Kone kaapattu vai mikä kumma?

[Nils Rostedt 13]

Kertokaapas viisaammat.

Viime syksynä hankittu XP(english)-kone alkoi oireilemaan noin kaksi viikkoa sitten. Koneen sammuttaminen kesti huomattavan kauan ja kun yritin pysäyttää USB-muistikortinlukijan kortin poistoa varten, alkoi tulla ilmoituksia "kortti käytössä, yritä myöhemmin uudestaan" vaikka kaikki sovellukset olivat pois päältä. Koneesta oli myös joskus kuulunut "ylimääräisiä" äänikilahduksia, joihin en silloin vielä kiinnittänyt huomiota.

 

Tänään sitten nettikin hidasteli pahasti (Elisa, klo 16-17) ja aloin tutkimaan tarkemmin. Norton Internet Securityn avaaminen pysähtyi kesken  . Ad-aware löysi 76 mörköä. Jossain vaiheessa tuli virheilmoitus "Other user logged on" . Ja niin olikin toinen määrittelemästäni käyttäjistä, Temp, jostain ihme syystä aktiivinen ??? Eipä ole aiemmin näkynyt. Tempin Task Managerista ei kyllä näkynyt yhtään auki olevaa sovellusta. Mutta jotain ihmeellistä se lienee aiheuttanut, koska koneen sammutus onnistui vasta resetin kautta.

 

Restartin jälkeen sitten Temp-käyttäjälle salasana päälle ja Norton töihin. Viruksia ei löytynyt, mutta jostain syystä skannauksen jälkeen tutkittujen tiedostojen lukumäärä on pudonnut noin 299000:sta noin 129000:een. ??? Pikavilkaisu kuva-arkistossa ei kuitenkaan paljastanut mitään puutteita, liekö kadonneet olleet jotain IE:n cache-tiedostoja.....

 

Eli kysymys, mikä mahtaa olla tapahtunut ja miten asiaa voisi selvittää tarkemmin? Koneessa on ollut koko ajan Nortonin ja Windowsin palomuurit päällä. Tosin aina silloin tällöin on tullut sallittua uuden IP-osoitteen kanssa kommunikointi.....

 

 

[Sami Puro 599]

Kokeilepa ottaa MS:n sivuilta spyware-skanneri Windows Defender.

 

Lisäksi tsekkaa windowsin käynnistyksen yhteydessä ladattavien ohjelmien lista msconfig:n kautta, laita vaikka lista tähän, josko siellä olisi jotain ylimääräistä.  (eli käynnistä -> suorita -> msconfig -> viimeinen välilehti)

[Nils Rostedt 13]

Kokeilepa ottaa MS:n sivuilta spyware-skanneri Windows Defender.

 

Lisäksi tsekkaa windowsin käynnistyksen yhteydessä ladattavien ohjelmien lista msconfig:n kautta, laita vaikka lista tähän, josko siellä olisi jotain ylimääräistä.  (eli käynnistä -> suorita -> msconfig -> viimeinen välilehti)

Kiitos vihjeistä.

Eipä se Windows Defender kuitenkaan mitään ihmeellistä löytänyt.

 

Tältä näyttää tuo Startup-lista:

[ attachment removed ]

[ attachment removed ]

 

Nyt kone kylläkin raksuttaa ihan normaalivauhtia, mutta onpa se Temp-käyttäjä nyt myös poissa päältä. 

 

 

[Sami Puro 599]

Juu, en tuosta käynnistyslistastakaan mitään haitallista varsinaisesti keksinyt.

 

 

Edit: Eikun hetkinen.. mitä nuo sw20.exe ja sw24.exe ovat..?? haiskahtaa..

[Ari Viitajylhä 33]

Just katsoin samaa jotta mitä nuo sw20 ja sw24 ovat ???

[Ville Elomaa 0]

Entä mikä on nwiz.exe?

 

- Ville -

[Kari Virtanen 1]

Sw20.exe ja sw24.exe ovat MSI:n näytönohjaimen filuja, nwiz.exe NVIDIA:n ohjaimen palikka jolla saa käyttöön useamman näytön.

 

Jos käytössä on MSI:n GeForce-piiriin perustuva näytönohjain MSI:n omilla ajureilla, homma on OK. Mikäli ajuri on päivitetty NVIDIA:n ForceWare-ajuriksi?, on vanhojen ajurien siivous jäänyt tekemättä.

[Ari Viitajylhä 33]

Sw20.exe ja sw24.exe ovat MSI:n näytönohjaimen filuja

Asia selvä.

[Jaakko Airasmaa 0]

Elisa

Norton Internet Securityn

"Well, Theres your proplem"

[Sami Virkkula 0]

 

Aja HijackThis ja laita tulokset virustorjunta.net:n palstalle. Siellä on sällejä jotka kaivaa ongelman vaikka kivensilmästä.

 

Ohjelma ja ohjeet löytyy

 

http://www.virustorjunta.net