Onko kone viruksen tms. saastuttama? Pikku pulma...

Niin kaksi kertaa on käyttäjä tileihin ilmestynyt joku ASPNET -käyttäjä tili. En pysty keksimään mihin se liittyisi, järkytys on kohtalaisen suuri. Käytössä win2k.

Onko kone jonkun muun hallinnassa, vai virusko tämän tekee? Molemmilla kerroilla olen poistanut tunnukset. Mihinkään omaan verkon tms. käyttöön niillä ei ainakaan ole merkitystä.

Konetta on kohtalaisen ahkeraan siivottu ja roskaa ei pitäisi olla. Virustarkistuksen laitoin äsken koko koneen läpi käymään.

Googlettaa koitin, mutta sopivia hakusanoja en keksinyt. Jotain löysin, mutta selitystä tapahtuneelle en saanut.

Kellään mitää ajatuksia mihin voisi liittyä?

 

Tulee winukan päivitysten mukana ei ole virus.

 

Tuo ilmaantui ensimmäisen kerran viime viikolla. Updatessa on tullut viimeksi vierailtua hieman pidemmän aikaa sitten. (Muuten koneen virus- ja spywaresuoja sekä palomuuri ovat kunnossa.)

Onko tuosta olemassa sitten jotain dokumenttia/faktaa, joka rauhoittaisi mielen? Pelottaa edelleen...

 

Yksi mielen rauhoittajista on hjt loki, voisimme tutkia sen.

Hae Hijackthis -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

 

Käynnistin koneen ja katsoin käyttäjät tunnukset: ei siellä nyt ole mitään ASPNET-käyttäjää. Pitää koittaa bongata milloin se sinne ilmestyy ja aja sitten uudestaan.

Tuolla logissa on eräs ohjelma, jota on yritetty poistaa kaikin keinoin. BUFFALO Wireless Configuration Service on haamuna näköjään edelleen. Ei pitäisi enää käynnistyä, mutta servicenä edelleen(?) Mitähän sille voi tehdä... Ei olisi pitänyt käyttää ohjelman omaa uninstal-tiedostoa.

 

Fixaado a system scan only -> merkkaa, paina fix cheked):
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINNT\system32\Drivers\bwcsrv.exe (file missing)

Sitten käynnistä -> suorita -> services.msc
Etsi: BUFFALO Wireless Configuration Service. tuplaklikkaa, paina seis ja valitse käynnistymistavaksi ei käytössä.


<<<<<<<<<<<<<<<<<<<<<<<<<<<Vikasietotilaan>>>>>>>>>>>>>>>>>>>>>>

(Näpytä F8 käynnistyksessä ja valitse vikasietotila)
Poista:
C:\WINNT\web\->related.htm<-


Lataa Ewido ja aja kone läpi, ohjeet ->
http://keskustelu.afterdawn.com/thread_view.cfm/269186

Lähetä sitten uusi Hjt loki + Ewidon raportti tänne.

 

aaxxeellin ohjeitten mukaisia juttuja en vielä ehtinyt tehdä, mutta syyllinen taisi selvitä.

Tuolla services-listassa on ASP.NET State Service, jonka log on as -sarakkeessa on ASPNET. Kävin laittamassa käynnistymis asetukseen Manuaalin sijaan Disabled. Ei pitäisi enää käynnistyä. Tuskin siitä haittaa on ettei käynnisty?

Tällainen on sen kuvaus:

 

Kannattaa tehdä nuo aaxxeellin neuvomat jutut. Sinulla on Alexa niminen örkki koneella, ja tuon tekemällä saat sen poistettua.

 

Nyt ehdin sitten nuo tekemään. Tuo edwin oli maksullinen, 14 päivää koe aikaa. Jos oikein ymmärsin, se putsasi spywaret&troijalaiset yms. Ei kuitenkaan viruksia? Osan tuosta taitaa tehdä Ad-ware, mutta riittääkö se vai tekeekö tuo enemmän? Paremmin ainakin, koska ei adware noin paljoa ole koskaan poistanut.

Buffalo muuten näkyy tuolla edelleen, hm.

 

Tuo BUFFALO Wireless Configuration Service on edelleen päällä, yrititkö sen ottaa pois?

ja kyllä ewido on se 14 päivän trial jonka jälkeen muuttuu ilmaisversioksi ellei osta. Sitä siis voit käyttää huoletta sen jälkeen ja muista aina vaan päivittää ennen tarkistusta. ad-awareen verrattuna minusta se on edistyksellisempi ja enimmäkseen se kyllä bongas evästeitä tuosta. viiruksia se ei poista juu mutta muut örkit menee.

 

Jep, kyllä Buffalon piti olla pois. Tarkistin nyt: luulin, että se oli ollut disablena, mutta siellähän se oli Automatic asetuksen kanssa. Hijackista ainakin sen valitsin, mutta servicejä en tänään tarkistanut, kun luulin käänneleeni ne jo aiemmin. Ei kai niiden itsekseen pitäisi muuttua? ASP.NET on ainakin edelleen disabled.

Yritän vielä uudestaan pelkästään Buffaloa eli näinkö: buffalo kohtaan fix ja servicestä pois, nuo muuthan ei liity siihen?

Edit: No se buffalo rivi poistui - uudelleen käynnistystä en tehnyt. On kyllä niin sitkeässä, että en ihmettelisi vaikka olisi taas seuraavalla kerralla palannut.

 

Juu aiheeton viesti, sori...

 

Josko tuo korostus hiukan auttaisi

Eikös tuossa todeta, että virukset kuuluvat örkkeihin, mutta eivät niihin örkkeihin, joita tuo softa hoitelee?

Edit: Ei näköjään boldit toimi lainauksissa, ovat näemmä jo valmiiksi boldina. Huudetaan sitten...

 

Sori heräsin seittemältä, menin nukkumaan yhdeltä, pari sanaa tuhannesta menee ehkä ohi!

 

@Lamma

Katso nyt uudelleen käynnistyksessä tilanne.
Tuo 017 rivi viittaa kovasti buffaloon joka saattaa pitää tuon serverin elossa :/ mutta katsomalla se selviää, onkos muita ongelmia ilmennyt enään tässä? =)

@Sebu92

Ei mittään pahaa, unta tarpeeks vaan

 

Nyt näyttäisi olevan kaikki kunnossa: 023 kohdassa ei enää buffaloa näy. (kopioin sen uuden login tuohon vanhan päälle... sen jälkimmäisen) Kohdassa 17 näyttäisi olevan Buffalon reitittimen DNS-palvelin osoitteet (tai mitä nyt sitten olivatkaan nimeltään.) Reititin on käytössä, mutta piuhalla kiinni nyt. Poistettava ohjelma oli PCI-Wlan kortin ajuri/manage softa. Mitään buffalon ohjelmaa ei pitäisi olla koneella.

Kiitokset avusta!

Edit: Kaikki ei olekkaan vielä kunnossa... pistin tuonne alemmaksi pidemmin.

 

@aaxxeell

Juu tänään heräsin noin kahdeltatoista, nyt ei enää väsytä

 

@Lamma
Ole hyvä vaan =)

@Sebu92
Hienoa! =)

 

Pala ewidon raportista. Tuo Downloader.Zlob.dh löytyy joka käynnistyksellä ja ewidoa ajaessa. Aina poistan, mutta aina se on tullut takaisin. Riskiluokituskin on korkea... millähän siitä pääsisi lopullisesti eroon?

Tuo aaxxeellin ohjeen loppu osa:

Mihinkäs kohtaan tuossa sijoittuisi uudelleen käynnistys? Ennen vai jälkeen ewidon? Lataushan ei onnistu, mutta ohjelma taitaisi toimia... en haluasi toisaalta turhaan testata, koska vikasietotilaan käynnistyminen on _hieman_ hidasta.