1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

Uusavuttomalle apua - haittaohjelma piinaa

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Johnnie 09.01.2018.

  1. Johnnie

    Johnnie Newbie

    Liittynyt:
    09.01.2018
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    1
    Morjens. Eli kuten otsikostakin voi päätellä, ei allekirjoittanut ymmärrä tietokoneiden päälle juurikaan. Nyt on ongelmana sellainen, että Avastin ilmaisversio pimputtelee viiden minuutin välein, kun "no-stop.biz" JS:Agentilta on tulossa kyläilemään. (Tätä kirjoittaessani "msfeedssync.exe" yritti myös). On ladattu Malwarebytesit, Junk Removal toolit, AdwCleanerit ja mitkä liekään, mikään ei tunnu auttavan. Ohjauspaneelistakaan en löydä asennettuja kummallisuuksia, ja alkaa olla pikkuhiljaa jo kohtalaisen epätoivoinen olo. Kun en muuta keksinyt, niin koetin lähteä kokeilemaan vielä tämän ketjun antia: http://keskustelu.afterdawn.com/threads/adware-elex-koneelta-pois.768142/. Kaatui siihen, että ei tässä minun läppärissäni nuo Chromen asetukset ole yhtään vastaavat kuin tuolta löytyvässä ohjelinkissä. Nuo synkronoinnit sain luullakseni pois kaikki, mutta sitten meni sormi suuhun.

    Taustatietoja vielä sen verran, että selain on jo pitemmän aikaa uudelleenohjannut hakukonetta käyttäessä ties minne. On myös ohjannut/aukonut uusia ikkunoita hämärille sivustoille ihan perus nettikäytössä. Tämä jatkuva Avastin pommitus uusista uhkista on puolestaan uutta. Pystyykö kukaan jelppimään?

    Edittiä: Avast antaa uhan nimen, vakavuuden ja url-osoitteen lisäksi "prosessin", joka on kansio C-asemalta (mikä lie oikea nimitys?). Pitääkö tuo kansio poistaa?
     
    Viimeksi muokattu: 09.01.2018
  2.  
  3. Näppishemmo

    Näppishemmo Regular member

    Liittynyt:
    09.03.2017
    Viestejä:
    497
    Kiitokset:
    75
    Pisteet:
    28
  4. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    6,658
    Kiitokset:
    691
    Pisteet:
    173
    Ilmeisesti koneellesi on jonkun ohjelman asennuksen myötä tullut ns. selainkaappari. Yleensä tuo AdwCleaner tehoaa sellaisiin, mutta sen sijaan, että vain kerrot, että "ei tunnu auttavan", pitäisi tarkemmin kertoa, mitä löytyi, ja mitä tarkistuslokeissa sanotaan. Valitettavasti palsta on nyt sillä tavalla "rikki", että kuvakaappauksia ei voi liittää suoraan viestiin. Kerro siis tarkemmin, mitä tarkistustuloksissa lukee ja erityisesti tuo, mitä mainitset "prosessista" ja C-asemalla olevasta kansiosta.

    Tuo "msfeedssync.exe" on aivan laillinen Windows-toiminto, mutta tietysti on mahdollista, että joku haittaohjelma teeskentelee sitä. Taas tarvittaisiin enemmän tietoa.
     
  5. Johnnie

    Johnnie Newbie

    Liittynyt:
    09.01.2018
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    1
    Kiitos asiallisista vastauksista. Pitänee kokeilla tuota Näppisheimon keinoa aluksi. AdwCleanerilla vedin siis kertaalleen skannauksen läpi, jolloin jotakin paskaa ilmeisesti puhdistettiin. Mainitsemani ongelma ei kuitenkaan kadonnut minnekään, ja toisella skannauskerralla AdwCleaner ei löytänyt mitään. Eli siis mainitsi vain että kone on puhdas. C-asemalla kansio on Windows-kansion alla, nimi on "System32". Kyseisessä kansiossa tavaraa melko reilusti, ensin kansioita, joista isosta osasta näyttäisi löytyvän ainakin tiedosto SyncRes.dll.mui. Sen lisäksi "irtotiedostoja" iso kasa, joista suurin osa on sovelluslaajennuksia, lisäksi on mm. NLS-tiedostoja. Kansiota on muokattu viimeksi näköjään viime yönä, eli luultavasti Avastin viimeisen ilmoituksen myötä? Ja jos siitä on yhtään apua, niin Malwarebytesillä on tällä hetkellä karantenissa 8 kpl Hijack.AutoConfigURL.PrxySvrRST-nimistä kaveria, ja pari kohdetta nimeltä PUP.Optional.Qone8. Jos vaikka liittyisivät asiaan?

    Oliko tästä yhtään enempää apua?
     
  6. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    6,658
    Kiitokset:
    691
    Pisteet:
    173
    Taidan olla hidas ymmärtämään, mutta minulle ei selvinnyt, tarkoittaako "mainitsemasi ongelma" noita Avastin ilmoituksia vai selaimen uudelleenohjautumista väärille sivuille? Yleensä AdwCleanerin pitäisi tehota noihin selainkaappareihin, joita tuo JS.Agent ilmeisesti edustaa. Sen sijaan älä missään tapauksessa edes yritä poistaa System32-kansiota. Se on aivan oleellinen osa Windowsia. En edelleenkään ymmärtänyt, mistä Avast varoittaa kyseisessä kansiossa, mutta varovaisuutta sen suhteen.

    Jos tuossa Malwarebytesin karanteenikansiossa ei ole mitään sellaista, jonka tiedät olevan sinun tarkoituksella asentamaa, niin poista kaikki karanteenissa olevat kohteet. Aja sitten uudelleen AdwCleaner ja Malwarebytes. Huomaa, että AdwCleanerilla skannaus ei vielä poista mitään, vaan poisto tapahtuu uudelleenkäynnistyksen yhteydessä, kun olet ensin painanut Clean-painiketta.

    Tuo Junkware Removal Tool on myös tarkoitettu edellä mainittujen haittaohjelmien poistoon. Se poistaa löytämänsä heti antamatta ensin mahdollisuutta tarkistaa poistettavien listaa. Joskus se voi poistaa myös aivan asiallisen, mutta harvinaisen sovelluksen.

    En tunne tuota Avastia, eli en tiedä, eikö se osaa poistaa tuota non-stop.biziä, vai kauppaako se maksullista versiota sen poistamiseen. Yksi mahdollisuus olisi kokeilla ilmaista online-skanneria esimerkiksi ESET Online Scanner.

    Aja siis vielä nuo haitakkeiden poisto-ohjelmat, poista niiden tekemät löydökset ja aja poisto-ohjelmat sitten uudelleen, nähdäksesi löytyykö jotain uudelleen. Jos poistettavaa ei löydy, kerro mahdollisimman tarkoin, millaista ongelmaa vielä esiintyy. Kerro myös mahdollisimman yksityiskohtaiset tiedot tuosta Avastin löydöksestä ennen kuin menet poistamaan yhtään mitään System32-kansiosta.
     
  7. Nanna_86

    Nanna_86 Active member

    Liittynyt:
    03.09.2014
    Viestejä:
    490
    Kiitokset:
    107
    Pisteet:
    53
    Saatko lisättyä lokitiedoston?
    • Loki löytyy myös polusta: C:\AdwCleaner[R1].txt
    ------------------

    Nämä .mui päätteiset tiedostot ovat kielikohtaisia asetuksia. Esim kun tietty sovellus avataan, näytetään se käyttäjän asettaman sovelluksen kielen mukaan.

    ----------------
     
  8. Johnnie

    Johnnie Newbie

    Liittynyt:
    09.01.2018
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    1
    Taisi olla hiukan epäselvästi selitetty. Eli tuo uudelleenohjautuminen väärille sivuille oli siis ollut ominaisuutena jo hiukan pitempään ja sen lisäksi alkoi eilen illalla ilmaantumaan noita JS:Agentin hyökkäyksiä viiden minuutin välein, mitkä Avast siis torjui ja ilmoitti torjunnasta.

    AdwCleanerin skannailun tosiaan tein kuvailemallasi tavalla, ja kaikki mainitut viat jatkuivat uudelleenkäynnistyksen, Malwarebytesin ja JRT:n ajamisien jälkeenkin. Mitään en kerennyt onneksi poistella, kiitos silti varoituksesta. :)

    Tänään taas kone asenteli päivityksiä pitemmän aikaa käynnistämisen yhteydessä, ja tänään ei ole mitään aiemmin mainittuja ja tapahtuneita kummallisuuksia tapahtunut, vaikka mitään en ole koneelle tässä yöllisen viestini jälkeen tehnyt. Eli en tiedä onko tässä nyt tilanne sittenkin hallussa toistaiseksi, mutta siltä tosiaan hiukan vaikuttaisi. Pitänee kirjoitella tänne lisää (esimerkiksi tuon lokihistorian osalta), jos nuita uudelleenohjaamisia ja muita kummallisuuksia ilmenee taas. Mutta kiitos vastauksista joka tapauksessa!
     
  9. Johnnie

    Johnnie Newbie

    Liittynyt:
    09.01.2018
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    1
    Otetaan vielä tähän kiinni. Tosiaan omassa Chromessani linkin kuvailemaa polkua ei ole/ollut, onko näin, että polku on käytössä vasta, kun ollaan kirjautuneena Chromessa? Itsehän en siis ole, eikä minulle tietääkseni myöskään mitään Chromen tiliä ole. Kerkesin eilen illalla hätäpäissäni vetää "Tietosuoja ja turvallisuus" -kohdasta kaikki täpät vasemmalle, koska hakutoiminto antoi kyseisen osion tulokseksi synkronoinnille, joten luulin siis toimistani olevan jotain apua. Siellä siis esimerkiksi kohdat "Käytä verkkopalvelua navigointiongelmien ratkaisemiseen" ja "Suojaa itseäsi ja laitettasi vaarallisilta sivustoilta" ovat nyt pois käytöstä. Onko näillä käytännön merkitystä, että ovatko päällä vai eivät? Nämä Tietosuoja ja turvallisuus -asetukset ovat siis nyt hiukan hukassa.
     
  10. Näppishemmo

    Näppishemmo Regular member

    Liittynyt:
    09.03.2017
    Viestejä:
    497
    Kiitokset:
    75
    Pisteet:
    28
    Ahaa. Käsitin että olit kirjautunut Chromeen kun kirjoitit että otit käsittääksesi sen synkronoinnin pois päältä siitä. Tuo suojaus asetus parantaa Chromen tietoturvaa joten ne kannattaa pitää päällä.
     

Jaa tämä sivu