Messengerin kautta levinnyt virus. Apuja kaivataan

Jooh, on vähän kaikkea tultu tässä kokeiltua ja ei näytä virus poistuvan. Itselläni on 64-bittinen Vista ja ainakin vaikuttaa siltä, että ei toi virus sinänsä saa mitään muuta aikaiseksi kun spammii sitä linkkiä mesessä eteenpäin (tosin tämä minulla jäädyttää koneen) mutta se on silti erittäin ärsyttävä ja olen nyt kaksi päivää yrittäny päästä siitä eroon tuloksetta.

Olen tappanut winudpmgr.exen (ei ollut winudspm:ää) ja service.exen ja myös poistanut kyseiset rivit registrysta, seurannut ohjeita mitä tänne on postattu mutta kaipa jotain jää aina tekemättä kun mikään ei näytä tepsivän kun se porno.exe aina tupsahtaa sinne C:n juureen yhä uudelleen. Itse käytän PC Tools Antivirusta ja kyllä se muutaman haitallisen tiedoston löysi ja ne poistin. Olen myös poistanut kaiken maailman .exe tiedostot mitä olen löytänyt. Tätä yhtä ei kyllä ainakaan minulta registrysta löytynyt:

REG DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /f

En tiedä, että toimiiko se sitten jotenkin erilailla Vistalla vai mikä tässä on mutta onko kellään ideoita mittä kannattaisi tehdä? Pitäisikö asentaa joku toinen virusturva ohjelma vai jäikö mahdollisesti jotain välistä? Onko kellään vistan (ja 64-bittisen?) käyttäjän kanssa ollut ongelmia tämän viruksen kanssa?

 

kokeilin spybotteja,neljää ilmaisvirustorjuntaa(avast,agv jne) zonealarmia,comodoa(palomuureina) ja muitakin joita nyt en muista kun iski paniikki ja päätin kokeilla kaikki ohjelmat.
sitten asensin f-securen,päivitin sen,otin verkkopiuhan irti,tein täysskannin,nostin suojaustason toimistotasolle,kytkin koneen verkkoon,ajoin uuden skannin(11 virusta,2vakoiluohjelmaa ja 1 haittaohjelma löytyi vielä)ja nyt kone toimii moiteettomasti.
kokeilin myös tätä :http://www.kondomduck.com/random/msn.php eikä tuosta ollut mitään hyötyä.
mulla selvisi ongelma tuolla tavalla,meseä en aio kuitenkaan avata ennenkuin jostain kuulen ettei virus enää mesessä leviä,mulla on 15 mesekaverin koneet jumissa,paitsi yhdellä joka asensi f-securen.katson nyt pari päivää onko virus onnistunut jemmaamaan itsensä vielä johonkin,mutta luulen että ongelam ratkesi f-securella,koska ennen f-securea en päässyt mozillalla mihinkään,explorerilla pääsin joskus johonkin ja samalla alkoi pokerimainoksia tulvia joka klikkauksen jälkeen.

 

Mulla lähti troijalainen pois ku katoin http://www.tietoo.com/Tietokone/Virtumundo-Trojan-Low-Zone-poisto.html tuolta

 

Service.exe ja services.exe ovat erejä!!
Älä missään nimessä kajoa services.exeen, se on windowsin oma tiedosto.



VIELÄ TIEDOKSI:
Älkää sekoittako näitä viruksia keskenään. Täällä on nyt ainakin kahta eri mesevirusta puitu sekaisin. Service.exe mese virus on eri, kuin winudpsm.exe / sexy.exe virus.
Ohjeet ovat erilaisia

 

Kone ihan jumissa, ehkä mesestä tullut virus ja onkohan muita örvelöitä Apua kaivataan!!

Tässä hjt log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:44:25, on 6.6.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\WINDOWS\vVX3000.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\mservice.exe
C:\Program Files\Norton Internet Security\ATRACK.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\vghd\vghd.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\vghd\VirtuaGirl_downloader.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iltalehti.fi/etusivu/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows svchost] ups.exe
O4 - HKLM\..\Run: [MSN] C:\Windows\mservice.exe
O4 - HKLM\..\Run: [54793da0] rundll32.exe "C:\WINDOWS\system32\gqukyugx.dll",b
O4 - HKLM\..\Run: [BM574a0e3c] Rundll32.exe "C:\WINDOWS\system32\bkwjfedq.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: VirtuaGirl HD.LNK = C:\Program Files\vghd\vghd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Unibet Guest Poker - {830BB968-4445-4a18-946B-D8582D09D678} - C:\Microgaming\Poker\UnibetguestpokerMPP\MPPoker.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {49E71DB9-E803-43BA-AF81-1CAF61A6C4CB} (F-Secure Online Scanner 3.2) - http://support.f-secure.com/ols/beta/fscax.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://livekuva.suomi.net/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9664626-A63A-44D5-9DE4-44AAB757C3DA}: NameServer = 212.50.131.153 213.139.190.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe
O24 - Desktop Component 0: (no name) - http://gfx2.mail.live.com/mail/w1/ltr/theme0/HeaderCenterImage-nofade.gif

--
End of file - 7891 bytes

 

Meseviruksen poistoon on tehty jonkunmoinen ohje Virustorjunta.net sivulle. Sivulle pitää rekisteröityä! Ohjeen löydät kun menet Keskustelut -> HJT-lokien analysointi -> Ohje Messenger Viruksen poistoon.

Täällä on mainittu jo tuol Malwarebytes' Anti-Malware ohjelma joka poistaa hyvin tuota mese virusta, joten sitä kannattaa käyttää. Se mainitaan tuolla Virustorjunta.net sivustolla.

 

Eihän tuo linkki mitään itsessään tee ainakaan tämä viimesin mikä edelleen tuntuu olevan liikkeellä, sun tarvii pistää sinne passus oman meses ,että se alkaa sitä linkkiä spämmii yhteystietolistassasi oleville ihmisille. eli älkää hyvät ihmiset menkö pistämään mitään passujanne mihinkää linkkien taakse. Vähä sama kun pistäsit tekstarilla pankkikorttis salasanan sitä kysyvälle . Itelleni on tullu vaan linkkiä kun joku ,joka listassani ;on menny sit tietojaan sinne pistään. Olis hyvä jos huomaatte tällästä linkkiä kaverin mesen lähettävän nii pistäkää tekstari vaikka hänelle ja kertokaa ja nimeksenne ja viestiks meseen ite voitte pistää että ; älä klikkaile jne ainakin auttanu väkee hieman olemaan koskematta. Tälläistä nyt ainakin liikkeellä 14.11.2008 joten ÄLÄ kajoa www. PlusTaxMusic. info Tarkotuksella välilyönnit mukana .

Ilmojen halki käy lentävän tie -- vaikka persus maata viistäis.

 

Mites tää nyt on ku yks kaveri sano mulle et miä lähetin mukamas yhen ihme linkin, mutta en ole läytänyt sexy.exe tai sexy.com tiedostoja koneeltani. Prosesseissa ei myöskään ole tälläistä windudspm.exe:ä.

 

Ekana vaihda salasanat, mesen salasana määräytyy sähköpostiosoitteen mukaan.

Sitten ota HJT-loki ja lähetä se vt.nettiin.

* Lataa tästä HJTInstall.exe
* Tallenna HJTInstall.exe työpöydällesi.
* Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi.
* Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis.
* Klikkaa Install.
* Asennusohjelma luo HijackThis-kuvakkeen työpöydälle.
* Kun asennus on valmis, se käynnistää HijackThisin.
* Klikkaa Do a system scan and save a logfile-painiketta.
* Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon.
* Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön.
* Liitä lokin sisältö seuraavaan vastaukseesi.
* ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä.

* ÄLÄ fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.


Sano myös syy miksi hjt.

 

Tuo on aika vaikeaa, koska miun mielestä se sähköposti ei oo enää olemassa... Vai onko se mahollista, että sähköposti on poistunut, mutta mese ei?

 

Meikäläisen messengerin sähköposti lähettää lähes joka viikko jotain ihme sähköpostia, jostain elektroniikkaa myyvästä kaupasta.

kuinka tämän saisi pois?

Lisäksi silloin tällöin mesestäni lähtevät kaikki yhteystiedot pois, jotka täytyy taas lisätä asetuksista

 

Vaihda messengerisi salasana.

(Salasana on sama kuin hotmail sähköpostiosoitteessa)

 

Mut mun mese on tehty jostain eskarissa tehdystä jippiin sähköpostiosoitteesta, joka on jo poistunut. Mites sit vaihan salasanaa.

 

Mullakin jippiissä tehty meseosoite, mutta en ole niin tyhmä, että laitan sähköpostini ja salasanani jonnekkin sivustolle että saan muka tietää ketkä ovat minut estäneet.

Tee uusi meseosoite, eikai muukaan auta