Niin, olin pelailemassa tuossa ihan rauhassa Counter-Strikea kunnes kone hyppää yhtäkkiä windowsiin ja ilmoitti englanniksi että joku on päässyt koneelle ja voi vaikka saada selville jotain luottokortti numeroita koneeltani. Sitte vetäsin vaan äkkiä koneesta netti piuhan irti ku en muutakaan keksiny. nyt koneesta on tullut todella hidas ja aina kun käynnistän koneen uudelleen se ilmoittaa alussa: "kohdetta C:\WINDOWS\Syshz.exe ei löydy. Varmista että kirjoitit nimen oikein ja yritä uudelleen" tai sitten että "kohdetta C:\WINDOWS\käynnistys.exe ei löydy. Varmista että kirjoitit nimen oikein ja yritä uudelleen". Mikä nyt avuksi? Voisiko vikasietotilasta järjestelmänpalautus auttaa? Nytkin tuossa koneella johon hakkeri iski lukee että "Your Computer might be at risk"...Oon nyt toisella koneella muttei tällä ole mitään hätää.
Kyllä noi örkit lähtee myös oikeilla virustorjuntaohjelmilla esim. Antivir http://www.mbnet.fi/jutut/perusohjelmat/virus.html http://www.mbnet.fi/jutut/perusohjelmat/antivir/ löytää virukset aika hyvin. Ad-Aware SE Personal http://www.mbnet.fi/jutut/perusohjelmat/vakoilu.html poistaa örkit ja muut vakoiluohjelmat. Lisäksi tietenkin kannatta hankkia toi palomuuri. Hyvä palomuuri: http://www.mbnet.fi/jutut/perusohjelmat/palomuuri.html Näiden päivitys esim. kerran viikossa pitää hakkerit loitolla. Mutta jos ei nää auta niin sitten asennat uudelleen windowsin.
Tuskinpa sulla siellä mitään hakkeria on, vaan joku haittaohjelma. Jännä homma sinänsä, kun toisella on joku ongelma(tähän käy melkeinpä >en saanut pasianssia läpi< ) niin usein ensimmäinen vastaus on > Format:C < ????? Tietysti jos on ongelmia-/pelaa pasianssia -parikertaa viikossa niin mikäpäs siinä, asentaa vain Winukan aina uudestaan, mutta joillakin on siellä koneella tärkeämpääkin tietoa kuin sivuhistoria. Jos ja kun, ohjelmista ei ole apua niin laita HijackThis ohjelman loki niin katsotaan jos voidaan auttaa. http://koti.mbnet.fi/pattaya1/hijackthis.htm Jos kone on niin juntturassa ettei nettiin pääse niin ohjelma sopii myös korpulla siirrettäväksi toimivan koneen kautta
No mä oon varautunu tohon C:n formatointii siten, että mulla on aina kansio, jossa on SP2:n installeri, ZoneAlarmin installeri ja kaikki muut välttämättömät installerit. Sit mulla on siellä ajurit -alihakemisto ja sinne tallennan myös kaiken, mikä on oikeesti tosi tärkeetä. Tässä systeemissä on siis kaikki, mitä mä tarvin. Saa lähtä mesen vastaanotetut tiedostot. Ei niitä kuitenkaa oikeesti tarvi. Kunhan toi mun pakkaus säilyy. Mä sitte pystyn onkimaa sen Linuxilla sieltä ulos jos on tarvetta. Harvemmin päivitetty versio mulla on CD:lle poltettuna, jos vaikka koko kovo menisi. Toi on pelastanu mun fileet 2 kertaa. Wintoosan kanssa mä oon oppinu, että toi koviksen formatointi ei oo ollenkaa harvinaista. Wintoosa kun muutenki pitäis vähintää kerran vuodessa asentaa uusiks, et se taas toimii kunnolla. Mut se ei ollenkaa oo niin kamalaa ja hirveetä jos siihen on varautunu hyvin. Mut tosiaa, se voi ihan hyvin olla örminkäinen. Harva hakkeri viittii nähä vaivaa tunkeutuu sun palomuurien läpi ja pelkästää tuhota sun tärkeitä .exe -fileitä. Örminkäiset haittaa, hakkerit hyötyy. EDIT: typotypo
Todellakin tuo "forkkaa C:" ekana vastauksena alkaa pikku hiljaa ärsyttää. Todella harvoin oikeesti tarvii alkaa forkkaa ja vetää kaikkea alusta viruksen takia. Valylinlen ohjeita noudattamalla pääse jo pitkälle.
Ei kukaan oo koneelles päässy, oot vain jostain saanut koneelle ohjelman joka houkuttelee internettiin. Lähtee adwarella tms. itse en ole asentanut xp:ä kuin kerran uusiksi kun sp2 sekoili. eli kone yleenä formatoidaan kun äly loppuu kesken.
yhdyn viime kirjoittajaan!! mul oli kans sp2 ja alko sekoilla jotain turhaa. huom.. kannattais jakaa kovo et voi aina forkata suoraan se winkku osio. toiselle asemalle laittaa kaikki asennuspaketit,leffat,mp3 jne
Niin, ja kuten tuossa yhteen toiseen ketjuun kirjoitin, on Norton Ghost ratkaisu tuohonkin pulmaan. On helvetin paljon kätevämpää ajaa C-asema "yli" imagella, jossa on kaikki softat, ajurit, virustutkat sun muut jo valmiina, ja aikaa hommaan palaa maks. 10 minuuttia, eikä tarvii format ceetä olla aina tekemässä. Sorry, jos jonkun mielestä jankutan tätä, mut pakko kirjottaa tää kun joka ongelmaan suositellaan forkkausta, ja koska paljon parempikin vaihtoehto on olemassa.
No eipä oo mullakaan kauan ku tuon sp2 asensin niin kone meni aivan tilttiin, sekin hoitu kuitenkin sillä että meni vikasietotilaan ja sieltä järjestelmän palautus edelliseen päivään. Nyt kuitenkin asiaan. Ad-aware löysi tuolta troijalaisen, joka on kansiossa C:\WINDOWS\System\ja jotaki... Oon kolmesti jo yrittäny poistaa sen mutta se näköjään luo itsestään aina kopion tuonne ku ad-awarella sitä yrittää poistaa. Spybot löytää aina vaan tuon DSO Exploitin ja CoolWWWsearch.Googlems, oon nuoki poistanu jo kahteen kertaan mutta aina ne sinne ilmestyy takas. Windowsiki on alkanu hidastuun kummasti. Ja tuonne kun painaa ctrl+alt+del on tullu pari outoa prosessia. Mistä tätä ongelmaa olis kaikkein paras lähtä purkamaan? Antivir ei huomaa mitään, ad-aware löytää sen troijalaisen muttei saa poistettua sitä ja spybot löytää vaan nuo mitkä edellä jo mainitsin. Selaimena on Firefox, ihmetyttää kyllä ku se troijalainen sieltä tuli ku kellään kaverilla ei ikinä oo kuulemma Firefoxin kanssa tapahtunu mitään vastaavaa. Internet piuhaaki oon pitäny varmuuden vuoksi pitäny poissa tuosta koneesta mihin troijalainen iski.
Sun pitää muistaakseni ottaa se järjestelmän palautus pois käytöstä siks aikaa ku poistat sen pöpön ettei se tee kopiota ittestä... (korjatkaa jos oon vääräs)
Kohta lähtee järki, otin pois tuon järjestelmän palauttamisen ja kokeilin poistaa adawarella ja sitten käynnistin koneen uudelleen... Pöpö oli vieläki siellä. Ei tuota taida saada millään pois. Koneella kuitenkin niin paljon tärkeää kamaa kuten ettei viittis format C: tehä...
Kerroppas siitä koneen hidastumisesta vielä. Kun tehtävienhallinnan ctrl+alt+del :lillä tuot esiin, onko mitään villiintyneitä prosesseja ym?
Logfile of HijackThis v1.99.1 Scan saved at 17:07:41, on 27.2.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\antivir\AVGUARD.EXE C:\Program Files\antivir\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\antivir\AVGNT.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\HiJackThis\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {9FC679E2-2849-D6F8-4CAF-D99E5CE3512F} - C:\WINDOWS\system32\atlzs.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fi\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [appzh32.exe] C:\WINDOWS\system32\appzh32.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Alarm netista haettu\ZoneAlarm\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunOnce: [d3uo32.exe] C:\WINDOWS\system32\d3uo32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\antivir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\antivir\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing) Tuossa on HiJackThis:n tekemä loki. En tajua tuosta yhtään mitään. Toymaatti pyysi tuota lokia näytille ja siinä se on. Ja lettas, oikeastaan windows ei ole hidastunut muuten kuin käynnistys vaiheessa, mitään villiintyneitä prosesseja ei ole.
Syshz.exe = spywarea kirjotapas suorita-kohtaan käynnistä-valikossa msconfig. Käynnistys-kohdassa ota ruksi pois tuolta syshz.exe:ltä. Enpä tiedä missä windows-versiossa olisi tuota c:/windows/käynnistys.exe :ä, joku muu voisi valistaa siitä prosessista.
Noniin, sitten hommiin! Laita piilotiedostot näkyviin, tuolla ohjeet http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339 Aja HjT uudelleen, laita ruksi noiden eteen, sulje selain ja muut ikkunat, klikkaa FIX. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {9FC679E2-2849-D6F8-4CAF-D99E5CE3512F} - C:\WINDOWS\system32\atlzs.dll O4 - HKLM\..\Run: [appzh32.exe] C:\WINDOWS\system32\appzh32.exe O4 - HKLM\..\RunOnce: [d3uo32.exe] C:\WINDOWS\system32\d3uo32.exe O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing) Käynnistä vikasietotilaan, etsi ja poista C:\WINDOWS\==tuo==>jgbkj.dll C:\WINDOWS\system32\==tuo==>atlzs.dll C:\WINDOWS\system32\==tuo==>appzh32.exe C:\WINDOWS\system32\==tuo==>d3uo32.exe Normaali käynnistys... helepottiko?? Laita uusi loki.
Örminkäisen poisto manuaalisesti: Joku örminkäistutka/virustorjuntaohjelmisto tms. ilmottaa sulle, että örminkäinen on esim. C:/Windows/kansio/örminkäinen.exe. Softa ei osaa poistaa sitä. Mene sijaintii C:/Windows/kansio, jos menet sijaintiin C:/Windows/kansio/örminkäinen.exe, käynnistät örminkäisen. Sieltä kansiosta siis löydät fileen örminkäinen.exe. Klikkaa sitä vasemmalla hiirenkorvalla kerran. Paina näppäinyhdistelmää SHIFT + DEL. Jos kone valittaa, että örminkäinen.exe saattaa olla käytössä eikä sitä siksi voida poistaa, paina CTRL + ALT + DEL ja etsi sieltä örminkäinen.exe ja tapa se. Sitte voit poistaa örminkäinen.exe:n. Jos vielä näet niitä epäilyttäviä prosesseja, ota prosessin nimi muistii ja skannaa kaikki asemat/osiot Wintoosan etsi -toiminnolla. Jos ei löydy, käy vielä manuaalisesti Documents and Settings läpi, koska etsi ei välttämättä löydä. Chopper, todennäkösesti kaikki yritti auttaa ja antaa ideoita eikä oo pakko forkata jos ei taho.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jgbkj.dll/sp.html#48201 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {9FC679E2-2849-D6F8-4CAF-D99E5CE3512F} - C:\WINDOWS\system32\atlzs.dll O4 - HKLM\..\Run: [appzh32.exe] C:\WINDOWS\system32\appzh32.exe O4 - HKLM\..\RunOnce: [d3uo32.exe] C:\WINDOWS\system32\d3uo32.exe O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O23 - Service: Network Security Service (NSS) (?%AF夶À¨) - Unknown owner - C:\WINDOWS\apptd32.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Helper (? 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\mspl.exe (file missing) siis noiden eteen ruksit?