Guest hennri

virukset hyökkää, malware defence

Aloittanut Guest hennri,

13 viestiä aiheessa

Kirjoitettu

Terve,

Tänään surffaillessa alkoi kone piipittämään erilaisista troijalaisista, joita yritin vähäisten tietojeni ja taitojeni avulla poistaa.

Koneelle asentui Malware Defence niminen ohjelma, joka yritti skannata konetta ja myydä itseään.

Yhdessä vaiheessa sitten boottasin koneen, mutta se sitten lagasi heti työpöydälle koneesta tulevan piippauksen kera.

Vikasietotilassa yritin surffailla asiasta ja asensin Malwarebytes' Anti-Malware nimisen ohjelman, jolla koneen skannasin. Samalla poistin Malware Defence ohjelman pois koneelta rekisteritiedostoineen(run-->regedit jne. itselle ei noi hommat ihan tuttuja).

Nyt sitten käynnistin koneen uudelleen normaalitilassa ja kone tuntuu käyttäytyvän ihan hyvin.

 

Troijavaroituksia tuli sen verran paljon, etten voi millään uskoa että kone on nyt puhdas. Muutenkin myönnettävä, että viime aikoina olen huonosti pitänyt huolta koneesta, kun en kovin aktiivisesti mitään skannauksia ole tehnyt. Koneessa on COMODO firewall ja Eset Smart Security, jotka ovat tähän mennessä työnsä tehneet hyvin.

 

Tässä HjT-logi, jos joku viitsii katsoa mitä kaikkea kakkaa koneelle on kertynyt:

 

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 18:10:20, on 25.12.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\COMODO\Firewall\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ASUS\Six Engine\SixEngine.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\COMODO\Firewall\cfp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\SecCopy\SecCopy.exe

C:\DOCUME~1\Mikkola\LOCALS~1\Temp\richtx64.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/microsoftupdate

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\Firewall\cfp.exe" -h

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [second Copy 2000] "C:\PROGRA~1\SecCopy\SecCopy.exe"

O4 - HKCU\..\Run: [second Copy] "C:\PROGRA~1\SecCopy\SecCopy.exe"

O4 - HKCU\..\Run: [richtx64.exe] C:\DOCUME~1\Mikkola\LOCALS~1\Temp\richtx64.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs:   C:\WINDOWS\system32\guard32.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bonjour-palvelu (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Google-päivityspalvelu (gupdate1c9bb8b87ba46b0) (gupdate1c9bb8b87ba46b0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod-palvelu (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 8212 bytes

 

Auttakaa apinaa ;D

 

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Moi,

 

yksi troijalainen ainakin näyttää olevan ja myös softa mikä keräilee tietoja käyttäjästä. Ennen kuin aloitetaan niin ota järjestelmänpalautus pois käytöstä ettei nuo jää sinne muhimaan.

 

Käynnistä tietokone vikasietotilaan, käynnistä HJT, klikkaa "do a system scan only" ja fiksaa seuraavat rivit:

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [richtx64.exe] C:\DOCUME~1\Mikkola\LOCALS~1\Temp\richtx64.exe

 

Poista ao. tiedosto (edelleen vikasietotilassa):

 

C:\DOCUME~1\Mikkola\LOCALS~1\Temp\richtx64.exe

 

Tyhjennä roskakorit ja temp. yms väliaikaiset tiedostot.

 

Käynnistä kone uudelleen normaalisti ja ota uusi HJT loki ja pistä se tänne.

 

- Mikko

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Lainaanpa samaa ketjua kysyäkseni seuraavaa:

 

Miten ihmeessä saan tuon Järjestelmän palautustoiminnon pois Windows 7:stä? Ollut "hieman" örkkejä koneella ja olen niitä poistellut, mutta pitäisi saada tuo Palautuspiste-toiminto nollatuksi. Olen Googlettanut ja tutkinut Windows 7 omaa ohjetta tuloksetta.

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Lainaanpa samaa ketjua kysyäkseni seuraavaa:

 

Miten ihmeessä saan tuon Järjestelmän palautustoiminnon pois Windows 7:stä? Ollut "hieman" örkkejä koneella ja olen niitä poistellut, mutta pitäisi saada tuo Palautuspiste-toiminto nollatuksi. Olen Googlettanut ja tutkinut Windows 7 omaa ohjetta tuloksetta.

 

kokeiles tota

 

http://windows.microsoft.com/fi-FI/windows7/Delete-a-restore-point

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Mitä mitä !  Suosittelen F-securen internet security  2010 ohjelmaa.

Ja palomuuriin vähintään "Korkea taso" asetusta.

 

Minulla on nyt W-7 64 bit. eikä viruksia tule .

Vuonna 2002 tein XP-koneen .  Örkkejä tuli 5 kappaletta  :(

2002-2010 .   

 

Minulla on ollut aina F-securen paras ohjelmisto  :)

 

 

 

 

 

 

 

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Aiemmin minulla oli jos jonkinlaista ilmaista virustorjunta ja palomuuriohjelmaa, mutta laiskuuttani ostin virustorjunta/palomuuri (f-secure) palvelun laajakaistan toimittajalta.

 

Ei ole ollu viruksia (ainakaan tietääkseni) eikä tuo kovin kalliskaan ole.

 

Tyytyväinen olen ollut...

 

Kaveri pyysi jokin aika  sitten katsomaan konetta kun hidastelee...

 

Hänellä on ilmainen virustorjunta ja palomuuriohjelma, jota koskaan ei ollut päivitetty.

 

Koneesta löytyi yli 700 virus/haittaohjelmaa.

 

Putsaamisessa oli aika homma... Kehotin ostamaan tietosuojan nettipalvelun tarjoajalta. Eipä ole sen jälkeen tarvinnut käydä putsailemassa konetta. :thmbup:

 

risto suomi

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Asia kunnossa - kiitos.

 

Niin no - minulla on Panda 2010 Global, joka kyllä on toiminut moiteetta,  mutta joskus voi käydä näinkin...

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Asia kunnossa - kiitos.

 

Niin no - minulla on Panda 2010 Global, joka kyllä on toiminut moiteetta,  mutta joskus voi käydä näinkin...

 

Juu, kyllähän nuo parhaimmat ilmaisohjelmat toimii, mutta tuo palveluntarjoan tietoturva on aika huoleton.

 

Sitten on kuitenkin paljon tietokoneen käyttäjiä, jotka eivät osaa/viitsi/uskalla pitää virusohjelmaa/palomuuriohjelmaa ajantasalla...

 

Heille mun mielestä toi kertomani maksullinen palvelu on aika hyvä vaihtoehto.

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Kannattaa asentaa Spyware blaster http://www.javacoolsoftware.com/spywareblaster.html, päivittää Hosts tiedosto http://keskustelu.afterdawn.com/thread_view.cfm/320373 ja WOT - Web Of Trust http://www.mywot.com/fi   

 

Jos on hyvä virustentorjunta ja palomuuri ja sen lisäksi kun vielä nuo lataa niin eiköhän pärjää. Näiden lisäksi scannaan koneenin pari kertaa kuukaudessa Malvarebytes:llä http://www.malwarebytes.org/ ja SUPERAntiSpywarella http://www.superantispyware.com/

 

Noiden lataamisen jälkeen ei ole yhtäkään virusta näkynyt.

 

Sori kun en muista miten tehtiin se linkki niin että sen voi sijoittaa tuohon nimeen, ettei tarvitsisi laittaa montaa linkkiä tuohon.  :-\

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Onneksi nämä ongelmat jäivät omalla kohdallani historiaan jo n. 8 vuotta sitten.  Eipä ole viruksia näkynyt, vaikkei mitään virustutkaa tai haittaohjelmatyökaluja olekaan. Markkinoiden paras palomuuri tuli käyttöjärjestelmän kylkiäisenä, automaattisesti asennettuna ja säädettynä niin ettei mitään turhia herjoja tule näytölle. Järjestelmä päivittää itsensä täysin automaattisesti aina uusimpaan versioonsa, eikä se koske vain käyttistä vaan myös kaikkia asennettuja ohjelmia. Uusien ohjelmien asennus tapahtuu parilla klikkauksella ja käyttötarkoitusta kuvailemalla.

 

Parasta tässä kaikessa on se ettei tuo ylläkuvailemani "dream system" ole kuvitelmaa, vaan todellisuutta. Lisäksi sen saa ilmaiseksi, on kotimaista laatutyötä runkorakenteeltaan ja asentuu helposti joko wintöötin viereen tai sen korvaajaksi. Tämän järjestelmän nimi on Linux.  :thmbup:

 

Miksi ihmiset siis viitsivät vuodesta toiseen kahlailla tuossa Wintoosan tietoturvasuossa, kun kerran yleensä ei olisi pakko? Ellei joku peli tai muu ehdottoman Windows-sidottu softa vaadi sen reikäjuuston käyttöä, on vaikea ymmärtää että kukaan tietoisesti altistuu moiselle tietoturvariesalle. Normaalit tietokonetoiminnot toimistojärjestelmineen toimivat jouheammin ja turvallisemmin päivittäiskäytössä Linuxilla kuin Wintoosalla.

 

Itselläni Linuxilla pyörivät tällä hetkellä pöytäkone, läppäri ja kännykkä. Mihinkään näistä kolmesta en olisi ihan heti asentamassa Wintoosaa.

Jaa viesti

Link to post
Jaa muulla sivustolla

Kirjoitettu

Miksi ihmiset siis viitsivät vuodesta toiseen kahlailla tuossa Wintoosan tietoturvasuossa, kun kerran yleensä ei olisi pakko? Ellei joku peli tai muu ehdottoman Windows-sidottu softa vaadi sen reikäjuuston käyttöä, on vaikea ymmärtää että kukaan tietoisesti altistuu moiselle tietoturvariesalle. Normaalit tietokonetoiminnot toimistojärjestelmineen toimivat jouheammin ja turvallisemmin päivittäiskäytössä Linuxilla kuin Wintoosalla.

 

Jos ei oo ongelmaa, ei sitä kannata korjata.

Jaa viesti

Link to post
Jaa muulla sivustolla

Luo uusi käyttäjätunnus tai kirjaudu sisään

Sinun täytyy olla jäsen osallistuaksesi keskusteluun

Luo käyttäjätili

Rekisteröi uusi käyttäjätili helposti ja nopeasti!


Luo uusi käyttäjätili

Kirjaudu sisään

Sinulla on jo käyttäjätili?


Kirjaudu sisään
Palaa aiheisiin Ohjelmat ja laitteet