Morhes! Asensin tässä pari päivää sitten hieman epäluotettavalta sivulta ladatun ohjelman ja tämä pyysi reboottaamaan saamiseksi asennuksen loppuun. Tästä alkoivat koneenkäyttöni mahdottomaksi tekevät käyttistäni xp he:tä vaivaavat vaikeudet, jotka ainakin oman näkemykseni mukaan johtuvat nimenomaan haittaohjelmista & viruksista, joita on soluttautunut koneeni lukemattomaan kansioiden joukkoon. Rebootin jälkeen winukan latauduttua sekä valittuani oman käyttäjätilini, kone jumittaa ja hidastelee ensin ladatessaan käynnistyksessä "launchattavia" ohjelmia alapalkkiin (esim. Avastin pallo-ikoni, joka normisti pyörii sulavasti Avastin tehdessä jotain, pyöriminen jumittaa ja tökkii nyt, kuin suoritinkäyttö olisi kovakin tuossa ladatessa ohjelmia alapalkkiin) ja sen lisäksi Avastilta tulee ilmoitus "Tietokone on käynnistettävä uudelleen". No, klikkasin tuota "Käynnistä nyt" -valintaa, jos pätkiminen olisi korjaantunut sillä, mutta ei, kirjautuessani uudelleen xp:hen se suoritti samat "rituaalit" ladatessaan ohjelmia alapalkkiin ja Avastin ilmoituksin tuli jälleen. No, nämä nyt eivät olleet vielä vakavia ongelmia vrt. siihen mitä oli tulossa. Klikkasin Omaa tietokonetta ja tarkistin kovoni tilan - reilu giga kovon vapaasta tilasta oli hävinnyt. Noo, sitten kokeilin käynnistellä näitä käyttämiäni perussoftia ; Internet Explorer ei käynnistynyt, eikä sen ikonin kohdalle tullessa ilmestyvää tekstiä "Selaa internet-sivuja tms." ilmestykään nyt, Ohjauspaneeli käynnistyy, mutta siellä olevat sovellukset/työkalut eivät käynnisty, kuten 'Lisää tai Poista -sovelluksia' tai 'Järjestelmä' -sovellukset.Tehtävienhallinta ei aukea Ctrl + Alt + Del -komennolla. Tiedostojen poistaminen, siirtäminen, kopioiminen yms. sekä kansioiden selailu toimivat normaalisti. Myös suurin osa ei-Windows-sovelluksista, kuten iTunes, Messenger, Everest, Mozilla ja Adobe Acrobat käynnistyvät & toimivat normaalisti, erään MP3 utilityn käynnistettäessäni tulee kylläkin joku 'Windows Installer' -paketti eikä softa käynnisty. Myös pelit sekä Avast että Comodo Firewall toimivat normaalisti. Windows-sovelluksista Zip-tiedostojen purkuohjelma toimii myös normisti. Nään myös avastista, että dataa siirtyy kokoajan Steamissa sekä Winukan kansiossa. No käynnistän koneen pari kertaa uudelleen, edelleen nämä samat softat eivät käynnisty, tiimalasi ilmestyy kuvakkeen viereen vain hetkeksi eivätkä ne käynnisty, kovo täyttyy jälleen n. gigan molemmilla käynnistyskerroilla sekä 0,5 gt koneen käytönkin aikana, ja kone jumittaa ja tökkii selvästi. Sitten tajuan, että ehkä nuo haittaohjelmat lataavat netin kautta tuota stuffia kovalevylleni (what a neronleimaus) ja otan koneen verkkotukipisteen irti USB-väylästä. Käynnistelen konetta muutaman kerran ilman tuota yhteyttä ja huomaan, ettei kovalevy täyty nyt käynnistyksessä kuin 0,2-0,4 gt eikä käytön aikana ollenkaan. No, kytken tuon tukipisteen kuitenkin takaisin kiinni; pari ohjelmaa pyytää heti Comodosta muodostaa yhteyttä ja aivan hetken päästä tulee Winukan pysäytysvirhenäyttö, jossa tällainen teksti: "Windows sammutettiin aiheutuvien vahinkojen välttämiseksi. Jos tämä on ensimmäinen kerta blaa blaa blaa ... Tekniset tiedot *STOP 0x0000007E (0xF175FDODOX F403 6A40, 0xF4O3673C) ***vnetusbk.sys - Address F175FDOD base at F175 C000.DateStamp 3e9e 6416 Ja Windows suorittaa fyysisen muistin vedostuksen - suoritettu. ". Sammutin koneen ja otin tukipisteen irti ja käynnistin uudelleen. Sitten aloin Avastilla tekemään scannausta (sanon tämän suoraan: minulla ollut tuo Avast ainoana virustorjuntasoftana n. 3 kk enkä tätä ennen ollut kertaakan suorittanut tätä koko kovon scannausta) ensimmäisenä Avast tarkisti käynnistystiedostot ja keskusmuistin, ja keskusmuististapa löytyi 1 virus. Tiedosto oli niin epämääräisen niminen, että poistin sen vain suoraan. Tämän jälkeen alkoi kovon scannaus. Raastavan pitkän scannauksen suoriuduttua Avast ilmoitti löytäneensä 71 tartunnan saanutta tiedostoa, joista lähes puolet poistin suoraan (en tietenkään tärkeissä kansioista, kuten Winukan kansiosta löytyneitä pöpöjä & haittaohjelmia poistanut vaan siirsin karanteeniin). Avastin karanteenissä oli tarkastuksen jälkeen n. 40 tiedostoa, tässä listaa mistä hakemistoista niitä löytyi ja mitä pöpöjä: C:\System Volume Information -hakemistosta löytyi 11 tiedostoa, näiden pöpöt olivat Win32 -Spywareja, Win32 - Virut:ja, Win32 - Adloadereja sekä Win32 Agent-HYR:iä. C:\WINDOWS\system32\config\systemprofile\Local Settings\ Temporary Internet Files\ Content.IE5\ -hakemistosta löytyi reilu 5:stä .htm -loppuisesta tiedostosta pöpö; Win32 - Tiny II [Trj]:tä sekä Win32 - LoadAdv-H. [Trj]:tä, Win32 - Agent-HYR:ä, Win32 - Adloader-JX:iä, sekä Win32 - VB-ESB:tä ...tuo hakemisto ilmeisesti se minne kaikki sivuhistoria-materiaali ja tällainen on tallennettu, vai? C:\WINDOWS\system32\drivers\ täällä yksi Win32 - Agent-KAP [Trj] -pöpö itse C:\ Beep.sys- sekä wsusupd.exe -nimiset tiedostot saaneet tartunnat C:\Documents and settings\Käyttäjänimeni\Local Settings\Temp täältä löytyi 2 kpl Win32 Agent-GOM [Trj]:tä C:\WINDOWS\Temp 3 kpl Win32 - Small-GWM:iä, 2 kpl Win32 - VB-ESB:tä, nämä tiedostot olivat EXE(jokin numero, esim.2)ja .tmp-loppuisia sekä VRR(joku kirjain, esim. A) ja .tmp-lopuuisia tiedostoja. C:\WINDOWS\Downloaded Program Files\NetInstaller.exe tuosta tiedostosta löytyi Win32 - WinFixer-C [Tool] -niminen pöpö ja järjestelmätiedostoista karanteenissa: kernel32.dll winsock.dll wsock32.dll kaikki nuo 3 hakemistossta C:\WINDOWS\system32 Latasin myös Ad-Awaren sekä AVG Anti-Spywaren ja sain asennettuakin ne, mutta niissä käy sama juttu kuin noissa Windows-softissa; eivät käynnisty, vaikka tiimalasi käykin hetken kuvakkeen vieressä. Ad-Awarea yrittäessä käynnistää tulee tällainen ilmoitusv "Error while unpacking the program, code LP5". Latoin toiselta koneelta CCleanerin ja Hijackthis:n ja ne toimivat normisti (en kuitenkaan tehnyt vielä mitään kummallakaan). Olen huomannut Comodon ilmoituksista, että nämä sovellukset tai tiedostot yrittävät usein muodostaa yhteyden: "svchost.exe" , "spoolsv6.exe" ja "services.exe" ja tuo spoosv6.exe ainakin myös silloin kun ei ole nettiyhteyttä. Myös välillä käynnistettäessä ja valitessa käyttäjätili kone tilettää valittuani käyttäjätilin "ladataan henk. tietojs tms." -kohdassa. Luulen tuonkin johtuvan noista haittaohjelmista/viruksista, jotka alkavat toimimaan taustalla heti Winukan latauduttua. Pystynkö millään selviämään näistä ongelmista alustamatta kovoa ja asentamatta Winukkaa uudelleen? Onko seuraava askel puhdistaa ensin kone turhista rekistermerkinnöistä yms. ja sitten ajaa HJT ja lähettää tuo HJT-loki jollekin virustorjuntasivustolle taikka tänne?
jatka Näin -> Lataa Hijackthis: http://koti.mbnet.fi/pattaya1/HijackThis.exe -> Tallenna hakemistoon C:\hjt ->Uudelleennimeä HijackThis.exe -> scanner.exe:ksi näin: 1. Klikkaa hiiren oikealla painikkeella HijackThis ikonia. 2. Valitse Uudelleennineä/ Rename. 3. Kirjoita scanner.exe -> Käynnistä HijackThis ja klikkaa: do a system scan and save a logfile. -> Lähetä ilmestynyt logisi tänne
Okei, mutta enkö ennen Hijackthisin ajamista puhdista koneen turhilta tiedostoilta (sivuhistoria, evästeet yms.) Ccleanerilla, kuten täällä Hijackthis-ohje-sivustolla neuvotaan
