Info: MSN-virus, youtube.glx.nl/****....

[norbat]

Denne info/veiledning er basert på MSN-ormen som sender ut link med teksten: "youtube.glx.nl/watchv/=......". Det er rapportert om en annen variant som sender ut link med teksten: "video.stream.idoo.com/...". Det er andre filnavn som er knyttet til den siste, men veiledningen kan brukes på denne også.

 

Info om filer og registeroppføringer som inngår i infeksjonen:

 

Infiserte PC-er viser gjerne en eller flere av følgende oppføringer i en Hijackthis-logg

 

O4 - HKLM\..\Run: [Windows Controls Center] winudmr.exe

O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe

O4 - HKLM\..\Run: [MSN] scvhost.exe

O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe

O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe <- Forekommer ofte

O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe <- Forekommer ofte

O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe <- Forekommer ofte

 

Filer som inngår:

C:\WINDOWS\winudmr.exe

C:\WINDOWS\winudspm.exe

C:\WINDOWS\winudpmgr.exe

C:\Windows\scvhost.exe

C:\WINDOWS\system32\sysregi.exe <- Forekommer ofte

C:\WINDOWS\ehSched.exe <- Forekommer ofte

 

Prosessene er alle en form for Orm / IRC backdoor trojaner

 

Andre filer som kan være tilstede:

C:\Windows\sshost.exe

C:\WINDOWS\seeshost.exe

C:\WINDOWS\sysys.exe

C:\WINDOWS\sysutili.exe

C:\WINDOWS\ssehost.exe

C:\Windows\images.zip

C:\WINDOWS\059573.exe

C:\WINDOWS\203937.exe

 

 

 

 

Hvordan løse problemet:

Det virker som om denne infeksjonen drar med seg ulike typer filer av kategorien WORM/IrcBot backdoor trojaner. Så langt finnes det ikke noe av-prog som tar alle filer, så veiledningen nedenfor er å anbefale.

NB! Det er viktig å bytte passord på din MSN-brukerkonto når du har blitt utsatt for noe slikt

 

Program som brukes i denne veiledningen:

 

Malwarebytes Anti-Malware:

Oppdager og fjerner bla. de filene som forekommer oftest i denne infeksjonen

 

Combofix:

Vil fjerne flere av filene, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager.

 

CCleaner:

Fjerner bla. nettleser-cachen der spor etter infeksjonen kan ligge

 

 

Veiledning Malwarebytes Anti-Malware (MBAM)

Last ned MBAM til skrivebordet.

Kjør fila og installer programmet. Velg Norsk språkdrakt

La programmet oppdatere seg og velg å kjør en hurtig systemskann.

 

Du får en meldingsboks når programmet er ferdigkjørt

Klikk deretter på Vis resultat-knappen. Hvis det er funnet malware, vil du nå se hva som er funnet.

 

Klikk så på Fjern valgt -knappen for å fjerne malwaren som evt. ble funnet.

 

Når MBAM er ferdig med å fjerne det den har funnet, vil det bli åpnet en logg i notisblokk. Den kan du kopiere og poste senere.

 

 

Veiledning Combofix:

Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

 

Post loggfilen fra combofix (c:\combofix.txt) + loggen fra Malwarebytes A-M i en egen tråd, om du ønsker veiledning (klikk Nytt emne)

 

 

Veiledning CCleaner:

Kjør i tillegg en diskrens vha. CCleaner:

Last ned CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......."

Endret 16. juni 2008 av norbat

[Christofferaa]

Hei Norbat!

Virker som om du har rå god peiling på dette...

Joda... jeg fikk just dette msn viruset!

Åpnet en youtube link på msn :/

 

Jeg har lest gjennom det du har skrevet her og... det på toppen fatter jeg ingenting av.

Men som du skriver under... at jeg skal laste ned disse programmene...

Skal jeg bare gjøre det og så spørre deg om videre hjelp?

Jeg har meget liten peiling som du sikkert forstår!

så... før jeg begynner.. skal jeg laste ned og kjøre det som du skriver i denne topicen?

 

Takker uansett!

 

Håper på svar

[Christofferaa]

OK Norbat...

Jeg kjørte ComboFix, som du sa. Dette kom opp i notisplokk da det var ferdig:

Håper du kan hjelpe

 

Klikk for å se/fjerne innholdet nedenfor

ComboFix 08-06-05.3 - Christoffer 2008-06-06 19:29:19.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.1.1044.18.2101 [GMT 2:00]
Running from: C:\Users\Christoffer\Desktop\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

J:\Autorun.inf

.
(((((((((((((((((((((((((   Files Created from 2008-05-06 to 2008-06-06  )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 16:50	---------	d-----w	C:\ProgramData\SUPERAntiSpyware.com
2008-06-06 16:49	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\SUPERAntiSpyware.com
2008-06-06 16:49	---------	d-----w	C:\Program Files\SUPERAntiSpyware
2008-06-06 16:49	---------	d-----w	C:\Program Files\Common Files\Wise Installation Wizard
2008-06-06 16:21	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\uTorrent
2008-06-06 11:42	22,328	----a-w	C:\Windows\system32\drivers\PnkBstrK.sys
2008-06-06 11:40	107,832	----a-w	C:\Windows\System32\PnkBstrB.exe
2008-06-05 10:24	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\teamspeak2
2008-06-03 17:20	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\LimeWire
2008-06-03 13:19	---------	d-----w	C:\Program Files\Postal2
2008-06-03 12:09	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\Ventrilo
2008-05-30 21:45	---------	d---a-w	C:\ProgramData\TEMP
2008-05-28 17:10	---------	d-----w	C:\ProgramData\Apple Computer
2008-05-28 17:10	---------	d-----w	C:\Program Files\QuickTime
2008-05-28 17:09	---------	d-----w	C:\ProgramData\Apple
2008-05-28 17:09	---------	d-----w	C:\Program Files\Apple Software Update
2008-05-28 15:05	---------	d-----w	C:\ProgramData\Roxio
2008-05-26 12:13	---------	d-----w	C:\Program Files\MSXML 4.0
2008-05-26 10:11	---------	d-----w	C:\Program Files\DAEMON Tools Lite
2008-05-25 22:38	717,296	----a-w	C:\Windows\system32\drivers\sptd.sys
2008-05-25 22:38	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\DAEMON Tools
2008-05-25 19:33	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\Any DVD Converter Professional
2008-05-25 19:33	---------	d-----w	C:\Program Files\Any DVD Converter Professional
2008-05-25 18:48	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\Roxio
2008-05-25 18:44	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-05-25 18:44	---------	d-----w	C:\Program Files\Memeo
2008-05-25 18:43	---------	d-s---w	C:\ProgramData\Memeo
2008-05-25 17:54	---------	d-----w	C:\Program Files\Windows Live
2008-05-25 17:53	---------	dcsh--w	C:\Program Files\Common Files\WindowsLiveInstaller
2008-05-25 17:52	---------	d-----w	C:\ProgramData\WLInstaller
2008-05-25 17:33	---------	d-----w	C:\ProgramData\Uninstall
2008-05-25 17:32	---------	d-----w	C:\Program Files\Roxio
2008-05-25 17:32	---------	d-----w	C:\Program Files\Common Files\Sonic Shared
2008-05-25 17:31	---------	d-----w	C:\Program Files\Common Files\Roxio Shared
2008-05-25 17:31	---------	d-----w	C:\Program Files\Common Files\PX Storage Engine
2008-05-25 17:28	---------	d-----w	C:\Program Files\Common Files\SureThing Shared
2008-05-25 17:27	---------	d-----w	C:\ProgramData\Sonic
2008-05-25 17:25	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\InstallShield
2008-05-25 17:15	---------	d-----w	C:\Program Files\Teamspeak2_RC2
2008-05-25 14:49	---------	d-----w	C:\Program Files\SopCast
2008-05-24 23:31	---------	d-----w	C:\Program Files\Ventrilo
2008-05-23 15:48	---------	d-----w	C:\Program Files\Microsoft.NET
2008-05-22 14:21	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\Ubisoft
2008-05-22 14:21	---------	d-----w	C:\ProgramData\Ubisoft
2008-05-22 13:34	669,184	----a-w	C:\Windows\System32\pbsvc.exe
2008-05-22 13:34	66,872	----a-w	C:\Windows\System32\PnkBstrA.exe
2008-05-22 13:34	22,328	----a-w	C:\Users\Christoffer\AppData\Roaming\PnkBstrK.sys
2008-05-22 13:34	---------	d-----w	C:\ProgramData\Media Center Programs
2008-05-22 13:27	---------	d-----w	C:\Program Files\LimeWire
2008-05-22 13:20	---------	d-----w	C:\Program Files\Electronic Arts
2008-05-22 13:01	---------	d-----w	C:\Program Files\Rockstar Games
2008-05-22 12:54	---------	d-----w	C:\Program Files\Sun
2008-05-22 12:54	---------	d-----w	C:\Program Files\Java
2008-05-22 12:53	---------	d-----w	C:\Program Files\Common Files\Java
2008-05-22 12:41	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\PC Suite
2008-05-22 12:41	---------	d-----w	C:\ProgramData\PC Suite
2008-05-22 11:35	---------	d-----w	C:\Program Files\Postal2STP
2008-05-22 10:49	---------	d-----w	C:\Users\Christoffer\AppData\Roaming\vlc
2008-05-22 10:49	---------	d-----w	C:\Program Files\VideoLAN
2008-05-22 10:39	---------	d-----w	C:\Program Files\Nokia
2008-05-22 10:39	---------	d-----w	C:\Program Files\Common Files\PCSuite
2008-05-22 10:39	---------	d-----w	C:\Program Files\Common Files\Nokia
2008-05-22 10:37	---------	d-----w	C:\ProgramData\Downloaded Installations
2008-05-22 10:23	---------	d-----w	C:\Program Files\uTorrent
2008-05-22 10:18	---------	d-----w	C:\Program Files\EA GAMES
2008-05-22 09:53	---------	d-----w	C:\Program Files\Alwil Software
2008-05-22 09:47	---------	d-----w	C:\ProgramData\InstallShield
2008-05-22 09:47	---------	d-----w	C:\ProgramData\eSellerate
2008-05-22 09:47	---------	d-----w	C:\Program Files\Western Digital
2008-05-22 09:47	---------	d-----w	C:\Program Files\Common Files\InstallShield
2008-05-22 09:45	---------	d-----w	C:\Program Files\Western Digital Technologies
2008-05-22 09:36	174	--sha-w	C:\Program Files\desktop.ini
2008-05-22 09:33	---------	d-----w	C:\Program Files\Windows Sidebar
2008-05-22 09:33	---------	d-----w	C:\Program Files\Windows Mail
2008-05-22 09:33	---------	d-----w	C:\Program Files\Windows Defender
2008-05-22 09:33	---------	d-----w	C:\Program Files\Windows Calendar
2008-05-22 09:30	49,664	----a-w	C:\Windows\System32\csrsrv.dll
2008-05-22 09:30	376,320	----a-w	C:\Windows\System32\winsrv.dll
2008-05-22 09:30	194,560	----a-w	C:\Windows\System32\WebClnt.dll
2008-05-22 09:30	110,080	----a-w	C:\Windows\system32\drivers\mrxdav.sys
2008-05-22 09:28	41,984	----a-w	C:\Windows\system32\drivers\monitor.sys
2008-05-22 09:28	374,456	----a-w	C:\Windows\System32\mcupdate_GenuineIntel.dll
2008-05-22 09:28	1,060,920	----a-w	C:\Windows\system32\drivers\ntfs.sys
2008-05-22 09:26	3,504,696	----a-w	C:\Windows\System32\ntkrnlpa.exe
2008-05-22 09:26	3,470,392	----a-w	C:\Windows\System32\ntoskrnl.exe
2008-05-22 09:26	211,000	----a-w	C:\Windows\system32\drivers\volsnap.sys
2008-05-22 09:26	154,624	----a-w	C:\Windows\system32\drivers\nwifi.sys
2008-05-22 09:26	104,448	----a-w	C:\Windows\System32\DWWIN.EXE
2008-05-22 09:25	803,328	----a-w	C:\Windows\system32\drivers\tcpip.sys
2008-05-22 09:25	24,064	----a-w	C:\Windows\System32\netcfg.exe
2008-05-22 09:25	22,016	----a-w	C:\Windows\System32\netiougc.exe
2008-05-22 09:25	216,632	----a-w	C:\Windows\system32\drivers\netio.sys
2008-05-22 09:25	2,048	----a-w	C:\Windows\System32\msxml3r.dll
2008-05-22 09:25	167,424	----a-w	C:\Windows\System32\tcpipcfg.dll
2008-05-22 09:25	1,327,104	----a-w	C:\Windows\System32\quartz.dll
2008-05-22 09:25	1,191,936	----a-w	C:\Windows\System32\msxml3.dll
2008-05-22 09:23	9,728	----a-w	C:\Windows\System32\LAPRXY.DLL
2008-05-22 09:23	223,232	----a-w	C:\Windows\System32\WMASF.DLL
2008-05-22 09:23	2,048	----a-w	C:\Windows\System32\asferror.dll
2008-05-22 09:23	2,027,008	----a-w	C:\Windows\System32\win32k.sys
.

------- Sigcheck -------

.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-05-22 11:21 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984]
"ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 04:40 218032]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="sttray.exe" [2007-03-06 12:37 303104 C:\Windows\sttray.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-06 14:21 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-06 14:21 8429568]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-06 14:21 81920]
"Bluetooth HCI Monitor"="HCIMNTR.DLL" [2006-12-07 15:50 9728 C:\Windows\System32\HCIMNTR.DLL]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"MSConfig"="C:\Windows\system32\msconfig.exe" [2006-11-02 11:45 222208]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=C:\Windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Christoffer^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Memeo AutoSync Launcher.lnk]
path=C:\Users\Christoffer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Memeo AutoSync Launcher.lnk
backup=C:\Windows\pss\Memeo AutoSync Launcher.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
C:\Program Files\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
--a------ 2006-11-28 01:12 2658304 C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D3034BAF-0A2F-4904-959D-0A089FFFCF06}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent
"UDP Query User{7B56F511-2163-4D89-98FB-EF2876921F7F}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent
"{0D414694-014B-4C47-9196-29CCBD13FB15}"= UDP:C:\Program Files\EA GAMES\Battlefield 2\BF2.exe:Battlefield 2
"{3014C372-9812-475C-BE90-2E37CB9C1ECE}"= TCP:C:\Program Files\EA GAMES\Battlefield 2\BF2.exe:Battlefield 2
"TCP Query User{1E8439E5-36F3-4B52-B89D-D9865B52FF77}C:\\program files\\postal2stp\\system\\postal2.exe"= UDP:C:\program files\postal2stp\system\postal2.exe:Postal2
"UDP Query User{3A15DF79-1FD2-4DDC-BD3C-6C63FB499580}C:\\program files\\postal2stp\\system\\postal2.exe"= TCP:C:\program files\postal2stp\system\postal2.exe:Postal2
"TCP Query User{6116978F-1129-444F-8707-B83FEAEFB866}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{18056159-EB67-4B83-B8D4-63320A51DDE5}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"{AB7E3FDB-B995-45EB-B8EB-3FA372DD2072}"= UDP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32
"{3556BA8B-258B-4DBC-8D58-0F67845D002F}"= TCP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32
"{6AFF1992-4518-437F-8451-FE921912C166}"= UDP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"{874462FB-1ED9-4932-9BE7-E49C28A31950}"= TCP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"{A9AFB9ED-65E5-4075-A5AC-39F113B438EB}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{4CCD9D7A-9428-40C8-A729-AECDE98B96A1}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{D94E9AB2-ECE7-4C8F-BC58-4EFCD3C7FD29}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{1EA7239E-381D-48D2-A32B-206237507D60}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"TCP Query User{1431EC66-0041-4DC8-849A-323D44F29747}C:\\users\\christoffer\\desktop\\spill\\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\\rainbow six vegas\\binaries\\r6vegas_game.exe"= UDP:C:\users\christoffer\desktop\spill\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe
"UDP Query User{FD687846-6EB8-4768-AB83-D883F2622A85}C:\\users\\christoffer\\desktop\\spill\\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\\rainbow six vegas\\binaries\\r6vegas_game.exe"= TCP:C:\users\christoffer\desktop\spill\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe
"TCP Query User{97DA8C1A-0E23-46C2-A5FD-87802D9EE599}C:\\users\\christoffer\\desktop\\rainbow six vegas\\binaries\\r6vegas_game.exe"= UDP:C:\users\christoffer\desktop\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe
"UDP Query User{0C0742F0-6E72-421F-9E1C-1E07F3EF97F3}C:\\users\\christoffer\\desktop\\rainbow six vegas\\binaries\\r6vegas_game.exe"= TCP:C:\users\christoffer\desktop\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe
"TCP Query User{BA2EDDF2-DC07-44AA-B18A-3570B43AFD2E}C:\\program files\\limewire\\limewire.exe"= UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{A6C7F7B1-2F59-41B2-A043-E4CEB7600D72}C:\\program files\\limewire\\limewire.exe"= TCP:C:\program files\limewire\limewire.exe:LimeWire
"TCP Query User{4C66B071-0F8B-414C-A7F9-358F48F54DB1}C:\\program files\\sopcast\\adv\\sopadver.exe"= UDP:C:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"UDP Query User{085B888D-4567-442B-BD04-71EE0EFADCDD}C:\\program files\\sopcast\\adv\\sopadver.exe"= TCP:C:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"TCP Query User{EE7B20D0-B781-46FF-A274-8E1CB7638427}C:\\program files\\sopcast\\sopcast.exe"= UDP:C:\program files\sopcast\sopcast.exe:SopCast Main Application
"UDP Query User{9D5F3EB0-C5CA-4DE9-ABD5-19168E4EBE0E}C:\\program files\\sopcast\\sopcast.exe"= TCP:C:\program files\sopcast\sopcast.exe:SopCast Main Application
"{322F81CA-7BB4-4E1E-A1B2-5627BA5A7657}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{A6900C78-043A-42E8-BEF2-CE98E6D360B9}C:\\users\\christoffer\\desktop\\sniper elite\\sniperelite.exe"= UDP:C:\users\christoffer\desktop\sniper elite\sniperelite.exe:sniperelite.exe
"UDP Query User{37D0ACC8-57A3-4792-9765-E6DA7697AD1C}C:\\users\\christoffer\\desktop\\sniper elite\\sniperelite.exe"= TCP:C:\users\christoffer\desktop\sniper elite\sniperelite.exe:sniperelite.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-05-16 01:18]
R3 btwaudio;Bluetooth-lydenhet;C:\Windows\system32\drivers\btwaudio.sys [2007-02-04 23:16]
R3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2007-02-04 23:16]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2007-02-04 23:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{08af6695-338d-11dd-9936-0011507dad7a}]
\shell\AutoRun\command - M:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18a4faaa-27d7-11dd-a8c1-806e6f6e6963}]
\shell\AutoRun\command - D:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{afbcaaef-27e2-11dd-b79b-00197ee67383}]
\shell\AutoRun\command - wd_windows_tools\setup.exe

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2008-06-05 08:50:27 C:\Windows\Tasks\RCHubTask 0 0 {2E6E3A14-F6F5-404E-AC33-87F20083074D} 0~0.job"
- C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\Main\Roxio_Central33.exe?Sched RCHubTask 0 0 {2E6E3A14-F6F5-404E-AC33-87F20083074D} 0~0
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 19:30:46
Windows 6.0.6000  NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-06 19:31:17
ComboFix-quarantined-files.txt  2008-06-06 17:31:14

  Finner ikke meldingstekst for melding nummer 0x2379 i meldingsfilen for Application.
  Finner ikke meldingstekst for melding nummer 0x2379 i meldingsfilen for Application.

225	--- E O F ---	2008-06-06 06:00:49

Endret 10. juni 2008 av Skagen
La loggen i skjul-tag. :-)

[norbat]

bfplayer sin egen tråd: https://www.diskusjon.no/index.php?showtopic=964019

[Aceface]

Fikk denne driten jeg også, og trykket på linken, men så at domenet var fake, man måtte laste ned en fil med ytterst mistenkelig filnavn osv., så jeg lastet den ikke ned.

 

Noen timer senere fant jeg ut at filen lagret seg på PC-en når man trykket på linken, men aktiverte seg ikke. Vil helst få fjernet denne filen så fort som mulig selv om den ikke gjør noe.

 

Noe (kanskje) relevant info:

 

Jeg bruker Firefox (den nyeste versjonen 2.02 tror jeg, ikke BETA-en til Firefox 3)

Jeg har restartet PC-en en gang

Jeg har innstallert et program (noe så ubeleilig som en driver(til wacom-brettet mitt))

Jeg bruker Norman antivirus.. har ikke gjennomført noen søk etter at jeg trykket på linken

Jeg bruker Windows Vista Premium

 

Håper noen kan svare meg på hvordan filen kan fjernes eller om det er nødvendig å fjerne filen i det hele tatt, ettersom den bare er der

[Christofferaa]

Lag din egen tråd.

Skriv slik:

eks:"Jeg fikk MSN Viruset :S"

 

når du har gjort det... kommer sikkert Norbat til å hjelpe deg...

eller noen andre... Jeg fikk hjelp av Norbat, og nå er det fikset!

[Zandreu]

Hehe, "our hero".

Det irriterer meg noe så grenseløst at folk i det hele tatt tenker på å lage slike virus.. Må jo være direkte ondskapsfulle mennesker, eller at de ikke forstår omfanget av hva de gjør. Sikkert begge deler..

[norbat]

Fikk denne driten jeg også, og trykket på linken, men så at domenet var fake, man måtte laste ned en fil med ytterst mistenkelig filnavn osv., så jeg lastet den ikke ned.

 

Noen timer senere fant jeg ut at filen lagret seg på PC-en når man trykket på linken, men aktiverte seg ikke. Vil helst få fjernet denne filen så fort som mulig selv om den ikke gjør noe.

 

 

Håper noen kan svare meg på hvordan filen kan fjernes eller om det er nødvendig å fjerne filen i det hele tatt, ettersom den bare er der

 

Ønsker gjerne å vite mer nøyaktig hva som sto på linken

 

Fortell også hvor fila ligger og hva den heter.

 

Gjør også dette:

Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

 

Post loggfilen fra combofix (c:\combofix.txt) i en egen tråd som du oppretter ved å klikke NYTT EMNE-knappen.

[norbat]

Hehe, "our hero".

Det irriterer meg noe så grenseløst at folk i det hele tatt tenker på å lage slike virus.. Må jo være direkte ondskapsfulle mennesker, eller at de ikke forstår omfanget av hva de gjør. Sikkert begge deler..

 

De forstår nok mer enn hva vi tror

Disse MSN-ormene har som hovedoppgave å få flest mulig PC-en smittet slik at de kan inngå i et botnet (nettverk av PC-er som kan bli styrt av en hacker etc). Et botnet kan brukes til ulike ting.

[Aceface]

Det er den youtube-greien, men lastet ikke ned filen.

Var bare en som sa at den lagrer seg selv på PC-en når man trykker på linken, men den trenger da å bli manuelt aktivert.

 

Misliker bare tanken på å ha en bad MS-DOS-fil et sted på PC-en. Lurte bare på om noen vet hva den heter, hvor den er, om den er skjult og om den i det hele tatt kan ha lagret lagret seg selv gjennom Firefox uten at det kan merkes på noen måte.

[norbat]

Ok,

Kunne du kanskje ha postet en combofix-logg. Den kan vis om det er noe mer som har ramlet inn.

 

Edit: Når du sier youtube-greien, var det youtube.glx.nl/........?

Endret 6. juni 2008 av norbat

[Aceface]

Ok. Orker ikke gjøre det nå, men det kommer en i morgen tidlig

[hernil]

Jeg er ikke noen ekspert på sikkerhet (bare akkurat nok til å holde meg unna virus), men må det ikke en godkjennelse fra brukerens side før noe som helst lastes ned til pc-en? Det jeg tenker er at hvis trykker på en link, har Fx som standard nettleser og det ikke er en utdatert versjon (2.0.0.2 er utdatert for lengst, siste versjon er 2.0.0.14) så må det jo brukeren aktivt godta en nedlasting? Eller tar jeg feil nå?

[r2d290]

Er jo blant annet det som gjør FF så mye tryggere enn IE. Det er mye lettere å få IE til å laste ned uten brukerens godkjennelse, men ser ikke bort ifra at det går i FF også.

 

Men uansett: Er ikke alle som er så høyt opp i nivå som deg. Er en del som tenker "Å, der fikk jeg en link fra en bekjent. Da MÅ det jo være trygt siden h*n selv har vært innpå", og da gjør de hva som skal gjøres på siden (skriver brukernavn og passord, laster ned og installerer filer etc.

 

Er ikke alle som har lært seg nettvett

Endret 9. juni 2008 av r2d290

[hernil]

Selvfølgelig går det an å være uoppmerksom en gang i blant.

Spørsmålet mitt var mer om det faktisk gikk an å få et såkalt "msn-virus" ved bare å trykke på en link (selv om det smarteste er å ikke gjøre det engang) og ikke noe mer.

 

Har selv fått et par obskure linker på msn i min tid, men ikke de siste dagene.

[fowler100]

Jeg har prøvd å bli kvitt dette viruset uten å få det bort......... har vista home premium. når jeg går inn på denne linken: http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html er det den spy ware doktoren jeg skal laste ned der eller? sliter veldig med få bort dette..............

[snippsat]

Fowler100 lag en ny post legg ved logg fra combofix,så ordner vi opp.

 

Last Combofix ned ,legg på skrivebordet.

Ikke klikk på vindu mens programet kjører.

post logg C:\combofix.txt

Endret 10. juni 2008 av SNIPPSAT

[fowler100]

Fowler100 lag en ny post legg ved logg fra combofix,så ordner vi opp.

 

Last Combofix ned ,legg på skrivebordet.

Ikke klikk på vindu mens programet kjører.

post logg C:\combofix.txt

 

hvor skal jeg poste: C:\combofix.txt ??

 

jeg åpnet combofix og trykte på kjør..........

[snippsat]

Forum > Programvare > Antivirusprogrammer og datasikkerhet

Her lager du en ny post.

 

Combofix her svarer du ja på alle sprøsmål.

 

Logg ligger da på root c:\

combofix.txt

Endret 10. juni 2008 av SNIPPSAT

[fowler100]

Forum > Programvare > Antivirusprogrammer og datasikkerhet

Her lager du en ny post.

 

Combofix her svarer du ja på alle sprøsmål.

 

Logg ligger da på root c:\

combofix.txt

 

sorry, men skjønner fremdeles ikke så mye........ skal jeg lage et nytt emne under forum - programvare - antivirusprogrammer og datasikkerhet? og poste hva?