Worm.Win32.VB.an

Löysin tälläisen koneeltani... no Viruksia oli alunperin sellanen 40yli ja alle troijaa sun muuta... tämä shit on ainoa mitä en saa poistettua. olen yrittänyt linkkejä sun muita... Koneessa on Win xp professional ja toises kovalevys(jossa virus on) on win xp home syy miksi kaksi kovalevyä.. home ei virusten takia suostunut käynnistymään.. F.secure, adaware jne löytyy mutta yksikään ei poista matoa..

että olisikos jollakin minua fiksummalla tietoa miten tuon madon saisin koneeltani sinne missä ei aurinko ikinä paista...?

 

Laita HjT-loki,ohjeet -> http://keskustelu.afterdawn.com/thread_view.cfm/316714

 

Logfile of HijackThis v1.99.1
Scan saved at 19:34:06, on 5.8.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\ExtraFilm Kotona\Agent.exe
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Program Files\Digital Image\Monitor.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Heidi\Työpöytä\HijackThis(2).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://irc-galleria.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fi\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] C:\Program Files\ExtraFilm Kotona\Agent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4E8A3661-FB5B-4AEF-BF60-B0E9712FAE49} (Silverwire Image Uploader 3.0 Control) - http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader3.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - https://ssl.extrafilm.org/upload/activex/ImageUploader3.cab
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - https://signup.msn.com/pages/msxml3.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - BackWeb Technologies Inc. - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE





Tajusinkohan nyt oikein? Se mato ei tee mitää(ainkaa et olisin huomannu) mutta f-secure löytää sen kokoajan...minä olen TÄYSIN alottelija näissä viruksissa...

 

Tajusit ihan oikein

Hae eScan -> http://koti.mbnet.fi/pattaya1/escanmwav.htm .
Asenna, päivitä, skannaa sivulla olevien ohjeiden mukaan. Lähetä sitten "örkkitulokset" tänne (ohje tuolla sivulla, alin kuva ja sen yläpuolella oleva teksti).

EDIT: pyyson modeja siirtämään tämän ketjun tänne -> http://keskustelu.afterdawn.com/forum_view.cfm/198

 

File E:\Program Files\Network Monitor\netmon.exe tagged as not-a-virus:Monitor.Win32.NetMon.a. No Action Taken.
File E:\Program Files\ToolBar888\MyToolBar.dll tagged as not-a-virus:AdWare.Win32.Softomate.q. No Action Taken.
File E:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP11\A0004471.exe tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File E:\System Volume Information\_restore{214986C9-2D86-4D74-8DFD-F9201943C32C}\RP11\A0004472.exe tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File E:\WINDOWS\system32\aifsipc.dll tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File E:\WINDOWS\system32\ailui.dll tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File E:\WINDOWS\system32\cncdll.dll tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File E:\WINDOWS\system32\fpn2035oe.dll tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File E:\WINDOWS\system32\pnbase.dll tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File E:\WINDOWS\VG9uaSBrYXJla2V0bw\asappsrv.dll tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.
File E:\WINDOWS\VG9uaSBrYXJla2V0bw\command.exe tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.
File F:\Documents and Settings\Toni kareketo\Local Settings\Temp\cmdinst.exe tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.
File F:\Documents and Settings\Toni kareketo\Local Settings\Temporary Internet Files\Content.IE5\4D498FSD\Installer[1].exe tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.
File F:\Documents and Settings\Toni kareketo\Local Settings\Temporary Internet Files\Content.IE5\4D498FSD\installer[2].exe tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.



no nyt on täs ne örkkitulokset... f-secure tosin ei enää sitä matoa löydä...

 

niinhja... tuo win xp home edition ei käynnisty vielkäkään vaikkakin kaiketi pahimmat virukset on poistettu... että mikä siinä voisi olla onko ne virukset voinu poistaa jonkun tärkeän hommelin sieltä? eihä sil muute mitää mut konetta ostaessa ei tullu xp levyketttä mukana ja ton koneen ääni jne kortit ei toimi xp professional ...

 

Poista ohjauspaneelista (lisää/poista sovellus):

Network Monitor
Command
Toolbar888

Poista:

E:\Program Files\Network Monitor
E:\Program Files\ToolBar888
E:\WINDOWS\VG9uaSBrYXJla2V0bw

Tyhjennä IE:n väliaikaistiedostot

Lataa http://www.atribune.org/ccount/click.php?id=7[b]
Look2Me-Destroyer.exe[/b]työpöydällesi.

TÄRKEÄÄ: Ennen fixin jatkamista, sinun täytyy tehdä seuraavat:


* Tulosta tämä, tai tallenna tekstitiedostona sopivaan sijaintiin.
* Klikkaa käynnistä -> Suorita ja kirjoita: services.msc
* Klikkaa OK.
* Tarkista että tämä palvelu on käynnissä tai sen käynnistymistapa on automaattinen:
* Toissijainen kirjautuminen
* Seuraavaksi tietokoneesi on oltava offlinessa, vedä nettipiuha seinästä jos tarpeen.
* Virustorjuntasi, ja kaikkien muiden turvaohjelmistojen TÄYTYY olla suljettuja.
[*]Sulje kaikki ikkunat ennen jatkamista.
[*]Tuplaklikkaa Look2Me-Destroyer.exe ajaaksesi ohjelman.
[*]Rastita Run this program as a task.
[*]Saat viestin joka sanoo; "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Klikkaa OK
[*]Kun Look2Me-Destroyer uudelleen avautuu, klikkaa Scan for L2M-valintaa, työpöytäsi pikakuvakkeet katoavat hetkeksi, tämä on normaalia.
[*]Kun skannaus on valmis, klikkaa Remove L2M-valintaa.
[*]Saat Done Scanning viestin, klikkaa OK.
[*]Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK.
[*]Tietokoneesi sammuttaa itsensä.
[*]Käynnistä koneesi uudelleen.
[*]Postita C:\Look2Me-Destroyer.txt tiedoston sisältö uuden HijackThis login kera postiisi.
Jos palomuurisi varoittaa nettiyhteyksistä tähän ohjelmaan - salli ne.

Jos saat runtime error '339', lataa MSWINSCK.OCX seuraavasta linkistä ja sijoita se C:\Windows\System32 kansioosi.

http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

Koeta uudelleen.

Skannaa uudelleen eScanilla

Lähetä:

- uusi HjT-loki
- C:\Look2Me-Destroyer.txt
- eScanin tulokset