Tietokoneosaajat, apuja!

kun tuon lokin tänne, niin poistan siitä nimeni. Onko muuta, mistä identiteettini näkyy?

kun tuon lokin tänne, niin poistan siitä nimeni. Onko muuta, mistä identiteettini näkyy?

nimi ja user name.

Tero

siellä näkyy



Disk 0 MBR [Win32:MBRoot] **ROOTKIT**



JA lisäksi joku muu. Kuinka todennäköisesti kone sekoaa?

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-03-15 23:16:16

-----------------------------

23:16:16.281 OS Version: Windows 5.1.2600 Service Pack 3

23:16:16.281 Number of processors: 1 586 0x1C00

23:16:16.281 ComputerName: xx UserName:

23:16:16.828 Initialize success

23:16:16.968 AVAST engine defs: 12031500

23:16:19.578 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\xxx

23:16:19.578 Disk 0 Vendor: SAMSUNG_SP0802N TK200-04 Size: 76351MB BusType: 3

23:16:19.578 Device owAZEVAoRGRCZ -> DriverStartIo RGRCZ@J@ f734c864

23:16:19.593 Disk 0 MBR read successfully

23:16:19.593 Disk 0 MBR scan

23:16:19.593 Disk 0 Win32:MBRoot-J [Trj]

23:16:19.593 Disk 0 Windows XP default MBR code found via API

23:16:19.593 Disk 0 MBR hidden

23:16:19.593 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 76338 MB offset 63

23:16:19.609 Disk 0 MBR [Win32:MBRoot] **ROOTKIT**

23:16:19.609 Disk 0 trace - called modules:

23:16:19.609 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll aswSP.SYS >>UNKNOWN [0x84b8f000] \Device\Harddisk0\DR0[0x84bad610]

23:16:19.687 3 CLASSPNP.SYS[f751cfd7] -> nt!IofCallDriver -> \Device\0000005b[0x84b64208]

23:16:19.718 5 ACPI.sys[f7393620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x84b6d940]

23:16:20.140 AVAST engine scan C:\WINDOWS

23:16:26.359 AVAST engine scan C:\WINDOWS\system32

23:18:34.531 AVAST engine scan C:\WINDOWS\system32\drivers

23:18:46.000 AVAST engine scan C:\Documents and Settings\xx

23:25:28.062 AVAST engine scan C:\Documents and Settings\All Users

23:29:56.437 Scan finished successfully

23:32:32.656 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\xx\Työpöytä\eee\MBR.dat"

23:32:32.671 The log file has been saved successfully to "C:\Documents and Settings\xx\Työpöytä\eee\aswMBR.txt"

että siellä majailee se troijalainen eli Win32:MBRoot (sinowal/mebroot)?.



Mä kokeilisin tuon ohjeen mukaan lähteekö se tuolla ohjelmalla millä skannasit, eli ajat sen uudelleen ja painat "Fix"



Toivottavasti se poistaa/korjaa ongelman



Tero

Mä jätän sen huomiseksi.



Mielelläni kuulisin Tero sun tai/ja täs'in kommenttin siitä, miltä toi loki teidän silmään näytti.



Huomasin tällaisen, kun kävin taas Nordean sivulla:



"Online Scanner auttaa pääsemään eroon tietokonettasi riivaavista viruksista ja haittaohjelmista.



Online Scanneria varten tarvitsee asentaa vain selaimen lisäosa, ja työkalu toimii, vaikka tietokoneessasi olisi asennettuna joku muu tietoturvaohjelmisto.



Ennen kuin aloitat tietokoneen tarkistamisen, asenna selaimeesi F-Secure Online Scanner -lisäosa."



Eli tärkein tossa on se, että siellähän luki, että työkalu toimii vaikka oisi joku muu ohjelma koneessa.



TArkoittaako tuo, että Avast saa pörrätä siellä taustalla, vaikka tekisi tuonkin skannauksen? Mä aattelin, että oisiko sittenkin turvallisempi, jos vielä tolla skannaisi?



Joka tapauksessa kaikki on varmaan jo nukkumassa. EI muuta kuin öitä ap, täs, Tero, ja kaikki muut. Jatkan ihmettelyä huomenna!

minkä F-securen ohjelmascannerikin, ehkä jopa löytääkin tuon, mutta se ei yritäkään poistaa mitään.



Sun tapauksessa Avastin sulkemisesta ei ole mitään haittaa, se virus/troijalainen on siellä jo :D



Muutama muukin vaihtoehto tuon poistamiseen on, se KAsperskyn TDSSKiller ehkä parhaimpana.



Tero

että siellä majailee se troijalainen eli Win32:MBRoot (sinowal/mebroot)?.

Mä kokeilisin tuon ohjeen mukaan lähteekö se tuolla ohjelmalla millä skannasit, eli ajat sen uudelleen ja painat "Fix"

Toivottavasti se poistaa/korjaa ongelman

Tero

Huomasin vasta nyt sun viestin! Mutta osaatko vielä sanoa, miten suuri on riski, että kone sekoaa? Jos se on pieni riski, niin sitten uskalla painaa. Jos se on iso riski, niin mikrotukihenkilö lupasi, että asentaa korvausta vastaan tän mun kotikoneen uusiksi. Meneehän siinä aikaa mutta tosiaan...

on se, ettei se poistakaan sitä ts. sinne koneelle jää edelleen jotain.



Eli tuo mun aiemmin varoittelema kiintolevyn sekoaminen oli lähinnä sen vuoksi, että tajuat riskit, jos koneella on jotain korvaamatonta, niin ne kannattaa ottaa nyt talteen.



Ennen kuin asentaa koneen uudelleen, niin kannattaa kokeilla, ei siinä mikään hajoa.



Kyllä se Avastin foorumin mukaan on toiminut ihan hyvin.



Tero

kiitos kun jaksat auttaa!



SAin vinkkisi nyt aamulla, kokeilen ohjelmaa kn pääsen töistä.



Tää on ihan perseestä kun kyselen, ja vähän nolottaa käyttää avuliaisuuttasi näin paljon hyväksi mutta vielä olisin kysnyt sellaista:



Kun nyt itse lähettelen ihmisille tiedostoja ja sähköposteja, onko riski, että lähetän virusta eteenpäin?





Voinko käyttää g-mailia edes työpaikan koneelta?



Silloin kai luulisi, että virus ei voi ainakaan lähteä viestien mukana mihinkään, kun kone on eri ja siinä hyvät skannaukset. Vai miten mahtaa olla?



En mielelläni tätä paskaa muiden niskaan kaataisi.



Vaikket ehtisi vastaamaan, niin ilman muuta tuun kertoo kuin kävi (ihan jo siks, että oon ite parhaiten oppinu juttuja, kun oon lukenu tällasia viestiketjuja, mitä ihmiset on käyny tieskariongelmistaan).

Soitin Nordean neuvontaan. Siellä asiakaspalvelija meni mun tunnuksilla sinne mun tilille katsomaan, onko jotain ylimääräisiä ottoja tehty ja löytyykö automaatisista velotuksista kummallisia uusia kohteita.



Asuntolaina siellä vaan näkyi, joten vaikka sinowal on paha örkki, niin ei se näin yksittäisten tunnuslukujen aikana helposti pääse tilille, kuten tällä asiantuntija jo omassa viestissään sanoikin.



Sovittiin nyt kuitenkin, että saan uudet tunnusluvut. Sitä pitkää asiakastunnusta ei tarvitse onneksi vaihtaa, mikä on hyvä, koska sitä on perseestä opetella uudelleen ulkoa. Miinuspuoli tässä on, että menee 4 pankkipäivää + viikonloppu tossa välissä, että saan ne.



Jos joku tietäisi, voinko lähettää viestejä g-mailista ilman pelkoa, että lähettelen virusta eteenpäin, niin olisi mahtavaa.

Ennen kuin asentaa koneen uudelleen, niin kannattaa kokeilla, ei siinä mikään hajoa.

Kyllä se Avastin foorumin mukaan on toiminut ihan hyvin.

Tero

Mun täytyy ottaa vielä kaikki tiedostot talteen ja koitan illalla fixiä. Mutta kun otit puheeksi myös Kasperskyn, niin kummalla lopultakin vetäisit, Kasperskyllä vai tällä?

Mä vielä laitan yhden jutun joutessani tähän:

Kuten sanoin, Avast-virustentorjuntaohjelma antoi kerran valehälytyksen. Silloin uskoin sen täpöillä. Ensin pyysin Avastia poistamaan viruksen. Joka kerta kun se yritti tehdä sitä, kone kaatui. Ei ihme, koska se yritti poistaa jotain koneeseen oikeasti kuuluvaa osaa! Tätä en silloin tiennyt, joten ajattelin, että voi vattu, nyt on paha örkki mutta örkki lähtee vaikka väkisin.

Etsin muutaman suositellun poisto-ohjelman netistä ja kävin koneen läpi. Silloin en tiennyt, että Avast pitää ottaa pois päältä, kun niitä käyttää, opin tän tiedon vasta täältä. Voi olla, ettei sillä ollut väliä edes. Voi olla, että suurin ongelma oli, että hälytys oli väärä.

Änyväy, örkkihälytys vaan jatkui. Lopulta löysin netistä keskusteluja, missä ihmeteltiin hälytystä ja se todettiin vääräksi. MUTTA, kun olin ehtinyt häslätä niiden netistä ladattavien ohjelmien ja Avastin kanssa, niin lopputulema: nykyään, kun avaan konetta, se välillä jämähtää. Toisin sanoen kone aukeaa, mutta kursori halvaantuu keskelle ruutua eikä liiku vaikka kuinka heiluttelee hiirtä.

Ratkaisu: kone pitää väkivaltaisesti sammuttaa vetämällä pistoke seinästä. Se jotenkin tyhjentää välimuistin tai jotain ja se, mikä jumituksen aiheuttaa, poistuu ja kun koneen käynnistää uudelleen, kursori liikkuu taas normaalisti.

Jotenkin kursori-ongelma liittyy nettiin: kun muistaa ennen koneen sammuttamista tyhjentää shift-alt-del-yhdistelmällä netin historiatiedot ym. (ennen kuin netin sulkee), niin koneen saa tod.näköisemmin ilman kursorin jumitusta auki, kun seuraavan kerran avaa koneen. Näin ei kuitenkaan ole aina!

Mutta jokin mun netin käyttöä hankaloittaa. Esimerkki: kannettavalla pystyn reaaliaikaisesti kirjoittamaan av-palstalleö kommentteja, MUTTA pöytäkoneella kun kirjoitan, niin kirjaimet plompsahtelevat kommenttilooraan tooooosi hitaasti. Käytännössä pöytäkoneella ei siis voi kirjoittaa kuin tosi lyhyitä viestejä, koska kirjaimet tulevat näkyviin sekuntien viiveellä! En tajua.

Myöhemmin luin netistä, että netistä ladattavia virusohjelmia ei pitäisi holtittomasti käyttää. Joskus ne tekevät enemmän vahinkoa kuin hyötyä. Mun tapauksessa niin taisi käydä?

Kaiken ylläsanotun valossa ei ehkä ihme, että pelkään painaa MBR:n fix-namiskaa. Lisäksi funtsaan sitä, että jos kone on jo lähtökohtaisesti joltain osin rikki, niin olisiko niin, että vaikka kunnossa oleva kone ei sekoaisi fix-namiskan painamisesta, niin mun tilanne on riskaabelimpi?

Tietokone-ongelmat on juuri tämän takia niin toivottomia: kaikki vaikuttaa kaikkeen eikä mitään yleispätevää ratkaisua ole.

Kuten jo sanoinkin, kannettavan kanssa ei ole ikinä ollut mitään ongelmia. Siinä on Avast ja nyt huomasin, että myös Spybot. Molemmissa Windows XP käyttiksenä. Molemmissa liki sama määrä ohjelmia, pöytäkoneessa enemmän tiedostoja tallennettuna.

otuksia, niistä on erittäin vaikeaa päästä täydellisesti eroon.



Paras, tehokkain ja varmin ratkaisu olisi, jos pystyisit poistamaan ja asentamaan Windowsin ja ohjelmat täydellisesti uudelleen, mieluiten vielä siten, että partitioit ja formatoit kiintolevyn uudelleen, jolloin sen MBR eli "sisällysluettelokin" kirjoitetaan uudelleen.



Nyt ihan ensimmäiseksi suosittelen lataamaan ja suorittamaan tämän ohjelman:



Kasperskyn Anti-rootkit utility TDSSKiller:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip



Ohjeita:

http://support.kaspersky.com/faq/?qid=208283363



Tero

Kiitos ohjeesta, tuota vähän pelkäsinkin.



Osaaatko sinä tai joku sanoa, voinko käyttää g-mailia ennen kuin kone on kokonaan putsattu?



Levitänkö virusta eteenpäin jos lähetän posti ihmisille? On vähän paha paikka, kun pitäisi vastata posteihin

Meitsi, avastin ongelmakäyttäjä täällä taas troijalaisongelmineen



surffailin netistä ja löysin kiinnostavan keskustelun täältä

http://forum.avast.com/index.php?topic=79736.30



Avast ilmoitti tyypille samaa troijalaista kuin minulle. Lisäksi sama MBR-ohjelma, jota itsekin käytin, ilmoitti hänelle samalla tavalla

20:16:57.640 Disk 0 MBR [Win32:MBRoot] **ROOTKIT**

Kun ongelmaa skannailtiin muilla ohjelmilla, niin ne eivät tehneet hälytystä! Näinhän kävi mullekin: F-secure ei löytänyt mitään.



Eli nyt tuntuu siltä, että MBR:n hälytykseen ei ainakaan kannata sokeasti luottaa. Ongelma voi olla, että koska se on Avast-yhteensopiva, se on myös yhtä sokea jonkun tietyn jutun suhteen?

sä nyt näköjään haluaisit uskoa, että sulla on väärä hälytys :)



Jos haluat varmistuksen, niin hae ja tee scannaus vielä tällä:



http://support.kaspersky.com/faq/?qid=208283363



ja sieltä imuroit koneellesi ja purat tämän:



http://support.kaspersky.com/downloads/utils/tdsskiller.zip



Kirjoitan kohta lisää, nyt on vähän kiire...



Tero

Kun pääsen kotiin, skannaan koneen vielä Nordean sivuilta löytyvällä F-secure ohjelmalla. Jos se ei löydä Sinowalia, niin päädyn siihen, että sitä ei ole. F-securen ohjelma ei voi olla niin huono, etteikö löytäisi, semminkin kun Nordealle on elintärkeä nimenomaan tuo pankkiyhteyksiä kyttäävä Sinowal.



Jos siis hälytystä ei tule, mulla ei ole muuta vaihtoehtoa kuin heivata Avast mun koneelta ja etsiä parempi ilmainen virusohjelma.



Onko kellään suosittaa helppokäyttöistä ohjelmaa?



Eli sellainen ohjelma, jonka kanssa ei ole pelkoa siitä, että pitää itse älytä rekisteröityä uudelleen käyttäjäksi tietyin väliajoin tms.

Mitä automaattisemmin kaikki pelittää, sen parempi

Kiitos ohjeesta, tuota vähän pelkäsinkin.

Osaaatko sinä tai joku sanoa, voinko käyttää g-mailia ennen kuin kone on kokonaan putsattu?

Levitänkö virusta eteenpäin jos lähetän posti ihmisille? On vähän paha paikka, kun pitäisi vastata posteihin

sen paremmin tunne tai sitä miten se tartuttaa itseään eteenpäin, mutta yleispätevä neuvohan ihan itse päätellen on, että postia ei pitäisi lähetttää eteenpäin, jos epäilee oman koneen olevan saastunut, varsinkaan postia jossa on liitteitä.

Voit kokeilla myös tätä F-Securen työkalua rootkitin/troijalaisen poistoon:

F-Secure Blacklight:

http://www.f-secure.com/en/web/labs_global/removal/blacklight

Imuroi ohjelma tästä linkistä ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe koneelle ja suorita se. Helppokäyttöinen.

Tero

Mä en tietääkseni saanut virusta e-mailista vaan netistä.



Mietin, että jos virus menee sinne tieskarin jonnekin juureen, niin tuskin se sellainen on, joka levittää itseään siten, että mun kaikki g-mailin viestit saastuu ja kaikista niistä se menee eteenpäin.



Jos näin on, niin sitten on kyllä kusinen paikka, käytännössähän mun pitäisi deletoida koko g-mail-tili tuhansine säilytettyine posteineen ja aloittaa tyhjästä.



Aika julma tilanne, en pysty edes ajattelemaan tätä vaihtoehtoa! Mutta luulisin, että olisin jo löytänyt netistä jonkun kauhukertomuksen, jossa joku tilittäisi, miten on joutunut tekemään näin, jos tällaisiin toimenpiteisiin joutuisi. Mä kysyn asiaa vielä työpaikan mikrohenkilöltä, jospa se tietäisi. Yleensä se vaan mutisee epämääräisesti ja kiemurtelee vastauksista pois puhumalla aiheen vierestä. : D

Mä en tietääkseni saanut virusta e-mailista vaan netistä.

Mietin, että jos virus menee sinne tieskarin jonnekin juureen, niin tuskin se sellainen on, joka levittää itseään siten, että mun kaikki g-mailin viestit saastuu ja kaikista niistä se menee eteenpäin.

Jos näin on, niin sitten on kyllä kusinen paikka, käytännössähän mun pitäisi deletoida koko g-mail-tili tuhansine säilytettyine posteineen ja aloittaa tyhjästä.

Aika julma tilanne, en pysty edes ajattelemaan tätä vaihtoehtoa! Mutta luulisin, että olisin jo löytänyt netistä jonkun kauhukertomuksen, jossa joku tilittäisi, miten on joutunut tekemään näin, jos tällaisiin toimenpiteisiin joutuisi. Mä kysyn asiaa vielä työpaikan mikrohenkilöltä, jospa se tietäisi. Yleensä se vaan mutisee epämääräisesti ja kiemurtelee vastauksista pois puhumalla aiheen vierestä. : D

ole ja pysy siellä Googlen verkkolevyillä kuten kaikilla muillakin ja Google huolehtii niiden puhtaudesta, mutta sellainen saattaa olla mahdollista, että kun lähetät omalta koneeltasi liitteenä jonkun tiedoston, niin se saattaa olla saastunut.

Kumma juttu, jos ei Avast huomannut tuota ja estänyt sitä.

Teidän mikrotukihenkilöllä saattaisi olla muutenkin vähän harkinnan arvoinen paikka hankkia uusia ohjelmia työntekijöille :)

Tero

Tero