OHJE ON VIELÄ KEHITYKSEN ALLA Apua! Koneeni on saastunut. Miten toimin? En ota mitään vastuuta siitä mitä mahdollisia vahinkoja seuraavat ohjelmat voivat tehdä koneellesi. Ennen ohjelmien asennusta ja järjestelmän muokkausta on syytä ottaa varmuuskopiota tärkeimmistä tiedostoista
Lista toimii ohjeena jonka voit tehdä, ennen kuin pyydät täältä apua. Tee ainakin osa listassa mainituista toimenpiteistä ja jos ongelma jatkuu niin lähetä viesti Muroon ja kerro jo tekemistäsi toimenpiteistä.
Hae seuraavat ohjelmat koneesi työpöydälle, mutta älä asenna niitä:
.:[
Selainhistorian sekä historia tietojen puhditusta ]:.
[ulist][*]CCleaner Slim - http://www.ccleaner.com/download/builds.aspx[*]Atfcleaner - http://www.atribune.org/content/view/25/2/ - Ccleaneria vastaava ohjelma
[/ulist]
.:[
Ohjessa käytettäviä ohjelmia ]:.
[ulist][*]AVG internet security (entinen ewido) (trial) - http://www.avg.com/download?prd=triais[*]Superantispyware - http://www.superantispyware.com/[*]Counterspy - http://www.sunbelt-software.com/CounterSpy.cfm[*]Spyware Doctor - http://www.pctools.com/spyware-doctor/
[/ulist]
.:[
Analysointi / poisto työkaluja (hijackthis/runscanner riittää) ]:.
[ulist][*]Hijackthis - http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis[*]Hijackthis lyhenteiden selitykset - http://www.aumha.org/a/hjttutor.php[*]Hijackthis Login analysointia: http://hjt.networktechs.com/ - http://www.hijackthis.de/ - http://www.prevx.com/hijackthis.asp[*]Runscanner (HJT tapainen ohjelma) - http://www.runscanner.net/[*]Combofix (HJT tapainen ohjelma joka myös osaa puhdistaa tiettyjä haittohjelmia)- http://www.bleepingcomputer.com/combofix/how-to-use-combofix
[/ulist]
Huom! Kannattaa copy pastettaa tämä ohje ja tallentaa se Notepadillä työpöydälle
Windows sisältää System restore palvelun jonka tarkoituksena on tehdä käyttöjärjestelmän kriittisistä osista ajoittain varmuuskopiointi. Tämä on todella kätevä toiminto, mutta tämän kanssa saattaa käydä niin, että myös virus/troijalainen tai muusta haittaohjelmasta tehdään myös varmuuskopiointi. Tällöin on normaalia, että anti-virus ohjelmat varoittelevat viruksesta joka ei välttämättä ole enää järjestelmässäsi vaan löytyy näistä varmuuskopioista. Onkin suotavaa, että ensin otat kyseisen palvelun pois päältä ja boottaat koneen jolloin nämä varmuuskopiointi pisteet häviävät. Tämän jälkeen voit tehdä koneellesi kaikki tarkastukset ja kytkeä tämän palvelun päälle, kun puhdistusoperaatio on lopetettu.
.:[
Tietyn ongelman poistotyökalut ]:.
Mikäli ongelmasi kuvaukseen sopii sivuilla:
http://wiki.castlecops.com/Malware_Removal:_SpyAxe_Removal
olevat kuvat sekä teksti niin käytä:
http://siri.geekstogo.com/SmitfraudFix.php (puhdistus safe modessa) ohjelmaa.
Ohjeita täältä - http://www.pchell.com/support/smitremtutorial.shtml
Muita ohjelmia jotka korjaavat juuri tietyntyyppisiä viruksia/troijalaisia.
[ulist][*]Vundofix - http://www.atribune.org/ tai Virtumundobegone - http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe Lisää ohjeita - http://wiki.castlecops.com/Malware_Removal:_Virtumundo[*] CWShredder - http://cwshredder.net/cwshredder/cwschronicles.html#cwshredder - Korjaa hakusivu / kotisivuu-homepage kaappauksia IE:tä.[*] SDfix - http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm - Korjaa erityisesti IRC-botnet matoja.
[/ulist]
.:[
Process explorer ]:.
Kokeneille käyttäjille vinkkejä siitä miten järjestelmää voidaan tarkkailla pintaa syvemmältä sysinternalsin omilla ohjelmilla.
Advanced Malware Cleaning
"Mark Russinovich luennoi siitä kuinka spywaren/viruksien saastuttamaa windows xp/vista konetta hoidetaan sysinternalsin ohjelmilla"
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=359 (video)
Kun video pyörii kannattaa pitää samalla päällä ProcessExplorer ohjelmaa ja tehdä samoja asioita mitä videossa demotaan.
1.Kohta - Ccleanerin asennus ja käyttö Muista disabloida koneella olevasta Anti-virus ohjelmasta Käytönaikainen suojaus/realtime protection! Asennus:
Asennuksessa Ccleaner kysyy seuraavaa:
Kuva - http://tinyurl.com/23avrj
Jätä ainoastaan
kaksi ylimmäistä raksia. Muut voit poistaa.
Käynnistä ohjelma työpöydän kuvakkeesta.
Ota raksi pois kohdasta.
options -> Advanced -> Only delete files in Windows Temp folder older than 48 hours
Varoitus kertoo, että kaikki tiedostot temp hakemistosta poistetaan lopullisesti vastaa "
Yes".
Klikkaa ccleaner ikonia(harja)
Windows välilehdestä:
- Raksita kaikki kohdat Internet Explorerin alta.
Huom!Jos haluat pitää cookies(keksit) niin älä raksita niitä. Keksien tuhoaminen aiheuttaa sen, että sinun pitää kirjoittaa käyttäjänimesi ja salasanasi uudelleen nettisivuille jotka sitä vaativat.(Suositeltavaa on silti poistaa nämä, koska aiheuttavat tietoturva riskin)
- Poista kaikki raksit Windows Explorer kohdan alta.
- Poista kaikki raksit System kohdan alta, mutta jätä temporary files.
- Poista kaikki raksit Advanced kohdan alta.
Applications välilehdestä:
- Raksita kaikki kohdat (mahdollisesti poikkeuksena keksit) Firefox/Mozilla kohdan alta.
- Raksita kaikki kohdat (mahdollisesti poikkeuksena keksit) Opera kohdan alta.
- Raksita Sun Java Internet kohdan alta.
Klikkaa
run cleaner ja ohjelma alkaa poistamaa tiedostoja.
Poistu ohjelmasta.
HUOM!
Ohjelmien skannaukset ovat lähes suoraan verrannollisia sihen kuinka paljon skannattavalla levyllä on tiedostoja. Onkin suositeltavaa, että kun skannaus alkaa niin kannattaa siirtyä tekemään jotain muuta, koska pahimmillaan kesto voi olla tunteja. Paras tapa onkin jättää kone yöksi skannaamaan.
Aja vähintään yksi 2.x kohdan ohjelmista:
2.1. Kohta - Counterspy (shareware 15 päivää) Muista disabloida/ottaa pois päältä koneella olevasta Anti-virus ohjelmasta Käytönaikainen suoja/realtime protection
- Asenna ohjelma
- Käynnistä ohjelma
- Ohjelma kyselee asetuksia:
- Ota taustasuojaus/active scan pois
- Ota ajastettu/schedule skannaus pois
- Älä liity threatnettiin
- Lopuksi ohjelman päivittää itsensä, kestää hetken ~3min.
Käynnistä kone Safe modelle/Vikasietoon
- Käynnistä ohjelma uudelleen ja aja system scan -> full
- Ohjelma ilmoittaa myös ns. adware ohjelmat jotka toimivat mainoksilla,
joten tarkista poisto lista ettet rampauta näitä mainoksilla toimivia
ohjelmia.
- Poista ohjelma mikäli et tarvitse sitä.
2.2. Kohta - Spysweeper (Shareware) Muista disabloida koneella olevasta Anti-virus ohjelmasta Käytönaikainen suojaus/realtime protection
Maksullinen, mutta nyt 21.05.2007 Beta ohjelma ladattavissa:
http://www.webroot.com
Rekisteröinti koodi lähetetään antamaasi email osoitteeseen.
2.3. Kohta - Spyware doctor Muista disabloida koneella olevasta Anti-virus ohjelmasta Käytönaikainen suojaus/realtime protection
Spyware Doctor
(Sisältää taustasuojauksen.)
HUOM! Löytyneiden haittaohjelmien poistamiseen ohjelma pitää rekisteröidä.
Mutta ohjelman avulla saat kaivettua lisäinfoa saastuneista tiedostoista.
- Asenna ohjelma
- Ohjelma päivittää itsensä ja aloittaa intelli skannauksen heti. Ohjelma
skannaa ainoastaan paikait joissa yleisimmin haittaohjelmat piileksivät.
- Voit tehdä vielä lopuksi Full scanin safe modessa/vikasietotilassa.
- Poista löytyneet haittaohjelmat.
- Taustasuojauksen saa pois status -> immunize OFF ja Onguard OFF
- Poista ohjelma mikäli sitä et tarvitse.
2.4. Kohta - Escan Muista disabloida koneella olevasta Anti-virus ohjelmasta Käytönaikainen suojaus/realtime protection
Hyvät ohjeet täältä:
http://koti.mbnet.fi/pattaya1/escanmwav.htm
2.5. Kohta - Superantispyware (freeware) Muista disabloida koneella olevasta Anti-virus ohjelmasta Käytönaikainen suojaus/realtime protection
Asenna SUPERAntiSpyware default asetuksilla.
Käynnistä ohjelma työpöydältä.
Jos ohjelma kysy "
update definitions" vastaa kysymykseen "
yes".
Jos ohjelma ei kysy mitään niin valitse kohta "
check updates before scanning".
Ohjelman asetukset:
- Valitse "
Preferences -> Scanning Control".
Valitse seuraavat "
Scanner Options/asetukset":
- Close browsers before scanning.
- Scan for tracking cookies.
- Terminate memory threats before quarantining.
Poista raksi seuraavista "
Scanner Options/asetuksista":
- Ignore non-executable files.
Klikkaa Close näppäintä.
Skannaus:
- Main/pää SAS ikkunasta, "
Scan for Harmful Software alta valitse Scan your Computer".
Varmista, että vasemmalla, käyttöjärjestelmäsi asema on valittuna (yleensä
C:\Fixed Drive) sekä myös kaikki muut asemat jotka näkyvät.
- Oikealla "Complete Scan" kohdan alapuolella valitse "Perform Complete Scan".
- Klikkaa "Next" nappia aloittaaksesi skannaus.
- Kun skannaus on loppunut ohjelma kertoo löydetyistä haittaohjelmista.Klikkaa OK.
- Raksita kaikki löydetyt haittaohjelmat "
detected threats", ja klikkaa "Next".
- Ohjelma ilmoittaa "Quarantine and Removal is Complete".
- Paina ok ja klikkaa Finish.
Käynnistä koneesi uudelleen.
3. Kohta - Netistä ajettavat skannerit Muista disabloida koneella olevasta Anti-virus ohjelmasta realtime protection!
Aja edes
yksi seuraavista nettisivulta ajettavista skannereista:
Internet Explorerilla (vaativat active-x toiminnon)
http://housecall.trendmicro.com/
http://www.kaspersky.com/service?chapter=161739400
-
Ei poista automaattisesti, mutta käyttää yhtä parhaimmista tunnistus tietokannoista. Saastuneiden tiedostojen poiston voi suorittaa käsin, mikäli ne eivät ole kriittisiä järjestelmän toiminnan kannalta.
http://onecare.live.com/site/en-us/default.htm
http://www.pandasoftware.com/products/activescan.htm
Muilla selaimilla
http://be.trendmicro-europe.com/consumer/housecall/housecall_launch.php
Käynnistä kone uudelleen. 4. Kohta - AVG Anti-Spyware (entinen ewido antispyware)
- Asenna ja käynnistä AVG Anti-Spyware.
- Kun ohjelma on käynnistynyt valitse "
Update Now".
- Latauspalkin pitäisi liikkua ja ohjelma ilmoittaa onnistuneesta päivityksestä. Jos kestää niin odota hetki, yhteydet voivat olla joskus hitaita.
- Kun päivitykset on asennettu klikkaa "
Scanner -> Settings Under How to act? "
- Valitse "
Recommended Actions" ja valitse "
Quarantine".
Reports kohdan alta:
- Valitse "
Automatically generate report after every scan".
- Ota raksi pois kohdasta "
Only if threats were found".
Kuva asetuksista - http://tinyurl.com/yq5dno
Kun päivitys on tehty ja asetukset säädetty kohdalleen sulje ohjelma. Skannaus kannattaa tehdä
Safe modessa, koska tällöin osa haittaohjelmista ei pääse käynnistymään taustalle. Haittaohjelmien käyttämät tiedostot eivät ole käytössä ja ne on helpompi poistaa.
AVG Anti-Spyware skannaus Safe mode:ssa:
- Käynnistä tietokone uudelleen.
- Kun biosin ja muistin tarkistus on tehty paina pari kertaa
F8 näppäintä, jos onnistuit niin windowsin buuttaus valikko pitäisi ilmestyä ruudulle. Valitse
safe mode valikosta. Kirjaudu normaalisti omalla tunnuksellasi. Windows saattaa kysyä jotain system restoresta, mutta vastaa kysymykseen, että haluat jatkaa kirjautumista.
- Käynnistä AVG Anti-Spyware.
- Valitse Scanner ikoni ylhäältä.
- Klikkaa Scan tabia.
- Valitse Complete System Scan.
- Jos haittaohjelmia löytyy niin valitse Quarantin:lle toiminto apply ja tämän jälkeen klikkaa "Apply all actions".
Anna skannauksen mennä loppuun asti. Tallenna skannauksen raportti:
- Valitse "Reports" ikoni ylhäältä.
- Valitse "Save report" nappula vasemmasta ala-laidasta.
- Tallenna raportti paikkaan josta sen myöhemmin löydät.(työpöytä)
- Sulje ohjelma ja boottaa kone takaisin normaaliin moodiin.
-> Hyppää uudestaan kohtaan 4. ja aja vielä kerran netistä ajettavia skannauksia.
5. Kohta - Lopputoimenpiteet
- Kytke
Anti-virus ohjelmasta realtime protection takaisin päälle.
- Asenna HijackThis ja aja se.
- Kopio logi tiedosto leikepöydälle tai notepadiin
- Lähetä vielä HJT logi tänne.
- Jos ajoit AVG anti-spywaren niin lähetä myös sen logi (kunhan se ei ole montaa sivua pitkä).
- Kerro Viruksien nimet joita tuli skannauksissa vastaan.
Muuta huomioitavaa!
Suurin osa tässä listassa asennettavista ohjelmista asentaa taustalle ns. Realtime protection/scan suojan. Kun olet todennut koneesi puhtaaksi kannattaa ottaa nämä suojat pois ja jättää vain yksi antispyware ohjelma taustalle. Ohjelmat voi toki poistaa kokonaan.
Kun kone on todettu puhtaaksi niin lue tämä http://plaza.fi/muropaketti/bbs/t477790
Lista suomennettu osittain täältä:
http://wiki.castlecops.com/Malware_Removal_and_Prevention:_Overview 
