Käytän aina lomilla konetta, jonka omistaja lataa sille turhan usein troijalaisia. Poistelin sieltä sellaisia kuin Video Add-On Software ja Information Center -kansioita... Kaikki tietää, mistä niitä tulee. Asensin kyseiselle koneelle Mozilla Firefoxin. Ennen kuin olin saanut sitä asennettua kokonaan, selain alkoi käyttäytyä "omituisesti" (tai minulle ei ollut koskaan aikaisemmin käynyt niin). Sitten tuli ilmoitus, että joku saattaa yrittää kaapata selaimen ja että haluanko sulkea sen. Mikä selainkaappauksen tarkoitus on? Käytössä on Nortonin virustorjunta. Voiko siihen luottaa 100 %:sti, mikäli ajaa ohjelman läpi pitkänä versiona säännöllisesti. Tyhmä kysymys vielä... Olen miettinyt myös sitä, että ihmiset lähettävät tänne lokeja kysyäkseen neuvoa. Ovatko nämä sellaisia koneita, joissa ei ole kaupallista virustorjuntaa. Kysymys liittyy siis edelliseen kysymykseen, että voiko Nortoniin ja kumppaneihin luottaa, jos onnistuu saamaan koneelleen ei-toivottua tavaraa. Vai pitääkö niissäkin itse tarkistaa lokit, vaikka Norton olisi ilmoittanut, että kone on taas puhdas.
Norton on hyvä ohjelma troijalaisten, virusten ja matojen ehkäisyyn. Sitten kun kone on jo saastunut Nortonilla ei enää siinä vaiheessa tee paljon mitään. Eli se ei osaa juuri ollenkaan poistaa haittaohjelmatartuntoja osaa vaan ehkäistä ja suojella tartunnoilta.
Oolrait. Nyt ymmärrän nämä lokit täällä. Kaupallinenkaan virustorjunta ei siis toimi sillä tavalla, että ohjelma ilmoittaa havainneensa viruksen, poistaa sen ja voilà, saken är klar. Olen oman koneeni (ei verkossa) tutkinut näillä ilmaisohjelmilla, joita on helppo kuljettaa kotiin USB:lla. Mitään epäillyttävää ei ole koskaan löytynyt. Veljeni konetta olen kyllä käyttänyt silloin tällöin. En sitten tiedä, millainen riski sieltä on saada pöpöjä omaan koneeseen, koska siellä niitä troijalaisia on ollut useampia ja on varmaan taas tullut lisää. Täytyypä ottaa asiaa tutkintaan (ja poika puhutteluun).
Tutkin n. vuosi sitten Afterdawn sivustolle lähetetyistä HijackThis- logeista niissä käytössä olleet virustorjuntaohjelmat. Seonneissa Windows PC:ssä niitä esiintyi seuraavasti: F-Secure____42.2% Norton _____15.9% AntiVir ______12.7% AVG Free____10.5% Avast ________9.5% Norman _______9.2% Ainakin jonkinlaista osviittaa eri virustorjuntaohjelmien levinneisyydestä siitä voidaan tehdä, mutta tuskin laadusta. Myös suhteet ovat voineet vaihtua vuoden kuluessa.
Mysterix Jos noin 120tuhatta virusta roijalaista jokin virustorjunta osaisi hoitaa niin se olisi niin raskas ohjelma että f-securekaan ei raskaudessaan voittaisi sitä. eikä yksikään kone toimisi sillä virustorjunalla joka noi hoitaisi.
Tarkennan hiukan vielä kysymystäni. Jos olen katsonut Nortonin ohjelman lokista (vai miksi sitä sanotaan) pääsiäislomalla, että sinne on tullut ilmoitus troijalaisesta esimerkiksi 5. helmikuuta, 8. helmikuuta ja 12. maaliskuuta, niin tarkoittaako se sitä, että Norton on poistanut nämä ennen kuin ne ovat aktivoituneet. Vai ovatko ne edelleen jossain koneella vaikuttamassa ja pitäisi käsin poistaa? Niitä Video Add-On -jämiä sieltä kyllä poistelin. Itse en siis käytä tätä troijalaisten suosikkikonetta kuin joskus. Joten en yhtään tiedä, mitä kaikkea sille tapahtuu väliajoilla. Tunnustan etten ole perehtynyt virusohjelmien toimintaan, koska täällä työkoneella kaikki toimii automaattisesti, eikä minun tarvitse itse tehdä mitään.
Lataa SmitfraudFix (c) S!Ri Pura sisältö (kansio nimeltä SmitfraudFix) työpöydällesi: Avaa SmitfraudFix kansio ja tupla-klikkaa smitfraudfix.cmd Valitse optio #1 - Search kirjoittamalla 1 ja painamalla "Enter"; tekstitiedosto avautuu, joka listaa tarttuneet tiedostot (jos olemassa). Postita ponnahtava rapport – muistion sisältö viestiketjuusi. Löytyy myös C:\rapport.txt Huomaa : process.exe filun tunnistaa jotkut Anti-virus ohjelmat (AntiVir, Dr.Web, Kaspersky) "Haittakaluna"; se ei ole virus, vaan ohjelma joka pysäyttää prosesseja. A/V ohjelmat eivät pysty tunnistamaan hyvän ja pahan käytön tälläisten ohjelmian väliltä, silloin ne saattavat varoittaa käyttäjää. ============ Lataa TÄSTÄ HJTInstall.exe * Tallenna HJTInstall.exe työpöydällesi. * Tuplaklikkaa HJTInstall.exe-kuvaketta työpöydälläsi. * Oletuksena se asentaa itsensä hakemistoon C:\Program Files\Trend Micro\HijackThis. * Klikkaa Install. * Asennusohjelma luo HijackThis-kuvakkeen työpöydälle. * Kun asennus on valmis, se käynnistää HijackThisin. * Klikkaa Do a system scan and save a logfile-painiketta. Ohjelma aloittaa skannauksen ja lokin pitäisi avautua Muistioon. * Klikkaa ensin "Muokkaa > Valitse kaikki" sitten "Muokkaa > Kopioi" kopioidaksesi koko lokin sisällön. * Liitä lokin sisältö seuraavaan vastaukseesi. * ÄLÄ käytä Analyse This-nappulaa, sen löydöt ovat vaarallisia väärinymmärrettyinä. * ÄLÄ fixaa HijackThis-ohjelmalla vielä mitään. Suurin osa sen löydöistä ovat joko harmittomia tai jopa tarpeellisia.
Joo. Ajattelin tonkia tuo troijalaiskoneen läpikotaisin, kunhan ensin pääsen koneen vierelle. Minun pitäisi tehdä itsestäni järjestelmänvalvoja ja tehdä pikkuveljelle tili, jossa se ei pääse lataamaan niitä "katsomiseen vaadittavia lisäohjelmia" koneelleen. Oletan siis, että niitä troijalaisia tulee näin. Olen omassa koneessa harjoitellut sekä SmitFraudFixin että HiJackThisin käyttöä. Tällä tietotaidolla en sieltä paljon mitään löytänyt. Osan "epäilyttävistä" fileistä uskalsin korjata, koska tulkintani mukaan siitä ei ollut vahinkoa. Kone on toiminut ihan moitteettomasti fiksasusten jälkeen. Tuli tällainen mieleen... Olisiko sellaisesta mitään hyötyä, että ottaa lokit talteen silloin, kun kaikki on ok. Sitten jos tulee jotain, vertaa niitä "puhtaita" lokeja "likaisiin" lokeihin.
Saako kysyä lisää kysymyksiä, jotka voivat olla tyhmääkin tyhmempiä. Olen tutkinut oman koneeni tiedostoja aina piilotiedostoista lähtien. En osaa tulkita niistä varmaan puoliakaan tai ymmärrä, mitä ne ovat. Googletuskaan ei aina tuota toivottua tulosta. Jos tiedoston ominaisuuksista löytyy tekijätiedoista esimerkiksi Microsoft, voiko siihen luottaa. Vai voiko haittaohjelmatiedostokin olla ikään kuin naamioitu Microsoftin tekemäksi? Entä jos tiedostossa on päivämääränä esimerkiksi 2002, niin voinko luottaa siihen, että se "kuuluu" koneen alkuperäiseen sisältöön. Vai voiko haittaohjelman päiväys olla mitä sattuu? Entä jos purkaa joka ainoa sovelluksen, jonka esimerkiksi netistä lataa, ennen ohjelman suorittamista ja tutkii, mitä tiedostoja sovelluksesta löytyy.
Tässä ainoastaan omat kokemukset. Vanhassa koneessa mulla oli avast ja zonealarm käytössä monta vuotta ja koskaan ei ollut mitään ongelmia viruksien, troijalaisten tai muitten paskojen kanssa. Nyt uuden koneen mukana tuli 3kk norton lisenssi josta mennyt 2kk ja kone aivan täynnä kaikenlaista kivaa. Vaihdan kohta taas takaisin avastiin ja zoneen.
Ihan hienoa yritteliäisyyttä, mutta kannattaisi kuitenkin tarkistaa ne logit vaikkapa tuolta ensin: http://www.hijackthis.de/ Juuri näin, HiJackThis tekee kansioonsa tekstitiedoston niin haluttaessa. Nimeä se vain uudestaan, ettei seuraavan skannauksen yhteydessä kirjoituteta yli. Hyvähän se on tuntea koneensa sisältö, mutta eikö siihen tuhraudu hirveästi aikaa? Haittaohjelmien etsintään on olemassa useita ohjelmia, eivätkä nekään suoriudu tehtävästä ihan hetkessä. 99% voi luottaa. Päivämäärät voi olla mitä tahansa, kuin Stockan lihatiskillä.;-) Usein sovellukset tulevat sellaisena pakettina, että sen sisältämät tiedostot paljastuvat vasta asennuksen jälkeen. Mukana tulleet haittaohjelmat eivät kuitenkaan välttämättä ole siinä kansiossa missä sovellus.
