Plages du med MSN virus, photoalbum2007?

[norbat]

Plages du med MSN-viruset / ormen?

 

Myalbum2007.zip inneholder en orm (W32/IRCBot-WV) som sender seg selv til de du har i kontaktlista di.

Ormen åpner en bakdør som gjør at andre kan få tilgang til maskinen. Ormen kommuniserer også med en server, antakelig for rapportering samt motta nye instrukser.

 

Innholdet i zip-fila består gjerne av ei fil i .scr-format (eks. photo-album2007.scr).

Kjører man denne filen vil det bli installert noen filer i system/windows-mappa.

 

Hijackthis-loggen viser denne:

O21 - SSODL: system32 - {159AE0F4-E771-4036-B97C-9BAA5E439756} - sysprinters.dll (file missing)

 

Veiledning for fjerning:

Klikk for å se/fjerne innholdet nedenfor

Last ned DrWeb og legg det på skrivebordet

 

Last ned SDFix til skrivebordet. Pakk det ut. Det vil som default opprette ei mappe i C:\SDFix

 

Restart i Sikker modus (trykkk flere gange på F8 under oppstart)

 

Kjør drweb-cureit.exe (si ja til å kjøre en express scan)

Når dette er ferdig klikker du på Option -> Change settings.

Under fanearket Scan, fjerner du haken ved Heuristic analysis.

Under fanearket Actions, skal alle punkt under Malware settes til Rename.

Velg partisjon du vil scanne og klikk deretter på den grønne pilen for

å starte scanningen. Velg "yes to all" når det finner noe for første gang.

 

Når scanningen er ferdig, gå til "file" – Trykk på- "Save Report list".

En fil med navn "drweb.csv" vil da ligge på skrivebordet. Den poster du senere

 

Kjør deretter RunThis.bat i SDfix-mappa. Følg veiledningen

Det lages en rapport (Report.txt)

 

Restart i normal modus

 

Problemet skal nå være løst, men det kan være viktig å poste de loggene som det henvises til under. Dette kan avgjøre om det er mer som må gjøres for å få en virus/spywarefri pc.

 

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan and save a logfile".

 

HJT-loggen kopierer du og poster sammen med loggen fra DrWeb og SDFix.

Noen på forumet vil da sjekke disse for deg, så får du tilbakemelding på hva du bør gjøre videre.

 

Endret 11. juli 2007 av norbat

[Gaby]

Vet om mange som plages av MSNvirus , men akkurat hvilken type kan jeg ikke svare på. Fin guide til fjerning

 

EDIT:

Bare jeg som surrer her nå.

Endret 11. juli 2007 av Gaby

[norbat]

Hvis de har denne photoalbum2007 saken, får du henvise dem til denne tråden

[Sinqh]

Hei! Jeg har fått nettopp dette myphotoalbum2007 og lurer på følgende:

 

Denne hackeren som bruker trojanen til å komme seg inn på min PC, hvor mye informasjon får egentlig vedkommende av å hacke seg inn på min PC? Kan han se bilder (av venner osv.) som jeg har på min PC? Dokumenter som ligger på min PC? Evt. få vite mitt navn (Har Mine Dokumenter kalt som XXXXX's dokutementer der X er mitt navn)? Har vært å sjekket mailen mens vedkommende tydeligvis hacket inn, kan han nå få tilgang til mailen min? Evt. se hvilke sider jeg har vært inne på (Nettbank osv.)? Kan han feks. se hva jeg skriver her inne nå? Og ett siste spm - Kan han via min IP se hvor jeg bor henn, få vite mitt navn osv..?

 

Takker for svar! (Hadde vært fint med raske svar)

 

EDIT: Tenkte jeg skulle legge til følgende:

 

Jeg har en PC med Windows XP innstalert, og det er noen som har klart å hacke seg inn på PC'en min. Har prøvd å fjerne trojanen med et antivirus-program, men til ingen nytte. Vedkommende har klrt å innstalere en rekke merkelig programmer på PC'en min og sender også trojanen videre fra min PC. Vurderer nå å innstalere Windows på nytt igjen for å bli kvitt denne hackeren...

Endret 11. juli 2007 av Sinqh

[norbat]

Nå er det ikke slik at det sitter et person og hacker seg inn på pc'n din bokstavlig. Det du har fått er et 'program' som sendes rundt i MSN-systemet og som gjør at pc'n er åpen for 'snoking'. Hvilken informasjon dette programmet samler inn, vet jeg ikke, men hvis du kjører veiledningen i denne tråden, så vil du få fjernet trusselen.

 

Om du velger å reinstallere, så løser du saken på den måten.

Endret 11. juli 2007 av norbat

[Sinqh]

Vet du hvor dette viruset opprinnelig ble sendt fra? USA? Dersom dette ikke er en hacker så er det vel lite trolig at dette viruset vil ha informasjonen jeg nevnte i sist innlegg?

 

EDIT: Er litt bekymret for dette med nettbanken. Kan vedkommende se at jeg har vært inne på nettbanken, evt. mailen min? Altså se hvilke sider jeg har vært på og bruke dette?

Endret 12. juli 2007 av Sinqh

[norbat]

Vil tro at de fleste trusler i dag er knyttet opp mot økonomisk vinning på en eller annen måte. Det kan være i form av reklame-popups, som er irriterende nok, men også mer alvorlig der man prøver å tak i personlig informasjon, kortnummer m.fl. Det er også slik at man prøver å bygge opp såkalte botnet, som går på at flere tusen pc'er kan være kontrollert og styrt, og man kan da 'angripe' sentrale servere som gjør at serveren går ned pga. for stor trafikk.

 

Å ha trojanere og andre trusler på pc'n er aldri heldig. Hva det du har på din pc gjør eksakt, vet jeg ikke, men så lenge den har evnet til å åpne en bakdør samt mulighet for å kommunisere, så bør den fjernes, så lenge du skal på nett med pc'n.

 

Om du bør være bekymret? Fjern trusselen, så tror jeg du kan ta det med ro.

Endret 12. juli 2007 av norbat

[Fuzoya]

Hadde et msn virus og jeg har prøvd å fjerne det en tid nå.

Brukte spybot - Search & Destroy og Avast!-antivirus til nå.

Fant ikke viruset, men så kom jeg på at jeg ikke hadde scanna med Ad-Aware og da fant den dette "sysprinters.dll" greia, og den fikk ikke fjerna den på stedet, men programmet sa at det var mulig å slette den på en scan ved neste reboot , så jeg gjorde dette og jeg la merke til navnet "sysprinters.dll" som nevnt.

Men jeg var ikke overbevist om at det var borte så jeg søkte her på forumet og jeg fant denne tråden

Skikkelig fint at du laget den, for nå fikk jeg dette her bekreftet.

Riktig nok fikk jeg fjerna viruset før jeg leste dette, men jeg ble lettet over det jeg så!

 

Takk skal du ha

[keeryNor]

er det ikke farlig og restarte pcen en venn sa at man ikke får strter pcen igjen