Moikka

Sain messengeriini eilen 27.12.07 klo 16.00 - 24.00 viiruksen joka levis hirmu vauhdilla eteenpäin.
Kaikki jotka olivat aktiivisena listoilla ovat voineet saada viruksen.

Virus lähettää tietoja messengerinkautta eteenpäin tarkistakaa koneenne.

Pahoittelen tapahtunutta. -Dream-

Suuri kiitos humppikselle varoituksesta ja poisto ohjeesta.


Eli näin:

Älä aukaise meseä missään vaiheessa ennenkuin kone on varmaan puhdas!

Katsot onko olemassa tälläinen kansio:

C:\Windows\System32\Miicrosofttt\

ja jos on niin poistat sen.

Sitten poistat myös nämän filet:

C:\Windows\System32\NTSpool.exe

C:\Windows\ photos_xmas_02.zip

Jonka jälkeen poistat rekisterieditorilla kaikki viittaukset noihin fileihin:

Muista että rekisterin puukottaminen voi johtaa siihen ettei winukka enää käynnisty!

Eli tee just niinkuin neuvotaan.

1. Start(Käynnistä)->Run(Suorita)->regedit->OK
2. Edit -> Find -> kirjoita: Miicrosofttt -> Find next
3. Klikkaa oikealla hiiren nappulalla ja deletoi asianosaiset rekisteriavaimet.
4. Jos regedit kysyy poistetaanko aliavaimet niin vastaa kyllä.
5. Toista homma kirjoittamalla Miicrosofttt:n tilalle NTSpool.exe, halll2.exe, photos_xmas_02.zip
6. Skannaa kone vaikka tällä: http://housecall65.trendmicro.com/ Tai http://free.grisoft.com/doc/downloads-products/us/frt/0?prd=aff

Hommahan on sitten niin että ainakaan tänään aamulla eivät nortonin eikä f-securen tuotteet tunnistaneet tuota ko. virusta.

Asiaan on tietenkin saattanut tulla korjaus, ja edelliset "käsinpoisto-ohjeet" kannattaa hyödyntää VAIN siinä tapauksessa että poistaminen ei omaa virustorjuntaohjelmistoa käyttämällä onnistu.

Windowsin rekisterin helppoa hajottamista ei voi ikinä korostaa
tarpeeksi. Joten olkaa varovaisia.

Sitkee paska tää viirus ei meinaa löytyy.
no nyt saastunut kone tutkattavana.

muut koneet kunnossa.

Tiedoston nimi on photos_xmas_02.zip älä avaa tiedostoa.
Hylkää se.

Pistetään lisäyksenä vielä että vastaavia viruksia tulee (tai ainakin on tullut) muillakin nimillä.

Siinä voi hetken miettiä jos suomalaiselta kaverilta tulee esimerkiksi englanniksi viesti: "Check out these awesome pictures..." ja sen perässä epämääräinen tiedosto.

Eipähän noita messengerin kautta liikkuviakavereita ole aikaisemminkaan oikeastaan mitkään virusskannerit pahemmin havainneet. Kesällä riehuneisiin vastaaviin niin A-square auttoi, uusista variaatioista en sitten tiedä. Sinäänsä toi zippi mitä se lähettelee niin on haitaton jos sitä ei mene availemaan ja suorittamaan sitä scr-tiedostoa joka sen zipin sisässä on.

Joo kuulema liikkuu kaikkea sontaa tällä hetkellä.

Jos lähetätte kuvia niin laittakaa liite aina suomeks.
Ennen liitettä jotain järkevää suomeks niin ei tule erehdyksiä.
Virukset ei osaa kirjottaa järkevia lauseita...

Homma on mun osalta kunnossa ja ei levii enään.

Jos joku löytää viruksen jollain virustutkalla niin ilmota siitä tänne niin saadaan toimivien tutkien lista tehtyä.

Tällähetkellä norton 2007 ei löydä virusta, FSecure taitaa sen jo löytää mutta varmuutta ei ole vielä.

Lista:

Norton 2007 internet security --- ei löydä.
Adaware 2007 --- ei löydä.
SpywareDoctor --- ei löydä.
FSecure --- ei löydä.

Mulla virus on muistitikulla ilmoitan heti kun rupee löytyy.

Eipähän noita messengerin kautta liikkuviakavereita ole aikaisemminkaan oikeastaan mitkään virusskannerit pahemmin havainneet. Kesällä riehuneisiin vastaaviin niin A-square auttoi, uusista variaatioista en sitten tiedä. Sinäänsä toi zippi mitä se lähettelee niin on haitaton jos sitä ei mene availemaan ja suorittamaan sitä scr-tiedostoa joka sen zipin sisässä on.

Mä testaan ton softan ilmoittelen ilalla.

Mä menin nalkkiin sentakia kun joulu pyhinä lähetin muutaman kuvan ystävilleni ja tiedosto oli joulutervehdys.rar.

No asiasta viisaampana täytyy olla varovaisempi.

Tällä hetkellä, testattuna.
Antivir - ei reaktiota
Avast! - ei reaktiota
Norman - ei reaktiota
Kaspersky - ei reaktiota
AVG - ei reaktiota

A-square ton saattais havaita, tosin se taitaa vaatia sen et kyseinen kaveri ois aktiivisena koneella, eikä zipattuna, mene ja tiedä.. kotona olisi helpompi testata kun saa aikaan sellaisen ympäristön joka ei laske ulos liikennettä, mut sisään pääsis, nyt reissun päällä kykenee testaileen vaan noita virusskannereita, ja niiden kykyä löytää zipistä tavaraa.

** jokseenkin harvinaista on, et noita haitakkeita ilmenee rar paketissa, siihen kun ei löydy mistään windoows sarjan tuotteesta suoraa tukea, vaan pitää hankkia ohjelma erikseen jolla ne saa auki. Toivottaasti oli hyväkin tuttu, ettet häntä hirveemmin tukista tuollaisesta pikku jouluaskartelusta :D

Kyseessä siis pelkän .zip tukausta Dobelta ja minä tutkaan saastunuttani konetta joka on LockDown tilassa eli ei levitä mitään.

Lista:

Dream:
Norton 2007 internet security --- ei löydä.
Adaware 2007 --- ei löydä.
SpywareDoctor --- ei löydä.
FSecure --- ei löydä.

Dobe:
Antivir - ei reaktiota
Avast! - ei reaktiota
Norman - ei reaktiota
Kaspersky - ei reaktiota
AVG - ei reaktiota

Kyseessä siis pelkän .zip tukausta Dobelta ja minä tutkaan saastunuttani konetta joka on LockDown tilassa eli ei levitä mitään.

Lista:

Dream:
Norton 2007 internet security --- ei löydä.
Adaware 2007 --- ei löydä.
SpywareDoctor --- ei löydä.
FSecure --- ei löydä.

Dobe:
Antivir - ei reaktiota
Avast! - ei reaktiota
Norman - ei reaktiota
Kaspersky - ei reaktiota
AVG - ei reaktiota

Jos joku haluaa tutkia tiedostoa niin se on saatavissa minuta harmittomana .zip tiedostona.

Löytäisköhän tuo (http://www.simplysup.com/tremover/index.html)? Spybot S&D:n (http://www.safer-networking.org/fi/index.html) pitäisi ainakin löytää tuo Bifrose, sillä se tuo pikagooglettamisen mukaan todennäköisesti on.

Mitä tä virus tekee?

Asentaa "softan" joka tekee tasan samaa mitä alkuperäisessäkin levittäjän koneessa: Spämmää tota samaa tekstiä ja koettaa lähettää sitä pakettia kaikille yhteyshenkilöille. Pahinta tossa on se, ettei levittäjä pysty asiaa havaitsemaan itse.

Jep.. Uusia variaatioitakin on, muun muassa että kaverisi mukamas kehottaa avaamaan tietyn linkin ja sitten siinä jollain verukkeella pishataan messengerin tunnus ja salasana.. Ja ei voi sanoa muutakuin että suomalaiset ovat TYHMIÄ! Varmaan 90% listallani olevista henkilöistä on mennyt antamaan tunnuksensa täysin tuntemattomalle saitille.. Hävettää heidän puolestaan.

Löytäisköhän tuo (http://www.simplysup.com/tremover/index.html)? Spybot S&D:n (http://www.safer-networking.org/fi/index.html) pitäisi ainakin löytää tuo Bifrose, sillä se tuo pikagooglettamisen mukaan todennäköisesti on.

Spybot löys jotain rekisteristä nyt takas messengerissä.
trojan remuver ei löytänyt mitään.

Jep.. Uusia variaatioitakin on, muun muassa että kaverisi mukamas kehottaa avaamaan tietyn linkin ja sitten siinä jollain verukkeella pishataan messengerin tunnus ja salasana.. Ja ei voi sanoa muutakuin että suomalaiset ovat TYHMIÄ! Varmaan 90% listallani olevista henkilöistä on mennyt antamaan tunnuksensa täysin tuntemattomalle saitille.. Hävettää heidän puolestaan.

Juu menin itsekkin lankaan... kantapäänkautta taas...

Jep jep.. Ja IRC-Galleriassa ja jossakin muualla tehdyn testin mukaan osallistuneista noin 90% myös sanoivat osaavansa käyttää nettiä turvallisesti.. Niinpä niin.

Tuo kyseinen virushan ei loppu peleissä ole kovinkaan uusi edes, itse vastaaviin törmäsin ensimmäisen kerran joskus 2004, loppu peleissä "harmiton" yrittää vaan levittää itteään eteenpäin aika voimalla.

Jep jep.. Ja IRC-Galleriassa ja jossakin muualla tehdyn testin mukaan osallistuneista noin 90% myös sanoivat osaavansa käyttää nettiä turvallisesti.. Niinpä niin.

Mulla on ollu aina paljon tutkia päällä ja yhtään ei ole läpi tullu.
Kuvia liikuttelen paljon niin menin tohon jujuun.

Kerran joku meinas saastuttaa sellasella kun britney.jpg...
Norton haisto ja tuhos.

No hyvä et tuli ilmi niin saatiin taas lisää infoa mitä liikkuu netissä.

Eikös tuohon pitäisi auttaa salasanan vaihto? Siis siihen virukseen joka lähettää linkkejä toisille.

No nyt ei olekkaan kyseessä linkkejä vaan tiedostoa lähettävä versio, tuohon pelkkää linkkiä spämmivään auttaa yleensä tunnuksien vaihto.

JOS joku viitsii enää kattoo näin vanhaa viestiketjua, niin voi kai auttaa: joka kerta kun käynnistän koneeni, niin tiedosto nimeltä csrss.exe yrittää päästä remote urliin. Kerran päästin sen. Nyt AVG on havainnut sen tiedoston C:/ -> WINDOWS -> Media -> csrss.exe
Oon monta kertaa koittanu tuhota sen avglla ja ite windowsil mut se sanoo: Cannnot delete: csrss.exe: access is denied. Make the disk is not full or write protected and that file is not currently in use.
Kovol on 7 gp vapaata tilaa eikä kopiosuojausta, mutta tiedoston käytöstä en ole varma. Koitin toisel koneel kovoo ja yritin poistaa sen mut taas sama ilmoitus. Mikä neuvoksi?

Mahdollisesti vikasietotilaan käynnistys tai vikasietotilan komentoriville ja sitten poistaa sitä kautta kyseisen kaverin. Ei välttämättä anna poistaa jos kyseinen tiedosto on ladattu muistii windowsin käynnistyksen yhteydessä.

Tosin csrss.exe kun sattuu olemaan myös Windowsin oma prosessi jonka poistaminen saattaa aihauttaa kaikkee kivaa mystistä, tosin Windowsin prosessina sen pitäs sijaita hakemistossa c:\windows\system32

Jos ei lähde vikasietotilassa pois niin ei muuta kun ettimään ohjetta sitten Nimda.E nimisen viruksen poistamiseen.

JOS joku viitsii enää kattoo näin vanhaa viestiketjua, niin voi kai auttaa: joka kerta kun käynnistän koneeni, niin tiedosto nimeltä csrss.exe yrittää päästä remote urliin. Kerran päästin sen. Nyt AVG on havainnut sen tiedoston C:/ -> WINDOWS -> Media -> csrss.exe
Oon monta kertaa koittanu tuhota sen avglla ja ite windowsil mut se sanoo: Cannnot delete: csrss.exe: access is denied. Make the disk is not full or write protected and that file is not currently in use.
Kovol on 7 gp vapaata tilaa eikä kopiosuojausta, mutta tiedoston käytöstä en ole varma. Koitin toisel koneel kovoo ja yritin poistaa sen mut taas sama ilmoitus. Mikä neuvoksi?

tuo csrss.exe on hyvin suurella todennäköisyydellä viirus/troijalainen mikäli se on muualla kuin X:\WINDOWS\System32.

Mikäli se on tuolla edellämainitussa paikassa se on windowsin osa (Client Server Runtime SubSystem). Eikä sitä pidäkään poistaa.

Ratkaisuksi voisi tarjota vaikka sitä että boottaat koneen Safe-Modeen ja poistat sen sieltä käsin. Tai vaikka ensin kopioit sen jonnekin muualle, ja nimeät uudelleen. Tai sitten koitat sulkea sen prosessin Task Managerista - Suomi wintoosassa kai Tehtävienhallinta - (ctrl-alt-del)
ja yrität sen jälkeen nimetä sen uudelleen.

Mikäli taas sitten normaalitilassa uudelleen käynnistyksen jälkeen joku ei toimi, niin kopsit sen sinne takaisin, vaikkapa tuolta X:\WINDOWS\System32:sta.

Kun yritän taskil sulkee nii se sanoo: Critical ohjelma. Ei voi sulkea. Niit prosessei on kaks.

Ja välillä sgate personal firewall sanoo: file name: csrss.exe has been blocked from accessing network

Nyt kokeilen laittaa safe modessa!

Safe modessa sama juttu. Löysin samanlaisen tiedoston system32 kansiosta. Mutta system kansiossa olevalla on description internet joku microsoft support. mut se joka on mediassa nii siin ei oo mitään kuvausta. Kone sanoo kokoajan, että se on write-protecred, mut miks se on media kansiossa?

Koska kyseessä mitä ilmeisemmin jokin tietokone virus, esim Nimda E. niminen kaveri käyttää tuon nimistä exe tiedostoa, ja sijainti on jotain muuta kun \Windows\system32

Eli miten saan sen poistettua ku avg, adaware, tai avast! ei voi poistaa, myöskään windows ei suostu saati safes tai normaalis. APUAA!

No se riippuu ihan siintä mikä virus siinä on. Symantecillä ja F-securella on muistaakseen useampiakin noita työkaluja joilla juuri jokin tietty virus poistetaan. Esimerkiksi Nimda nimisen viruksen jokaiseen versioon taitaaolla oma ohjelmansa, jolla sen saa pois, suht vaivattomasti tai sitten ei. Useimmiten poisto edellyttää, ettei kone ole yhteydessä internettiin ja poisto suoritetaan vikasietotilassa, järjestelmän palautus pois kytkettynä.

http://www.symantec.com/norton/security_response/removaltools.jsp

Esim tuolta ainakin löytyy Nimda.A ja E:n puhdistustyökalut.

Jotkut noista osaa laittaa avg:t ja muut pois päältä tai rampauttaa ne.

http://support.f-secure.com/fin/home/ols.shtml

Niin tuolla voi yrittää myös poistaa.

Ei onnistunu ku avaan sen ohjelman nii kone käynnistyy uudestaan ja se ohjelma sanoo youhave to restart your system before contiuning. kun käynnistän uudestaan alkuun ja alkaa käynnistelemään taas konetta uudestaan :confused::confused::confused:

Minulle tuli tänään tällainen

Hey is it really you on this pic? :S "www osoite jossa on sinun msn osoite"

Kun menee sivulle niin tulee haluatko ladata tämän tiedoston.
Tiedosto on ms-dos tiedosto joka tekee aika varmasti pahaa...
Avasin tiedoston notepadilla, mutta ei tullut mitään selvää.

Oma virustorjunta tunnisti tuon Injector.h troijalaiseksi. Ota Baabo tuo linkki pois, kaikilla ei ehkä ole toimivaa virusturvaa...

Nyt tää kyseinen virus on ruvennu lähettelee suomen kielisiä linkkejä esim.Onko tää sun kuva? :D,Ootko tässä ? :),Löysin sun kuvan, Olitko kännissä eilen? ja Katso ketkä ovat poistaneet tai estäneet sinut Msn:ssä. Mulle tuli ittelle semmonen osote siihe perää www.msnphotos ja sitte mun sähköposti osote ja .com Nyt niille hakkereille on kulma tullu suomen kielisiä apureita.

eilen tuli ainakin 3 erillaista "ootko tässä? :D youtube-movies.com29372939
kyllä oma virus turvani varoittaa suoraan troijjalaisesta.. eikä tulisi muutenkaa mieleen avata tuollaisia linkkejä :D

http://sosvirus.changelog.fr/MSNFix.zip

Tuolla saa poistettua suurimman osan noista "viiruksista".