Trotux...

Viestiketju Virukset ja haittaohjelmat - HijackThis -logit -osiossa. Ketjun avasi 7hands 06.08.2016.

  1. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    Hei!

    Asensimpa tyhmyyttäni oudosta lähteestä apuja pelille mikä ei osanut hyödyntää Nvidiaa (löysin oikean toimivan vastauksen lopulta muualta), ja sain koneelleni viruksen. Kävin läpi useita Remove Trotux aiheisia ohjeita, ajoin Anti-Malwaret yms. varmaan 4-5 eri ohjelmaa puhdistaen konetta, ja paljon roskaa löytyikin ja tuhottiin, mutta vielä on muutama harmitus jäänyt.

    - Aina kun avaan Firefoxin, on aloitusruutuna Trotux.com. Olen säätänyt asetuksista että olisi default ja/tai www.google.com... mutta ei auta. Trotux pysyy.
    - Avaan about:support sivun kautta Firefoxin vikasietotilassa -> ei tule Trotuxia näkyviin! Suljin sitten yksitellen eri lisäosia ja liitännäisiä, mutta ei auttanut, mikään ei vienyt Trotuxia pois.
    - about:support sivulla pitäisi olla Refresh nappula, mutta kas kummaa, eipä vaan näy sellaista! Samainen nappula ei toimi myöskään Mozilla omalla tukisivulla, jossa sitä voisi vaihtoehtoisesti käyttää.
    - Ohjelmat ja toiminnot osiossa Tiedot näkymällä... ei näy enää päivämääriä ollenkaan asennetuilla ohjelmilla!!!! Ei myöskään Tyyppiä, eikä Tunnisteita. Vain Koko ja Nimi näkyy.

    Kirjoitin aiheesta myös Mozilla tukeen, sieltä lisäinfoa (vaikka suurinpiirtein ne kaikki tässä jo olikin):https://support.mozilla.org/fi/questions/1133696
     
  2.  
  3. IlmoPJ

    IlmoPJ Moderator Ylläpitäjä

    Liittynyt:
    17.03.2006
    Viestejä:
    6,849
    Kiitokset:
    786
    Pisteet:
    193
    AdwCleaner on hyvä poistamaan selainkaappareita ja muuta ei toivottavaa roskaa koneelta: http://www.bleepingcomputer.com/download/adwcleaner/

    Aja ensin Scan ja tarkista, ettei listalla ole mitään sinulle tärkeää. Clean toiminto suorittaa puhdistuksen ja haluaa sen yhteydessä käynnistää koneen uudeelleen ja samalla suorittaa roskan poiston.
     
  4. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    Tuon oon kerran vetässy jo läpi, mun vedän vielä kertaalleen, jos vaikka jossain käynnistysten yhteydessä on tuo Trotux asentunut uudestaan... Ilmottelen kuin käy.
     
  5. IlmoPJ

    IlmoPJ Moderator Ylläpitäjä

    Liittynyt:
    17.03.2006
    Viestejä:
    6,849
    Kiitokset:
    786
    Pisteet:
    193
  6. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    Juu, tein tuon kaiken mitä tossa oli, paitsi en pysty resetoimaan Firefoxia, kuten jo aiemmin mainitsin. AdwCleaner ei kakkosvetäsyllä löytänyt enää mitään.
     
  7. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,179
    Kiitokset:
    1,225
    Pisteet:
    243
    Alkaa vaikuttaa siltä, että ongelma ei poistu poistamatta myös Firefoxin profiilia, jossa on omat asetuksesi ja kirjanmerkkisikin. Profiilikansio ei poistu, vaikka poistaisit Firefoxin asennuksen, vaan se pitää poistaa erikseen, jos haluaa varmistaa, että mitään vanhasta Firefoxista ei tule mukaan, kun asennat sen uudestaan. En osaa sanoa, voiko pelkkien kirjanmerkkienkin palauttaminen varmuuskopiosta aiheuttaa ongelmia, mutta ei se uskottavalta tunnu.
    https://support.mozilla.org/fi/kb/firefoxin-asennuksen-poistaminen-tietokoneelta

    Koska kyseinen haittaohjelma on noin ärhäkkä, kannattanee ennen Firefoxin täydellistä poistoa ajaa tuo edellä jo mainittu Rkill, ettei mikään käynnissä oleva prosessi estäisi Firefoxin ja sen käyttäjäprofiilin poistoa. Kuten ohjeessa kerrotaan, konetta ei saa sammuttaa Rkillin ajamisen jälkeen ennen kuin kaikki poistot on suoritettu.
     
    7hands kiitti tästä.
  8. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    no niin. tuhosin profiilit kolmesta eri paikasta Rkillin käynnin jälkeen (en sammuttanut välillä), lopuksi deletoin firefoxin, sammutin koneen, käynnistin, asensin firefoxin uusiksi... liitin tallennetut kirjanmerkit; ja avasin firefoxin, ja ja... trotux tuli sieltä taas. pitänee kai ilmoitella ongelmista suoraan noille malware yhtiöille, että päivittävät ohjelmansa, koska kuulemma Trotuxistakin liikkuu näinä päivinä sitkeämpi versio, ja siltä tämä todella vaikuttaa.
     
  9. *Trinity*

    *Trinity* Senior member

    Liittynyt:
    15.12.2014
    Viestejä:
    6,906
    Kiitokset:
    1,256
    Pisteet:
    223
    Paljon olet jo kokeillut mutta tässä vielä muutama. Jos olet näitä jo ajanut niin voit jättää välistä.

    Aluksi aja
    Junkware Removal Tool by Malwarebytes

    Poista vielä kertaalleen Firefox ja profiilit, jos koneella on on myös chrome poista sekin, tai käytä Googlen omaa cleanup toolia,
    Chrome Cleanup Tool - Google

    Aja eset online scan
    Eset Online scan -Eset

    Lataa Tweaking.com - Windows Repair seuraavalta sivulta.
    http://www.tweaking.com/content/page/windows_repair_all_in_one.html
    (huom, sivulla on mainkosia joten tarkkana että lataat oikeasta kohdasta)

    Aukaise tewaking.com
    Valitse repairs välilehti ja katso että valittuna on seuraavat.
    05 - Repair Hosts File
    10 - Remove Policies Set By Infections
    11 - Repair Start Menu Icons Removed By Infections
    13 - Repair network
    14 - Remove temps

    Klikaa start repairs, kun ohjelma on valmis käynnistä kone uudelleen.
    Jos ei vieläkään auta, vaatisi tilane ilmeisesti farbarin tai otl:n käyttöä että kaikki jämät saisi pois.

    Myöskin Norton power eraseria voi kokeilla, se on vahva työkalu joten kannattaa tarkistaa mahdolliset löydöt ennen kuin poistaa mitään.
     
  10. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    Kiitosta. ESET Online Scanner oli eilen päälle, 95 prosenttia jo scannattu, menin nukkumaan, koska kesti ja kesti (jo 7 tuntia), sieltä löytyi jo 7 eri ongelmaa (kuva ohessa), mutta aamulla herätessä tajusin, että olin unohtanut läppärin virtajohdon pois koneesta, ja kone sammunut kesken scannauksen loppumetrien!!!! Eli nyt taas koko homma alusta. Palaan asiaan, kun valmistuu.
     

    Liitetyt tiedostot:

  11. *Trinity*

    *Trinity* Senior member

    Liittynyt:
    15.12.2014
    Viestejä:
    6,906
    Kiitokset:
    1,256
    Pisteet:
    223
    Sen ei pitäisi viedä noin kauaa. Jos se jumittaa kauan samassa kohdassa ota ylös mitä tiedostoa se on tarkistamassa ja keskeytä sitten.
     
  12. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    okkei... nyt on pyörinyt 4 ja puoli tuntia. 89 prossaa scannattuna. 5 uhkaa löytynyt. Rullaa tällä hetkellä koko ajan eteenpäin, mut en oo koko aikaa ollut seuraamassa, niin en tiedä missä on jumitellut. Mutta jos huomaan niin ilmottelen. Mut taidan viedä loppuun asti jokatapauksessa, että nuo saa tuhottua. Ellei noita voi mennä manuaalisesti tuhoamaan jotenkin, en vaan tiedä miten/millä ohjelmalla kannattaa tehdä.
     
  13. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    ESET meni läpi, kesti 7 ja puoli tuntia. Löysi roinaa ja tuhosi. Ohessa yhteenveto.

    Tällä hetkellä menossa tuo Tweaking.com. Mutta olin epävarma pitikö valita VAIN nuo mainitsemasi kohdat, vaiko kaikki esitäytetyt, ja vain varmistaa, että nuo mainitsemasi ovat mukana? Menee nyt koko setillä, 43 kohtaa. Ekan kanssa meni jo melkein 30 min.
     

    Liitetyt tiedostot:

  14. *Trinity*

    *Trinity* Senior member

    Liittynyt:
    15.12.2014
    Viestejä:
    6,906
    Kiitokset:
    1,256
    Pisteet:
    223
    Sen voi ajaa huoletta myös oletusasetuksilla.
    Se ei varsinaisesti ole tarkoitettu kylläkään virusten pistoon, mutta jos haittaohjelma muokkaa esim HOSTS tiedostoa ohjatakseen väärälle sivulle, tuolla se on helppo palautettua oletusaetukselle. Samalla saa tempit poistetttua ym.

    Niin joo oliko noi esetin ensimmäiset löydöt mennyt jo karanteeniin? Kun tuossa toisessa lokisa ei ainakaan näkynyt tuota troijalaista joka tuossa ekassa pistämässäsi kuvassa oli.
     
    7hands kiitti tästä.
  15. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    Hei! en tidä mitä niille ESET:in ekoille löydöille tapahtui. Vedin koko homman nyt läpi, asensin Firefoxin, ja se V***N Trotux on yhä siellä! Ilmeisesti en onnistunut tuhoamaan profiilikansioitakaan täydellisesti (käytin vain about:support:in kautta tulleita kahta kansiot linkkiä), koska asentaessa oli kaikki lisäosat valmiina... ja vieläpä esim. tänne Afterdawniin kirjautuminenkin muistissa. En tiä, kannaako vetästä sitä Norton Power Eraseria.

    Ensimmäisellä käynnistyksellä asennuksen jälkeen Firefox toimi hyvin, jopa about:support sivulla oli se virkistä nappula. Toisella kertaa taas sama vanha ongelma.

    Minua hämää se, että ilman lisäosia Trotux ei tule - siis eikö se ongelma voi piillä juuri niissä lisäosissa? Jos ne kaikki deletoi ja aloittaa alusta... vai liekö taas pesiytynyt profile yms. kansioihin tuo.

    Sain vastausta myös Antimalware Zemana yhtiöltä: "...I will try to help you resolve this issue. In order to do that, I will need to remotely access your computer via program called TeamViewer."

    "...After you finish downloading, double click on downloaded TeamViewer Quick Support. It will show your ID and temporary password. You need to send them to us, so we can connect to your computer." - Malware Removal Specialist
     
  16. *Trinity*

    *Trinity* Senior member

    Liittynyt:
    15.12.2014
    Viestejä:
    6,906
    Kiitokset:
    1,256
    Pisteet:
    223
    Avautuuko toi trotux jos kokeilet internet explorerilla?

    Jos se ei ilman lisäosia tule, on syy todennäköisesti silloin josain käyttämässäsi lisäosassa.
    Sanoisin että aloita vain kokonaan puhtaalta pöydältä firefoxin kanssa.
    Olitko jo seuraavista poluista mozilla kansiot poistanut?
    Noi on piilotiedostoina joten sinun täyty ottaa piilotetut tiedostot esiin.

    C:\Users\oma käyttäjänimesi\AppData\Roaming\Mozilla
    C:\Users\oma käyttäjänimesi\AppData\Local\Mozilla

    Varmsita siis että poistat koko mozilla kansion kummastakin polusta, ei vain profiilikansiota.

    Jos haluat niin voit halutessasi käyttää ohjelmien poistoon tarkoitetua ohjelmaa, jolla pitäisi saada kaikki jämätkin pois.
    http://www.revouninstaller.com/revo_uninstaller_free_download.html
    Jos käytät tuota varmsita silti itse, että nuo kaksi mozilla kansiota on kokonaan poistunut.

    Tuo eset ainakin heidän oman FAQ:n mukaan pistää löydöt automaattisesti karanteeniin.
    Joten ilmeisesti ne aikaisemmatkin löydöt on siellä.

    Outoa kuitenkin sinänsä että mikään ohjelma ei ole tuota pystynyt poistamaan kokonaan.

    En ole ihan kauhean hyvin haittaohjelmiin perehtynyt, sen takia se menee yleensä niin että ehdotan tukkua erilaisia ohjelmia. Normaalisti esim. bleebigcomputerissa käytettäisiin. Farbar Recovery Scan Tool:n tapaisia ohjelmia. Joilla saa kaikki haittaohjelmien luomat tiedosto ja rekisterimerkinnät yleensä kerralla näkyviin ja myös poistettua. Ongelma on vain siinä että ne lokit täytyy itse käydä läpi ja myös tietää mtiä poistetaan.
     
    7hands kiitti tästä.
  17. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    Trinity - kiitos suuresti kaikesta antamastasi avusta ja heittäytymisestäsi tähän pulmaan.

    En tosiaan osannut tuhota täydellisesti Firefoxia ennen uudelleenasennusta. Kerkesin tässä välissä saada yhteyden Zemana Antimalware yhtiön tukihenkilöön, joka tsekkasi koneeni sisällön Process Explorer ohjelmalla, ja löysi Firefox kansiosta tiedoston nimeltä wtsapi32.dll. Tämä oli ns. "patched file". Sama wtsapi32.dll löytyy myös Windowsin tiedostoista, mutta Microsoftin allekirjoittamana. Tämä toinen versio ei ollut allekirjoitettu, ja syy pulmaan. Se poistettiin, ja selain aukeaa nyt niinkuin pitääkin. "Palauta Firefox" nappulakin näkyy taas.

    Neuvoi kuitenkin ettei ole hyvä lähteä ominpäin tuhoamaan näitä tiedostoja, jos ei ole täysin varma mikä on mitäkin.

    Jos tätä ketjua nyt joku seuraa jolla sama ongelma, ilmeisesti Trinityn viimeisin neuvo toimii, mutta voi olla myös yhteydessä Zemanaan ja pyytää apua (ei kuluja). Lupasivat vielä lisäksi täyden version torjuntaohjelmastaan ilmaiseksi.

    KIITOS KAIKILLE OSAANOTTAJILLE !!!
     
    *Trinity* kiitti tästä.
  18. 7hands

    7hands Regular member

    Liittynyt:
    09.07.2005
    Viestejä:
    237
    Kiitokset:
    4
    Pisteet:
    28
    Itse en saanut pelkkien nettineuvojen kautta Trotuxia pois. Ota suoraan yhteyttä esim. Zemana Antimalware ja Malwarebytes tekijöihin, sieltä saa apua kun kertoo tarkalleen ongelmasta. Toki voit kokeilla tässäkin ketjussa annettuja ohjeita, mutta ehkä helpoin tapa on antaa ohjat mainitsemilleni.
     

Jaa tämä sivu