Tietoturva ongelmia

Jälleen suuri tietokone-experttimme Jalppe kaipailisi kokeneemman avustusta. Olen ennenkin ongelmia tekniikka asioissa kääntynyt tänne dvdplazan foorumien puoleen ja aina saanut asiantuntevaa ja kärsivällistä apua, kiitos siitä. Ongelmanani tälläkin kertaa ovat tietoturvaan liittyvät kysymykset. Itseltäni löytyvät seuraavat virusten torjuntaan tarkoitetut ohjelmat:

AVG Anti-Spyware
Ad-Aware SE Personal
SpyBot-Search & Destroy
Windows Defender
CCleaner
SDFix (kerran käytetty, täältä sain kehotuksen kun aiemmin apua pyytelin)

Ja noita olen sitten melko tiheään käytellyt. Ovatko nuo Ok, tai olisiko niihin jotain lisättävää? Pääasiallisena virustorjuntana käytän F-securea.
Kuinkas sen laita? Olisiko saatavilla jokin tehokkaampi mielellään ilmainen ohjelma jolla tuon voisi korvata? Varsinaisia syitä siihen miksi olen taas näin huolestunut tietoturvasta on kaksi;

1. Jotkin pelit ovat sitten tietokoneen hankkimisesta hidastuneet niin paljon että niiden pelaaminen on muuttunut mahdottomaksi.
2. Löysin netistä jonkin ohjelman, jonka sanottiin tarkistavan palomuurin toiminnan. Ohjelman nimi oli yksinkertaisesti LEAK TEST. Ohjelman mukaan palomuuri ei toimi, ohjelma siis pystyi muodostamaan yhteyden jollekin testiserverilleen.

Voiko tuohon testiin luottaa niin paljon että lähtisin vaihtamaan palomuuria? Jos kyllä löytyisikö jostain parempi, mielellään ilmainen, vaihtoehto? Selaimena käytän Mozilla Firefoxia. Eheytän myös konettani säännöllisesti. Jos tarvetta on voin lisätä tänne koneeni tiedot. Kiitos jo pelkästään siitä että jaksoit lukea tähän asti!

Ps. Olisiko kannattavaa käyttää konetta ajoittain huollossa, jolloin ammattilainen voisi tarkistaa kaiken olevan ok, vai onnistuuko tällainen kotikonsteinkin?

 

Ei tartte kiikuttaa minnekään "ammattiauttajalle", koneen huoltamiseen pitäisi riittää säännöllinen skannaus, rekisterin putsaus ja levyn defraggaus. Hidastumisen syynä varmaan lienee ihan silkka turhien taustaprosessien ajo tai kiintolevyn käyttötuntien täyteentulo, joten kannattaisi kokeilla vaikka tuota: http://www.hddlife.com/eng/download-freeware.html

Itse en näe tarpeelliseksi asentaa ihan kaikenlaisia skannereita toimimaan päällekkäin... Spybot 1.5 riittää spywareille, vanha SE Personal ainakin osoittautui turhaksi sen rinnalla eikä totta puhuen Ad-Aware 2007:kaan ole ollut hyödyllinen. Windows Defenderiä en ole kokeillut, joten en voi sanoa sen hyödyllisyydestä mitään. CCleaner on hyväksi havaittu ja voisitkin itse asiassa sen työkalulla tarkistaa, onko aina ajettavien ohjelmien joukossa jotain turhakkeita.

Firefoxin kanssa tulee käytettyä AdBlock Plus ja NoScript-plugineja ja ilmainen Comodo kyllä pieksee F-Securen palomuuriräpellyksen. F-Securen antivirusskannerikaan ei taida mikään parhaasta päästä olla, esim. Kaspersky olisi parempi vaihtoehto (mutta maksullinen).

 

Kiitos! Asensin nuo käyttämäsi Pluginit. Palomuurinkin vaihtaisin, mutta törmäsin jälleen ymmärryksen puutteeseen ollessani aikeissa poistaa vanha palomuuri. Onko se tuo F-secure Back Web vai joku muu? Poistetaanko se vain kylmän viileästi tuolta ohjauspaneelin "lisää tai poista sovellus" kohdasta?, tai pitääkö tietokoneen tietoturvakeskuksesta löytyvä palomuuri poistaa käytöstä? F-securea en kuitenkaan vielä korvannut millään. Tuon HDDLifen mukaan kovalelylläni kaikki on kunnossa (Health Status 55% ja Performance 55%), joten pelien hidastuminen ei siis voi johtua siitä?

 

Nuo uudemmat F-Securet ovat melkoisia resurssisyöppöjä. Itselläni on ollut Client Security -tsydeemi kolmessa koneessa, jotka eivät kylläkään olleet ihan kuuminta hottia (kaksi 2,2 GHz Celeronia 512 MB Win2k ja kolmas 1,6 GHz Pentium-M 512 MB WinXP) ja erityisesti uusin 7-versio veti kaikki koneet ihan polvilleen. 6-versio oli vähän kevyempi, mutta sekin liian raskas. Päädyin loppujen lopuksi asentamaan kaikkiin koneisiin Avastin ilmaisen virusscannerin, XP-kone käyttää käyttiksen palomuuria ja kaksi muuta konetta käyttää ilmaista kevyttä palomuuria (olikohan Comodo tms.?).

Oma koneesi voi olla paljonkin tehokkaampi mutta kannattaisi ehkä kokeilla muita softia F-Securen tilalle.

 

Jos ohjelmaa oikein tulkitsin niin kaiken pitäisi siis olla kunnossa, mutta päätinpä lätkäistä tämän tänne vielä varmuuden vuoksi jos joku löytäisi siitä jotain hämärää.

Elikkäs tällaisen raportin tuo HDDLife lätkäisi:

HDDlife Project 3.0.0.146
(c) 2004-2007 by BinarySense Inc., http://www.hddlife.com, mailto:support@hddlife.com

28/10/2007 01:39:27.437
Try checking MSI devices... failed!

0: Device State: Online
0: Device number: 0
0: Model: ST380817AS
ST380817AS: DeviceInterfacePath: \\?\ide#diskst380817as______________________________3.42____#5&18305ced&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
ST380817AS: Serial: 5MR3D2JF
ST380817AS: Firmware: 3.42
ST380817AS: Manufacturer: SEAGATE
ST380817AS: Disk size: 80026361856 bytes
ST380817AS: Power status: Unknown
ST380817AS: Health status: Good
ST380817AS: Temperature: 31
ST380817AS: Max. Temperature: 44
ST380817AS: Bus type: SATA
ST380817AS:>ATA specific parameters:
ST380817AS: Performance status: Good
ST380817AS: AAM Is NOT supported
ST380817AS: APM Is NOT supported
ST380817AS: Power On Hours: 3142
ST380817AS: Health: 56
ST380817AS: Performance: 56
ST380817AS: Attributes count: 15
ST380817AS: Attributes:
ST380817AS: -------------------------------------------------
ST380817AS: ID Flags Thresh Value Worst Raw
ST380817AS: -------------------------------------------------
ST380817AS: 01 000f 06 3b 31 000000000c740872
ST380817AS: 03 0003 00 62 62 0000000000000000
ST380817AS: 04 0032 14 63 63 0000000000000643
ST380817AS: 05 0033 24 64 64 0000000000000000
ST380817AS: 07 000f 1e 52 3c 000000000ae8e494
ST380817AS: 09 0032 00 61 61 0000000000000c46
ST380817AS: 0a 0013 61 64 64 0000000000000000
ST380817AS: 0c 0032 14 63 63 0000000000000642
ST380817AS: c2 0022 00 1f 2c 0000000c0000001f
ST380817AS: c3 001a 00 3b 31 000000000c740872
ST380817AS: c5 0012 00 64 64 0000000000000000
ST380817AS: c6 0010 00 64 64 0000000000000000
ST380817AS: c7 003e 00 c8 c8 0000000000000000
ST380817AS: c8 0000 00 64 fd 0000000000000000
ST380817AS: ca 0032 00 64 fd 0000000000000000
ST380817AS: -------------------------------------------------

 

Olisiko niin, että palomuuri ei blokkaisi ulospäin menevää liikennettä ollenkaan?
Jolloin tuo herjaisi toimimattomuudesta, esimerkiksi Windowsin oma palomuuri ei blokkaa ulospäin suuntautuvaa liikennettä, mutta sisäänpäin tulevan kyllä, sekin on täysin riittävä ohjelma, jos ei ole tarvetta ulospäin suuntautuvaan liikenteeseen koskea.

Surffaa vaikka tänne: https://www.grc.com/x/ne.dll?bh0bkyd2
Paina proceed ja seuraavalta sivulta paina All Service Ports:ia, jos ruutuun alkaa tulemaan vihreitä ruutuja, niin palomuuri toimii.


Varmuuden vuoksi voit ajaa vielä Hijackthis ohjelman ja copy/pasteta sen kertoman login vielä tänne. niin katsellaan, että onko siellä koneella jotain epäilyttävää, se löytyy täältä:

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

 

Tuon palomuurin testaus jutun palkit olivat kaikki vihreitä.

Tällaisen raportin antoi HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:45, on 28.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\BinarySense\hldasvc.exe
C:\Program Files\Common Files\BinarySense\hldasvc.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\HP DVD\Umbrella\DVDTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\BinarySense\HDDlife 3\HDDlifePro.exe
C:\Program Files\BinarySense\HDDlife 3\HDDlifePro.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Jalppe\Omat tiedostot\Programs\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [High Definition Audio -ominaisuussivun pikakuvake] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDTray] "C:\Program Files\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [DVDBitSet] "C:\Program Files\HP DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife 3\HDDlifePro.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1174074903390
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Program Files\BinarySense\HDDlife 3\hlAPP.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: HDDlife HDD Access service - BinarySense, Inc. - C:\Program Files\Common Files\BinarySense\hldasvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 11014 bytes

 

Juu, eli se on kunnossa.

En ainakaan itse tuossa mitään epäilyttävää nähnyt tai sellaista mistä pitäisi huolestua.

 

Kiitos jälleen kerran opastuksesta! Tämä saattaa olla täysin turhaa mutta kysynpähän kuitenkin; tuon Comodon palomuurin käyttöönoton jälkeen on tullut ilmi että SvcHost niminen prosessi tai mikä ikinä lieneekään, yrittää muodostaa aina konetta käynnistettäessä yhteyden nettiin. Kellään tietoa mikä tuommoinen mahtaa olla?

 

Se on Windowsin normaali järjestelmäprosessi.Niitä voi olla vieläpä ajossa useita yhtäaikaa, tämä on normaalia Windowsin toimintaa.

 

Tuoltahan voipi katsella eri prosesseja ja niiden tärkeyttä

 

Ja tuolta voit katsoa ohjelmakohtaiset konffausvinkit Comodolle niin säästyt harmailta hiuksilta: http://www.portforward.com/english/softwarefw/ComodoFirewall/ComodoFirewallindex.htm

 

Hyvin todennäköisesti tässä tapauksessa näissä yhteydenotoissa on kyse Winukan automaattisista päivityksistä, johon tuotakin prosessia tarvitaan. Mutta tosiaankin sisääntulevan liikenteen hallinnoillilla ei vielä pitkälle pötkitä vaan käytännössä on tunnettava ne prosessit/ohjelmat, joiden tarvitsee oikeasti liikennöidä netissä. Muut yhteydenottoyritykset voi torjua kylmästi.

 

Katselin tuota Hjt-logia ja mielestäni siinä on kyllä epäilystä herättäviä kohtia. Koneen hidastuminen viittaa myös samaan, haittaohjelmia saattaa olla koneella.
Esim. sanot käyttäväsi Firefoxia, niin minäkin mutta ei omassa logissa näy mitään Google Toolbar merkintöjä vaikka käytän Google-Toolbaria. Tuollaiselta näyttäviä logeja siivotaan paljon fixausfoorumeilla.
Itse ajaisin uusimman version SmitfraudFixistä ja katsoisin mitä se löytää ja tuhoaa. Sinuna poistaisin vanhat versiot viruspoisto ohjelmista, ne päivittyvät lähes päivittäin ja vanhat versiot muuttuu tehottomiksi.

Koneessasi on paljon windowsin kanssa käynnistyviä prosesseja.
Käynnistä/Suorita/msconfig/käynnistys ja raksi pois turhista ruuduista.
Ohjelmathan voi aina käynnistää kuvakkeesta tarvittaessa.
Tuo F-securen BackWeb ei liity palomuuriin.

 

Ajoin tuon SmitFraudFixin ja siltä sain tällaisen raportin:

SmitFraudFix v2.246

Scan done at 21:50:04,12, pe 02.11.2007
Run from C:\Documents and Settings\Jalppe\Omat tiedostot\Programs\SmitfraudFix
OS: Microsoft Windows XP [versio 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\BinarySense\hldasvc.exe
C:\Program Files\Common Files\BinarySense\hldasvc.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\HP DVD\Umbrella\DVDTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\BinarySense\HDDlife 3\HDDlifePro.exe
C:\Program Files\BinarySense\HDDlife 3\HDDlifePro.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\DC++\DCPlusPlus.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jalppe


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jalppe\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Jalppe\Suosikit


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Nykyinen kotisivu"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\wmfhotfix.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Paketinajoituksen miniportti
DNS Server Search Order: 193.229.0.40
DNS Server Search Order: 193.229.0.42

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D50F5E6F-F83C-4BEF-A04C-635D6F6E12C6}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D50F5E6F-F83C-4BEF-A04C-635D6F6E12C6}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D50F5E6F-F83C-4BEF-A04C-635D6F6E12C6}: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=193.229.0.40 193.229.0.42


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

En tiedä onko tuon postaamisesta mitään hyötyä mutta laitoinpa kumminkin. Puhuit raksien poistamisesta turhista ruuduista? tarkoitiko siis selkeästi tunnistettavia ohjelmia vai pitäisikö nyt löytää jostain mikä noista saattaa olla uhka? Kiitos kaikille vastanneille, jokaisesta on ollut apua!

 

En tarkoittanut, että windowsin kanssa käynnistyvät ohjelmat ovat mitään uhkia ne vain turhaan hidastavat konetta. https://www.dvdplaza.fi/forums/showthread.php?t=64556, tuossa on käsitelty tänään samaa asiaa.

Koska tuo Smitfraudfix ei löytänyt mitään, ei kannata ajaa sen poisto-optiota.

Scannaa hjt:llä ja merkitse rasti ruutuun:O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Paina "Fix Checked"

Logissa näkyvät ohjelmien kuten, jushed.exe, kaksi dvd-ohjemaa, adobe reader winzip, Quicktime ja gammaloader sekä microsoft office ink ei ole tarpeen käynnistyä joka kerta Windowsin käynnistyesssä. Itse ainakin poistaisin Yahoo toolbarin kokonaan, onko sillä jotain käyttöä?
Rekisterin siivousta suosittelen myös. Regseeker on hyvä ohjelma siihen.

 

Tein niin kuin ohjeistit koskien tuota O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) juttua. Poistelin myös kehottamiasi rasteja msconfig:in avulla. Tehtyäni nämä, käynnistin tietokoneen uudestaan, mutta sain normaalista poikkeavan ilmoituksen ennen kuin windows oli edes ehtinyt käynnistyä. Tarkalleen en muista mitä siinä sanottiin, mutta jotain AMI ja kaiketi system over temperature, vaikkei ylilämpöa olekaan... Mikä kummajainen tämä lienee? Painoin f1:stä kuten näytössä kehotettiin ja pääsin kirjautumaan sisään. Heti kirjauduttuani aukesi työpöydälle ikkuna, jossa kehotettiin vaihtamaan tuolta msconfig:sta yleistä kohta valikoivasta käynnistyksestä normaaliksi. Pahoittelen jos joudut nyt vääntämään rautalangasta, mutta kuten sanoin olen melkoisen peukalo keskellä kämmentä näiden koneiden kanssa, kiitos vaivannäöstäsi!

 

Windowsin käynnistystä on muutettu ruutu ilmestyy aina tämän toiminnon jälkeen, raksi ruutuun älä näytä tätä uudelleen ja ok. Mutta tuo toinen ilmoitus ei ole normaali. Noista poistetuista voisi ehkä java vaikuttaa asiaan, kokeile samalla tavalla palauttaa jusched.exe.
Minkä ikäinen kone on kyseessä, oireet voi viitata myös rautapuolen vikaan.
Parin sammutuksen ja käynnistyksen jälkeen kone yleensä toimii normaalisti.

Jos pikkuhäiriöt jatkuu, paikallinen ammattiapu saattaa.olla vaihtoehto.

 

Teinkin niin että palautin tuolta msconfigin kautta kaikki autostartit ja poistin juschedia lukuunottamatta autostartit tuolla AVG Anti-Spywaren Auto-start työkalulla. Nyt kaikki näyttäisi toimivan normaalisti. Kiitos!

 

Hyvä noin. Ulkopuolisten valmistajien softien toimivuus on toisinaan parempi kuin Microsoftin omilla, oma kokemus tällä viikolla eräästä defragmentointiohjelmasta.
Oma apu paras apu.