennen kuin nuo virukset ovat latautuneet koneelle?
Ongelmien ilmetessä, palauta järjestelmä toimivaan palautuspisteeseen Ja pari muuta linkkiä joista voi olla apua/hyötyä (kieli englanniksi) http://www.microsoft.com/windowsxp/using/helpandsupport/learnmore/systemrestore.mspx http://en.wikipedia.org/wiki/System_Restore Pääsääntönä on siis se, että koneen saastuessa aina ensin se kone yritetään putsata viruksista, vaikka esim. tämän foorumin avulla. Mutta tilanteen ollessa todella paha (esim. mikään skanneri ei asennu millään tavalla kokeiltuna), voidaan tuota järjestelmän palautusta kokeilla (tosin niin pahassa tilanteessa ei sekään enää välttämättä suostu toimimaan viruksen estäessä tuon toiminnon). Ja tuossa linkeissä onkin mainittu joitakin tiedostotyyppejä joihin järj.palautus ei vaikuta millään tavalla, ja ne virukset saattavat lymytä juuri niissä kyseisissä tiedostotyypeissä...
