Haitta-ohjelmat. Olen pulassa

Seuraa 
Viestejä45973
Liittynyt3.9.2015

Olen pulassa. Tutkaillaan ongelmaa yhdessä.
Ongelma on tämä: W32/Adware.Virtumonde sekä /privacyRever.64

Kyseessä on sellainen pahis, että siitä ei ole juurikaan paljon tietoa. En muuten ole ihan ensimäistä kerta "pappia kyydissä". Toi on vain sen verran uusi, että ei siitä löydy oikein tietojakaan. Kait...

Laitoin avunpyynnön myös http://www.virustorjunta.net/modules.ph ... 877#134877 foorumille, joka on todella hyvä näissä asioissa:

Lassi
W32/Adware.Virtumonde sekä /privacyRever.64 Onko tuttua?

Olen sitten niin viimeisen päälle yrittänyt päästä eteenpäin tuosta. Joku pönttöpää on mennyt asentamaan jonkun XP 2008 virusturvan, ja kun sitä ei ole rekisteröity, niin siihen jumahtaa.

Olen asentanut XP uudelleen kahdellakin eri tavalla. Tehnyt kaikki mahdolliset, paitsi tietenkään en sitä oikeaa.

Eli kaikissa XP:n tiloissa tuo tulee stoppaamaan koko järjestemän. En löydä sitä edes system.dat tiedostoista (sitä paiti en tuota löydäkkään mistään).
Miten olisi. Eli miten pääsisin muokkamaan käynnistystiedostoja. Toi XP 2008 joku safe ilmoitta 1577 virus/haittaohjelmaa tuolla koneella. Kone ei ole minun, vaan kaverin.

En voi sitä kiintolevyä vetää sileäksi, koska siinä on Solo monipankki sekä koko 3 miljoonan euron liikevaihdon omaavan yrityksen koko taloushallinto. Viimeisin varmuuskopio on 17.6. Huh, huh.

Tuon pikkufirman järjestelmiin tulee kyllä tämän jälkeen muutos. Eri koneet sexi-sivuille ja omat taloushallinnalle.




Ja se, joka tulee tänne kirjoittamaan asiasta pilkkamielessä saa totaalisesti kyytiä ainakin Kraateripirulta

Sivut

Kommentit (37)

Vierailija
Duski
Pystytkö tekemään windowssissa mitään, vai jumittaako kone heti buutin jälkeen? Aika erikoinen ohjelma jos jumittaa puhtaan windowssin asennuksen...
http://www.spyany.com/program/article_a ... Monde.html Tuossa nyt on jotain poisto-ohjeita VirtuMondelle, jos saat windowssin käyntiin.

Ei tuolla koneella pääse mihinkään. Jämähtää heti. Kyseessä on todellakin joku uusi haittaohjelma, joka kytkeytyy mukaan jo konella olemassa olevien ohjelmien kylkeen. http://www.virustorjunta.net foorumilta sainkin jo vastausta, mutta ei auta. Miljoonat siellä koneella vaan jököttävät. Tarjoan ainakin oluet niille, jotka ratkaisevat tämän ongelman. Naisille Siniset Enkelit, että lähtee lentoon...

Tässä http://www.virustorjunta.net viestiä ja vastaukseni: http://www.virustorjunta.net/modules.ph ... 888#134888

Lassi
tomato71
moi

Lataa tästä HJTInstall.exe
[list:2a15zcxm][*:2a15zcxm]Tallenna HJTInstall.exe työpöydällesi.[/*:m:2a15zcxm]
[*:2a15zcxm]Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi.[/*:m:2a15zcxm]
[*:2a15zcxm]Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis.[/*:m:2a15zcxm]
[*:2a15zcxm]Klikkaa Install.[/*:m:2a15zcxm]
[*:2a15zcxm]Asennusohjelma luo HijackThis-kuvakkeen työpöydälle.[/*:m:2a15zcxm]
[*:2a15zcxm]Kun asennus on valmis, se käynnistää HijackThisin.[/*:m:2a15zcxm]
[*:2a15zcxm]Klikkaa Do a system scan and save a logfile-painiketta. Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon.[/*:m:2a15zcxm]
[*:2a15zcxm]Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön.[/*:m:2a15zcxm]
[*:2a15zcxm]Liitä lokin sisältö seuraavaan vastaukseesi.[/*:m:2a15zcxm]
[*:2a15zcxm]ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä.[/*:m:2a15zcxm]
[*:2a15zcxm]ÄLÄ fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.[/*:m:2a15zcxm][/list:u:2a15zcxm]

Ja loki -->Tänne


Kiitos tuosta, mutta kun tuolla koneella ei pääse latailemaan mitään. Jämähtää vaan. Pitäisikö sitten ladata tuo toisella koneella ja polttaa CD:lle. Tosin sellaista ei nyt ole käytettävissä. Tai no joo....

Täytyyhän olla joku konsti konsoolitasolta päästä käpistelemään ao. tiedostoja purkamalla suojauksen attrib komennoilla (edit [tiedoston nimi] . Tuohan tottelee DOS komentoja osittain, jotka ovat mulle erittäin tuttuja.

Yritän pärjäillä, jos vaan saan tietää noitten käynnistystiedostojen sijainnit.

Vierailija

Oletko ajatellut tutkia jollain live cd jakelulla ( Knoppix ) tms. Jos sillä saisi datan dumpattua talteen. Se tiedon talteen saaminen lienee tässä tapauksessa se tärkein juttu.

No taidan tässä kokeneempaa neuvoa

Vierailija

XP:n korjausasennus CD:ltä boottaamalla taitaa olla se kaikkein varmin ratkaisu.
Sen jälkeen virus- ja haittaohjelmien skannaus/poisto XP:n vikasietotilassa.

Vierailija

Virtumonde on siitä ikävä pöpö, että se tekee aina uuden satunnaisehkosti nimetyn aliaksen itsestään.

Mm. Fsecurella on ihan vartavasten tehty paketti sen poistamiseen. Tappelin itse saman pöpön kanssa keväällä. Googlehaku kyllä löytää apukeinoja. Esim. virtumonde removal toimii.

http://www.f-secure.com/sw-desc/virtumonde.shtml

Tuolta Fsecuren työkalu. Toimii ainakin W2k:lla.

Vierailija

Nyt herppasin tolle. XP asennus menossa nyt toiselle kiintolevylle. Kun on valmis, niin kytken tämän I-levyn Slavena kiinni ja nitistän sen perkuleen pahiksen, tai no ainakin yritän uutterasti.

En minä itelleni mutta tätä tarkoitusta varten on pitänyt jälleen alkaa hommiin. Olin jo jäähdyttelemässä, mutta mitenkäs noista asiakkaista irti pääsis. http://tiede.fi/keskustelut/viewtopic.p ... &sk=t&sd=a

Vierailija
Lassi
Ja se, joka tulee tänne kirjoittamaan asiasta pilkkamielessä saa totaalisesti kyytiä ainakin Kraateripirulta

Taitanut nyt osua arkaan paikkaan, kun koira on jo älähtänyt ennen kuin kalikka on edes kalahtanut.. Eikös joku täälläkin ole moneen kertaan kehunut kuinka on vuosikymmenien kokemus "näistä asioista"?

F-securen removal-ohjelmasta on ainakin hyvä aloittaa kuten Phony jo mainitsikin. Sillä on yleensä häipynyt kuin kuppa Töölöstä.

Manuaalisesti pitäisi ainakin saada pöpö taltutettua, jos vain pääset saastuneen Windowsin rekisteriin käsiksi.

Mm. Wikipediasta löytyy tietoutta.

Wikipedia
Getting rid of Virtumonde is as easy as 1-2-3! To get rid of Virtumonde from your computer, please do the following steps.
1. Go to the start menu, click "Run...", and run regedit.exe. The Registry Editor will open.
2. In the left side, navigate to HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. Delete the NoDispBackgroundPage and NoDispScrSvrPage entries, whose values are both set to 1 by Virtumonde to prevent the background and screensaver tabs from showing up. This step will restore those two tabs.
3. Then check HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run for any of those randomly named files mentioned previously and delete them to prevent it from removing the background and screensaver tabs ever again. If you don't do this step, then that file will immediately remove the tabs whenever you turn your computer back on.

4. There is also a random key, for example: "yayxuuSi" with Name "DllName" and Data pointing to the virus DLL file under: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayxuuSi]
DllName=yayxuuSi.dll

This key causes winlogon.exe to execute the virus at every log on and log off event. That key must be deleted.

Congratulations on getting rid of Virtumonde!

Vierailija
Lassi
Duski
Pystytkö tekemään windowssissa mitään,...

Ei tuolla koneella pääse mihinkään. Jämähtää heti. Kyseessä

Nämä varmaan tiedätkin:
Alussa F8,
Valitse: Vikasietotilan komentorivi,
Lopeta command.com
Käynnistä Tehtävien hallinta: Ctrl+Alt+Del
Käynnistä siitä Uusi tehtävä: explorer
Nyt olet sisällä windowsissa, tee mitä haluut.

Vierailija
mensaani
Lassi
Duski
Pystytkö tekemään windowssissa mitään,...

Ei tuolla koneella pääse mihinkään. Jämähtää heti. Kyseessä

Nämä varmaan tiedätkin:
Alussa F8,
Valitse: Vikasietotilan komentorivi,
Lopeta command.com
Käynnistä Tehtävien hallinta: Ctrl+Alt+Del
Käynnistä siitä Uusi tehtävä: explorer
Nyt olet sisällä windowsissa, tee mitä haluut.
Ei ole yllätys, että tiedän tuon. Kyseesä on kahden haittaohjelman yhdistelmä, joka estää kaikilla tasoilla näppäimistön käytön. Yhdistelmä on Virtumonde sekä Privacy Rever.64. Lisäys Siis sekä näppäimistön sekä hiiren laitoin toki PS/2 liittimen kautta. USB ei toimi vikasietotilasssa.

No homma alkaa olla hoidossa. Kiitos sullekin. En sitten kerro miten "livahdin" ite päälevyn systeemitiedostoihin.

Kaikki tuon osalta ei ole vielä kunnossa. Luotan siihen, että kun dedline on aamu 8, niin siihen mennessä kaikki pelittää entisellään, mutta lasku tulee olemaan sitten kohtalainen. Sekä vaatimus tuon firman tietojärjestelmien uusimisesta yrittäjälle tulee olemaan "kohtuuton" Jumaketa. 3 miljoonan euron liikevaihto, ja tietojärjestelmiin varattuna ainoastaan 2.000 euroa/vuosi. heh

Jaa. Jotkut saattavat ihmetellä, että miksi mulla on aikaa tässä kirjoitella. No huollettava kone tekee hommiaan oman aikansa. Salai tietää kyllä. Ehtii tässä laitella iltateetkin välillä jne.

salai
Seuraa 
Viestejä7264
Liittynyt17.3.2005
Lassi
Ja se, joka tulee tänne kirjoittamaan asiasta pilkkamielessä saa totaalisesti kyytiä ainakin Kraateripirulta

Kyllä nyt taas oli ihan siinä hilkulla, etten tullut kirjoittelemaan tänne pilkkamielessä.

Hirveän Kraateripirun masinoima valtakunnallinen tietokonekerho kuitenkin metästää (siitä ne tykkää) jokaista näppäimenlyöntiäni, joten taidanpa miettiä sanojani hetken aikaa.

Mitä tahansa edellä esitetyistä väitteistä saa epäillä ja ne voidaan muuttaa toisiksi ilman erillistä ilmoitusta. Kirjoittaja pyrkii kuitenkin toimimaan rehellisesti ja noudattamaan voimassa olevia lakeja.

Sivut

Uusimmat

Suosituimmat