Hitto nyt on oikea virus

sama vika. Maksan FSecurelle. Turhastako?

Tunnetaan myös nimellä nail ja aurora infectio.
Sitä EI pysty poistamaan virustorjunta ohjelmilla vaan siihen tarvitaan special fixiä.

Laita hijackthis loki tonne hijackthis palstalle tai etsi ohjeet netistä.

Tässä eräs ohje:
Lainaus alkaa
.............................
You may want to print out or make a copy of these instructions before starting, because you will not be able to connect to the internet during most of this fix.

Please download, install, and update the free version of Ewido trojan scanner:

http://www.ewido.net/en/download/


When installing, under "Additional Options" uncheck "Install background guard" and "Install scan via context menu".

When you run ewido for the first time, you will get a warning "Database could not be found!". Click OK. We will fix this in a moment.

From the main ewido screen, click on update in the left menu, then click the Start update button.

After the update finishes (the status bar at the bottom will display "Update successful")

Exit Ewido. DO NOT scan yet.



Download System Security Suite here:
http://www.igorshpak.net/

System Security Suite Download & Tutorial. Unzip it to your desktop. Install the program. Don't use it yet. alternate download HERE

Please download the Nail/Aurora Spyware Fix from NoIdea.US.
http://www.noidea.us/easyfile/file.php?download=20050515010747824

(Alternate download link: dknoppix mirror)
http://www.dknoppix.com/cgi-bin/download.cgi?Nailfix

Unzip it to the desktop but do NOT run yet.

Reboot into Safe Mode. To do this with Windows XP, you can follow these steps from Microsoft:



Restart your computer and start pressing the F8 key on your keyboard. On a computer that is configured for booting to multiple operating systems, you can press the F8 key when you the Boot Menu appears.

Select an option when the Windows Advanced Options menu appears, and then press ENTER.

When the Boot menu appears again, and the words "Safe Mode" appear in blue at the bottom, select the installation that you want to start, and then press ENTER.



Once in Safe Mode, please double-click on nailfix.cmd that you unzipped earlier. Your desktop and icons will disappear and reappear, and a window should open and close very quickly --- this is normal.

Next, With all windows and browsers closed.
Clean out temporary and Temporary Internet Files.
A. Open System Security Suite.
B. In the Items to Clear tab thick:
- Internet Explorer (left pane): Cookies & Temporary files
- My Computer (right pane): Temporary files & Recycle Bin
Press the Clear Selected Items button.
Close the program.

Open Internet Explorer, and click on the Tools menu and then Internet Options. At the General tab, which should be the first tab you are currently on, click on the Delete Files button and put a checkmark in Delete offline content. Then press the OK button.


Now run Ewido again.



Click on the Scanner button in the left menu, then click on the Start button. This scan can take quite a while to run, so time to go get a drink and a snack....

If ewido finds anything, it will pop up a notification. You can select "clean" and check the boxes "Perform action with all infections" and "Create encrypted backup" before clicking on OK.

When the scan finishes, click on "Save Report". This will create a text file. Make sure you know where to find this file again.



Then run HijackThis, click Scan, and place a checkmark by the following item:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Close all open windows except for HijackThis and click Fix Checked.


Finally, restart your computer in normal mode and please post a new HijackThis log, as well as the log from the Ewido scan.
.....................
Lainaus loppuu

Kokeileppa hakusanaa "hijackthis". Löytyy myös suomeksi neuvoja. Minä onnistuin. Ole kuitenkin varovainen. Kaikki löytyneitä faileja ei saa poistaa.

Jos F-Securen tuotteen asetuksia et itse muuta, toimii f-secure näin:
- F-secure yrittää puhdistaa pöpön
- Jos pöpö on virus, niin se puhdistetaan
- Jos pöpö on takaovi, mato tai troijalainen, siinä ei onnistuta. Sitä ei yksinkertaisesti voida puhdistaa. Mahdotonta. Piste.
- Tällöin pöpö uudelleenimetään jotta se ei leviä

Näin yksinkertaista se on.
Ja miksiko ei voida puhdistaa sitten Matoa, Takaovea tai Troijalaista?
No siksi että ne eivät liitä koodiaan mihinkään toiseen objektiin josta ne voitaisiin puhdistaa. Näin ollen mitään puhdistettavaa ei ole vaan ne uudelleen nimetään.

No miksikö uudelleennimetään?
No siksi että skannerit tekevät joskus virhearvioita eikä F-Secure ole halunnut poistaa tiedostoja koneelta automaattisesti juuri sen takia että jos skanneri tekisikin väärän hälytyksen niin ettei lähde tärkeä tiedosto taivaan tuuliin.
Kyllä tämä on tarkkaan harkittu toiminnallisuus.

Kun F-secure uudelleen nimeää eli tekee viruksen vaarattomaksi, niin se uudelleen nimetessään tekee niille useimmiten .0xe-nimisen päätteen.
Jos ne uudelleen nimetyt ja jo nyt vaarattomat virukset mielenrauhaasi häiritsee niin tokihan voit ne uudelleen nimetytkin helposti poistaa.

>Käynnistä
>Etsi
>Kaikki tiedostot ja kansioit,
kirjoita hakusanaksi: .0xe (tuo on siis .nollaxe eikä .ooxe)
>Etsi, etsinnän päätyttyä voit täysin huoletta poistaa kaikki löytyneet.

Jotkut virukset ja örkit osaa mennä myös Restore eli Järjestelmän palautustiedostoihin ja sieltä saat ne poistettua tällä ohjeella:
http://support.f-secure.fi/fin/home/virusproblem/howtoclean/cleansystemrestore.shtml

eScan varmaan puree tuohon. Se jopa poistaa ne ;) Lataa tuolta. Päivitä ensin ohjeiden mukaan. Ota systeemin palautustoiminto pois päältä ja skannaa kone läpi.

http://koti.mbnet.fi/pattaya1/escanmwav.htm

Toinen vaihtoehto on maksullinen mutta Demoversiolla Tauscan

http://www.agnitum.com/download/