windows/system32 hakemistoon ilmaantunut arvotuilla nimillä useita
tiedostoja. Manuaalisesti noita vois yrittää poistaa, mutta mitä luin
netistä, ne tahtovat tulla takaisin.
--
mukavan tiukkaa
Levy toiseen koneeseen ja puhdistus siellä. Joskus tarvitsee system restore
ottaa pois käytöstä puhdistuksen ajaksi. Joskus ongelmat sen sijaan saa pois
juuri käyttämällä system restorea!
System Restore, joka majailee C:\System Volume Information-hakemistossa,
on hyvä virusten jemmaaja. Tuohon hakemistoon on erittäin vaikea päästä,
jos levy on boottaava. Poistamalla Restoren käytöstä tuo hakemisto tyhjenee.
Restore-point pois käytöstä ja sitten levy toiseen koneeseen
putsattavaksi, niin voi onnistua.
--
Hantte
So many fantastic colours, I feel in a wonderland
Many fantastic colours, makes me feel so good
Hommaa Avast! Se putsaa hyvin.
>> Levy toiseen koneeseen ja puhdistus siellä. Joskus tarvitsee system
>> restore ottaa pois käytöstä puhdistuksen ajaksi. Joskus ongelmat sen
>> sijaan saa pois juuri käyttämällä system restorea!
>
> System Restore, joka majailee C:\System Volume Information-hakemistossa,
> on hyvä virusten jemmaaja. Tuohon hakemistoon on erittäin vaikea päästä,
> jos levy on boottaava.
Siihen hakemistoon ei vain yksinkertaisesti ole administraattorilla
oikeuksia. Jos haluat päästä siihen käsiksi sinun pitää ottaa se
omistukseen ja lisätä oikeudet. Sitten pääsee. Mutta sitten pääsee kyllä
ne viruksetkin jotka pyörivät käyttäjän oikeuksilla.
> Poistamalla Restoren käytöstä tuo hakemisto
> tyhjenee.
> Restore-point pois käytöstä ja sitten levy toiseen koneeseen
> putsattavaksi, niin voi onnistua.
NOD32 tai Avast siinä toisessa koneessa ja kyllä lähtee.
Timo Pietilä
Mulla on koneessa ilmaisversio Avastista ja se oli täysin sokea tämän
paskiaisen suhteen. Skannasin koko koneen, eikä löytänyt yhtään virusta.
Fsecuren verkkoskanneri löysi.
Eniwei, mä taiteilin homman kanssa siten, että kirjasin fsecuren löytämät
tiedostot ylös sen jälkeen kun se ei itse onnistunut niitä eliminoimaan.
Tsekkasin mitä windowsin start up-listalle oli ilmaantunut. Poistin sieltä
pari epämääräistä paskiaista (oliskohan jo aika lopettaa ylläpitäjän
oikeuksilla surffaileminen...) Sen jälkeen kokeilin nimetä käsin uudelleen
kaikki tiedostot. Kaikkiin muihin paitsi yhteen pääsikin käsiksi. Tämä
viimeinen oli niin sitkeä, ettei edes windowsin safe moodi auttanut, vaan
kone piti käynnistää rompulta. Sen jälkeen ajoin fsecuren skannerin
system32-hakemiston osalta uusiksi ja se löysi enää yhden paskiaisen
aikaisemman 16 sijasta (samalla Mondercin nimellä). Sen se sitten pystyikin
poistamaan ja näemmä osasi eliminoida myös tiedostot, jotka olin nimennyt
uusiksi. Kone (erityisesti internet explorer, jota en normaalisti käytä,
mutta oli pakko turvautua koska fsecuren skanneri ei toimi firefoxilla)
lakkasi oikuttelemasta ja netti rullata taas kuin rasvattu. Paskiaisia ei
ole ilmaantunut uudelleen (kop, kop). Ei kai tää voinut näin helppoa olla?
Bonuksena multa katosi pitkään kummitelleet pari epämääräistä
verkkoyhteyttä, joita olen ihmetellyt command promptissa netstat-komennolla
ja nyt ei ole yhtään jos outlook express tai verkkoselain eivät ole päällä.
Se vaan, että tämä riesa alkoi vasta eilen, sen jälkeen kun tappelin zone
alarmin ja microsoftin tietoturvapäivityksen yhteensopimattomuuden kanssa.
Liekö zone alarmin poisto ollut se toimenpide joka avasi matopurkin kannen.
Nyt mä olen pelkästään windowsin oman palomuurin varassa.
Nyt olis kiva vaan tietää, mistä helvetistä tämä troijalainen ilmaantui.
Torrent-ohjelma Bitcomet on kaatuillut koko ajan ja pakottanut aina
boottaamaan koneen, joten liekö mahdollista, että se on sit tuolloin päässyt
livahtamaan sisään. Ei ton kuulemma pitäis kuitenkaan olla tässä mielessä
hasardi ohjelma... Ilman zone alarmia näyttäis Bitkomeettakin pyörivän
kaatumatta (kop, kop), mutta odotellaan nyt vielä ennen kuin aletaan
riemuitsemaan.
>
>>> Levy toiseen koneeseen ja puhdistus siellä. Joskus tarvitsee
>>> system restore ottaa pois käytöstä puhdistuksen ajaksi. Joskus
>>> ongelmat sen sijaan saa pois juuri käyttämällä system restorea!
>>
>> System Restore, joka majailee C:\System Volume
>> Information-hakemistossa, on hyvä virusten jemmaaja. Tuohon
>> hakemistoon on erittäin vaikea päästä, jos levy on boottaava.
>
> Siihen hakemistoon ei vain yksinkertaisesti ole administraattorilla
> oikeuksia. Jos haluat päästä siihen käsiksi sinun pitää ottaa se
> omistukseen ja lisätä oikeudet. Sitten pääsee. Mutta sitten pääsee
> kyllä ne viruksetkin jotka pyörivät käyttäjän oikeuksilla.
Mä olisin kokeillut system restorea sen jälkeen kun tajusin että koneessa on
paskiainen, mutta tallessa ei ollut yhtään käyttökelpoista palautuspistettä
vaikka juuri toissa päivänä niitä tein zone alarmin ja tietoturvapäivityksen
kanssa tapellessa. Liekö se paskiainen poistanut ne, jotta siivoaminen
vaikeutuisi?
--
mukavan tiukkaa
> System Restore, joka majailee C:\System Volume
> Information-hakemistossa, on hyvä virusten jemmaaja. Tuohon hakemistoon on
> erittäin vaikea
> päästä, jos levy on boottaava. Poistamalla Restoren käytöstä tuo
> hakemisto tyhjenee. Restore-point pois käytöstä ja sitten levy
> toiseen koneeseen putsattavaksi, niin voi onnistua.
Restoresta on haittaa vain jos sillä ei pysty palauttamaan tilanteeseen
ennen virusta. Jos yrität poistaa viruksen, joka on tallennettu system
restoreen, kone palauttaa sen itse takaisin paitsi jos palautat koneen
aikaan ennen tartuntaa. Siksi ensin pitäisi kokeilla palauttaa systeemi
tartuntaa edeltävään hetkeen ennenkuin hävittää system restoren.
> Mä olisin kokeillut system restorea sen jälkeen kun tajusin että
> koneessa on paskiainen, mutta tallessa ei ollut yhtään
> käyttökelpoista palautuspistettä vaikka juuri toissa päivänä niitä
> tein zone alarmin ja tietoturvapäivityksen kanssa tapellessa. Liekö
> se paskiainen poistanut ne, jotta siivoaminen vaikeutuisi?
Tämä "mesevirus" joka on käyttäjiiä kovasti suomessa vaivannut, hävittää
kaikki sellaiset palautuspisteet joista sen saisi pois. (Mitäs olivat admin
tasolla käyttämässä!)
Lisäksi se tarttuu muistitikkujen kautta automaattisesti.
Jos siellä olisi puhdas palautuspiste, niin... Mutta jos ei olekaan?
No ei ollutkaan. Ei se tähän päättynyt. Bitdefenderin online skanneri löysi
kaksi virusta, jotka se nimesi Trojan.Vundo.EWZ:ksi ja ...EWS:ksi.
Majailivat hakemistossa documents + settings/.../local settings/Temporary
internet files/Content.IE5/ ja tuntuvat tulevan aina takaisin poistamisen
jälkeen. Koneessa taitaa olla vielä jotain, joka noi palauttaa. Yhden
poiston jälkeen Kasperskyn perusteelliseksi kehuttu online skanneri ei
kylläkään löytänyt mitään hälyttävää, mutta sepä toimikin Firefoxin kautta.
Noi muut verkkoskannerit ovat vaatineet IE:n käyttämistä. Liekö sidoksissa
Microsoftin verkkoselaimeen noi viirukset...
--
mukavan tiukkaa
> No ei ollutkaan. Ei se tähän päättynyt. Bitdefenderin online skanneri
> löysi kaksi virusta, jotka se nimesi Trojan.Vundo.EWZ:ksi ja
> ...EWS:ksi. Majailivat hakemistossa documents + settings/.../local
> settings/Temporary internet files/Content.IE5/ ja tuntuvat tulevan
> aina takaisin poistamisen jälkeen. Koneessa taitaa olla vielä jotain,
> joka noi palauttaa. Yhden poiston jälkeen Kasperskyn perusteelliseksi
> kehuttu online skanneri ei kylläkään löytänyt mitään hälyttävää,
> mutta sepä toimikin Firefoxin kautta. Noi muut verkkoskannerit ovat
> vaatineet IE:n käyttämistä. Liekö sidoksissa Microsoftin
> verkkoselaimeen noi viirukset...
Haittaohjelma, joka piileskelee koneessasi, ilmeisesti lataa ne löytämäsi
ongelmat aina uudelleen. Siksi ne taitaa olla siellä IE:n cachessa uudelleen
ja uudelleen.
Mahtaiskohan auttaa jos poistaisin IE:n kokonaan ja asentaisin uudelleen?
Normaalisti en sitä käytä, joten sinänsä en tarvitsisi lainkaan, mutta
toisinaan voi tulla tilanteita ettei jokin verkkopalvelu suostu muulla
selaimella toimimaan, joten pakko pitää varalla.
--
mukavan tiukkaa
>> Haittaohjelma, joka piileskelee koneessasi, ilmeisesti lataa ne
>> löytämäsi ongelmat aina uudelleen. Siksi ne taitaa olla siellä IE:n
>> cachessa uudelleen ja uudelleen.
>
> Mahtaiskohan auttaa jos poistaisin IE:n kokonaan ja asentaisin
> uudelleen? Normaalisti en sitä käytä, joten sinänsä en tarvitsisi
> lainkaan, mutta toisinaan voi tulla tilanteita ettei jokin
> verkkopalvelu suostu muulla selaimella toimimaan, joten pakko pitää
> varalla.
Ei sitä saa pois mutta se on helppo rikkoa. Laita esim. IE:lle virheellinen
proxy osoite niin se ei osaa ladata mitään.
Mikä se on ja miten se tehdään? Voiko IE:a käyttää sen jälkeen mihinkään?
Siirtyykö se ulkoiselle kiintolevylle jos kytken koneeseen? Tarvis alkaa
taas siirrellä tavaraa levyiltä toisille...
--
mukavan tiukkaa
Vedänkö koko rekisterin puhtaaksi vai mitä? Hijackin tulosteita olen tuolla
netissä nähnyt, eikä ne sano mulle mitään, joten mitä iloa siitä olisi?
--
mukavan tiukkaa
Internet Settings -> Connections -> LAN -> Proxy-ruutuun vaikkapa
192.168.1.99 (privaattiverkon ip-osoite, joka ei ole sinulla käytössä)
Älä! Kävin juuri siivoamassa kaverin koneen ja selvisin ihan
Internet-asetusten palautuksella.. Kokeile sitä ensin. Mitä siis olet
tähän mennessä tehnyt? Lähinnä mitä addwaren poisto-ohjelmistoja?
--
Opera/9.51
Firefox/2.0.0.15
Windows Internet NT 5.1 Exposer Version 7.0.5730.11
FLOCK - sosiaalinen selain, perustuu Firefoxiin..
>
> Tämä "mesevirus" joka on käyttäjiiä kovasti suomessa vaivannut, hävittää
> kaikki sellaiset palautuspisteet joista sen saisi pois. (Mitäs olivat
> admin tasolla käyttämässä!)
>
Ei siinä mitään ihmettelemistä ole että ihmiset liikkuvat netissä admin
oikeuksin.
Pari viikkoa sitten asensin W2k:n tilalle XP.
Oletuksena sain admin oikeudet.
Missään en huomannut varoitusta siitä.
--
yom
"Internet-asetusten palauttaminen" kuulostaa turhan epämääräiseltä.
Tarkoittaen siis konkreettisesti mitä? Jonkin tietyn ohjelman asetuksia vai
koko käyttöjärjestelmän vai...?
> Mitä siis
> olet tähän mennessä tehnyt? Lähinnä mitä addwaren
> poisto-ohjelmistoja?
Ajanut kolmea online skanneria, fsecure, bitdefender ja kaspersky. Kaksi
ekaa löysivät viiruksia, fsecure Monderciksi nimetyn ja bitdefender Vundon.
Oletan että ovat yksi ja sama, ainakin majailevat samassa hakemistossa ja
nettihaulla mondercia jotkut näyttivät kutsuvan myös vundoksi. Enempää en
asiasta tiedä. Ekalla ajolla fsecure löysi peräti 16 tartuntaa, joiden
määrän sain vähennettyä tavalla jonka jo kerroin aikaisemmissa viesteissä.
Sen jälkeen koneeseen on palannut ainoastaan nämä kaksi samaa juttua.
Lisäksi koneessa on käytössä Avast!in ilmainen versio virustutkasta, mutta
se on ollut täysin tiedoton koko kriisistä. Zone Alarm oli palomuurina,
mutta heitin sen pois sen jälkeen kun tuli vaikeuksia windowsin
tietoturvapäivityksen kanssa ja kun havaitsin, että Bitcometin
torrentohjelma alkoi toimimaan kaatuilematta ZA:n poiston jälkeen, en aio
kyllä palatakaan sen käyttäjäksi. Tällä hetkellä koneessa on vain windowsin
oma palomuuri. Lisäksi olen ajellut silloin tällöin Lavasoftin Adawaren
ilmaisversiota.
Kasperski ei löytänyt mitään, johtuen ehkä siitä, että sitä voi käyttää
firefoxin kautta. Kahta muuta online skanneria pitää käyttää IE:lla ja olen
alkanut epäilemään, että IE:n käynnistäminen palauttaa virukset.
--
mukavan tiukkaa
> "Internet-asetusten palauttaminen" kuulostaa turhan epämääräiseltä.
Ohjauspaneelin Internet-asetuksissa on välilehdellä Lisäasetukset painike
Palauta. Omassa koneessani siinä kohtaa lukee Reset Internet Explorer
Settings; Help kyllä kertoo lisää.
> firefoxin kautta. Kahta muuta online skanneria pitää käyttää IE:lla ja
> olen alkanut epäilemään, että IE:n käynnistäminen palauttaa virukset.
Siksi kuvittelen, että ylläoleva ohje auttaa.
Comodolla on päteviä ja ilmaisia tietoturvaohjelmistoja. Kunhan saat IE:n
kidan tukittua niin kokeile niitä. Tosin Comodon palomuuri aiheuttaa
paljon narinaa jos kokeilet uusia ohjelmistoja usein, mutta narina on
mielestäni hyvin opettavaista :)
Nyt on kuitenkin niin, että en tunne puheenaolevaa tuholaista. Joten
ohjeeni ei ehkä tepsi tähän vaiva-loiseen. Kannattaa kuitenkin kokeilla,
koska painikkeen napsauttaminen on helppoa ja seurausten korjaaminen
vähätöistä. Ehkä joutuu kotisivun asettamaan uudestaan ja muuta pienen
pientä puuhasteltavaa, mutta esimerkiksi suosikit säilyvät.
--
Opera/9.51
Firefox/2.0.0.15
Windows Internet NT 5.1 Exposer Version 7.0.5730.11
Flock/Beta 2 - Social Browser based on Firefox
Jaaha, no kävin nappaamassa sitä nappia. Enpä ollutkaan aikaisemmin
kokeillut control paneelista sitä ikonia. Jos se vaikuttaa pelkästään IE:n
asetuksiin, mulla ei ole mitään hävittävää, koska se on mulla pelkästään
siltä varalta jos verkkopalvelu ei suostu toimimaan firefoxilla. IE:ssa
mulla ei ole kirjanmerkkejä, eikä mitään. Kaikki on firefoxin puolella.
Täytyypä kokeilla heti kun tulee sopivasti saumaa skannailla taas koneen
sisältöä läpi...
--
mukavan tiukkaa
Näyttäis pahasti siltä, että se tais auttaa. Ainakaan online skannerit
(fsecure ja kaspersky) eivät löydä enää mitään. Olipa helppoa.
Multa silti edelleen löytyy netstat-komennolla kaksi established tilassa
olevaa yhteyttä. Portit menee ikään kuin ristiin siten, että ekassa XXXXX on
lähtöportti (en tiedä näiden juttujen termejä) ja kohde on local host
portilla YYYYY ja sit toisessa yhteydessä nämä on toisin päin, eli YYYYY ja
XXXXX. Välillä mulla ei noita yhteyksiä ollu ja jos verkkoselain ja outlook
express oli suljettuna, netstat ei antanu yhtään aktiivista yhteyttä. Nyt ne
on taas tuolla. Pitäiskö noista huolestua vai kuuluuko noi asiaan?
--
mukavan tiukkaa
> Näyttäis pahasti siltä, että se tais auttaa. Ainakaan online skannerit
> (fsecure ja kaspersky) eivät löydä enää mitään. Olipa helppoa.
IE, helpoin väylä turmioon :)
> Multa silti edelleen löytyy netstat-komennolla kaksi established tilassa
> olevaa yhteyttä. Portit menee ikään kuin ristiin siten, että ekassa
> XXXXX on
> lähtöportti (en tiedä näiden juttujen termejä) ja kohde on local host
> portilla YYYYY ja sit toisessa yhteydessä nämä on toisin päin, eli YYYYY
> ja
> XXXXX. Välillä mulla ei noita yhteyksiä ollu ja jos verkkoselain ja
> outlook
> express oli suljettuna, netstat ei antanu yhtään aktiivista yhteyttä.
> Nyt ne
> on taas tuolla. Pitäiskö noista huolestua vai kuuluuko noi asiaan?
Insufficient data says Mr. Spock!
Tohon vois ajatella esmes Comodon palomuuria, joka kertoo hieman enemmän.
Tai ehkä ensin vain Winpatrolin avulla katsoo mitä kaikkea tauhkaa
startissa tulee matkaan. Voit myös antaa netstat -v -b ja se sitten
kertonee mitkä ohjelmat noita portteja käyttävät.
Alkaa muuten nää haittaohjelmat olemaan niin pahantahtoisia ja kavalia,
ettei mitään rajaa. Spämmäävät purskeissa ja ovat muuten niin kuin eivät
olisikaan, mutta ovat kuitenkin ketunhäntä kainalossa ihan hipihiljaa :(
Taitaa olla Applen ituneshelper.exe ja applemobiledeviceservice.exe
Jep, mulla on ipodi ja sen takia iTunes koneessa. Ehkä ei syytä huoleen sit.
--
mukavan tiukkaa