Saastunut vai ei?

[Tengu]

Kaipaisin vähän helppiä.
Eilen illalla surffaillessa F-secure ilmoitti tiedostojen saastuneen. Troijanit hyökkäsivät oikein urakalla. Ohjelma ilmoitti, että tiedostot on poistettu, mutta koneeseen jäi ongelmia.

Ensinnäkin selaimen oletus aloitussivu oli mitä sattui (näin on tapahtunut ennenkin, mutta silloin tarvitsi vain vaihtaa aloitussivu asetuksista takaisin ) ja selain myös hyppi omia aikojaan oudoille sivuille. Tähän kaveri löysi kyllä jonkinlaisen ratkaisun: Joku outo välityspalvelin oli kytketty toimintaan. Kun välityspalvelimen otti pois häipyivät ongelmat. Mutta oliko tässä kaikki. Poistuikohan ongelma nyt lopullisesti vai saattaako taustalla piillä vielä jotakin?

Toiseksi nyt, kun käynnistää koneen avautuu ensimmäiseksi omia aikojaan resurssien hallinta, kansio C:\Program Files\Common. Onko tällä joku funktio. Mielestäni sen avausta ei ole määritelty mihinkään Käynnistys toimintoihin??

Onko siis mahdollista tai todennäköistä, että koneessa olisi jonkin sortin mato vaikka F-securen anti-virus ei mitään löydä. Päivitysten pitäisi olla kunnossa.
Itse tutkailin tiedostoja Etsi-toiminnolla ja tapahtuma hetkellä muokattuja epäilyttäviä tiedostoja löytyi muutama.
C:\w.exe
C:\WINDOWS\q0102.exe
C:\WINDOWS\windial32.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\Program Files\Common Files\svchost.exe
C:\Program Files\Internet Explorer\Iesearch.exe

Pitääkö madon/viruksen muuten olla tyypiltään sovellus?

Selventäkää mulle tilannetta, kiitos. Mä oon tietokoneiden kanssa nykyään aika

 

[Sam79]

Käy hakemassa Spybot tai vastaava jos ei koneelta jo löydy.

 

[Garion]

...

C:\w.exe
C:\WINDOWS\q0102.exe
C:\WINDOWS\windial32.exe

Nämä pistävät kyllä silmään.
Itse en todellakaan tiedä noista mitään. Jotain ylimääräistä tuntuvat olevan.

Pistin tuonne muutaman ihan asiallisen ohjelman, joihin kannattaa tutustua.

http://www.mehukannu.com/RAUNO/

Ensimmäinen on Virus scanneri.
ja
Toinen on Spyware scanneri.

Hyvin tuntuvat kumpainenkin toimivan.

ps. uudet päivitykset kannattaa ladata netistä. Ohjelmista löytyy UPDATE jota kannattaa kokeilla ;)

 

[dmv]

Etsi netistä semmonen ohjelma kuin trojan remover. On todella hyvä juuri troijalaisia vastaan, tutkii rekisterinkin käynnistyksen yhteydessä.
Kyllä mato tai virus on monesti tyypiltään sovellus, vaan välttämätöntä se ei ole, koska virus voi levitä vaikka jonkun excel kannan mukana. Suorittaa se pitää joka tapauksessa, yleensä niihin on vaan lisätty jotain että ne ajavat itse itsensä, vaikkapa laittamalla tietonsa rekisteriin.

 

[Mixu]

windial32.exe - Hyvin todennäköisesti CoolWebSearch- häirikköohjelman osa. Se poistuu oikeastaan vain apuohjelmalla CWShredder

 

[Tengu]

Kiitoksia.
Ongelma on (toivon mukaan) selätetty. :piis:
Asialla olivat ainakin Alexa, coolwebsearch, antilamer light, trojan.win32.startpage ja joitain tracking cookieita.

F-secure oli autuaan tietämätön mistään, Spybot ja Ad-aware löysivät sentään jotain, mutta PestPatrol tuntui parhaalta. Tosin siitä en saanut kuin testiversion joka kyllä löysi, mutta ei poistanut matoja. Manuaalinen poisto olikin melko työläs homma.

Eivät ole muuten aivan vaarattomia nämä torjuntaohjelmatkaan osaamattomissa käsissä. Tuli innoissaan poistettua muutamien tärkeiden ohjelmien rekisteröintitiedot. No onneksi palautuskin on helppoa.

 

[charter]

Mulla on koneella joku iSearch ohjelma, jota en saa poistettua. Näkyy selaimessa osoite rivin alapuolella.

 

[-Jusa-]

Osaako joku sanoa onko logissa jotain ylimääräistä?Sekin ihmetyttää miksi npfmsg2.exe vie melkein 50 mt muistia ja yksi svchost.exe 25 mt?



Logfile of HijackThis v1.97.7
Scan saved at 20:10:36, on 20.5.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\SynCor.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\HijackThis.exe

 

[mute]

seuraavat huoletta veks:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SynCor.exe

Normanin antivirukseen en ole tutustunut, joten seuraavista en tiedä:
(C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe)



Seuraavanlainen kuuri auttaa melkein koneeseen kuin koneeseen:

Asennetaan ja ajetaan:
Ad-Aware 6 -> haetaan uusimmat kannat
spybot 1.3

online-virusskanneri:
http://housecall.trendmicro.com/housecall/start_corp.asp
(listataan ylös kaikki virukset ja madot, mitä skanneri ei saa poistettua ja mennään www.symantec.com -> search, josta löytää kaikille viruksille poistotyökalut)

Tämän jälkeen laitetaan windowsin oma palomuuri pois päältä ja tilalle laitetaan ilmainen palomuurisofta nimelta Zone Alarm. (ja pysytään pois pornosivuilta, eikä vastailla "yes" jokaiseen netistä ruudulle ilmestyvään ikkunaan)

 

[Jortsu]

seuraavat huoletta veks:

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

No niin, jos siitä ei ole huolta että servicejä menee alas

Ja taitaapa tuo Explorer.EXEkin olla tarpeellinen ellei jopa pakollinen siellä taustalla.

Edit. ennemmin kannattaa katsoa esim. tämän sivun oheita käyttäen mitkä servicet on tarpeen olla päällä ja stoppailla sitten ylimääräiset.

 

[mute]

No niin, jos siitä ei ole huolta että servicejä menee alas

Ja taitaapa tuo Explorer.EXEkin olla tarpeellinen ellei jopa pakollinen siellä taustalla.

Edit. ennemmin kannattaa katsoa esim. tämän sivun oheita käyttäen mitkä servicet on tarpeen olla päällä ja stoppailla sitten ylimääräiset.

hups, my bad, luin että scvhost.exe , mikä on aivan eri asia.
Explorer.EXE ei tietenkään taustalla haittaa, mutta jos se on käynnistyksen yhteyteen pistetty, niin suosittelisin nappaamaan pois msconfigilla.

 

[Implant]

F-secure oli autuaan tietämätön mistään, Spybot ja Ad-aware löysivät sentään jotain, mutta PestPatrol tuntui parhaalta.

sama homma. Isellä oli koneella TR/Nulnuler.a ja VBS/Newlove.A ja f-secure ei tiennyt noista mitään. Huomasin nuo siinä yhteydessä kun vaihdoin virustutkan antiviriin. AV nyt on jo huomannut ja tuhonnut 2 kömmiäistä muutaman päivän aikana minkä AV on mulla ollut. Itellä tahtonyt tyo secure jo menettää luottamuksensa.

 

[-Jusa-]

Mielestäni F-Secure sopii parhaiten suuriin palvelinympäristöihin,ei niinkään kotikoneelle.