gammalerik Skrevet 13. november 2008 Del Skrevet 13. november 2008 Her er en mail jeg fikk fra ventelo for et par dager siden og kjørte deretter full virusscan, spybot og adaware. Men fant ingenting. Sammenhengen her er at i et døgn kjørte jeg uten ruter, for den døde. Til jeg skaffet meg ny, koblet jeg pcen rett mot modem. Tror at jeg fremdeles er infisert, men at ruteren hindrer trafikk ut. Spørsmålet mitt er: Hvordan skal jeg finne ut av denne botnet-trafikken, og hva skal fjernes på pcen når anti-virus, spybot og adaware ikke finner noe? Kunde: xx IP adresse: xx.xx.xx.xx , client-hostname "gamer"; hardware ethernet xx:xx:xx:xx:xx:xx; Samband: xxxxxxxx Type hendelse: BotNet Denne e-post er sendt til registrert kontaktadresse. Ventelo er blitt varslet om uønsket trafikk som ser ut til å ha opprinnelse fra nevnte IP. Første uatoriserte trafikk ble meldt oss 9/11-08 Om denne type trafikk originerte uten deres viten kan en eller flere maskiner være infisert av f.eks trojaner, virus eller være utsatt for adgangsinnbrudd. Dersom uønsket trafikk ikke opphører vil vi i siste instans se det som nødvendig å sperre linjen for all trafikk. Ved behov for gjentatte sperringer, vil det påløpe gebyr for gjenåpning. Lenke til kommentar
gammalerik Skrevet 13. november 2008 Forfatter Del Skrevet 13. november 2008 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:06:48, on 13.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Microsoft IntelliType Pro\itype.exe C:\Programfiler\McAfee.com\Agent\mcagent.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programfiler\COMODO\COMODO Internet Security\cfp.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\PeerGuardian2\pg2.exe C:\Programfiler\Logitech\SetPoint\SetPoint.exe C:\Programfiler\PopTray\PopTray.exe C:\Programfiler\Fellesfiler\Logishrd\KHAL2\KHALMNPR.EXE C:\Programfiler\COMODO\COMODO Internet Security\cmdagent.exe C:\Programfiler\Java\jre6\bin\jqs.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\FELLES~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\FELLES~1\mcafee\mcproxy\mcproxy.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\Programfiler\SigmaTel\C-Major Audio\WDM\Stacsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Vuze\Azureus.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\Programfiler\Opera\opera.exe C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre6\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programfiler\McAfee\VirusScan\scriptsn.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Mouse Gestures - {A6A49249-57AE-4295-8D4D-18A9502C7D8E} - C:\Programfiler\Internet Explorer\Plugins\Drowse\MouseGestures.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programfiler\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programfiler\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [itype] "c:\Programfiler\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [intelAudioStudio] "C:\Programfiler\Intel Audio Studio\IntelAudioStudio.exe" BOOT O4 - HKLM\..\Run: [mcagent_exe] "C:\Programfiler\McAfee.com\Agent\mcagent.exe" /runkey O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programfiler\COMODO\COMODO Internet Security\cfp.exe" -h O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PeerGuardian] C:\Programfiler\PeerGuardian2\pg2.exe O4 - Startup: PopTray.lnk = C:\Programfiler\PopTray\PopTray.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programfiler\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {4E660F19-E91E-41e1-88EF-D1DFAB118F67} - C:\Programfiler\Internet Explorer\Plugins\Drowse\MouseGestures.dll O9 - Extra 'Tools' menuitem: Mouse Gestures... - {4E660F19-E91E-41e1-88EF-D1DFAB118F67} - C:\Programfiler\Internet Explorer\Plugins\Drowse\MouseGestures.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O23 - Service: McAfee Application Installer Cleanup (0079721226572585) (0079721226572585mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP7972~1.EXE O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programfiler\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programfiler\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programfiler\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programfiler\Fellesfiler\Logishrd\Bluetooth\LBTServ.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FELLES~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FELLES~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programfiler\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programfiler\SigmaTel\C-Major Audio\WDM\Stacsv.exe -- End of file - 6271 bytes Lenke til kommentar
norbat Skrevet 13. november 2008 Del Skrevet 13. november 2008 Start med å følge veiledningen. Loggene det spørres etter, poster du her i din egen tråd. Er det bare din pc som er tilkoblet og den ruteren du brukte/bruker (trådløs?), den er kryptert? Lenke til kommentar
gammalerik Skrevet 13. november 2008 Forfatter Del Skrevet 13. november 2008 (endret) På nettverket mitt er det en Xbox som står som mediasenter, og to pcer. Det var kun fra en enkelt pc, "gamer", som var infisert i følge ventelo. Hele nettverket er kablet og trådløsfunksjonen er deaktivert på ruter. Har nå i tillegg kjørt Malwarebytes' Anti-Malware. Da jeg skulle laste ned Combofix, startet McAfee å varsle om "potentially unwanted program" og jeg kjørte ikke dette. Malwarebytes' Anti-Malware fant en infisert registerfil. Får håpe at det var det hele. Edit: etter å ha lest veiledningen litt grundigere så leste jeg at AV kan reagere på Combofix. Poster loggen til denne også. mbam_log_2008_11_13__15_56_29_.txt ComboFix.txt Endret 13. november 2008 av gammalerik Lenke til kommentar
Pizzaen Skrevet 13. november 2008 Del Skrevet 13. november 2008 Som det står i veiledningen så ser antivirus program på Combofix som et virus, slå av McAfee også kjører du Combofix. Combofix er vell det viktigste programet i den veiledningen. Lenke til kommentar
gammalerik Skrevet 13. november 2008 Forfatter Del Skrevet 13. november 2008 Loggen fra combofix er editert inni posten som er to over denne. Lenke til kommentar
norbat Skrevet 13. november 2008 Del Skrevet 13. november 2008 Ser ingen tegn på at du skulle bære infisert med malware mer. Sjekk gjerne de andre pc'n også. Du kunne også ha sendt email til ISP og bedt de om de fortsatt mener at det sendes ut uregelmentert data fra pc'n Lenke til kommentar
gammalerik Skrevet 13. november 2008 Forfatter Del Skrevet 13. november 2008 Høres kjempebra ut:) Fikk beskjed for et par dager siden at trafikken var opphørt, men dette var nok kun for at jeg på nytt fikk ruter tilbake igjen. Og dermed ble liggende bak FW etc. Skal prøve å koble meg forbi ruter en stund og høre med ventelo om trafikken har opphørt, nå etter malware-fjerningen. Lenke til kommentar
Morten58 Skrevet 17. november 2008 Del Skrevet 17. november 2008 Siden det er Firewall i de fleste modemer også, tror jeg du bør se etter annen årsak enn "koblet meg direkte til modemet" som du antyder som årsak. Jeg sjekket ingen logger eller noe slik siden saken er løst. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå