Hakkeri pääsi koneelle....

Niin, olin pelailemassa tuossa ihan rauhassa Counter-Strikea kunnes kone hyppää yhtäkkiä windowsiin ja ilmoitti englanniksi että joku on päässyt koneelle ja voi vaikka saada selville jotain luottokortti numeroita koneeltani. Sitte vetäsin vaan äkkiä koneesta netti piuhan irti ku en muutakaan keksiny. nyt koneesta on tullut todella hidas ja aina kun käynnistän koneen uudelleen se ilmoittaa alussa: "kohdetta C:\WINDOWS\Syshz.exe ei löydy. Varmista että kirjoitit nimen oikein ja yritä uudelleen" tai sitten että "kohdetta C:\WINDOWS\käynnistys.exe ei löydy. Varmista että kirjoitit nimen oikein ja yritä uudelleen". Mikä nyt avuksi? Voisiko vikasietotilasta järjestelmänpalautus auttaa? Nytkin tuossa koneella johon hakkeri iski lukee että "Your Computer might be at risk"...Oon nyt toisella koneella muttei tällä ole mitään hätää.

 

ehkä paras mitä sille voi tehdä on formatoida C asema ja asentaa sit winukka uudestaan.

 

Kyllä noi örkit lähtee myös oikeilla virustorjuntaohjelmilla esim. Antivir
http://www.mbnet.fi/jutut/perusohjelmat/virus.html
http://www.mbnet.fi/jutut/perusohjelmat/antivir/

löytää virukset aika hyvin. Ad-Aware SE Personal
http://www.mbnet.fi/jutut/perusohjelmat/vakoilu.html

poistaa örkit ja muut vakoiluohjelmat. Lisäksi tietenkin kannatta hankkia toi palomuuri.
Hyvä palomuuri:
http://www.mbnet.fi/jutut/perusohjelmat/palomuuri.html
Näiden päivitys esim. kerran viikossa pitää hakkerit loitolla. Mutta jos ei nää auta niin sitten asennat uudelleen windowsin.

 

Tuskinpa sulla siellä mitään hakkeria on, vaan joku haittaohjelma.
Jännä homma sinänsä, kun toisella on joku ongelma(tähän käy melkeinpä >en saanut pasianssia läpi< ) niin usein ensimmäinen vastaus on > Format:C < ?????

Tietysti jos on ongelmia-/pelaa pasianssia -parikertaa viikossa niin mikäpäs siinä, asentaa vain Winukan aina uudestaan, mutta joillakin on siellä koneella tärkeämpääkin tietoa kuin sivuhistoria.

Jos ja kun, ohjelmista ei ole apua niin laita HijackThis ohjelman loki niin katsotaan jos voidaan auttaa.

http://koti.mbnet.fi/pattaya1/hijackthis.htm

Jos kone on niin juntturassa ettei nettiin pääse niin ohjelma sopii myös korpulla siirrettäväksi toimivan koneen kautta

 

No mä oon varautunu tohon C:n formatointii
siten, että mulla on aina kansio, jossa on
SP2:n installeri, ZoneAlarmin installeri ja
kaikki muut välttämättömät installerit. Sit
mulla on siellä ajurit -alihakemisto ja sinne
tallennan myös kaiken, mikä on oikeesti tosi
tärkeetä.

Tässä systeemissä on siis kaikki, mitä mä
tarvin. Saa lähtä mesen vastaanotetut
tiedostot. Ei niitä kuitenkaa oikeesti tarvi.
Kunhan toi mun pakkaus säilyy. Mä sitte pystyn
onkimaa sen Linuxilla sieltä ulos jos on
tarvetta. Harvemmin päivitetty versio mulla on
CD:lle poltettuna, jos vaikka koko kovo
menisi.

Toi on pelastanu mun fileet 2 kertaa.

Wintoosan kanssa mä oon oppinu, että toi
koviksen formatointi ei oo ollenkaa
harvinaista. Wintoosa kun muutenki pitäis
vähintää kerran vuodessa asentaa uusiks, et se
taas toimii kunnolla. Mut se ei ollenkaa oo
niin kamalaa ja hirveetä jos siihen on
varautunu hyvin.

Mut tosiaa, se voi ihan hyvin olla
örminkäinen. Harva hakkeri viittii nähä vaivaa
tunkeutuu sun palomuurien läpi ja pelkästää
tuhota sun tärkeitä .exe -fileitä. Örminkäiset
haittaa, hakkerit hyötyy.

EDIT: typotypo

 

Ei kukaan oo koneelles päässy, oot vain jostain saanut koneelle ohjelman joka houkuttelee internettiin.
Lähtee adwarella tms.

itse en ole asentanut xp:ä kuin kerran uusiksi kun sp2 sekoili.
eli kone yleenä formatoidaan kun äly loppuu kesken.

 

yhdyn viime kirjoittajaan!! mul oli kans sp2 ja alko sekoilla jotain turhaa. huom.. kannattais jakaa kovo et voi aina forkata suoraan se winkku osio. toiselle asemalle laittaa kaikki asennuspaketit,leffat,mp3 jne

 

Niin, ja kuten tuossa yhteen toiseen ketjuun kirjoitin, on Norton Ghost ratkaisu tuohonkin pulmaan.
On helvetin paljon kätevämpää ajaa C-asema "yli" imagella, jossa on kaikki softat, ajurit, virustutkat sun muut jo valmiina, ja aikaa hommaan palaa maks. 10 minuuttia, eikä tarvii format ceetä olla aina tekemässä.
Sorry, jos jonkun mielestä jankutan tätä, mut pakko kirjottaa tää kun joka ongelmaan suositellaan forkkausta, ja koska paljon parempikin vaihtoehto on olemassa.

 

No eipä oo mullakaan kauan ku tuon sp2 asensin niin kone meni aivan tilttiin, sekin hoitu kuitenkin sillä että meni vikasietotilaan ja sieltä järjestelmän palautus edelliseen päivään.

Nyt kuitenkin asiaan. Ad-aware löysi tuolta troijalaisen, joka on kansiossa C:\WINDOWS\System\ja jotaki... Oon kolmesti jo yrittäny poistaa sen mutta se näköjään luo itsestään aina kopion tuonne ku ad-awarella sitä yrittää poistaa. Spybot löytää aina vaan tuon DSO Exploitin ja CoolWWWsearch.Googlems, oon nuoki poistanu jo kahteen kertaan mutta aina ne sinne ilmestyy takas. Windowsiki on alkanu hidastuun kummasti. Ja tuonne kun painaa ctrl+alt+del on tullu pari outoa prosessia. Mistä tätä ongelmaa olis kaikkein paras lähtä purkamaan? Antivir ei huomaa mitään, ad-aware löytää sen troijalaisen muttei saa poistettua sitä ja spybot löytää vaan nuo mitkä edellä jo mainitsin.
Selaimena on Firefox, ihmetyttää kyllä ku se troijalainen sieltä tuli ku kellään kaverilla ei ikinä oo kuulemma Firefoxin kanssa tapahtunu mitään vastaavaa. Internet piuhaaki oon pitäny varmuuden vuoksi pitäny poissa tuosta koneesta mihin troijalainen iski.

 

http://keskustelu.afterdawn.com/thread_view.cfm/92382
tuolla lähtee dso:t spybotista.

 

Kohta lähtee järki, otin pois tuon järjestelmän palauttamisen ja kokeilin poistaa adawarella ja sitten käynnistin koneen uudelleen... Pöpö oli vieläki siellä.
Ei tuota taida saada millään pois. Koneella kuitenkin niin paljon tärkeää kamaa kuten ettei viittis format C: tehä...

 

Logfile of HijackThis v1.99.1
Scan saved at 17:07:41, on 27.2.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\antivir\AVGUARD.EXE
C:\Program Files\antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\antivir\AVGNT.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9FC679E2-2849-D6F8-4CAF-D99E5CE3512F} - C:\WINDOWS\system32\atlzs.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fi\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [appzh32.exe] C:\WINDOWS\system32\appzh32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [d3uo32.exe] C:\WINDOWS\system32\d3uo32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\antivir\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing)


Tuossa on HiJackThis:n tekemä loki.
En tajua tuosta yhtään mitään. Toymaatti pyysi tuota lokia näytille ja siinä se on.
Ja lettas, oikeastaan windows ei ole hidastunut muuten kuin käynnistys vaiheessa, mitään villiintyneitä prosesseja ei ole.

 

Noniin, sitten hommiin!

Laita piilotiedostot näkyviin, tuolla ohjeet
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339

Aja HjT uudelleen, laita ruksi noiden eteen, sulje selain ja muut ikkunat, klikkaa FIX.


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9FC679E2-2849-D6F8-4CAF-D99E5CE3512F} - C:\WINDOWS\system32\atlzs.dll
O4 - HKLM\..\Run: [appzh32.exe] C:\WINDOWS\system32\appzh32.exe
O4 - HKLM\..\RunOnce: [d3uo32.exe] C:\WINDOWS\system32\d3uo32.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing)

Käynnistä vikasietotilaan, etsi ja poista
C:\WINDOWS\==tuo==>jgbkj.dll
C:\WINDOWS\system32\==tuo==>atlzs.dll
C:\WINDOWS\system32\==tuo==>appzh32.exe
C:\WINDOWS\system32\==tuo==>d3uo32.exe

Normaali käynnistys... helepottiko?? Laita uusi loki.

 

Örminkäisen poisto manuaalisesti:

Joku örminkäistutka/virustorjuntaohjelmisto tms. ilmottaa sulle, että örminkäinen on esim. C:/Windows/kansio/örminkäinen.exe. Softa ei osaa poistaa sitä. Mene sijaintii C:/Windows/kansio, jos menet sijaintiin C:/Windows/kansio/örminkäinen.exe, käynnistät örminkäisen. Sieltä kansiosta siis löydät fileen örminkäinen.exe. Klikkaa sitä vasemmalla hiirenkorvalla kerran. Paina näppäinyhdistelmää SHIFT + DEL.

Jos kone valittaa, että örminkäinen.exe saattaa olla käytössä eikä sitä siksi voida poistaa, paina CTRL + ALT + DEL ja etsi sieltä örminkäinen.exe ja tapa se. Sitte voit poistaa örminkäinen.exe:n.

Jos vielä näet niitä epäilyttäviä prosesseja, ota prosessin nimi muistii ja skannaa kaikki asemat/osiot Wintoosan etsi -toiminnolla. Jos ei löydy, käy vielä manuaalisesti Documents and Settings läpi, koska etsi ei välttämättä löydä.

Chopper, todennäkösesti kaikki yritti auttaa ja antaa ideoita eikä oo pakko forkata jos ei taho.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jgbkj.dll/sp.html#48201
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9FC679E2-2849-D6F8-4CAF-D99E5CE3512F} - C:\WINDOWS\system32\atlzs.dll
O4 - HKLM\..\Run: [appzh32.exe] C:\WINDOWS\system32\appzh32.exe
O4 - HKLM\..\RunOnce: [d3uo32.exe] C:\WINDOWS\system32\d3uo32.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing)

siis noiden eteen ruksit?

 

Niijust ja sitten FIX. Muista sulkea selain ja muut ohjelmat ennen FIX:iä.