Info: Ny MSN-orm hxxp://www.hi5-image.net/image.php

[norbat]

MSN-melding med link:

foto?? ha ha hxxp://www.hi5-image.net/image.php?=min_mailadresse

 

Det som skjer er at du blir bedt om å laste ned, tilsynelatende, et bilde: Eks. DSC00020012009.jpg.exe

 

Hvis du lagrer fila, så vil man i de fleste tilfeller kun se filnavnet DSC00020012009.jpg fordi man ikke vanligvis ser vanlige filendelser som .exe Fila vil også ha et typisk 'bilde'-icon

 

----

 

Hvis du kjører fila, skjer følgende:

Følgende filer/registeroppføringer blir opprettet:

C:\WINDOWS\fxstaller.exe

C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\IXP000.TMP\YOUGOT~1.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center|fxstaller.exe

Pc kobles til et IRC-nettverk, sannsynligvis fungere som en zombie i et botnet

MSN sender meldinger til de du har i kontaktlista di.

 

HijackThis-logg vise følgende:

C:\WINDOWS\fxstaller.exe

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

 

Det vil bli opprettet ei mappe/fil av typen:

C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\IXP000.TMP\YOUGOT~1.EXE

(Denne fila startes av DSC00020012009.jpg.exe og setter hele prosessen i gang)

 

 

Info om fila DSC00020012009.jpg.exe

 

Filstørrelse: 102913 bytes

 

Type infeksjon:

BitDefender: MemScan:Backdoor.RBot.YBJ

Microsoft: VirTool:Win32/CeeInject.gen!J

Kaspersky: Trojan-Downloader.Win32.Agent.bfyq

 

Det er få 'antivirus'-programmer som detekterer fila på nåværende tidspunkt. Noen av-prog gir en advarsel om at fila har "Hidden extension .EXE"

 

Info om fila YOUGOT~1.EXE

 

Filstørrelse: 48690 Bytes

 

Type infeksjon:

BitDefender: MemScan:Backdoor.RBot.YBJ

Microsoft: VirTool:Win32/CeeInject.gen!J

Kaspersky: Trojan-Downloader.Win32.Agent.bfyq

 

Info om fila fxstaller.exe:

Fila blir opprettet av YOUGOT~1.EXE og legger seg i oppstarten slik at den kjører når windows starter.

 

Filstørrelse: 17176 bytes

 

Type infeksjon:

BitDefender: MemScan:Backdoor.RBot.YBJ

F-Secure: Trojan-Downloader.Win32.Agent.bfyq

Kaspersky: Trojan-Downloader.Win32.Agent.bfyq

 

 

Løsning:

 

Last ned Malwarebytes Anti-Malware (MBAM) til skrivebordet.

Kjør og installer programmet. Velg Norsk-språk

La programmet oppdatere seg og velg å kjør en 'hurtig systemskann', klikk Skann.

Det kommer en meldingsboks om at scannen er ferdig, klikk Ok

 

Klikk på Vis resultat-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet.

Klikk så på Fjern valgte -knappen for å fjerne malwaren som evt. ble funnet.

 

Det vil deretter åpnes en logg i notisblokk. Den kan du kopiere og poste.

 

Malwarebytes fjerner alle filer (inkl. selve nedlastingsfila) og registeroppføringer knyttet til denne infeksjonen.

 

Man bør også kjøre en loggskanner som viser litt mer enn hjt-loggen:

Last ned DDS.scr til skrivebordet. Kjør programmet og post dds.txt loggen (ikke attach.txt)

Endret 3. februar 2009 av norbat

[Tosha0007]

Kjenner du kompabiliteten til DDS.scr norbat? Har nemleg store problem med å få køyrd det på vista 64-bit (les: det virker ikkje) Er det same problemet som Combofix eller?

[norbat]

DDS kjører nok dessverre ikke på 64 bits. Nå skulle det ikke være nødvendig å kjøre en slik skann i dette tilfellet da malwarebytes fjerner infeksjonen helt. Hvis man har lagret nedlastingsfila (DSC00020012009.jpg.exe) en plass på pc'n, så er det bare å slette den manuelt.

[Tosha0007]

strålande, tusen takk for raskt svar som vanleg norbat

 

Har alltid hatt for mange kamerater som er "litt" for ivrig etter å trykke på alle mulige lenker dei får, så det er litt oppryddingsarbeid for tida. Rekner med dei fleste har fått denne infeksjonen, som heldigvis er lett å få vekk

[Kris]

Foreløping detekterer ingen antivirus-programmer denne fila

 

AVG detekterte den. Prøvde nettopp og fikk opp "Warning: Hidden extension .EXE"

[norbat]

Ja, jeg regner med at de fleste av-prog. vil få inn nye definisjoner fortløpende, men det tar sikkert litt tid før man selv får oppdatert sine egne. Vil tro at AVG ikke har definisjonen på selve infeksjonen, men tar fila på at den har en 'skjult' .exe-filendelse (og gir beskjed om det til brukeren)

Endret 31. januar 2009 av norbat

[norbat]

Mye tyder på at domenet som er involvert i dette, er tatt ned. La oss håpe det forblir slik, sånn at ingen flere blir infisert med dette.

 

De som ER infisert bør fjerne dette da disse ormene har det med å laste ned annet malware (keyloggere etc).

Endret 1. februar 2009 av norbat

[r2d290]

Går ut ifra at dette er samme fil som hxxp://myspacess.net/image.php?=min mailadresse ?

 

Startet også med "foto" foran beskjeden.

[norbat]

Går ut ifra at dette er samme fil som hxxp://myspacess.net/image.php?=min mailadresse ?

 

Startet også med "foto" foran beskjeden.

 

Ja, det er samme type fil, men infeksjonen er ny. Av de mer kjente av-programmene er det kun BitDefender som detekterer fila.

[raWrz]

hmm siden folkene (?) bak fila lager ny domer så tipper jeg at det er en hensikt med malwaret enn bare og spamme MSN

[Vengance]

Hei

 

Har dette problemet: Når jeg åpner Msn kommer det opp ( flashende ) vinduer og sender noe som Is this pictur your også linken. har gjort Norbat når jeg var ferdig med scannen fant den 6 stk. 2 i windows mappen. 3 av dem skulle slettes etter restart men her er loggen noe feil ?

 

Malwarebytes' Anti-Malware 1.33

Databaseversjon: 1654

Windows 5.1.2600 Service Pack 2

 

04.02.09 21:52:24

mbam-log-2009-02-04 (21-52-24).txt

 

Skanntype: Rask Skann

Objekter skannet: 51177

Tid tilbakelagt: 4 minute(s), 38 second(s)

 

Minneprosesser infisert: 1

Minnemoduler infisert: 0

Registernøkler infisert: 1

Registerverdier infisert: 0

Registerfiler infisert: 0

Mapper infisert: 1

Filer infisert: 3

 

Minneprosesser infisert:

C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Unloaded process successfully.

 

Minnemoduler infisert:

(Ingen mistenkelige filer funnet)

 

Registernøkler infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

 

Registerverdier infisert:

(Ingen mistenkelige filer funnet)

 

Registerfiler infisert:

(Ingen mistenkelige filer funnet)

 

Mapper infisert:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Delete on reboot.

 

Filer infisert:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe (Trojan.Agent) -> Delete on reboot.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Delete on reboot.

 

Delete på reboot, ogsen skal jeg finne ut om den har gjort det ?????

[norbat]

Vengance:

1. Post loggen i en egen tråd som du oppretter ved å klikke Nytt emne

2. Ja, restart pc'n slik at mbam får slettet de filene.

3. Kjør Combofix og post loggen.

 

På forhånd takk.

n

[Vengance]

Vengance:

1. Post loggen i en egen tråd som du oppretter ved å klikke Nytt emne

2. Ja, restart pc'n slik at mbam får slettet de filene.

3. Kjør Combofix og post loggen.

 

På forhånd takk.

n

 

Ok her har du linken : https://www.diskusjon.no/index.php?showtopic=1071366&hl=

[r2d290]

Noen nye linker (sendt fra samme person):

 

 

 

new new play free llotery hxxp://www.win5millon.com/[email protected]

 

foto haha hxxp://www.hi5-imag3.com/[email protected]