Kirjautuminen

Haku

Tehtävät

Keskustelu: Yleinen keskustelu: viirus

Sivun loppuun

NanoSoft [15.03.2006 21:24:47]

#

tuli tässä äskettäin melko paha viirus koneelle kun olin sammuttamassa konetta, koska windows ilmoitti, että minulla on asentamattomia päivityksiä ja niitä varten kone tulisi käynnistää uudelleen, joten käynnistin ja sitten en enää pystynytkään liikuttelemaan kuvakkeita työpöydällä, käynnistys hidasta, IE ei käynnisty eikä automaattinen päivitys, norton ei käynnisty ja MSI eli microsoft installer ei toimi tai sitä ei ole, että semmottii oon havainnu tähän mennessä. Eli jos joku tietää, että miten tuommoinen viirus poistetaan niin kertokaa ihmeessä...

Meitsi [15.03.2006 21:27:17]

#

Oletko nyt varma että kyseessä on virus? Ja tuommoiseen suosittelisin melkeinpä formatointia. Windowsin korjaaminen on tuskaa.

EDIT: Samoin norton virussuojana on aika huono. Ilmainen vaihtoehto: AVG, palomuuriksi rautapalomuuri tai hätätilassa softaversio, vaikka Kerio

Latska [15.03.2006 21:28:32]

#

Onko käytössä muita selaimia kuin IE? Jos ei, se on ongelman ydin.

NanoSoft [15.03.2006 21:42:14]

#

on firefox, jolla ei voi tehdä netissä virusskannauksia, avg on antiviirus, mutta tässä olisi tarvinnut hyvän palomuurin.
Norton kyllä valitti, että joku yrittää murtautua koneeseeni portista 21 ja on vieläkin yhteydessä:
Aktiiviset yhteydet

Proto  Paikallinen osoite        Vieras osoite        Tila           PID
TCP    127.0.0.1:1050         127.0.0.1:1051         ESTABLISHED     252
TCP    127.0.0.1:1051         127.0.0.1:1050         ESTABLISHED     252
TCP    192.168.0.100:1031     207.46.4.98:1863       ESTABLISHED     232
TCP    192.168.0.100:1078     63.210.193.6:21        TIME_WAIT       0
TCP    192.168.0.100:1080     63.210.193.6:21        TIME_WAIT       0
TCP    192.168.0.100:1088     206.204.52.6:80        ESTABLISHED     252
TCP    192.168.0.100:1090     66.249.93.99:80        ESTABLISHED     252
TCP    192.168.0.100:1091     217.212.252.80:80      ESTABLISHED     252
TCP    192.168.0.100:1093     217.212.252.80:80      ESTABLISHED     252
TCP    192.168.0.100:1094     193.110.109.91:80      TIME_WAIT       0
TCP    192.168.0.100:1096     193.110.109.91:80      TIME_WAIT       0
TCP    192.168.0.100:1098     63.88.212.82:80        TIME_WAIT       0

ja jos se on tuo portti 21 niin sen tiedot on tässä osoitteessa http://www.dnsstuff.com/tools/whois.ch?ip=63.210.193.6&cache=off

tuli vielä huomattua, että copypastekaan ei toimi, jos yrittää linkkejä kopioida...

edit: tiedän ettei norton ole hyvä, mutta sen kanssa sentään eräät tärkeät ohjelmat toimi toisin kuin zonealarmin kanssa, joka taas esti kunnolla kaikki hyökkäykset, mutta taidankin kokeilla seuraavaksi kasperskyä vai mikä se nyt olikaan...

Meitsi [15.03.2006 21:50:07]

#

Näyttäis kyllä siltä että nuo kaikki aktiiviset yhteydet ovat joko lanista tai loopbackista. Hakkereita nuo eivät ole, jotain ohjelmia jotka ovat koneellasi auki :D Tuosta whoissistasi en tiedä, se ei ilmeisesti liity noihin aktiivisiin.

NanoSoft [15.03.2006 21:53:22]

#

eipä ollut muutakuin firefox auki ja niitä yhteyksiä löytyy nyt saksaan ja jonnekkin NL:ään sekä usaan, vaikka minulla on vain konsoli, firefox ja tehtävienhallinta auki, mutta miten tämä sitten korjataan? olis melko mukavaa korjata kun koneella on todella paljon tavaraa, jotka pitäisi siirtää jonnekki muualle

edit: niin ja unohdin kertoa, että järjestelmän palautuskaan ei toimi eli suunnilleen mikään, millä windowsin saisi toimimaan...

nyt kyllä jo alkaa vituttaa, sen ms:n ohjelmiston suunnittelu päällikön pitäisi tulla itse ratkaisemaan omia päivityksiään... samalla kun valmistelen haulikkoa alakerrassa...

titityyana [15.03.2006 23:08:12]

#

No vedä ny ensimmäisenä nettipiuha irti. Sen jälkeen polta tärketä kamat cd:lle. Sitte asenna windows ilman nettipiuhaa. Lopulta asenna cd:ltä palomuuri ja virustorjunta. Piuha kiinni ja tärkeä data cd:ltä takasi koneelle. Ja varmaan kun oot saanu asennettua uudelleen, ota vaikka Nortonin Ghostilla image siitä levystäs, niin on jatkossa helpompi palauttaa.

Tai sitten tulet järkiisi ja vaihdat tänne aidan vihreämmälle puolelle, eli hyppäät Applen kelkkaan Maccimieheksi :)

Meitsi [15.03.2006 23:24:37]

#

lainaus:

eli hyppäät Applen kelkkaan Maccimieheksi :)

Tekisi mieli mainostaa erästä G:llä alkavaa linux-distroa mutta se ilmeisesti nykyään katsotaan trollaamiseksi, joten sanon että asennappa vaikka kubuntu. :)

Grey [16.03.2006 03:43:39]

#

Naah, ei tuolla Linuxilla tee mitään. Asentakaa Os/2 Warp 4, ei varmana tule viruksia, paitsi jos maksatte niiden teosta krakkereille..

-Grey-

Metabolix [16.03.2006 08:01:00]

#

Verkkopiuha irti ja sitten sammuttelemaan epäilyttäviä ohjelmia tehtävienhallinnasta, ja kun kaikki mahdollinen on sammutettu, poistat käynnistyksen yhteydessä käynnistettävistä ohjelmista kaiken epäilyttävän. Yleensä siellä ei ole mitään koneelle elintärkeää, joten jos ei ole aavistustakaan, niin kaikki pois.

Yksi hyvä voisi olla myös uuden osion luominen jollakin sopivalla vehkeellä. Uudelle osiolle jokin Windows ja torjuntasofta ja sieltä käsin poistelemaan viruksia. Toinen kovalevy on tässä tilanteessa erityisen kätevä.

efteri [16.03.2006 16:05:33]

#

Meitsi kirjoitti:

EDIT: Samoin norton virussuojana on aika huono. Ilmainen vaihtoehto: AVG, palomuuriksi rautapalomuuri tai hätätilassa softaversio, vaikka Kerio

Joo-o, tosin kannattaa asentaa zonealarm ja antivir ennemmin.
http://www.freeav.com
http://www.zonelabs.com

NanoSoft [16.03.2006 16:06:32]

#

ostan kyllä sitten macin kun/jos lähden Helsinkiin lukioon tai sitten myöhemmin työkoneeksi, mutta tällä hetkellä windows on käytännöllisin kun ohjelmoin vb.netillä eikä myöskään muutama muukaan tärkeä ohjelma taida toimia muilla järjestelmillä, linux kubuntuja minulla on n.300(huvikseen tilasin :P) enkä ollut tyytyväinen. Taidampa huomenna alustaa koko koneen kun serkku haluu viel jotain tiedostoja koneeltani...

metabolix: yleensä viirus/troijalainen tehdään semmoiseksi ettei se näy tehtävienhallinnassa

edit: jos en vielä kertonut niin nyt kerron, että tuota zonealarmia (vaikka se onkin hyvä) en asenna, koska se estää softimage|xsi:n ja sen lisenssi palvelimen kommunikoinnin kokonaan vaikka sen sammuttaisikin, joten asennan kasperskyn, koska se on tällä hetkellä paras!

Meitsi [16.03.2006 16:44:11]

#

lainaus:

...että tuota zonealarmia (vaikka se onkin hyvä) en asenna...
...vaikka sen sammuttaisikin...

No sitten on kyllä käyttäjässä vikaa, jos matoja + viruksia tulee kun palomuurin sammuttaa, sitäpaitsi jos palomuurin sammuttaa(älä tee tätä) eikä ohjelma silti pääse nettiin on vika muualla kuin palomuurissa. Osa palomuureista kyllä jää auki(kuuluukin) vaikka gui:n sulkee.

NanoSoft [17.03.2006 15:05:57]

#

Meitsi kirjoitti:

No sitten on kyllä käyttäjässä vikaa, jos matoja + viruksia tulee kun palomuurin sammuttaa

Jooh, et oikein ymmärtänyt... ZA estää kahden ohjelman välisen kommunikoinnin, eikä niitä matoja/viiruksia ole tullut kun se on ollut pois päältä! Ja tuosta käyttäjän viasta sen verran, että sammutappa itse palomuurisi ja anna olla vaikka kuukauden pois päältä ja tule sitten kertomaan vioistasi!

sooda [17.03.2006 15:14:10]

#

NanoSoft kirjoitti:

ZA estää kahden ohjelman välisen kommunikoinnin

No tietenki, eihä se muuten palomuuri olis. Sille pitää erikseen kertoa, ketkä saa nähdä sinne ulos pahaan intternettiin.

Meitsi [17.03.2006 15:26:08]

#

lainaus:

No sitten on kyllä käyttäjässä vikaa, jos matoja + viruksia tulee kun palomuurin sammuttaa

Tarkoitin että käyttäjässä on vikaa, jos sammuttaa palomuurin, että turha sitten tulla ihmettelemään kun on n+1 virusta ja matoa koneella että mitä tapahtui.

Ja konffi se palomuurisi oikein äläkä whineä jos olet saanut koneesi täyteen roskaa sammuttamalla palomuurin.

NanoSoft [17.03.2006 20:33:08]

#

noh, ton voi ymmärtää kahdella tavalla, eikä sitä ZA:ta ole saanut konffittua yksikään joka on kokeillut (xsi:tä varten) ja minä myös osaan kun olen tehnyt sen monta kertaa, mutta ei se silti toimi ja voisko tän topikin jo lopettaa kun jos kukaan ei tiiä, että miten tuo korjataan niin turha tätä on jatkaa noilla kommenteilla, jotka ovat itsestään selvyyksiä tai melkein vittuilua!

Meitsi [17.03.2006 22:27:25]

#

Oletko kokeillut mitään muita palomuureja? Kyllähän noita ilmaisia ainakin jokunen pitäisi olla... Joo, viestini menivät hieman whineämiseksi itsellänikin täytyy myöntää. Virussuojista senverran että muistaakseni Avast oli myös ilmainen. Kokeile sitäkin, jos muut ovat huonoja.

tkarkkainen [18.03.2006 09:42:44]

#

Jos ZA ei miellytä, kannattaa kokeilla jotain muuta. Itselläni pyörii tällä hetkellä Kerion ilmaisversio muurina ja Antivir pöpösuojana.

Jos Windows-kone on täysin jumissa, yleensä formatointi ja uudelleenasennus auttavat. Itse en kylläkään kyseisestä hommasta pidä, ja tulee yleensä kokeiltua kaikki muu ensin.

Onko täysin varmaa, että kyseessä todella on virus?

Niko [21.03.2006 12:00:21]

#

Itellä on ollut windows kone useita kuukausiakin nettissä ilman mitään viruksentorjuntaa tai vastaavaa enkä ole viruksia saanut. Tosin suurimman osan ajasta on ollut linuxin takana joka jakaa netin... nyt kun ei ole enää linuxia niin löytyy

netstat:

Aktiivisia yhteyksiä

Protokolla  Paikallinen osoite     Vieras osoite           Tila
TCP    mustaloota:1090        cs.sv.xfire.com:25999  ESTABLISHED
TCP    mustaloota:1191        ppp2102.dsl.pacific.net.au:49152  ESTABLISHED
TCP    mustaloota:1261        BSN-77-138-79.dsl.siol.net:5881  ESTABLISHED
TCP    mustaloota:1331        baymb-cs10.msgr.hotmail.com:1863  ESTABLISHED
TCP    mustaloota:1354        dsl-del-dynamic-103.78.246.61.touchtelindia.net:49152  ESTABLISHED
TCP    mustaloota:1355        96.90.233.220.exetel.com.au:32459  ESTABLISHED
TCP    mustaloota:1358        unassigned.nforce.nl:http  TIME_WAIT
TCP    mustaloota:1360        unassigned.nforce.nl:http  TIME_WAIT
TCP    mustaloota:1363        unassigned.nforce.nl:http  TIME_WAIT
TCP    mustaloota:1368        203-206-126-20.dyn.iinet.net.au:49187  ESTABLISHED
TCP    mustaloota:1376        h2n7c1o848.bredband.skanova.com:32459  ESTABLISHED
TCP    mustaloota:1383        213-202-136-199.bas502.dsl.esat.net:30251  LAST_ACK
TCP    mustaloota:1392        softbank221023192159.bbtec.net:21012  TIME_WAIT
TCP    mustaloota:1394        host119-122.pool8251.interbusiness.it:4463  TIME_WAIT
TCP    mustaloota:1395        softbank220062104166.bbtec.net:6625  TIME_WAIT
TCP    mustaloota:1396        FLA1Abl025.chb.mesh.ad.jp:14234  ESTABLISHED
TCP    mustaloota:1397        0x3d2cb762.rev.ncv.ne.jp:8567  TIME_WAIT
TCP    mustaloota:1399        pd3f5f9.gunmnt01.ap.so-net.ne.jp:8813  TIME_WAIT
TCP    mustaloota:1400        p2032-ipad204sapodori.hokkaido.ocn.ne.jp:4675  TIME_WAIT
TCP    mustaloota:1403        softbank219178026006.bbtec.net:32187  TIME_WAIT
TCP    mustaloota:1405        c220-239-129-75.dandn1.vic.optusnet.com.au:32459  ESTABLISHED
TCP    mustaloota:1407        p5793e9.tokyte00.ap.so-net.ne.jp:14800  TIME_WAIT
TCP    mustaloota:1408        softbank219205076004.bbtec.net:7001  TIME_WAIT
TCP    mustaloota:1413        125-14-40-206.rev.home.ne.jp:8100  TIME_WAIT
TCP    mustaloota:1418        125-14-153-52.rev.home.ne.jp:34567  FIN_WAIT_1
TCP    mustaloota:1423        72.14.205.109:995      LAST_ACK
TCP    mustaloota:1424        FLA1Aah021.okn.mesh.ad.jp:4675  SYN_SENT
TCP    mustaloota:4000        irc.playerofgames.com:6668  ESTABLISHED
TCP    mustaloota:4001        .:6667                 ESTABLISHED
TCP    mustaloota:4002        soll1-103.cust.blixtvik.net:6667  ESTABLISHED
TCP    mustaloota:4003        koopa.saunalahti.fi:6900  ESTABLISHED
TCP    mustaloota:7005        61-23-209-249.rev.home.ne.jp:3490  LAST_ACK
TCP    mustaloota:7005        62.29.30.125.dy.iij4u.or.jp:65058  ESTABLISHED
TCP    mustaloota:7005        p3225-ipad502osakakita.osaka.ocn.ne.jp:2930  ESTABLISHED
TCP    mustaloota:7005        ZQ185047.ppp.dion.ne.jp:1590  ESTABLISHED
TCP    mustaloota:32459       CPE001310f953fd-CM00407b861f01.cpe.net.cable.rogers.com:2126  ESTABLISHED
TCP    mustaloota:32459       abnw90.neoplus.adsl.tpnet.pl:3572  ESTABLISHED
TCP    mustaloota:32459       84-50-55-61-dsl.est.estpak.ee:1341  ESTABLISHED
TCP    mustaloota:32459       cpc2-nfds10-6-1-cust145.leic.cable.ntl.com:1240  ESTABLISHED

Itellä on noin paljon yhteyksiä enkä usko yhdenkään olevan 'hakkeri'(krakkeri)

Itelläni on palomuurina Symantec Client Firewall ja viruksen torjuntana Symantec Antivirus. Toki myös nattaava adsl-modeemi estää.

Deewiant [21.03.2006 15:02:58]

#

Niko kirjoitti:

Itellä on ollut windows kone useita kuukausiakin nettissä ilman mitään viruksentorjuntaa tai vastaavaa
...
Itelläni on palomuurina Symantec Client Firewall ja viruksen torjuntana Symantec Antivirus.

Mikä tilanne siis on? Vai onko niin, että ennen ei ollut viruksentorjuntaa/vastaavaa ja nyt on? Jolloin tuo netstat ei tietenkään kerro hirveästi hyödyllistä, koska sinulla _on_ palomuuri päällä...

Niko [21.03.2006 15:17:52]

#

Ennen ei ollut ja nyt on

NanoSoft [22.03.2006 15:18:32]

#

sanoin jo ja olen jo hankkinut kasperskyn, joka on estänyt jo monta kymmentä DoS hyökkäystä toisin kuin norton eli ei tarvitse ehdotella muita ohjelmia ja konekkin on jo alustettu (ainoa tapa siirtää dataa oli siirtää ne selaimen välityksellä nettiin tai pakata toiselle kovolle(siirrettävä), enkä usko tuon olleen mikään windowsin päivitys(siinä luki, että olisi), koska eivät ne tee tuolla tavalla, ainakaan pitäisi...

Freeze [22.03.2006 17:07:37]

#

Hmm.. Mulle tuli joku vastaava virus (ei avannut mitään ohjelmia enää) koneelle kun latasin päivityksen. Käynnistin koneen vikasietotilaan ja poistin sen päivityksen ja taas pelasi ;)


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta