tuli tässä äskettäin melko paha viirus koneelle kun olin sammuttamassa konetta, koska windows ilmoitti, että minulla on asentamattomia päivityksiä ja niitä varten kone tulisi käynnistää uudelleen, joten käynnistin ja sitten en enää pystynytkään liikuttelemaan kuvakkeita työpöydällä, käynnistys hidasta, IE ei käynnisty eikä automaattinen päivitys, norton ei käynnisty ja MSI eli microsoft installer ei toimi tai sitä ei ole, että semmottii oon havainnu tähän mennessä. Eli jos joku tietää, että miten tuommoinen viirus poistetaan niin kertokaa ihmeessä...
Oletko nyt varma että kyseessä on virus? Ja tuommoiseen suosittelisin melkeinpä formatointia. Windowsin korjaaminen on tuskaa.
EDIT: Samoin norton virussuojana on aika huono. Ilmainen vaihtoehto: AVG, palomuuriksi rautapalomuuri tai hätätilassa softaversio, vaikka Kerio
Onko käytössä muita selaimia kuin IE? Jos ei, se on ongelman ydin.
on firefox, jolla ei voi tehdä netissä virusskannauksia, avg on antiviirus, mutta tässä olisi tarvinnut hyvän palomuurin.
Norton kyllä valitti, että joku yrittää murtautua koneeseeni portista 21 ja on vieläkin yhteydessä:
Aktiiviset yhteydet
Proto Paikallinen osoite Vieras osoite Tila PID TCP 127.0.0.1:1050 127.0.0.1:1051 ESTABLISHED 252 TCP 127.0.0.1:1051 127.0.0.1:1050 ESTABLISHED 252 TCP 192.168.0.100:1031 207.46.4.98:1863 ESTABLISHED 232 TCP 192.168.0.100:1078 63.210.193.6:21 TIME_WAIT 0 TCP 192.168.0.100:1080 63.210.193.6:21 TIME_WAIT 0 TCP 192.168.0.100:1088 206.204.52.6:80 ESTABLISHED 252 TCP 192.168.0.100:1090 66.249.93.99:80 ESTABLISHED 252 TCP 192.168.0.100:1091 217.212.252.80:80 ESTABLISHED 252 TCP 192.168.0.100:1093 217.212.252.80:80 ESTABLISHED 252 TCP 192.168.0.100:1094 193.110.109.91:80 TIME_WAIT 0 TCP 192.168.0.100:1096 193.110.109.91:80 TIME_WAIT 0 TCP 192.168.0.100:1098 63.88.212.82:80 TIME_WAIT 0
ja jos se on tuo portti 21 niin sen tiedot on tässä osoitteessa http://www.dnsstuff.com/tools/whois.ch?ip=63.
tuli vielä huomattua, että copypastekaan ei toimi, jos yrittää linkkejä kopioida...
edit: tiedän ettei norton ole hyvä, mutta sen kanssa sentään eräät tärkeät ohjelmat toimi toisin kuin zonealarmin kanssa, joka taas esti kunnolla kaikki hyökkäykset, mutta taidankin kokeilla seuraavaksi kasperskyä vai mikä se nyt olikaan...
Näyttäis kyllä siltä että nuo kaikki aktiiviset yhteydet ovat joko lanista tai loopbackista. Hakkereita nuo eivät ole, jotain ohjelmia jotka ovat koneellasi auki :D Tuosta whoissistasi en tiedä, se ei ilmeisesti liity noihin aktiivisiin.
eipä ollut muutakuin firefox auki ja niitä yhteyksiä löytyy nyt saksaan ja jonnekkin NL:ään sekä usaan, vaikka minulla on vain konsoli, firefox ja tehtävienhallinta auki, mutta miten tämä sitten korjataan? olis melko mukavaa korjata kun koneella on todella paljon tavaraa, jotka pitäisi siirtää jonnekki muualle
edit: niin ja unohdin kertoa, että järjestelmän palautuskaan ei toimi eli suunnilleen mikään, millä windowsin saisi toimimaan...
nyt kyllä jo alkaa vituttaa, sen ms:n ohjelmiston suunnittelu päällikön pitäisi tulla itse ratkaisemaan omia päivityksiään... samalla kun valmistelen haulikkoa alakerrassa...
No vedä ny ensimmäisenä nettipiuha irti. Sen jälkeen polta tärketä kamat cd:lle. Sitte asenna windows ilman nettipiuhaa. Lopulta asenna cd:ltä palomuuri ja virustorjunta. Piuha kiinni ja tärkeä data cd:ltä takasi koneelle. Ja varmaan kun oot saanu asennettua uudelleen, ota vaikka Nortonin Ghostilla image siitä levystäs, niin on jatkossa helpompi palauttaa.
Tai sitten tulet järkiisi ja vaihdat tänne aidan vihreämmälle puolelle, eli hyppäät Applen kelkkaan Maccimieheksi :)
lainaus:
eli hyppäät Applen kelkkaan Maccimieheksi :)
Tekisi mieli mainostaa erästä G:llä alkavaa linux-distroa mutta se ilmeisesti nykyään katsotaan trollaamiseksi, joten sanon että asennappa vaikka kubuntu. :)
Naah, ei tuolla Linuxilla tee mitään. Asentakaa Os/2 Warp 4, ei varmana tule viruksia, paitsi jos maksatte niiden teosta krakkereille..
-Grey-
Verkkopiuha irti ja sitten sammuttelemaan epäilyttäviä ohjelmia tehtävienhallinnasta, ja kun kaikki mahdollinen on sammutettu, poistat käynnistyksen yhteydessä käynnistettävistä ohjelmista kaiken epäilyttävän. Yleensä siellä ei ole mitään koneelle elintärkeää, joten jos ei ole aavistustakaan, niin kaikki pois.
Yksi hyvä voisi olla myös uuden osion luominen jollakin sopivalla vehkeellä. Uudelle osiolle jokin Windows ja torjuntasofta ja sieltä käsin poistelemaan viruksia. Toinen kovalevy on tässä tilanteessa erityisen kätevä.
Meitsi kirjoitti:
EDIT: Samoin norton virussuojana on aika huono. Ilmainen vaihtoehto: AVG, palomuuriksi rautapalomuuri tai hätätilassa softaversio, vaikka Kerio
Joo-o, tosin kannattaa asentaa zonealarm ja antivir ennemmin.
http://www.freeav.com
http://www.zonelabs.com
ostan kyllä sitten macin kun/jos lähden Helsinkiin lukioon tai sitten myöhemmin työkoneeksi, mutta tällä hetkellä windows on käytännöllisin kun ohjelmoin vb.netillä eikä myöskään muutama muukaan tärkeä ohjelma taida toimia muilla järjestelmillä, linux kubuntuja minulla on n.300(huvikseen tilasin :P) enkä ollut tyytyväinen. Taidampa huomenna alustaa koko koneen kun serkku haluu viel jotain tiedostoja koneeltani...
metabolix: yleensä viirus/troijalainen tehdään semmoiseksi ettei se näy tehtävienhallinnassa
edit: jos en vielä kertonut niin nyt kerron, että tuota zonealarmia (vaikka se onkin hyvä) en asenna, koska se estää softimage|xsi:n ja sen lisenssi palvelimen kommunikoinnin kokonaan vaikka sen sammuttaisikin, joten asennan kasperskyn, koska se on tällä hetkellä paras!
lainaus:
...että tuota zonealarmia (vaikka se onkin hyvä) en asenna...
...vaikka sen sammuttaisikin...
No sitten on kyllä käyttäjässä vikaa, jos matoja + viruksia tulee kun palomuurin sammuttaa, sitäpaitsi jos palomuurin sammuttaa(älä tee tätä) eikä ohjelma silti pääse nettiin on vika muualla kuin palomuurissa. Osa palomuureista kyllä jää auki(kuuluukin) vaikka gui:n sulkee.
Meitsi kirjoitti:
No sitten on kyllä käyttäjässä vikaa, jos matoja + viruksia tulee kun palomuurin sammuttaa
Jooh, et oikein ymmärtänyt... ZA estää kahden ohjelman välisen kommunikoinnin, eikä niitä matoja/viiruksia ole tullut kun se on ollut pois päältä! Ja tuosta käyttäjän viasta sen verran, että sammutappa itse palomuurisi ja anna olla vaikka kuukauden pois päältä ja tule sitten kertomaan vioistasi!
NanoSoft kirjoitti:
ZA estää kahden ohjelman välisen kommunikoinnin
No tietenki, eihä se muuten palomuuri olis. Sille pitää erikseen kertoa, ketkä saa nähdä sinne ulos pahaan intternettiin.
lainaus:
No sitten on kyllä käyttäjässä vikaa, jos matoja + viruksia tulee kun palomuurin sammuttaa
Tarkoitin että käyttäjässä on vikaa, jos sammuttaa palomuurin, että turha sitten tulla ihmettelemään kun on n+1 virusta ja matoa koneella että mitä tapahtui.
Ja konffi se palomuurisi oikein äläkä whineä jos olet saanut koneesi täyteen roskaa sammuttamalla palomuurin.
noh, ton voi ymmärtää kahdella tavalla, eikä sitä ZA:ta ole saanut konffittua yksikään joka on kokeillut (xsi:tä varten) ja minä myös osaan kun olen tehnyt sen monta kertaa, mutta ei se silti toimi ja voisko tän topikin jo lopettaa kun jos kukaan ei tiiä, että miten tuo korjataan niin turha tätä on jatkaa noilla kommenteilla, jotka ovat itsestään selvyyksiä tai melkein vittuilua!
Oletko kokeillut mitään muita palomuureja? Kyllähän noita ilmaisia ainakin jokunen pitäisi olla... Joo, viestini menivät hieman whineämiseksi itsellänikin täytyy myöntää. Virussuojista senverran että muistaakseni Avast oli myös ilmainen. Kokeile sitäkin, jos muut ovat huonoja.
Jos ZA ei miellytä, kannattaa kokeilla jotain muuta. Itselläni pyörii tällä hetkellä Kerion ilmaisversio muurina ja Antivir pöpösuojana.
Jos Windows-kone on täysin jumissa, yleensä formatointi ja uudelleenasennus auttavat. Itse en kylläkään kyseisestä hommasta pidä, ja tulee yleensä kokeiltua kaikki muu ensin.
Onko täysin varmaa, että kyseessä todella on virus?
Itellä on ollut windows kone useita kuukausiakin nettissä ilman mitään viruksentorjuntaa tai vastaavaa enkä ole viruksia saanut. Tosin suurimman osan ajasta on ollut linuxin takana joka jakaa netin... nyt kun ei ole enää linuxia niin löytyy
netstat:
Aktiivisia yhteyksiä Protokolla Paikallinen osoite Vieras osoite Tila TCP mustaloota:1090 cs.sv.xfire.com:25999 ESTABLISHED TCP mustaloota:1191 ppp2102.dsl.pacific.net.au:49152 ESTABLISHED TCP mustaloota:1261 BSN-77-138-79.dsl.siol.net:5881 ESTABLISHED TCP mustaloota:1331 baymb-cs10.msgr.hotmail.com:1863 ESTABLISHED TCP mustaloota:1354 dsl-del-dynamic-103.78.246.61.touchtelindia.net:49152 ESTABLISHED TCP mustaloota:1355 96.90.233.220.exetel.com.au:32459 ESTABLISHED TCP mustaloota:1358 unassigned.nforce.nl:http TIME_WAIT TCP mustaloota:1360 unassigned.nforce.nl:http TIME_WAIT TCP mustaloota:1363 unassigned.nforce.nl:http TIME_WAIT TCP mustaloota:1368 203-206-126-20.dyn.iinet.net.au:49187 ESTABLISHED TCP mustaloota:1376 h2n7c1o848.bredband.skanova.com:32459 ESTABLISHED TCP mustaloota:1383 213-202-136-199.bas502.dsl.esat.net:30251 LAST_ACK TCP mustaloota:1392 softbank221023192159.bbtec.net:21012 TIME_WAIT TCP mustaloota:1394 host119-122.pool8251.interbusiness.it:4463 TIME_WAIT TCP mustaloota:1395 softbank220062104166.bbtec.net:6625 TIME_WAIT TCP mustaloota:1396 FLA1Abl025.chb.mesh.ad.jp:14234 ESTABLISHED TCP mustaloota:1397 0x3d2cb762.rev.ncv.ne.jp:8567 TIME_WAIT TCP mustaloota:1399 pd3f5f9.gunmnt01.ap.so-net.ne.jp:8813 TIME_WAIT TCP mustaloota:1400 p2032-ipad204sapodori.hokkaido.ocn.ne.jp:4675 TIME_WAIT TCP mustaloota:1403 softbank219178026006.bbtec.net:32187 TIME_WAIT TCP mustaloota:1405 c220-239-129-75.dandn1.vic.optusnet.com.au:32459 ESTABLISHED TCP mustaloota:1407 p5793e9.tokyte00.ap.so-net.ne.jp:14800 TIME_WAIT TCP mustaloota:1408 softbank219205076004.bbtec.net:7001 TIME_WAIT TCP mustaloota:1413 125-14-40-206.rev.home.ne.jp:8100 TIME_WAIT TCP mustaloota:1418 125-14-153-52.rev.home.ne.jp:34567 FIN_WAIT_1 TCP mustaloota:1423 72.14.205.109:995 LAST_ACK TCP mustaloota:1424 FLA1Aah021.okn.mesh.ad.jp:4675 SYN_SENT TCP mustaloota:4000 irc.playerofgames.com:6668 ESTABLISHED TCP mustaloota:4001 .:6667 ESTABLISHED TCP mustaloota:4002 soll1-103.cust.blixtvik.net:6667 ESTABLISHED TCP mustaloota:4003 koopa.saunalahti.fi:6900 ESTABLISHED TCP mustaloota:7005 61-23-209-249.rev.home.ne.jp:3490 LAST_ACK TCP mustaloota:7005 62.29.30.125.dy.iij4u.or.jp:65058 ESTABLISHED TCP mustaloota:7005 p3225-ipad502osakakita.osaka.ocn.ne.jp:2930 ESTABLISHED TCP mustaloota:7005 ZQ185047.ppp.dion.ne.jp:1590 ESTABLISHED TCP mustaloota:32459 CPE001310f953fd-CM00407b861f01.cpe.net.cable.rogers.com:2126 ESTABLISHED TCP mustaloota:32459 abnw90.neoplus.adsl.tpnet.pl:3572 ESTABLISHED TCP mustaloota:32459 84-50-55-61-dsl.est.estpak.ee:1341 ESTABLISHED TCP mustaloota:32459 cpc2-nfds10-6-1-cust145.leic.cable.ntl.com:1240 ESTABLISHED
Itellä on noin paljon yhteyksiä enkä usko yhdenkään olevan 'hakkeri'(krakkeri)
Itelläni on palomuurina Symantec Client Firewall ja viruksen torjuntana Symantec Antivirus. Toki myös nattaava adsl-modeemi estää.
Niko kirjoitti:
Itellä on ollut windows kone useita kuukausiakin nettissä ilman mitään viruksentorjuntaa tai vastaavaa
...
Itelläni on palomuurina Symantec Client Firewall ja viruksen torjuntana Symantec Antivirus.
Mikä tilanne siis on? Vai onko niin, että ennen ei ollut viruksentorjuntaa/vastaavaa ja nyt on? Jolloin tuo netstat ei tietenkään kerro hirveästi hyödyllistä, koska sinulla _on_ palomuuri päällä...
Ennen ei ollut ja nyt on
sanoin jo ja olen jo hankkinut kasperskyn, joka on estänyt jo monta kymmentä DoS hyökkäystä toisin kuin norton eli ei tarvitse ehdotella muita ohjelmia ja konekkin on jo alustettu (ainoa tapa siirtää dataa oli siirtää ne selaimen välityksellä nettiin tai pakata toiselle kovolle(siirrettävä), enkä usko tuon olleen mikään windowsin päivitys(siinä luki, että olisi), koska eivät ne tee tuolla tavalla, ainakaan pitäisi...
Hmm.. Mulle tuli joku vastaava virus (ei avannut mitään ohjelmia enää) koneelle kun latasin päivityksen. Käynnistin koneen vikasietotilaan ja poistin sen päivityksen ja taas pelasi ;)
Aihe on jo aika vanha, joten et voi enää vastata siihen.