Trojan-Downloader.win32.agent.auip ja Trojan-Clicker.Win32.Agen.ful

ja päätyy mahdoliseen örkkiin

laita se kapenskyn loki

 

Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer

A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
Scan statistics
Files scanned 279156
Threat name 4
Infected objects 6
Suspicious objects 0
Duration of the scan 02:45:43

File name Threat name Threats count
E:\Program Files\mIRC\mirc.exe/E:\Program Files\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.631 1
C:\WINDOWS\Resources\Themes\Vista Ultimate\LSPatch\LSPatch.exe Infected: not-a-virus:RiskTool.Win32.CloseApp.a 1
C:\WINDOWS\system32\rJRXbPNW.0ll Infected: Trojan.Win32.Agent.arzx 1
E:\Muu\Ohjelmien asennusfilut\video_downloader_setup.exe Infected: Backdoor.Win32.Reload.dd 1
E:\Program Files\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.631 1
F:\Tavara\Muu\Teemat\Vista Ultimate\LSPatch\LSPatch.exe Infected: not-a-virus:RiskTool.Win32.CloseApp.a 1

----------------------
Lihavoitu on siis se mitä ite vähä kattelin, taitaa olla se mistä se F-Securekin aina sillontällön huutelee. Ton jälkimmäisen oon jo hoitanutki, varmaan...

Sori, on vähän sekava, kun en muuta logia tajunnu ottaa kuin tuon html version. Voin kyllä uppia sen, jos toi tuntuu liian sekavalta.

Ja tosiaan, ihan loppuun tuota en jaksanut skannata, että eiköhän ne ihan oikeat virukset jo tuossa tullut.

 

C:\WINDOWS\system32\rJRXbPNW.0ll
seuraa polkua ja paiskaa toi roskiin ja vedä vessa.

=====

Missäs sulla toi ComboFix on?

====

 

C:\WINDOWS\system32\rJRXbPNW.0ll

Poistettu on, jne. mutta yleensä tulee takaisin itsestään. Siitä toi .0ll, kun on toi F-Securen eristämistoiminto mikä sen d:n vaihtaa 0.

Combofix on työpöydällä, ei ole omassa kansiossa? Pitäiskö olla vaikka C:n juuressa ja omas kansios?

 

ei muuta kuin klikaat sitä älä asenna palautuskonsolia

 

En asentanut palautuskonsolia varmaankaan. Tai sitten asensin jo toissapäivänä, en muista. Haittaakos se sitten?

C:\Documents and settings\Tomppa\Local Settings\temp löytyy myös tuollainen kuin hbjm2pkc.exe, jonka F-Secure ilmottaa virukseksi, voi diilata sen, mutta tulee taas kohta takaisin... Se on siis Trojan-Downloader.Win32.Agent.auip.

 

Joo tois toissapäivänä olin sitä asentamassa, klikkasin kyllä, sitte en tienny mitä se teki, ainaki löi koneen kivasti jumiin ja boottasin sitte, seuraavalla kerralla ei varoittanu siitä että onko se asennettu vai ei.

 

ATF Cleaner ajo

 

Ajoin. Niin mitäs ton Combofixin kanssa?

 

mitäs se oikeen touhuu ..

eli kun se on työpöydällä tuplalikkaa sitä
siten tulee taulu niin kyllä mutta toisessa puhutaan
palautuskonsoolin asetamisesta niin klikkaa ei

 

Joo eli oon varmaan tuon palautuskonsolin asentanu sillon kun ekaa kertaa tuota pistin käyntiin.

Eli haittaako se nyt jos se palautuskonsoli on asennettu? Kaippa tuon jotenki pois saapi jos se haittaa?

 

niin kun samutat ja käynnistät tuleeko mustassa osassa ylimääränen juttu valkosella txt

 

Juu ei taida olla palautuskonsolia asennettuna. Mitäs sitten?

 

hyvä sitten että ei tuu

Lataa NoLop työpöydällesi yhdestä seuraavista linkeistä...
Linkki1
Linkki2
Linkki3

1.Sulje kaikki ohjelmat, koska tämä vaihe vaatii uudelleenkäynnistyksen
2.Tuplaklikkaa NoLop.exe ajaaksesi sen
3.Klikkaa nappulaa "Search and Destroy"
<<Tietokoneesi skannataan saastuneiden tiedostojen osalta>>
4, Kun skannaus on valmis, sinua pyydetään käynnistämään kone uudestaan, jos infektio löytyy. Klikkaa OK
5. Klikkaa "REBOOT"-painiketta.
6. NoLopin pitäisi antaa viesti. Jos ei, tuplaklikkaa ohjelmaa ja se valmistuu. Lähetä C:\NoLop.log-tiedoston sisältö uuden HijackThis-lokin kera.
-- Jos saat seuraavan virheen, "mscomctl.ocx or one of its dependencies are not correctly registered," lataa mscomctl.ocx ja tallenna se system32-hakemistoosi (yleensä c:\Windows\system32). Tämän jälkeen aja ohjelma uudestaan.

 

Ei löytänyt infektioita. Pitäisiköhän odottaa, että toi F-Secure ilmottaa siitä viruksesta, ja sitten olla F-Securella tekemättä mitään ja skannata tuolla NoLopilla uudestaan?

 

Taas tuplaposti, mutta tuleepahan upittua vähän.

F-Secure taas ilmotti kolmesta viruksesta kun oli 1,5h poissa, Anti-Malware skannas ja ei löytänyt mitään. Mitäs tässä vielä vois tehdä?

 

Sama ongelma vieläkin, eikö kukaan osaa enään helpata?

 

Combifixi ei vieläkään toimi, sanoo vieläkin, että FINDSTER: Ei voi avata tiedostoa temp01

Tällänen logi tuli kuitenkin.

------------------------

3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - decoding strings to put into memory
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID enter
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID exit
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() exit
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 1
3744 (C:\WINDOWS\system32\3BBE1VXI.exe): enum procs to inj returned 48
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - decoding strings to put into memory
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID enter
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID exit
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() exit
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 1
5588 (C:\WINDOWS\system32\3BBE1VXI.exe): enum procs to inj returned 52
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - decoding strings to put into memory
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID enter
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): InsertID exit
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() exit
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 1
3272 (C:\WINDOWS\system32\3BBE1VXI.exe): enum procs to inj returned 49
2996 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
2996 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
2996 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
5676 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
5676 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
5676 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
4000 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
4000 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
4000 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
5776 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
5776 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
5776 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
6564 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
6564 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
6564 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50
8052 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() enter
8052 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() - mem already initialized
8052 (C:\WINDOWS\system32\3BBE1VXI.exe): bold_shm_init() returned 50

 

C:\WINDOWS\system32\rJRXbPNW.0ll
C:\Documents and settings\Tomppa\Local Settings\temp löytyy myös tuollainen kuin hbjm2pkc.exe

Poista vikasiedossa


===============

Kirjoita suorita luukkuun

ComboFix /u

Klikkaa ok

=================
Malwarebytes' Anti-Malware tyhjennä karanteeni

Poista roskat

================

Lataa OTMoveIt
OTMoveIt ja tallenna se työpöydällesi.

Tuplaklikkaa OTMoveIt.exe.
Klikkaa CleanUp!.
Valitse Yes kun kysytään "Begin cleanup Process?".
Jos pyydetään, että saako koneen käynnistää uudeelleen, valitse Yes.OTMoveIt poistaa itsensä kun se on valmis, jos näin ei käy poista se itse.

HUOM: Jos palomuurisi tai joku muu tietoturvaohjelma varoittaa, että OTMoveIt yrittää päästä nettin, niin anna sen päästä sinne.

==============

Lataa http://www.ccleaner.com/download/builds.aspx Ccleaner
CCleaner v 2.14.750 Standard Build, ÄLÄ aseenna Yahoo toolbaria!
Asennuksessa poista merkki/rasti kohdasta "asenna Yahoo! toolbar/työkalupalkki".
Asennuksen jälkeen aukaise CCleaner
Valitse vasemmalta pystyrivistä Options
Valitse viereisestä pystyrivistä Settings
Language kohtaan valitse Suomi

Puhdistaja

Valitse vasemmalta pystyrivistä Puhdistaja
Paina alhaalta Tutki
Nyt CCleaner tutkii, mitä voidaan poistaa (tempit, cookiessit jne.).
Kun tutkiminen on valmis, paina Aja CCleaner
Nyt CCleaner poistaa löydetyt tempit, cookiessit jne.

Rekisterin virheiden korjaus

Valitse vasemmalta pystyrivistä Rekisteri
Paina alhaalta Etsi rekisterin virheitä
Kun etsintä on valmis ja olet varma, että haluat korjata ne rivit jotka ovat merkattuja, niin paina Korjaa valitut rekisterin virheet
Sinulta kysytään "haluatko varmuuskopioida muutokset rekisteriin", paina Kyllä
Tallenna varmuuskopio vaikka "Omat tiedostot" -kansioon.
Klikkaa uudesta aukeavasta ikkunasta Korjaa kaikki valitut virheet
Saat vielä varmistus kysymyksen, paina Ok
Kun virheet on korjattu, paina Sulje
Nyt voit sulkea CCleanerin painamalla oikealta ylhäältä punaista rastia

 

Tuommoisia tiedostoja ei enään löytynyt, F-Secure kerkesi ne jo eristää / poistaa. Seuraavan kerran kun ilmestyvät, otan nimen talteen ja poistan vikasietotilassa, jos tulevat.

===
Combofix on poistettu
===

===
OTMoveITin ajoin ja se poisti itsensä
===

===
CCleanerin ajoin.
===