StartPage.FH

Lystiä on riittänyt koko päiväksi. Kesäkuun 20. päivästä lähtien maailman IE-selaimia häirinnyt ja minukin About:blank -sivuni Exploreristani kaapannut StartPage.FH -virus muunnelmineen on aika ilkeä otus. Eikä sitä tämmöinen ylisivari saa millään tapetuksi.

Henkistä lohtua usein tuonut AdAware ei auta. Myöskään SpyBot-ei auta, vaikka sillä sentään pystyy käyttäjältä näppärästi suljetut kotisivumääritykset muuttamaan helposti. Taito kyllä kehittyy myöhemminkin, sillä yhdellä kerralla ei tästä taivaanlahjasta pääse. Eivätkä auta muutkaan vastaavat ohjelmat (esim. cwshredder).

Ensimmäisellä kerralla Internet Explorerin avattua esimerkiksi SpyBotin avulla väännetty muutos kotisivuun pitää, mutta toisella kerralla ei sitten pidäkään. Palaamme jälleen minä ja selaimeni about:blank määrittelyn kautta sujuvasti sp.html -nimiseksi sivuksi, joka on italialaisperäisen Search for... hakemistosivu. Luulisi, että tämmöisen kauppamiehen (tai -naisen, tasa-arvo muistui hädästä huolimatta mieleen) joku pistäisi liriin. Lupaan katsoa sivuun sen ajan. Lisäksi viirus piirtelee kuvaruudulle loputtomiin mainoksia, jotka kertovat koneellasi olevan viiruksia ja tarjolla olisi sitten hyvä ohjelma näitä varten.

Sp-tiedosto(t) sijaitsevat ...Documents&Settings/Locals ~1/Temp/ -hakemistossa. Lisäksi virus valjastaa käyttöönsä BHO-tiedostoja (kertoo usein ettei kyseistä sivua ole olemassa). Viruksen eri versiot käyttävät nettitietojen mukaan erilaisia systeemejä: saastuneita .dll -tiedostoja ja .cab -tiedostoja on ainakin olemassa. Ne uusintavat viruksen näennäisen tapon jälkeenkin, mutta miten? Viruksen valekuolema ei riitä minun verenhimoiselle mielelleni.

Norton Antivirus tunnisti viruksen, kun se livahti koneelle visiteeratessani epäilyttävillä sivuilla - tai ainakin ne semmoisiksi osoittautuivat - muttei pystynyt tekemään sille mitään, minkä ohjelmisto ystävällisesti ilmoitti. Myöhemmin Norton ei tiennyt asiasta yhtään mitään. Pandan Active Scan, joka toimii on-line, pystyy ilmeisesti ainoana ohjelmana tällä hetkellä poistamaan tämän viruksen muunnelmia [eka kerralla uskomattomat 58 kappaletta..., toisesta skannauksesta lähtien 2 kerrallaan: Norton Antivirus ei valita mistään, mikä ei näin tilaajana lakkaa hämmästyttämästä].

Mutta Pandaskannauskaan ei pystynyt pitämään vihulaista poissa. Se piilotteli muistissa. Ja tilannetta heikensi se, että Pandan Scannin voi tehdä vain Internet Explorerilla. Mozilla sun muut ilmoittavat virheestä sivulla.

Saksalaisen troijalaisfirman FjhFix (tai jotain sinne päin) ei onnistunut tätä pirulaista tappamaan, vaikka lupasi ja saksalaiseen näissä asioissa yleensä luotan: Siitä pettymyksestä toivuttuani poistelin erilaisilla ohjelmilla kaikki mahdolliset ylimääräiset ohjelmat käynnistyksestä pois, toisilla ohjelmilla siivoilin väliaikaistiedostoja ja niiden piilotettuja muotoja. Ja vähällä oli etten ottanut kirvestä ja viskonut palasia ulkona aurinkoisena hetkenä piknikkaavien naapureitteni niskaan. Tupakkia ja kahvia kului enemmän kuin Asterixin piirtämisessä.

Nyt olen putsannut Pandalla vehkeet kolmeen kertaan, HijackThis osoittaisi kaiken olevan päällisin puolin kunnossa. Mutta silti IE:n avaaminen ei tunnut hyvältä vaihtoehdolta. [Lisäys: Hämmästyttävää kyllä homma näytti toimivan vielä tuntia myöhemmin, kun joku juttu avautui IE:n kautta eikä spyware-mainoksia tai hakemistokotisivua ilmaantunutkaan.]

Jos joku tästä keksii jotakin, niin kertokoon. Tuopin tarjoan, jos kaikki sujuu hyvin.

Logfile of HijackThis v1.97.7
Scan saved at 22:15:07, on 12.7.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\PROGRA~1\LSOFTT~1\ACTIVE~1\PopUpKill.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Ajari\Työpöytä\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.mikrobitti.fi
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fi
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.helsinki.fi/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://www-cache.helsinki.fi:8000
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.mikrobitti.fi
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.mikrobitti.fi
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ComStart] C:\Program Files\Norton AntiVirus\Navwnt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Active@ PopUp Killer] C:\PROGRA~1\LSOFTT~1\ACTIVE~1\PopUpKill.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Share in Hello (HKLM)
O9 - Extra 'Tools' menuitem: Share in H&ello (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: ZDelete Auto-Cleaner (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.mtv3.fi/
O15 - Trusted Zone: shopit.elisa.fi
O15 - Trusted Zone: www.helsinki.fi
O15 - Trusted Zone: www.uta.fi
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37677.4328819444
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab