Miten selvittää onko tietokoneella ns. "Rootkit" vakoiluohjelmaa?
On olemassa riski että tietokoneellani sellainen on.
Olen ajanut HiJackThis ohjelmalla koneen läpi mutta en osaa itse tulkita noista mitään, eikä suomi24 anna postata niin pitkää tekstiä.
Kiitos
Onko koneellani vakoiluohjelma?
36
1625
Vastaukset
Jos on riski, niin sitten asennetaan käyttöjärjestelmä uusiksi alustettuun kiintolevyyn ja ollaan jatkossa varovaisempia.
- Pelottaa....
Kiitos nopeasta vastauksesta.
Ikävä kyllä luulen että eräs tuttuni olisi asentanut koneelleni vakoiluohjelman.
Onko koneeltani jotenkin mahdollista käräyttää hänet?
Jos nollaan kaiken ja asennan windowsin uudestaan kaikki "todistusaineisto" häviää.. Jos ylipäätään mahdollista nähdä mihin tietoa koneeltani lähtee.
t. AloittajaSen mahdollisen rootkitin löytyminen riippuu sekä rootkitin ohjelmoijan ja sen asentajan taitotasosta sekä sen etsintäsovelluksen ynnä etsijän osaamisesta ja sinnikkyydestä.
Jos löytyy normaaleilla menetelmillä kohtuullisessa ajassa, niin sitten urakka saattaa todisteiden keräämisen osalta "kannattaakin", mutta eihän yhden rootkitin löytyminen poista koko järjestelmän uudelleenasentamisen tarvetta. Mitä jos se yksi olikin tarkoituksella helppo ja vain hämäys?- kokemusta on
http://www.virustorjunta.net/modules.php?name=Forums
Laita se lokisi tuonne, siellä on osaavat fixaajat, jotka neuvovat. - kannaa Äf Sekure
Skanaa vaikka äf sekuren ilmaisella työkalulla livenä, voi lähettää jopa laboratorioon tutkittavaksi tulokset.
- imusuula
Ei ole asentanut, asentamiset voi hoitaa vaan pääkäyttäjänä. Tuskin sillä pääkäyttäjän salasanaa on ollut eikä muutenkaan pääsyä pääkäyttäjän tilille. Vai annoitko tolvana sen mellestää sun tunnuksilla ja sun pääkäyttäjätilillä? Olet ansainnut kaiken mitä sun päälle sataa :D jos näin on.
- f.e.dzerzhinsky
HJT ei näytä rootkittejä joten siitä ei ole apua.
Jos joku tuttusi on asentanut vakoiluohjelman niin ei ole mitään helppoa keinoa käyttöjärjestelmän uudelleenasennuksen lisäksi jonka voisi täällä neuvoa. Vakoiluohjelmia on ihan laillisiakin ja niitä virustorjunnat eivät tunnista koska ne eivät ole virallisesti haittaohjelmia lainkaan.
Verkkoliikennettä voit seurata netstat ohjelmalla joka kuuluu Windowsiin mutta tästä tuskin on apua tässä tapauksessa. - 14+-
Ohjeita voi myös tiedustella quakenet kanavalta #tietokone
http://webchat.quakenet.org/ - pelottaa....
Hei!! Tässä on SpyBot ohjelmalla saadut tulokset:
Search results from Spybot - Search & Destroy
10.1.2012 18:20:51
Scan took 00:13:58.
Log: [SBI $7F76510F] Install: Directx.log (File, nothing done)
C:\Windows\Directx.log
Properties.size=60028
Properties.md5=F32DA58BB2463E9AE776C56FDDF1539D
Properties.filedate=1302609238
Properties.filedatetext=2011-04-12 13:53:58
Log: [SBI $7F76510F] Install: setupact.log (File, nothing done)
C:\Windows\setupact.log
Properties.size=50576
Properties.md5=86852A156305A64C406A950B58BE85BC
Properties.filedate=1326208360
Properties.filedatetext=2012-01-10 17:12:39
Log: [SBI $7F76510F] Install: DtcInstall.log (File, nothing done)
C:\Windows\DtcInstall.log
Properties.size=1774
Properties.md5=1FDB5EC2BDB0E0F195DA70D2DFF25EA3
Properties.filedate=1302359965
Properties.filedatetext=2011-04-09 16:39:25
Internet Explorer: [SBI $1E8157BE] Typed URL list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Internet Explorer\TypedURLs
Internet Explorer: [SBI $FF589D0C] Download directory (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Internet Explorer\Download Directory
Internet Explorer: [SBI $0BC7B918] User agent (Registry Change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
Internet Explorer: [SBI $0BC7B918] User agent (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
Internet Explorer: [SBI $0BC7B918] User agent (Registry Change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
MS Management Console: [SBI $ECD50EAD] Recent command list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Microsoft Management Console\Recent File List
jatkuu.. - pelottaa....
MS Media Player: [SBI $735D57D7] Recent open directory (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\MediaPlayer\Player\Settings\OpenDir
MS Media Player: [SBI $3EE69CC3] Save as Directory (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\MediaPlayer\Player\Settings\SaveAsDir
MS Media Player: [SBI $5C51E349] Client ID (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\MediaPlayer\Player\Settings\Client ID
MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Direct3D\MostRecentApplication\Name
MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Direct3D\MostRecentApplication\Name
MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Direct3D\MostRecentApplication\Name
MS DirectInput: [SBI $9A063C91] Most recent application (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\DirectInput\MostRecentApplication\Name
MS DirectInput: [SBI $7B184199] Most recent application ID (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\DirectInput\MostRecentApplication\Id
MS DirectInput: [SBI $6533916A] Last mapped application ID (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\DirectInput\MostRecentMapperApplication\ID
MS DirectInput: [SBI $31B11F6A] Last mapped application (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\DirectInput\MostRecentMapperApplication\Name
MS Office 12.0 (Word): [SBI $E357B233] Recent Document List (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Office\12.0\Word\File MRU
MS Paint: [SBI $07867C39] Recent file list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List
MS Wordpad: [SBI $4C02334D] Recent file list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List
Windows.OpenWith: [SBI $F7204896] Open with list - .AVI extension (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList
Windows.OpenWith: [SBI $A1C94E79] Open with list - .BMP extension (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList
Windows Explorer: [SBI $A2C7B3CD] Recent wallpaper list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU
Windows Explorer: [SBI $7308A845] Run history (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Windows Explorer: [SBI $AA0766B5] Stream history (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
jatkuu.. - pelottaa....
Windows Media SDK: [SBI $37AAEDE6] Computer name (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows Media\WMSDK\General\ComputerName
Windows Media SDK: [SBI $CAA58B6E] Unique ID (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows Media\WMSDK\General\UniqueID
Windows Media SDK: [SBI $BACCD0DA] Volume serial number (Registry Value, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber
WinRAR: [SBI $0B56E92B] Recent file list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\WinRAR\ArcHistory
WinRAR: [SBI $B84F9965] Last used directory (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\WinRAR\General\LastFolder
WinRAR: [SBI $B510882E] Extraction directory history (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3627381214-4080101603-3246196655-1000\Software\WinRAR\DialogEditHistory\ExtrPath
Cookie: [SBI $49804B54] Browser: Cookie (40) (Browser: Cookie, nothing done)
Cache: [SBI $49804B54] Browser: Cache (9) (Browser: Cache, nothing done)
History: [SBI $49804B54] Browser: History (6) (Browser: History, nothing done)
--- Spybot - Search & Destroy version: 2.0.6.131 DLL (build: 20111005) ---
2011-10-05 blindman.exe (2.0.6.151)
2011-10-05 explorer.exe (2.0.6.170)
2003-04-18 ntrights.exe
2011-10-05 SDBootCD.exe (2.0.6.108)
2011-10-05 SDCleaner.exe (2.0.6.106)
2011-10-05 SDDelFile.exe (2.0.6.94)
2011-10-05 SDFiles.exe (2.0.6.127)
2011-10-05 SDFSSvc.exe (2.0.6.196)
2011-10-05 SDHookHelper.exe (2.0.6.1)
2011-10-05 SDHookInst32.exe (2.0.6.1)
2011-10-05 SDHookSvc.exe (2.0.6.1)
2011-10-05 SDImmunize.exe (2.0.6.125)
2011-10-05 SDLogReport.exe (2.0.6.104)
2011-10-05 SDMain.exe (2.0.6.92)
2011-10-05 SDPhoneScan.exe (2.0.6.27)
2011-10-05 SDPrepPos.exe (2.0.6.10)
2011-10-05 SDQuarantine.exe (2.0.6.102)
2011-10-05 SDRootAlyzer.exe (2.0.6.114)
2011-10-05 SDScan.exe (2.0.6.170)
2011-10-05 SDSettings.exe (2.0.6.112)
2011-10-05 SDShred.exe (2.0.6.104)
2011-10-05 SDSysRepair.exe (2.0.6.101)
2011-10-05 SDTools.exe (2.0.6.141)
2011-10-05 SDTray.exe (2.0.6.122)
2011-10-05 SDUpdate.exe (2.0.6.84)
2011-10-05 SDUpdSvc.exe (2.0.6.76)
2011-10-05 SDWelcome.exe (2.0.6.119)
2011-10-05 SDWSCSvc.exe (2.0.6.1)
2012-01-10 unins000.exe (51.52.0.0)
1999-12-02 xcacls.exe
2007-04-02 aports.dll (2.1.0.0)
2006-03-03 borlndmm.dll (10.0.2288.42451)
2010-09-06 DelZip190.dll (1.9.0.87)
2009-10-01 pcrelib.dll
2011-10-05 SDAdvancedCheckLibrary.dll (2.0.6.98)
2011-10-05 SDDialogs.dll (2.0.6.13)
2011-10-05 SDECon32.dll (2.0.6.113)
2011-10-05 SDEvents.dll (2.0.6.2)
2011-10-05 SDHelper.dll (2.0.6.88)
2011-10-05 SDHook32.dll (2.0.6.1)
2011-10-05 SDImmunizeLibrary.dll (2.0.6.1)
2011-10-05 sdinsTasks.dll (1.0.0.10)
2011-10-05 SDLists.dll (2.0.6.4)
2011-10-05 SDResources.dll (2.0.6.1)
2011-10-05 SDScanLibrary.dll (2.0.6.131)
2011-10-05 SDWinLogon.dll (2.0.6.0)
2011-04-20 sqlite3.dll
2011-10-05 Tools.dll (2.0.6.36)
2011-10-05 UninsSrv.dll (1.0.0.0)
2011-03-18 Includes\Adware.sbi (*)
2011-05-09 Includes\AdwareC.sbi (*)
2010-08-13 Includes\Cookies.sbi (*)
2010-12-14 Includes\Dialer.sbi (*)
2011-03-08 Includes\DialerC.sbi (*)
2011-02-24 Includes\HeavyDuty.sbi (*)
2011-03-29 Includes\Hijackers.sbi (*)
2011-03-29 Includes\HijackersC.sbi (*)
2010-09-15 Includes\iPhone.sbi (*)
2010-12-14 Includes\Keyloggers.sbi (*)
2011-03-08 Includes\KeyloggersC.sbi (*)
2011-04-05 Includes\Malware.sbi (*)
2011-05-09 Includes\MalwareC.sbi (*)
2011-02-24 Includes\PUPS.sbi (*)
2011-03-15 Includes\PUPSC.sbi (*)
2011-02-24 Includes\Security.sbi (*)
2011-05-03 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2011-02-24 Includes\Spyware.sbi (*)
2011-05-10 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti (*)
2010-12-28 Includes\Trojans.sbi (*)
2011-05-11 Includes\TrojansC-02.sbi (*)
2011-05-11 Includes\TrojansC-03.sbi (*)
2011-05-11 Includes\TrojansC-04.sbi (*)
2011-05-11 Includes\TrojansC-05.sbi (*)
2011-05-11 Includes\TrojansC.sbi (*)
Mitä ihmettä nuo tuossa lopussa ovat?? Tarkoittaako tuo että koneellani on 2 keylogger ohjelmaa ja 5 troijalaista?
t. Aloittaja - kokeileppass
- vapunen
Voiko muuten haittaohjelma saastuttaa tietokoneen palautusosion? Nimittäin tuttavani koneesta löytyi 24 virusta ja Malfarebytes kuten muutkin tarkistusohjelmat jumittuivat melko nopeasti kun aloitin tarkistuksen.... Samoin koko kone jumittui... Tuttava ei ollut tehnyt palautuslevyjä, joten yritimme palauttaa koneen palautusosiolta... Palautusyritys kaatui Error ilmoitukseen...
- f.e.dzerzhinsky
On se mahdollista mutta ei taida olla kovin tavallista.
Katso tilanne jollain CD:ltä buuttaavalla AV virityksellä, esim.
http://connect.microsoft.com/systemsweeper
- ihanaa ihanaa
Ompa hyvä tietää että ilmaisia työkaluja on saatavilla ja vielä luotettavia.
- selvä pyy!
Mitäs tuota enää mietit. Troijalaisia on. Käyttis uusiksi.
Jos noi saisi pois ei voi kuitenkaan luottaa että kaikki paha häviää....
Palautuslevyt olet toki tehnyt. - pelottaa....
Vai lieneekö tuossa login lopussa vain päivityksiä???
t.Aloittaja - Mr.
Mitä Blacklight sano?
- Kokeilija oon
Ei muuten toimi Win7 ollenkaan tuo.
En ole aloittaja. - f.e.dzerzhinsky
Kokeilija oon kirjoitti:
Ei muuten toimi Win7 ollenkaan tuo.
En ole aloittaja.Tosiaan. 64 bit vaatii allekirjoitetun ajurin W7:ssa jota Blaclightissa ei ole ja sen ei muutenkaan luvata toimivan W7:ssa, ei edes 32 bittisessä 7:ssa.
- Kokeilija oon
f.e.dzerzhinsky kirjoitti:
Tosiaan. 64 bit vaatii allekirjoitetun ajurin W7:ssa jota Blaclightissa ei ole ja sen ei muutenkaan luvata toimivan W7:ssa, ei edes 32 bittisessä 7:ssa.
Xp:llä meni läpi ohjelma mutta Win7 starterissa ei käynnisty koko ohjelma vaikka järjestelmänvalvojana ajan.
- vaikkapa
Kokeilija oon kirjoitti:
Xp:llä meni läpi ohjelma mutta Win7 starterissa ei käynnisty koko ohjelma vaikka järjestelmänvalvojana ajan.
GMERillä natsaa.
- v.h.s_1007
Kokeilija oon kirjoitti:
Xp:llä meni läpi ohjelma mutta Win7 starterissa ei käynnisty koko ohjelma vaikka järjestelmänvalvojana ajan.
Linux tallaa xp lyttyyn:
http://www.iltasanomat.fi/digi/f-securen-hypponen-twiittasi-usan-armeija-vaihtoi-windowsin-suomalaiseen-linuxiin/art-1288442249626.html
- akkujukka
joo-oo,KGB tulee ja vie,kuka vittu sua vakoilis?tollanen tavallinen suomalainen perusjuntti?ihmettelen...hanki elämä itelles...
- tuolla lähtee
lue tarkkaan, laita käynnistä uudelleen niin hakee alusta saakka, http://www.tietokone.fi/softa/windows/norton_power_eraser_1_3_0_9
- jatavallinenoon
Meilla aina vaan ajettiin vakoiluohjelmia ja virustorjuntaohjelmia ja muuta, mutta ongelma pysyi, siis tuli heti takaisin. Kutsuttiin ulkopuolista apua ja sanoivat, etta browser oli ollut vallattuna. Ja ongelma jatkuu aina vaan. Pitaakohan luopua koko koneesta ja hankkia elama.
- SAHDJSH
MÄ TARVIIN JOTAIN VAKOILU OHJELMAA MIKÄ TALLENTAA KAIKKI KESKUSTELUT TIETOKONEELTASI? AUTTAKAA???
- Lähde litoon
Sama pönttö täälläkin. Leegot odottaa edelleen.
- kyöhä opiskelija
VOIKO VAKOILUOHJELMAN SAADA LINUXEENKIN????
- Tyhmä opiskelija
Mikähän se Linuxe on?
- voi saada
ei
- vaihtoehto1
Asenna Ubuntu käyttöjärjestelmä. Ei haittaohjelma ongelmia. http://www.ubuntu-fi.org/
Ei tarvi edes virustorjuntaakaan asentaa ja voit facebookata, selata nettiä joka sivuilta ja kaikki toimii ilman haittaohjelmia. Kokeile aluksi vaikka CD/DVD:ltä tai USB-tikulta.- köyhä opiskelija
Kiitos vihjeestä!!!
Asensin sen w7 rinnalle ja ensivaikutelmat ovat hyvät... eikä maksanut mitään!!!
Testasi ja sama tulos palomuurin kanssa kuin ilman sitä!!!
Olenko asentanut väärin tai väärän palomuurin????
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Sofia miksi soitit torstaina Stefanil ja pyysit käymään kun muka olet ahdistunut.?
Oliko asia suunniteltu, kun pyysi käymään ja varmasti tiesi et miten Stefan asiaan suhtautuu.Oliko myös Seiskan toimittaja pyydetty tarkoituksella pai1171869Martina oli sarjassaan tänään 32.
Mutta eikö pyöräily ja uinti ole vahvempia hänellä kuin juoksu? Aikaa on vielä harjoitella ennen Frankfurtin kisoja.2101768Stepuli itkee facessa
Haluaisin pyytää julkisesti karseaa käytöstäni anteeksi lähimmiltä, naapureilta ja etenkin Sofialta! Ei ole missään olosuhteissa hyväksyttävää käyttä1141766Sofia oli ainoastaan rahan takia suhteessa Stefanin ja Nikon kanssa.
Järkyttävää miten Sofia on käyttänyt hyväksi näitä molempia miehiä ja rahat loppu niin vain haukkumiset tullut kiitokseksi heille.2561439Voi kun menisi nyt Stefan katsoo tyttären uutta ponia, viettäisi aikaa hänen kanssa.
Aika parantaa kaiken ja meillä kaikilla on elämässä vastoinkäymisiä ja yli kyllä pääsee ainakin ajan kanssa.1341383Suomi teki typeryyttään Venäjästä nyt konkreettisesti vihollisen, jota se ei aiemmin ollut.
Venäjä ei ole uhannut Suomen turvallisuutta, eikä Venäjän ja Ukrainan välinen konflikti ole signaloinut minkäänlaista uhkaa Suomelle. Se "uhka" luotii4861016Minä menetän sinut kokonaan
Siksi olen paniikissa, sekaisin ja surullinen. Taitaa olla jonkinasteinen stressitila päällä. Toivottavasti sinulla on kaikki hyvin.50962Onpas Martina valinnut sopivan laulun
Storyssa kun Isben poni tulee, " älä vie lapsuuttani pois." Äiti se lähtee mieluummin panopuuksi hotelliin, kuin viettäisi senkin ajan lastensa kanssa115908Veikkauksia milloin Venäjä hyökkää Suomeen?
Veikkaan että se tapahtuu nopeasti, ehkäpä jo kesäkuussa. Suomi 5,5 miljoonan harvaan asuttu maa. Venäjä ei tarvitse suurta joukkoa Suomeen, joten kai237902Uskomatonta miten "kassatyttö Sannasta" tuli hetkessä kuoleman kauppias.
Demarit on kautta historian olleet "takinkääntäjien"mestariluokkaa kokoomuksen hihassa kiinni. Sannan arviointikyky petti täysin Naton suhteen, Brysse347864