Tervehdys, olen viimeaikoina huomannut koneeni hidastuvan ja muistin käytön lisääntyvän prosessihallinnassa silmin nähtävästi. Asensin aluksi koneelle AVG Anti-Virus Free:n ja scannailin koneen läpi, kaikkee pientä löytyi ja poistin ne, seuraavaksi ajoin muutaman nettiscannin jota löysin http://keskustelu.afterdawn.com/thread_view.cfm/162275 postista, osa löysi jotain, osa vain cookieita. En typeränä kirjoittanut ylös että mitä kaikkea löytyi ja osa softista ei edes ilmoittanut tarkasti mitä kyseiset tiedostot olivat. sit asensin vielä ZoneAlarmin palomuurin ja ajoin muutaman freescannin, nyt muistinkäyttö vasta omasta mielestäni mielenkiintoista onkin: Käyttöjärjestelmä on Windows XP home edition. Vedoksen nimi - Käyttäjä nimi - Muistin käyttö System - SYSTEM - 78 800kt explorer.exe - (käyttäjänimi)- 30 500kt svchost.exe - SYSTEM - 29 256kt vsmon.exe - SYSTEM - 19 800kt noita on välillä enemmän, välillä 10softaa jotka vievät tuon 30 000+ muistia. Toinen mikä herätti mielenkiintoni oli ZoneAlarmin ilmoitukset "rundll32.exe yrittää päästä internettiin" "taskmgr.exe yrittää päästä nettiin" kuuluuko näiden yrittää päästä nettiin tai onko mahdollista että koneellani on edelleen viiruksia mitä aiemmin ajamat torjuntaohjelmat eivät ole löytäneet? Tässä HiJackThis v2.0.2 logi Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:55:25, on 14.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wuauclt.exe c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plaza.fi R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [xml10] RUNDLL32.EXE C:\WINDOWS\system32\xml_inc.dll,i O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6860 bytes Kiitoksia postin lukemisesta ja toivottavasti joku jaksaa jotai vastailla jos tarvitsee tai ei tarvitse olla huolissaan
Okei... Nyt alkaa kuulostamaan jo vähän pelottavalta kun erinäiset exet yrittää päästä nettiin jotka eivät muuten normaalisti niin tee. Kyseessä taitaa olla Virut, file infector -virus joka saastuttaa tiettyjä tiedostotyyppejä, uusin variantti näinkin paljon: .htm .html .php .asp .exe .rar .scr .jpg .pdf .doc Sen lisäksi Virut luo myös backdoorin, joten ilmeisesti tämä on syy miksi nuo exet yrittää nettiin päästä. Backdoorin takia koneesi on täysin avoin ihan mille tahansa, etenkin kun mitä todennäköisimmin iso osa ohjelmista on jo saastuneita joille on jo aiemmin annettu lupa päästä nettiin. Virutia ei voi poistaa, kyseessä on buginen virus joka korruptoi saastuttamansa tiedostot poistoa yritettäessä ja silloin tällöin myös tiedostojen saastuessa. Jos siis kyseessä on Virut, niin älä vaan ota varmuuskopioita enää tuossa vaiheessa. Älä tee korjausasennusta vaan formatoi kiintolevyt ja asenna kaikki uusiksi, muuta ei valitettavasti voi tehdä :/ Odota kuitenkin Kalmisen vastausta, hyvällä tuurilla syy voi johtua jostain muustakin, mutta varaudu pahinpaan.
Juu olin varautunut tähän, toinen kysymys olisi onko mahdollista saada netistä ladattua windows home editionia levylle, serial löytyy mutta asennus CD:tä ei näytä löytyvän, pahoittelen vähän offtopicmaisesta kysymyksesestä mutta edelliseen postiini sain vain vastauksen "lainaa cd, pro ei kelpaa" kiitos paljon avustasi, olen tässä ollut kahden vaiheilla että jatkanko välittämättä tuosta hitaudesta jne vai formatoinko, vahvasti painottuu viimeiseen vaihtoehtoon onkohan kone lähetelly salasanojani eteenpäin että kannattaako esim foorumien tunnukset tms vaihdella tämän jälkeen vai onko kyse vaan tietokonetta hidastavasta softasta?
Kyllä ainakin itse vaihtaisin kaikki salasanat enkä pttaisi mitään riskiä. XP:n asennusmedian voi ladata netistä kunhan vaan se lisenssi löytyy, siinä ei ole mitään laitonta, kannattaa Googlella hakea sopivilla hakusanoilla. Valitettavasti en voi foorumin sääntöjen puitteissa antaa mitään suoria linkkejä, mutta lisää sinne hakusanojen perään sana torrent ja muista lukea kaikki mahdolliset kommentit jotka jostain löytämästäsi julkaisusta on annettu, näin varmistat että se on varmasti toimiva eikä sisällä viruksia jo valmiiksi. Joudut sitten tietysti jollain toisella toimivalla ja puhtaalla konella lataamaan ja polttamaan sen levyn. Muista myös etsiä tarkasti oikea versio, eli 32 bittinen Home Edition ja tarkasta myös lisenssistäsi onko kyseessä OEM vai tavallinen retail jonka saa asentaa mihin koneeseen tahansa. Mitään riisuttuja Tiny XP:tä ei kannata ottaa, ne on runsaalla kädellä riisuttuja versioita joissa ei välttämättä toimi mikään. Kannattaa etsiä myös sellainen versio missä on ainakin SP2 valmiiksi. Tämän enempää en voi neuvoa. Ja tietysti kaikkein helpoin ja nopein tapa olisi tosiaan ihan lainata kaverilta aito asennuslevy mikäli sellainen joltain löytyy.
Kiitoksia paljon avusta, tässä just etsinyt luotettavaa lähdettä saada tuota, linkkejä kun ei voi pastea joten en voi kysyy mielipidettä tuon filun toimivuudesta joten pitänee viel kysellä muutamalta kaverilta CD:tä jos ei löydy ni pitänee ladata tuo ja toivoa
