Vakava ongelma viruksen/haittaohjelman kanssa!

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Likonen 07.02.2012.

  1. Likonen

    Likonen Member

    Liittynyt:
    25.11.2006
    Viestejä:
    17
    Kiitokset:
    0
    Pisteet:
    11
    Koneelle iski ilmeisesti joku virus ja haittaohjelma nimeltään AV security essentials (tms..) Eli kusetusohjelma mitä ei voi poistaa. Tietokone meni aivan juntturaan, näppäimistö ei toimi (läppäri) eikä äänet jne..

    Mitä tehdä? Käyttiksenä Windows vista.. Ei oikein huvittaisi TAAS formatoida, kun juuri viikko sitten formatoin koneen ja asensin Windowsin uudestaan. Oli meinaan aika kova homma varmuuskopioida kaikki tärkeät tiedostot ja asentaa kaikki ohjelmat,ajurit ja kodekit uudestaan jne..

    Malwarebytes antimalware ei löytänyt mukamas mitään epäilyttäviä tiedostoja! Tein täystarkastuksen sekä vikasietotilassa että ilman..

    Apuja??
     
  2.  
  3. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,192
    Kiitokset:
    1,227
    Pisteet:
    243
  4. Make_72

    Make_72 Regular member

    Liittynyt:
    29.07.2007
    Viestejä:
    1,666
    Kiitokset:
    4
    Pisteet:
    48
  5. Likonen

    Likonen Member

    Liittynyt:
    25.11.2006
    Viestejä:
    17
    Kiitokset:
    0
    Pisteet:
    11
    Näiden ohjeiden mukaan tein, tohon malwarebytes kohtaan asti. Kun tuo ei vieläkään löydä mukamas mitään epäilyttäviä tiedostoja!!! Uusin päivitys malwaressa.. V*ttu näiden romujen kanssa...
     
  6. Datanen

    Datanen Guest

    Liittynyt:
    21.09.2010
    Viestejä:
    5,322
    Kiitokset:
    68
    Pisteet:
    108
    Käyttiksen uudelleen asennus kovalevyn alustuksella auttaa varmasti asiaan.... Tosin se on aika työlästä ja kaikki koneen mukana tulleet mainos/turhat ohjelmat palaavat...
     
  7. Likonen

    Likonen Member

    Liittynyt:
    25.11.2006
    Viestejä:
    17
    Kiitokset:
    0
    Pisteet:
    11
    Palautin järjestelmän ajalle ennen tota haittaohjelmaa ja nyt ainakin pelittää kaikki normaalisti. Pitänee päivittää Windows+MSS ja kokeilla ajaa vielä noi tarkistukset jne läpi..
     
  8. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    Mulla näyttäis nyt olevan koneessa jotain samanlaista, mutta en sitten tiiä, onks tää sama juttu vai jotain muuta. Oireet: Jokusen viikon ajan on harvakseltaan pullahdellut esiin simppeleitä Download-popuppeja, joissa tiedostonimenä oauth tai jotain sellaista ja sitten valinnat download/cancel. Oon aina poistanut ne nähdessäni, enkä ajatellut asiaa sen enempää.
    Pari päivää sitten tuli Gmailista ilmoitus, että tunnuksellani on ollut "suspicious activity" ja kehotti vaihtamaan tunnaria, jonka teinkin. Sitten aloin ihmetellä, miksei Avira ollut päivittynyt moneen päivään. Käynnistin päivityksen, joka päättyi virheeseen. Poistin koko Aviran ja yritin ladata sen uudestaan - ei onnistunut. Menin F-Securen sivuille ja yritin ajaa sen Online scanneria, ei pelittänyt. Siinä vaiheessa aloin etsiskellä netistä virustietoutta ja törmäsin tähän ketjuun. Luin läpi tuon Bleeping-jutun ja pari muuta netistä löytynyttä (parista muusta WOT varoitteli) ja hämmästelin eriäviä tietoja siitä, mitä tiedostoja se työntää koneeseen. Kävin C-levyn (myös piilotiedostot) ja prosessit läpi, enkä löytänyt mitään tiedoissa mainitusta tiedostoista tai prosesseista, enkä oikeastaan mitään epäilyttävää. Mitään malware-scanner -mainoksia ei myöskään ole näkynyt ja muuten kone toimii ihan OK.

    En kovin paljoa lataile netistä mitään ja yritän aina varmistua, että ladattavasta softasta on tietoa ja keskustelua muuallakin, eli jos kyseessä on virus tms. on mulle mysteeri, mistä se olis rantautunut. Mulla on käyttislevystä (2 käyttistä ja vähän ohjelmia, ei dataa) kloonilevy, mutta en mielelläni rupeaisi ampumaan tykillä hyttysiä ennenkuin tiedän, mikä tää juttu on. Onks kellään tietoa siitä, miten tään tai mahdollisen muun haittaohjelman vois tunnistaa?
     
  9. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,192
    Kiitokset:
    1,227
    Pisteet:
    243
    Kyllä tuo Malwarebytes Anti-malware on aika hyvä lähtökohta. Lataa ja asenna se, päivitä ja tee täysi tarkistus.

    Jos virustorjunta lakkaa toimimasta, ei anna päivittää tai virusturvan lataus on estetty, on se aika huolestuttavaa, ja voi merkitä, ettei tuo Anti-Malwarekaan toimi, vaan tarvitaan kovempia keinoja.
     
  10. Make_72

    Make_72 Regular member

    Liittynyt:
    29.07.2007
    Viestejä:
    1,666
    Kiitokset:
    4
    Pisteet:
    48
    HijackThis kertoisi tarkemmin ongelmastasi.
     
  11. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    Joo, kyllä nyt on lähdettävä siitä, ettei netistä kannata yrittää latailla tai edes käyttää suoraan mitään virusskannausta, kun se ei todennäköisesti toimi eikä ole levyssä turvassakaan. Olen nyt tilannut postimyynnistä F-Securen, joka on kuulemma lähtenyt eilen, mutta jollei se tule tänään, menee tässä kolme päivää lisää ennenkuin siitä on apua - ja sekin pitää varmaan päivittää ennen käyttöä. Kysynkin nyt viisaammilta, voiko esim. mainitsemasi ohjelman tai jonkun muun ottaa toisen koneen kautta disketille tai rompulle ja ajaa kirjoitussuojatulta laitteelta - tsekkasin just, että disketin voi yhä tehdä read-onlyksi avaamalla sen pikku läpyskän. Ne bleeping-ohjeet ehdottivat useita temppuja tään haittaohjelman halvaannuttamiseen ensin ja korjausohjelmien lataamista ja ajamista vasta sen jälkeen. Minusta tää pitäis tehdä päinvastoin eli koota aseet valmiuteen ja tehdä yllätyshyökkäys ennenkuin se huomaa mitään. Muutenhan voi joutua ikuiseen luuppiin jos ohjelma ehtii toipua ennenkuin skannaukset/korjaukset saa käyntiin ja puremaan.
     
  12. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    HiJack-viesti tuli kirjoittaessani edellistä, täytyy tutustua. Nyt juuri en mielelläni lataa mitään tällä koneella, täytyy katsoa tuota Portable-versiota. Kiitos vinkistä!
     
  13. Make_72

    Make_72 Regular member

    Liittynyt:
    29.07.2007
    Viestejä:
    1,666
    Kiitokset:
    4
    Pisteet:
    48
    10.2.2012 @ 03:14 10.2.2012 @ 10:53

    kyllähän sitä kannattaa kaikki tehdä ajan kanssa :)

    no joo,mut tarkoitin tuolla että laitat sen HijackThis ohjelman login joko täällä olevalle sille kuuluvaan ketjuun tai virustorjunta.net sivuille et joku tarkistaa sen login ja antaa sit ohjetta mitä tehdä jos sieltä jotain löytyy,itse ei kannata alkaa fixailemaan mitään,jos ei tiedä mitä tekee.
     
    Viimeksi muokattu: 10.02.2012
  14. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    No niin, vähän lisää. Tänään on kone käyttäytynyt hyvin. Kävin läpi tiedostoja ja ohjelmia, poistin kaiken mitä en tarvinnut. Yhden sellaisen prosessinkin tapoin, joka ei minusta ollut aiemmin ollut listalla ja pulpahti sinne useita kertoja ennenkuin suostui pysymään poissa. Latasin F-Securen Online checkin ja ajoin sen, ei ongelmia eikä varoituksia. Latasin Malware-mikäseon ja ajoin läpi ilman ongelmia tai varoituksia. Ajattelin sitten ladata sen Hijackin ja antaa yhteisön julistaa koneeni terveeksi, mutta tässä kohtaa alkoi rohkeuteni pettää. Lataus alkoi vasta kolmannella yrittämällä ja Windows Installer varoitteli tuntemattomasta toimittajasta ja puuttuvasta allekirjoituksesta. Ehkä oon tulossa paranoidiseksi, mutta keskeytin latauksen ja ajattelin kysyä tarkempia tietoja siitä, miten terve lataus toimii ja miltä se näyttää.

    Kävin taas tietty prosessit läpi ja ihmettelin, miksi mulla on 2 iexplore.exeä käynnissä vaikka ohjelmasta on auki vain yksi "instance". Suljin IEn ja vain toinen prosessi häipyi. Yritin tappaa toisen, mutta se väitti ettei sitä voi juuri nyt lopettaa, häipyi sitten kuitenkin itsestään. Käytän nyt Firefoxia, Chromen poistin jo aikaisemmin. Taidan poistaa myös IEn, sitten ei ainakaan pitäisi syntyä "aitoja" iexplore-prosesseja. Googlasin iexplorea, mutta keskustelut aiheesta ovat tosi sekavia, niinkuin yleensä. Onkohan jossakin vähän strukturoidumpaa tietoa? Niin, ja jos tää on virus tai haittaohjelma, miksei kumpikaan skannereista löytänyt sitä?

    Tsekkasin, montako iexplore.exe -tiedostoa löytyy C:-levystä. Valitettavasti en keksinyt, miten valinnan tuloksen saa tekstiksi, mutta siellä näyttäisi olevan:

    - yksi (se oikea?) päivältä 8.3.2009 kansiossa C:\Program Files, koko 624 kt
    - samalta päivältä iexplore.exe.mui samassa kansiossa ja
    - toinen samanlainen kansiossa C:\Program Files\fi-fi (lokaali?)
    - vanhempia, jotka näyttäisivät sijainneistaan päätellen liittyvän Windows-päivityksiin
    - Sovellus hakemistossa C:\Program Files\Malwarebytes'Anti-Malware\Chameleon,
    koko 179 kt, luotu 10.2.2012, muokattu 12.1.2012 (!) rivillä ei "Iexplore-logoa. Haluaisin tietää, mikä tää on
    - IEXPLORE.EXE-1F79DB5D.pf hakemistossa C:\WINDOWS\Prefetch (tilapäistiedosto?)

    Anteeksi pitkä postaus, mutta alan olla aika hukassa tään kanssa. Lähinnä tarttisin nyt tietää sen HiJackin latauksen, voinko tehdä sen toiselta koneelta ja ajaa vaikka disketiltä ja jos varoitellaan tuntemattomista toimittajista, pitäiskö jatkaa. Ja oliko edelläolevassa listassa jotain, mitä pitäis huomioida?

    Iso kiitos kaikesta avusta!

    ps. olen tässä seuraillut tasklistaa eikä uusia iexploreja ole sinne ilmaantunut ainakaan tuntiin.
     
  15. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    Tänään ei iexploret ole enää kummitelleet, joten rohkaistuin ja latasin HijackThisin ekaksi disketille ja ajoin sieltä, sitten asensin sen ihan oikeesti ja ajoin uudestaan. Tulokset identtiset varsinaisen sisällön osalta, enkä ainakaan itse osaa nähdä niissä mitään ongelmia. Katsoiskohan joku viisaampi sieltä Hijack-lokeista? Kiitos!

    Tässä huomaa, että pitäis vähän paremmin tutustua koneensa sisuksiin ja toimintaan. Kun niitä alkaa katsella vasta ongelmatilanteessa, onkin sitten sormi suussa: kuuluuko tää olla näin - eiks tässä oo jotain outoa????
     
  16. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    Kunnei kukaan kommentoinut Hijack listaustani, lähetin sen enkkupuolelle ja sieltä vastattiin, ettei mikään pistä silmään (paitsi etteivät osaa lukea suomalaisia tekstejä). Ne on minusta ihan tavan servicejä ja nimetkin löytyy listalla. Näitä aloin kummiskin miettiä:

    O23 - Service: NetMeeting etätyöpöydän jakaminen (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: Etätyöpöydän ohjeen istunnonhallinta (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Älykortti (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

    Tarviiko näitä johonkin ja jollei, voiko ne poistaa?

    Ja IEn käytös mua yhä hämmentää, ehkä siksi, että jostakin luin malwaresta joka luo feikkejä iexplore-prosesseja. Nyt on näitä käynnissä kaksi, avoinna yksi IE ja 4 tabia.
    Väliin prosesseja on käynnissä 4-5, eikä määrä tunnu riippuvan edes tabien määrästä.
    FFllä aina vain yksi prosessi. Mikä tää juttu on? Mistä näen prosessin syntyhistorian?

    Kun tilaamani F-Secure tulee, asennan sen ja lopetan huolehtimasta. Voiko Malware-skanneria pitää päällä yhtäaikaa F-Securen kanssa, vai kannattaisko vain ajaa se silloin tälläin - vai luottaa pelkästään F-Secureen?

    Kiitos etukäteen!
     
  17. UnknownUserD

    UnknownUserD Regular member

    Liittynyt:
    27.12.2010
    Viestejä:
    109
    Kiitokset:
    0
    Pisteet:
    26
    Tilatahhan ei Antiviruksia tarvi tollaseitten juttujen ratkaisuun, kyllä ihan ilmaisellakin pääsee pitkälle. Esimerkiksi Avastilla.

    Tuosta HiJackThis jutusta ei löytynyt mitään epäillyttävää. Lähetä tosin koko lokitiedosto mulle PM'mällä niin katselen ja mietiskelen ja sitten vastaan :) Okei?
     
  18. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    Tarkoitatkohan PM:llä yksityisviestiä (personal mail?). Kiitos tarjouksesta (ja tsekkauksesta), mutten taida jaksaa nyt ruveta kopsaamaan koko litaniaa sieltä toiselta puolelta, tässä kuitenkin linkki:
    http://forums.afterdawn.com/t.cfm/f-166/pls_check_my_hjt-is_it_heathy_now-924930/

    Se, mitä oikeastaan haluaisin tietää, onko nuo kolme mainitsemaani palvelua hyviä johonkin vai voisko ne poistaa. Ja sen, mistä voi tietää, onko iexplore-prosessit aitoja vai feikkejä eli kuka tai mikä ne on laukaissut.

    Enkkujutussa kerrotaan, että koko tää hösseli alkoi, kun Avira lakkasi päivittymästä ja pianaikaa ei saanut ladattua sitä eikä mitään muutakaan. Tuo antivirusten blokkaaminen tuntuu nykyisin olevan noitten verkkopirulaisten suosikkistrategia. Senpä takia ajattelin koklata nyt F-Securea. Ja ihan mielelläni maksan käyttämästäni softasta, myös sharewareista. Tartteehan pojat palkkansa.

    Kiitti vielä vastauksestasi!
     
  19. Make_72

    Make_72 Regular member

    Liittynyt:
    29.07.2007
    Viestejä:
    1,666
    Kiitokset:
    4
    Pisteet:
    48
    Katsoin tuon logisi kanssa läpi ja ihan puhtaalta se näyttää.
    O23 rivejä ei fixata koska se ainoastaan pysäyttää kyseisen,ei poista,poisto pitää tehdä rekisteristä manuaalisti tai jollain työkalulla.

    ton login mukaan sulla ei olisi virustorjuntaa ollenkaan päällä,onhan sulla windowsin palomuuri edes päällä ?

    Luulen vähän että sulla ainoa ongelma on tuo avira,joka kiukuttelee.sen poistamiseen kannattaa käyttää siihen tehtyä työkalua-> klik ja poisto kannattaa tehdä vikasietotilassa-> vikasietotilaan

    ja tuosta selaimesta,Firefox näkyy tehtävien hallinnassa yhtenä prosessina,riippumatta montako välilehteä on avoinna.
    IE taas lisää aina uuden prosessin kun avaat uuden välilehden,älä vaan sekoita explorer.exe prosessia iexplorer.exe prosessiin,ne ovat aivan eriasia.

    laittamasi kolme O23 riviä ovat kaikki turvallisia,niitä ei kannata/tarvitse sammuttaa.
    Suosittelen kanssa tuota F-securen asentamista,mielestäni paras palomuuri ja virustorjunta,vaikkakin täällä useat sanovatkin että windowsin omalla palomuurilla ja ilmaisella virustorjunnalla pärjää ja se on aivan totta,lähes ainahan kyse on käyttäjästä,se riippuu missä seilailet menemään ja mitä linkkejä klikkailet ja tiedostoja latailet.
     
  20. Datanen

    Datanen Guest

    Liittynyt:
    21.09.2010
    Viestejä:
    5,322
    Kiitokset:
    68
    Pisteet:
    108
    Niin... Esimerkiksi MS Essentials hoitaa hommansa hyvin.. Se riittää peruskäyttäjille, jotka eivät lataa netistä tuntemattomia ja epäilyttäviä tiedostoja. Maksullisen virustorjunta ohjelman etuna ovat nopeat virustietokanta päivitykset sekä tehokkaampi virusten scannaus.
     
  21. jooko

    jooko Member

    Liittynyt:
    12.06.2013
    Viestejä:
    37
    Kiitokset:
    0
    Pisteet:
    16
    Joo, silloin, kun taistelin tään jutun kanssa, en edes saanut Aviraa asennettua, vaikka olin poistanut sen ihan kosheristi. Enkä sitten oikein muutakaan. Sen jälkeen kun kone toipui on Malware-sieppaaja ollut käynnissä. Kohta asennan F-Securen ja jätän Malwaren ajoittaisia checkuppeja varten koneeseen. Palomuuri on toki päällä, vaikka vain Windowsin oma.
    Kiitos neuvoista ja selityksistä! explorea en toki sekoita iexploreen, yksi explore.exe on yleensä aina käynnissä. Jätänpä sitten nuo kolme palvelua sikseen. Tuntuivat vain niin tarpeettomilta ja ajattelin, että ne vois ehkä poistaa sieltä Poista sovellus - vai mikäseon, siellähän voi poistella myös Windowsin palikoita. Kun eivät näytä syovän resursseja, niin olkoot. Olen mielestäni aika tarkka, en lataa ohjelmia tarkistamatta, että niistä on muutakin tietoa kuin valmistajan sivut enkä ota meilien liitteitä alas, jollen tiedä, mitä siellä on. Senvuoksi hämmästelinkin, miten ja mistä koneeseeni olis joku pöpö päässyt, mutta taitavat käydä koko ajan fiksummiksi.
     

Jaa tämä sivu