Rasittava pikku troijalainen: Poisonivy-variantti.

Laahustipa koneelleni rasittava troijalainen. Kyseessä lienee jonkinlainen variantti Poisonivy nimelläkin tunnetusta remote-networking virityksestä.

Muutamia päiviä sitten koneeni alkoi oireilemaan kummallisesti. Systeemi jumahteli miten sattui ja suoritinkäytössä näkyi selekitä 100% piikkejä. Tokihan hälytyskellot soittelivat surumarssia ja vaikka koneellani on niin palomuuri kuin virustorjunta-ohjelmat, sekä tarpeelliset malware ja spyware-skannerit niin oli luonnollinen jatko tarkistaa kone lukuisilla eri online-skannereilla. Sinänsä hupaisaa ettei yksikään löytänyt minkään sortin ongelmaa kuten eivät myöskään koneelle jo asennetut ohjelmat (nod32, a2free, ewido antispyware, sbybot)

Tuumailin jo asentavani koko käyttöjärjestelmän uudelleen kun ajattelin vielä kerran vilkaista käynnissä olevat prosessit. Enpä ollut aiemmin kiinnittänyt moiseen huomiota, mutta nyt havaitsin, että Firefoxin prosessi pyörii siitäkin huolimatta, että selaimeni oli suljettu. Reipas Googlettaminen tuotti tulosta aiheesta ja osasin lähteä selvittelemään ongelmaa laajemmin.

MozillaZine:stä löytynyt artikkeli ohjasti oikeille jäljille. Testasin ensin artikkelin pohjalta vaihtaa IE oletusselaimeksi ja katsoa pyöriikö IE:n prosessi taustalla kun Windows-käynnistyy ja siellähän se hyrräsi eli Poisonivy-variantti täytyi olla kyseessä.

Artikkelissa annetaan poistoon hyvät ohjeet sillä ainakin omalla kohdallani troijalainen oli poistettava käSipelillä sillä yksikään kokeilemistani skannereista ei tuota havainnut.

Troijalaista poistamaan:

Buuttasin koneen Windowsin Vikasietotilaan ja käynnistin REGEDIT:n ja navigoin kohtaan: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ – Sitten vain hakemaan avainta jossa on pelkästään StubPath ja viittaus ajettavaan tiedostoon. Itselläni kyseinen ajettava viritys oli SERVER.EXE jonka myös poistin hakemistosta \windows\system32\

Avaimen poiston jälkeen reboot ja kas kas mokoma ökkiäinen oli poissa koneelta.


Tässä ihan kuriositeettina mainittuna ohjelmat joilla poistoa yritin

Koneelle asennetut:

nod32, ewido antispyware, spybot s&d, eScan, a-squared Free ja testimielessä tuli asennettua Webroot:n SpySweeper

Online:

BitDefender, F-Secure, Trend, Kaspersky ja MS One Care

Ei Kommentteja

Kommentoi kirjoitusta:

Please be polite. We appreciate that.
Your email address will not be published and required fields are marked