Messengerin kautta levinnyt virus. Apuja kaivataan

Klikkasin samaista "onks tää sun kuva? http://jokusaitti.jne?mese@osoite.jne" uteliaisuuttani. Kaspersky blokkasi madon kolmeen kertaan ja näyttää olevan sillä selvä. Oisin toivonut hieman enemmän yritystä virustehtailijoilta. =) Sinänsä fiksusti suunniteltu "houkutin", moni varmasti meni halpaan.

 

Jos koneelta löytyy tiedosto/prosessi service.exe ja/tai explorer.exe yrittää yhteyttä ulospäin


- Järjestelmän palautus pois päältä
- Lopeta service.exe -prosessi (Task Manager)
- Tuhoa seuraavat tiedostot ja rekisteriarvo:

C:\bot.exe
C:\WINDOWS\service.exe (piilotiedosto)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows svchost (service.exe)

Todennäköisesti explorer.exe -prosessi yrittää vielä yhteyttä ulospäin

- Käynnistä Command Prompt (cmd.exe) ja syötä seuraavat komennot:

taskkill /f /im explorer.exe
cd \
attrib -r -a -s -h recycler /s /d
cd recycler
cd TAB (TAB=tabulaattori -> selaa hakemistoja, jos useita hakemistoja, niin käy kaikki läpi)
del ise32.exe (voi olla useitakin .exe -tiedostoja ja eri nimellä - kaikki pois)
cd \
attrib +r +a +s +h recycler /s /d
explorer
exit

// EN OTA MITÄÄN VASTUUTA JOS JOKIN POSSAHTAA, JOTEN NAPSIKAA VARMUUSKOPIOT TALTEEN ENNEN TOIMENPIDETTÄ //

Toimivia linkkejä ko. Messenger-virukseen otetaan vastaan, niin pääsen rakentamaan jonkinlaisen poistotyökalun siihen. Ja pistäkää palautetta ohjeesta, niin tiedän missä mennään.

 

Olen ajanut MSNfixin sitten olen poistanut rekisteristä ne kaksi winudpmgr/winudpms tiedostoo ja service tiedoston. Mutta kun käynnistän koneen niin siihen tulee ''Haluatko palauttaa ise32 sovelluksen'' Niin tuota tuskin voi palauttaa?

 

Poista seuraava rekisteriavain ja tiedosto:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

Jotta pystyt poistamaan tuon ise32.exe -tiedoston, josta löydät enemmän tietoa, vaikka googlella, niin joudut muuttamaan C:\RECYCLER\ -kansion attribuutteja (ohjeet minun aiemmassa viestissä tässä samassa ketjussa)

Ja järjestelmän palautushan oli poistettu jo aikaa sitten käytöstä? Olihan?

 

Nojoo yks hailee ei näy tehtävienhallinnassa että ois mikään winudpgr tai joku tommone päällä enää eikä kysy enää tietokonetta käynnistäessä tota ise32 eikä kukaa valita mesessä et lähetät sitä viestiä niimpä kaikki on nyt kai kunnossa?

 

Minulle myös iski meseviirus, sain ainakin suurimmat osat poistettua siitä koska nyt mese toimii jo normaalisti eikä virusturvat hälyttele.

Mutta viruksen tuhoamisen jälkeen näppis ei enää toimi! siitä toimii ne yläreunaa koristavat pikanäppäimet josta voi esim. avata selaimen tai lisätä äänenvoimakkuutta ja kone päästää tutun blim blom -äänen yhdistäessä usb piuan uudelleen, muuten näppis on kuollut ja kaipaisin apua.

kaipaan selkeitä neuvoja, koska OnScreen-näppäimistön käyttö on yhtä tuskaa :S kiitos jo etukäteen.

 

Tästä voi joku innokas viruksen uhri ottaa ja testata. Kasattu lokien pohjalta.

- Eli kopioi lihavoitu teksti muistioon ja tallenna tiedosto halumallasi nimellä Työpöydälle tiedostopäätteen ollessa .cmd

- Tuplaklikkaa tiedostoa suorittaaksesi sen. Toiminto päättyy lopulta tietokoneen uudelleenkäynnistykseen

- Ennen toimenpidettä poista järjestelmän palautus käytöstä ja sulje kaikki avoinna olevat sovellukset

- Tuotteella ei vaihto- eikä palautusoikeutta, joten varmuuskopioiden ottaminen erittäin suotavaa

taskkill /f /im winudpmgr.exe
taskkill /f /im winudspm.exe
taskkill /f /im service.exe
del c:\*sexy*
del c:\d*.exe
del c:\s*.com
del c:\*.msnfix
del c:\img.*
del c:\setup.exe
del c:\fa.com
del c:\bot.exe
del "%homepath%\setup.exe"
attrib -r -s -a -h c:\windows\winudpmgr.exe
del c:\windows\winudpmgr.exe
attrib -r -s -a -h c:\windows\winudspm.exe
del c:\windows\winudspm.exe
attrib -r -s -a -h c:\windows\service.exe
del c:\windows\service.exe
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows UDP Control" /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows UDP Control Center" /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "nwiz" /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows svchost" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f
taskkill /f /im explorer.exe
attrib -r -a -s -h c:\recycler /s /d
del C:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
attrib +r +a +s +h c:\recycler /s /d
shutdown -r -t 01 -f -c "Valmis!"

 

Täytyy vielä sen verran tiedostella, että onko kukaan jolla on käytössä F-securen virustorjuntaohjelma ja palomuuri saanut virusta pois?
ja onko F-securen oma palomuuri riittäny pitämään explorer.exen poissa netistä?

Nyt tuntus nimittäin kaveripiirissä olevan niin että F-Securelaisten koneet eivät osaa tehdä asialle yhtään mitään tai sitten kaveritkin huonosti ohjeistusta seuranneet.

 

Itellä on f-secure, eikä se ole koskaan ilmoittanut että explorer.exe yrittäisi nettiin. Se ilmoittaa aina käynnistäesä trojalaisista. Itse olen aika aloitelija koneiden kanssa etten oikein ymmärrä kaikkia annettuja neuvoja, joten viruksen poissaaminen on hieman hankalaa.

Olen poistanut winudspm.exe ja sexy tiedostot, mutta siltikään kone ei toimi kunnolla. Nettisivut eivät aukene ja kone muutenkin on hirveän hidas.

Pakko yrittää noita ohjelmia asentaa muistitkun kautta koska viruksen saaneella koneella ei oikeasti pysty tekemään oikein mitään

 

mulla on vista ultimate 64 bittinen, ja kaveri tuli mulle mesessä sanoon kerran "hitto, yheltä kaverilta tuli joku linkki että "ootko tässä [link]" ja sit ku klikkasin tuli viruksia" ja sit se lähetti saman mulle.

editoin tähän väliin, mulla on SP1.

mää ajattelin etten paina, mutta sitten kokeilin ihan huvikseen kun olin muutenkin meinaamassa asentaa siinä lähipäivinä windowsin uudelleen niin ei ois mitään väliä vaikka menis kone miten jumiin, halu oli vain testaa

kun klikkasin sitä linkkiä niin avira antivir virusturva ilmoitti heti että virus löydetty, poistin sen, tuli uudestaan virus löydetty... loppujen lopuksi tuli neljä virusta jotka sitten kaikki sain poistettua heti.

kuitenkaan mulle ei jäänyt yhtään mitään jälkiä tuosta viruksesta koneelle, elikkä se vain yritti tunkeutua tähän mutta sain poistettua kaikki heti ennen ku ne kerkes ruveta toimimaankaan, kiitos hyvän virusturvan^^

halusin siis vain testaa, en todellakaan uskonut että siellä olisi ollut jokin kuva. mulla on mesessä myös yks kaveri jolle on tullut noita meseviruksia parikin kappaletta, hänellä on myös Vista ultimate 64-bit käyttis eikä mitään jälkiä ole jäänyt kun on poistanut vain ne virushyökkäys yritykset.

niin ja mainitsen vielä muutaman asian... kaverille kun se linkki tuli niin siinä oli joku linkki ja perässä ".img" ihan niinku se olisi ollut kuva. ja mulla on windowsin oma palomuuri käytössä ja sen päälle vielä vista firewall control joka on toiminut aika tehokkaasti, sekä virusturvana avira antivir. ei ikinä yhtään virusta.

sekä vakoiluohjelmia on blokkaamassa Ad-Aware SE Professional edition jossa Ad-Watch blokkaa tuholaisia reaaliajassa ja vielä windowsin oma defender systeemi^^

kumma homma kun uusin Ad-Aware ei toimi tässä vistassa kunnolla mutta jo aika vanha Ad-Aware SE Professional toimii moitteetta vista on täynnä ihmeitä, käyttäisin XP:tä mutta se on mulla mahdottomuus, eikä siitä sen enempää. yritän vielä tässä kesän aikana saada toimimaan, jos kiinnostaa kommentoida sitä asiaa niin profiiliin saa kirjoitella.

 

Muuten ok, mutta täältä ei tosiaan löydy tuota service.exeä mistään. Rekisteriarvon poistin, ja nyt sitä ei näy msconfigin käynnistys-välilehdelläkään. En kuitenkaan ole tietääkseni missään vaiheessa poistanut tota tiedostoa, joten kenties se vielä kummittelee jossain.

 

Jos joku voisi auttaa noboa. Mikä on rekisteri ja mikä on msconfig?

 

Eli itse olen nyt kokeillut formatoida koneen jo useaan keraan ja ei tuo mese viirus ittellä ole lähtenyt. Että mites tuosta pääsis eroon mahdollisimman helposti esim formatoinnilla?

 

Kaveeri teki aika radikaalin ratkaisun ja asensi koko windowsin uudelleen. se toimi. jos ei muju auta niin tehkää toi viimeisenä keinona.

 

tuota oon yrittäny tehä mutta tuohon 2 kohtaa se homma jää ku laitan konetta vikasietotilaan, eli käynnistän koneen uudelleen ja siihe tullee se valikko mistä pittää nuilla nuolinäppäimillä valita se "vikasietotila" mutta ongelmana on että en saa valittua sitä ko ei se juttu liiku siihe kohtaa vaikka kuinka yrittää näpytellä

pystyykö tätä konetta laittaa jollaki muulla tavalla toho vikasietotilaan tai mitä mun pitäs tehä?

 

Jännä juttu, mutta itselläni tämä service.exe ei tee muuta tuhoa (ainakaan että huomaisin konetta käyttäessäni) kuin että Messenger ei käynnisty, joka ei sinänsä ole kovin suuri suru.. Mutta olisihan tuo kuitenkin kiva saada pois, vaikkei se nyt suurta päänvaivaa ole aiheuttanutkaan..

 

Itselläni AVG löys winudspm.exe:n ja kaksi muuta troijalaista hevosta: eraseme_30480.exe ja eraseme_73372.exe:n.

Ne ovat tällä hetkellä Virus Vaultissa. Kannattaako ne deletoida vai healata sieltä?

Sitten vielä toinenkin asia. Mulla ei löydy service.exeä vaan services.exe. Onko se sama vai eri?
Paraikaa käytän Ad-Aware 2007 ja sen jälkeen ajattelin käyttää SDFixä vikasietotilassa.

 

Mulle tuli 28.4 keskiviikkona tuo pöpö meseen.
En edes yrittänyt mitään poppakonsteja saadakseni sitä pois, vaan alustin C-aseman, ja asensin ohjelmat koneeseen. Nyt toimii kone todella hyvin. XPn Uudelleen asentaminen teki todella hyvää "pena-Vanhukselleni"
Eilen, 1.6 Sunnuntaina tuli taas samanlainen, "oletko tässä kuvassa viesti ! ! ! Nyt olin viisaampi, enkä avannut sitä, vaan poistin samantien.
Laitoin mesen asetukset niin, että liitetiedostot ei pääse enää tulemaan. Tahtoisin laittaa vielä ruksin ruutuun, suorita virustarkistus seuraavalla ohjelmalla... Mutta kun en tiedä mikä käsky siihen laitetaan.(Käytän Elisan tietoturvaa)Osaisko joku neuvoa, mikä F-securen käskyistä siihen laitetaan ?

 

Nonni, tänään tuli sitten uus virus liikeelle. Itelläni ei oo minkäänmoista viirusta, mutta voisko joku kertoa mulle ohjeet, mitkä voisin välittää ystävälleni joilla on virus. Ja nyt havainnollistava osuus viruksesta:
[nimi] says:
Paina tästä

www.PlusTaxMusic.info

Eli luulisin että on 2. kesäkuuta (2008) virus lähtenyt liikkeelle.

 

Joopjaoo, tosiaan ittelekki napsahti muutama päivä sitten toi samainen virus... Aamulla kone oli aivan jumissa eikä nettiin pääsy sun muukaan tekeminen tuntunu onnistuvan lainkaan... oon tässä päivän mittaan vedelly useaan otteeseen virusscanneja ANTIvirilla, avastilla ja ad-awarella... Kaikennäkösiä mönkijäisiä löyty ja oon niitä tässä tiuhaan tahtiin poistellu...

viimeisen ad-aware scannin jälkeen poistin sen löytämät epäpuhtaudet ja kone alko rullata vanhaan malliin...

NIINPÄ MUN KYSYMYKSENI ONKIN: Et mikäli kone jatkaa pelittämistä vanhaan malliin, voinko luottaa et kyseinen virus on voitettu kanta?? ELi voinko luottaa siihen, et sähköpostia tai nettipankkia käyttäessä ei yhtäkkiä lähe salasanat kävelemään tai joku nappaa muuten vaan konetta haltuun???

Pahoittelen jos kysymys oli erittäin typerä, ei oo oikeen nää jutut hallussa... Kiitti etukäteen!!!!