-

-

 

minullekkin tuli tänään tuo sama juttu mikä sinullekkin ''ilmaiseksi sitä ja tätä''

 

Minulle tuli kanssa tuo linkki henkilöltä, joka ei ollut koneellaan. Liekö edes kone ollut päällä.

Mahtaako tuo saastuttaa vastaanottajan koneen, ellei klikkaa tuota lähetettyä linkkiä ?

 

Minullekin tuli tuo linkki henkilöltä, joka ei ollut koneellaan.

Saastuttaneeko tuo vastaanottajan koneen, ellei klikkaa sitä linkkiä ?

 

Joskus oli erään toisen tuttavan koneella joku vastaava mese-lähettelijä. Jakeli "itseään" henkilön meseosoitteisiin automaattisesti.

Tuo osoitteen loppu .biz onneksi herätti epäilyni, enkä klikannut linkkiä. Lisäksi se kirjainsekasotku siinä "ilmaiseksi" -jutun jälkeen ei vakuuttanut

 

Muistaakseni mesevirus ei tartu jos ei klikkaa sitä linkkiä mikä tulee.
Kaiken varalta kannattaa vaihtaa salasana ja sanoa sille jolta tulee linkkejä, että vaihtaa myös salasanan. pitäisi loppua ne linkkien tulemiset.

 

Jos tiedoston lataamista ei hyväksy, niin ei pitäsi olla mitään vaaraa. Kyseinen viirus toimii messengerin "säännöillä", eli vastaanottajan on hyväksyttävän tiedoston siirto, tai mentävä internetsivulle josta viiruksen saa.

Mutta kuten "nuniin" sanoi, niin on hyvä varmuuden vuoksi vaihtaa salasana, sekä kertoa kaverille että vaihtaa myös. Sekä sanoa kaverille että tarkistaa koneensa viirustutkalla.

Tietenkin voi myös tarkistaa oman koneensa jollakin ohjelmalla, ettei vastaavaa viirusta ole koneella (tai mitään muutakaan viirusta).

 

Aika mahdotonta IP:n perusteella sanoa mikä taho yrittää koneellesi. Mutta jos mikään käyttämäsi ohjelma ei vaatinut erikseen pääsyä nettiin, niin blokkaa vain.

edit:
Ainakin ctfmon.exe voi olla troijalainen, mikäli käytössäsi ei ole Windowsin kielipalkkia. Jos käytössäsi on kielipalkki, joka löytyy tehtäväpalkista, niin silloin kyseessä pitäisi olla Windowsin prosessi.

http://www.processlibrary.com/directory/files/ctfmon/
http://www.processlibrary.com/directory/files/ctfmon/24789/

Myös iexplore.exe voi olla troijalainen mikäli käytössä ei ole Internet Explorer.

http://www.processlibrary.com/search/?q=iexplore.exe

 

Mesenger-viruksia ei taida monikaan virustorjunta estää ?

 

Windowsin komentokehotteeseen laittamalla: tracert 125.33.26.111 sain selville sen, että ainakin telia.net ja joku sen chinanetcom-alkuinen osoite olivat tuon osoitteen reitillä minun koneelta sinne "mennessä" tracertilla.

 

Telia.net LIENEE Ruotsissa oleva palvelun tarjoaja, jonka kautta Soneran liikenne ohjautuu Suomesta ulkomaille. China saattaa viitata Kiinaan. Ei sen enempää.

 

Typeryyksissäni klikkasin tuota linkkiä mutta suljin avautuvan google chromen ikkunan heti kun se vielä oli valkoisena hitaan nettini ansiosta. Ehtikö jotain harmia tapahtua? Mitä nyt teen?

EDIT: Tässä vielä loki:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 12:17:24, on 19.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\hijackthis\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {973C95EE-628D-4C9E-B3A8-BBBC9766E1B0} - C:\WINDOWS\System32\mcicdb.dll (file missing)
O2 - BHO: (no name) - {9CC30DC9-AA65-4275-A3EB-1954EA670F21} - C:\WINDOWS\System32\mssin.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1151601.exe -Update -1151601 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_en-US)_AppleWebKit/532.0_(KHTML,_like_Gecko)_Chrome/3.0.195.33_Safari/532.0" -"http://static.wsoyoppimateriaalit.fi/tehtavat/dl/super/tehtavat9/15_15/15_15.htm"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.212/counter/new/x.chm::/update.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1214910685765
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - http://utilities.pcpitstop.com/da2/PCPitStop2.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8859 bytes

 

Tarkemmin tämä kyseinen hakkeri asuu Pekingissä Beijing Normal Universityn vieressä.
http://whatismyipaddress.com/staticpages/index.php/ip-details?ip=125.33.26.111
Ja hän löytyy myös kyseisen sivuston mustalta listalta.

 

Yksi linux-käyttäjä oli kai avannut tuon mese-linkin. Kertoili siitä täällä:

http://www.netmission.fi/fi/index.php?show=messages&tid=12976&selPage=1

 

Mulle kans tänään alkanut pukata juuri tuota samaa linkkiä kaverilta joka on offlinetilassa. Nyt on siis jotain meneillään.

 

Tuttavani kone oli tässä pöydälläni hetki sitten. Siihen mese pukkasi osoitteen: www.cuomobonuss.biz hiukan erilaisella alkutekstillä. Taisi olla joku iPhone mainos aluksi englanniksi ja se muutaman kirjaimen sekasotku sen jälkeen ennen tuota linkkiä.

F-securen tuki suositteli skannaamaan heidän ON-Line skannerillaan koneen ja vaihtamaan mesengerin salasanan. Varmaan käy myös F-securen tms. koneella olevakin versio.


Siis niitä, joiden kone LÄHETTÄÄ tuota linkkijuttua.

 

samoin. tuo saattaa tunkea MYÖS kännyyn, jos avaa linkin ? Onko mahdollista ? 3G / 2G - verkko ?