Virus estää järjestelmän palauttamisen (Virtumonde, Rogueware?)

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Ivym8 03.07.2012.

  1. Ivym8

    Ivym8 Member

    Liittynyt:
    25.03.2012
    Viestejä:
    6
    Kiitokset:
    0
    Pisteet:
    11
    Minulle tuli eilen varoitusikkuna mikä oli taitavasti naamioitu vaikuttamaan windowsin omalta varoitukselta. Siinä luki mm. että; tietoturva uhattuna, troijalainen havaittu, yksityisyys vaarassa jne. Suljettuani varoitusikkunan Platinum Antivirus ohjelma käynnistyi tyhjästä skannaamaan tietokonettani. Estin skannauksen ja suljin ohjelman. Samalla IRC ja selain sulkeutuivat (eikä niitä saa takaisin päälle).

    Ensimmäisenä otin nettijohdon irti, avasin tehtävienhallinnan (taskmanager). Siellä on feikkinimellä oleva prosessi, jota ei löydy googlesta (4207188370:1835416325.exe). Prosessia tai prosessipuuta ei voi poistaa ja prioriteettiä ei voi muuttaa.

    Toiseksi yritin käynnistää virustentorjuntaohjelman SUPERAntiSpyware. Ohjelma käynnistyi, mutta virus sulki sen heti skannauksen alettua. Sama kävi kun yritin Malwarebytesiä (kotin myös uudelleennimetä ohjelman kuten toisella foorumilla neuvottiin) tuloksetta.

    Ohjelma on muuttanut näytönsäästäjän siten, että se tulee 1min välein jos tietokonetta ei käytä. Pop-uppeja ja mainoksia ei tule.

    Normaalisti olen korjannut kaikki virukset siten, että suorittanut järjestelmänpalauttamisen ja mennyt sen jälkeen vikasietotilaan suorittamaan virustenskannaukset ja virukset on sitä kautta löydetty ja poistettu. Mutta tällä kertaa järjestelmän palauttaminen ei onnistu. Virus on poistanut kaikki palautuspisteet, paitsi ainoa palautuspiste on eiliselle päivälle jolloin virus ilmeni. Koitin palauttaa siihen mutta eipä siitä ollut mitään hyötyä.

    Käyttöjärjestelmä on Windows XP (pöytäkone) SP3
     
  2.  
  3. Datanen

    Datanen Guest

    Liittynyt:
    21.09.2010
    Viestejä:
    5,322
    Kiitokset:
    68
    Pisteet:
    108
    Yksi keino olisi scannata kone Bitdefender ohjelmalla, joka poltetaan DVD/CD levylle: http://www.bitdefender.com/support/How-to-create-a-Bitdefender-Rescue-CD-627.html

    Ja sen jälkeen buutata kone sen kautta. Tällöin Windowsin ei tarvitse käynnistyä eli virustorjunta ohjelma pääsee rauhassa tarkistamaan koneesi.

    Koneessa pitää olla toimiva nettiyhteys. Muuten kyseinen tarkistusohjelma ei toimi.
     
  4. Ivym8

    Ivym8 Member

    Liittynyt:
    25.03.2012
    Viestejä:
    6
    Kiitokset:
    0
    Pisteet:
    11
    Tähän hätään ei löydy DVD/CD levyjä. Mietin josko olisi jotain toista tapaa mitä kokeilla ensin ja jättää tuo levyn polttaminen viimeiseksi vaihtoehdoksi?

    Siis tietokoneellani on ohjelma: Platinum anti-vir (joka tarvitsee netin toimiakseen). Katsoin netistä enempi informaatiota, että tämä Platinum Anti-Virus on joku Rogueware (en ole siis asentanut tuota koneelle, mutta jostain syystä se käynnistyi nettiyhteyden ollessa päällä. Googlea käyttäessä se uudelleenohjaa linkit jonnekin virussivuille.

    Googletin "How to remove Platinum Anti-vir" ja neuvoi poistamaan nuo:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
    HKEY_CURRENT_USER\Software\Microsoft\Windows Script
    HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings
    HKEY_CURRENT_USER\Software\AvScan

    Ainoa ongelma on, etten löydä tuolta rekisteristä "policies" kansiosta Associationsia enkä Attachmentsia vaan siellä on joku "Explorer" ja alinta rekisteriä ei löydy ollenkaan (tuo avscan)

    En kehtaa alkaa poistelemaan tuolta rekisteristä mitään ominpäin ;)
     
  5. Ivym8

    Ivym8 Member

    Liittynyt:
    25.03.2012
    Viestejä:
    6
    Kiitokset:
    0
    Pisteet:
    11
    Löysin ohjelman tdsskiller ja ajoin sen läpi Löysi 3 rootkittiä koneelta. Sen jälkeen prosessi katosi. Käynnistyksen jälkeen tuli joku uusi prosessi mutta sen pystyi poistamaan taskmanagerista. Nyt toimii SuperAntiSpywaret ja muut virustorjuntaohjelmatkin.

    Kirjoitin tämän tänne siksi että jos jollain muulla tulee samankaltainen ongelma niin kannattaa käydä kaikki freewareohjelmat lävitte ennenkuin luopuu toivosta ja formatoi koneen ;)

    Kiitos vastauksesta, Vingeri.
     

Jaa tämä sivu