theguy Skrevet 18. november 2010 Del Skrevet 18. november 2010 (endret) Hei! (ser hvor langt dette ble, beklager for det, men vær vennlig å les alikevel ) Så som dere kanskje vet, så var det nylig et utbrudd av virus på det populære forumet Reddit. Mer info: HER Anbefaler dere dog ikke å gå inn der, spesielt ikke uten et skikkelig oppdatert AV, adblock og noscript... Ennå vet de ikke hva som spredde viruset, hvordan det spredde seg etc. Noen sier det var ads'ene, andre ikke. Symptomer rangerer fra folk som får beskjed om at windowsen deres ikke er "genuine" til proxxy innstillinger som har blitt helt forandret og til folk som knapt kan bruke pcen. In the past few hours, a number of reddit users have reported finding a Windows virus called cycbot.b on their systems. dette er viruset: (link til info om det på Microsofts side). HER Så med en gang jeg fant ut av dette skannet jeg pcen med oppdatert symantec endpoint protection (full scan) tre ganger. Jeg lastet også ned MBAM, SuperAntiSpyware og Spyboot Search and Destroy og skannet fulle og quicke scans med disse (flere ganger). Men jeg fant ingenting. Siden har jeg og scannet flere ganger til, men ikke funnet annet enn tracking cookies. (I tiden da flesteparten som ble smittet, tror ikke jeg at jeg var der... Jeg brukte nemlig nesten hele forgårs på å oversette en app for windows.. Men jeg var inne noen ganger, med Chrome, ingen adblock eller noscript. Jeg klikket bare på imgur.com, i.imgur.com, youtube.com etc linker. Og to Amazon ads. Som jeg husker.) Jeg har da noen spørsmål: 1.Er det noen som vet noe om dette? 2.Hvis jeg kjører Mozilla med AdBlock + NoScript, kan jeg da surfe trygt der? (så lenge jeg ikke klikker på andre linker enn imgur.com, i.imgur.com, youtube.com etc?) 3.Kan jeg være sikker jeg ikke har fått det viruset? 4.Det var da noen som snakket om at proxxyene deres ble innstilt.. ser mine normale ut? (se vedlagt bilde). ps. Dette er skolepcen, så det skriptet mener jeg er fra skolen. Og den første avkryssede boxen stiller seg vel alltid automatisk sånn i chrome? 5.Jeg tenkte å kjøre gjennom veiledningen med ComboFix, for å være sikker. Men ettersom dette er skolepc, vet jeg ikke om jeg er admin nok, hvordan kan jeg finne det ut? 6.Men la oss anta det verste, jeg har viruset, men har ikke merket noe til det. Vil en reinstallering og formatering fjerne dette? (og noe som heter joker virus, tror jeg. Tror ikke jeg har det, men kan hende. Ettersom IT- avdelingen har postet på itslearning at nobrain.dk (IKKE GÅ INN DER, ÆSJ) kan gi virus. Noen i klassen min gikk innpå den på pcen min mens jeg var vekke.) P.S Idag scannet jeg pcen med Spybot Search and Destroy, og fikk disse cookiesene (se tre vedlagte bilder). Det som fanget øyet mitt, var da spesielt "Win32.PornPopUp". (Jeg har ikke vært på noe porno sider...) 7.Hvorfor får jeg da det :s ? Endret 19. november 2010 av theguy Lenke til kommentar
raWrz Skrevet 18. november 2010 Del Skrevet 18. november 2010 1. pass 2. Det er ingen garanti, det kommer ann på hva slags virus det er prat på evnt. hva den gjør. 3. Følg veiledningen så kan vi se på den 4. Kan hende den er fra skola, kopier adressa i en et skriveprogram og se om maskina funker uten. 5. Får å se om du har admin rettigheter så kan du høyere klikke på Mozilla, eller hvilket som helst programm og kjøre "kjør som administrator" Kan du dette er du mest sannsynelig moderator og kan gjøre det PS.kan hende de bryter mot skolereglemanget/IKT avtalen du har ingått men.. som jeg sier, hvordan finner du ut av det uansett og tviler på at de bryr seg egentlig 6. En reinnstalasjon vil fjerne alt som er på dataen din, ALT. Så det er siste løsning som regel siden den er garantert til å fjerne viruset 100%. Nobrain.dk er ikke noe farlig, bare en tullesie som har en skript som "tuller" med deg. Populært å sette som startside i klassa mi hvertfall 7. Navnet er bassert på hva den gjør, Popups med Porno "reklame". Burde ikke være noe farlig med anbefaler å kjøre igjennom veiledningen ~ Submit 1 Lenke til kommentar
theguy Skrevet 18. november 2010 Forfatter Del Skrevet 18. november 2010 1. pass 2. Det er ingen garanti, det kommer ann på hva slags virus det er prat på evnt. hva den gjør. 3. Følg veiledningen så kan vi se på den 4. Kan hende den er fra skola, kopier adressa i en et skriveprogram og se om maskina funker uten. 5. Får å se om du har admin rettigheter så kan du høyere klikke på Mozilla, eller hvilket som helst programm og kjøre "kjør som administrator" Kan du dette er du mest sannsynelig moderator og kan gjøre det PS.kan hende de bryter mot skolereglemanget/IKT avtalen du har ingått men.. som jeg sier, hvordan finner du ut av det uansett og tviler på at de bryr seg egentlig 6. En reinnstalasjon vil fjerne alt som er på dataen din, ALT. Så det er siste løsning som regel siden den er garantert til å fjerne viruset 100%. Nobrain.dk er ikke noe farlig, bare en tullesie som har en skript som "tuller" med deg. Populært å sette som startside i klassa mi hvertfall 7. Navnet er bassert på hva den gjør, Popups med Porno "reklame". Burde ikke være noe farlig med anbefaler å kjøre igjennom veiledningen ~ Submit 4. googlet den og det var legit. 5. Jepp, kunne det. 6. tror egentlig jeg vil det, begynne på nytt liksom. Har allerede tatt backup og... 7. Men kan jeg få det da? Og hvordan har den kommet seg på pcen min som jeg ikke har surfet porno med ? ps: les de tre nederste, av en som heter "themannn" og "sje46". hva tenker du om det ? Lenke til kommentar
raWrz Skrevet 18. november 2010 Del Skrevet 18. november 2010 (endret) hmm, Kan vel ikke si noe annet at det virker som om du fikk den fra nettsia da. Kan evnt sjekke om det er noe spesielt hvis du gjør følgende: Gjør følgende: Last ned 'HijackThis'. Lagre den i en permanent mappe, f.eks i C:\HJT\, dobbelklikk på HijackThis.exe, og trykk Do a system scan and save a logfile. Når Notisblokk-vinduet åpnes, trykker du Ctrl-A for å markere hele teksten, kopierer det Ctrl-C og limer det inn i din neste post på forumet Ctrl-V. Mesteparten av innholdet i lista er trygt. Ikke fiks noe enda. Du vil da få en logg tilsvarende den i spoiler nedenfor: Logfile of HijackThis v1.99.1 Scan saved at 17:06:11, on 08.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe c:\programfiler\fellesfiler\logitech\lvmvfm\LVPrcSrv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Programfiler\Logitech\Video\CameraAssistant.exe C:\WINDOWS\system32\ElkCtrl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programfiler\Java\jre1.5.0_07\bin\jusched.exe C:\Programfiler\Ahead\InCD\InCD.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Kenneth\Skrivebord\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://stealthy.foolishgames.net/news.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programfiler\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programfiler\Logitech\Video\InstallHelper.exe /inspect O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programfiler\RivaTuner v2.0 RC 16\RivaTuner.exe" /S O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programfiler\fellesfiler\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programfiler\Sygate\SPF\smc.exe[/code] Et tips: Legg loggfilene i [spoiler]<skriv loggfilen her>[/spoiler] Når du har gjort dette er det bare å vente på svar.. Edit: Det sje45 hørest riktig ut så derfor kan adblock noscript osv ha redda deg fra "den verste". No. It was the ads. Basically what happened is that one of the ads put a virus on windows computers. What the virus did was connect to an IRC server maintained by the maker of the virus, from which commands can be given out to the botnet. The virus on your computer then performs these commands. The network is not freenode, which is the network reddit uses. If you have the virus (do a virus check!) then your computer is already on the IRC network...you just don't know it. Endret 18. november 2010 av Submit 1 Lenke til kommentar
theguy Skrevet 18. november 2010 Forfatter Del Skrevet 18. november 2010 Hvor kan jeg laste ned hijackthis fra da? Vil det finne virus hvis det er der? Lenke til kommentar
raWrz Skrevet 18. november 2010 Del Skrevet 18. november 2010 http://free.antivirus.com/hijackthis/ Channed Speech wikien som jeg bruker har ikke blitt oppdatert etter at forumet har blitt det så koden funka ikke Den vil lage en logg som jeg ser igjennom og forteller hva du skal gjøre utifra. Vennligst ikke kryss av og fjern noen linjer hvis du ikke veit hva du gjør 1 Lenke til kommentar
theguy Skrevet 18. november 2010 Forfatter Del Skrevet 18. november 2010 (endret) http://free.antivirus.com/hijackthis/ Channed Speech wikien som jeg bruker har ikke blitt oppdatert etter at forumet har blitt det så koden funka ikke Den vil lage en logg som jeg ser igjennom og forteller hva du skal gjøre utifra. Vennligst ikke kryss av og fjern noen linjer hvis du ikke veit hva du gjør ok, men er det bedre å kjøre combofix, siden hva kan skje liksom ? holder det isåfall å klikke disable på symantec? Endret 18. november 2010 av theguy Lenke til kommentar
raWrz Skrevet 18. november 2010 Del Skrevet 18. november 2010 Det burde holde ja, Men du gjør hva du vil! HJT er kjappere enn Combofix og jeg vil legge meg nå så derfor ble det HJT siden jeg kanskje rekker å se igjennom uten å endte opp trøtt på skola imorra Lenke til kommentar
theguy Skrevet 18. november 2010 Forfatter Del Skrevet 18. november 2010 (endret) Det burde holde ja, Men du gjør hva du vil! HJT er kjappere enn Combofix og jeg vil legge meg nå så derfor ble det HJT siden jeg kanskje rekker å se igjennom uten å endte opp trøtt på skola imorra ok kjører HJT nå da! stay tuned edit: blir combofix... fikk ikke til med HJT.. Endret 18. november 2010 av theguy Lenke til kommentar
theguy Skrevet 18. november 2010 Forfatter Del Skrevet 18. november 2010 (endret) Her er combofix loggen (Byttet ut brukernavnet mitt med "NAVN".) Endret 19. november 2010 av theguy Lenke til kommentar
raWrz Skrevet 18. november 2010 Del Skrevet 18. november 2010 (endret) Finenr ikke noe rart i combofix loggen. Combofix må avinstalleres. Gå til Start > Kjør (eller hold inne "windows knappen" og trykk R samtidig) Skriv følgende i boksen: ComboFix /Uninstall PS: legg merke til mellomrommet mellom X og /u Trykk Enter. Denne kommandoen vil: Fjerne følgende: ComboFix og dets tilhørende filer og mapper. VundoFix backups, hvis de eksisterer. Mappen C:\Deckard, hvis den eksisterer Mappen C:\OtMoveIt, hvis den eksisterer [*] Nullstille klokke-instillingene. [*] Skjule filetternavn hvis det er nødvendig. [*] Skjule System/Skjulte filer og mapper hvis det er nødvendig. [*] Nullstille systemgjennoprettingspunkter. Sørg forøvrig for at Java, Flash player og Adobe reader er oppdatert, i tillegg til Windows. Svarer imorra hvis det er noe mer du lurer på, drømmeland kaller ~ Submit Endret 18. november 2010 av Submit 1 Lenke til kommentar
theguy Skrevet 19. november 2010 Forfatter Del Skrevet 19. november 2010 Finenr ikke noe rart i combofix loggen. Combofix må avinstalleres. Gå til Start > Kjør (eller hold inne "windows knappen" og trykk R samtidig) Skriv følgende i boksen: ComboFix /Uninstall PS: legg merke til mellomrommet mellom X og /u Trykk Enter. Denne kommandoen vil: Fjerne følgende: ComboFix og dets tilhørende filer og mapper. VundoFix backups, hvis de eksisterer. Mappen C:\Deckard, hvis den eksisterer Mappen C:\OtMoveIt, hvis den eksisterer [*] Nullstille klokke-instillingene. [*] Skjule filetternavn hvis det er nødvendig. [*] Skjule System/Skjulte filer og mapper hvis det er nødvendig. [*] Nullstille systemgjennoprettingspunkter. Sørg forøvrig for at Java, Flash player og Adobe reader er oppdatert, i tillegg til Windows. Svarer imorra hvis det er noe mer du lurer på, drømmeland kaller ~ Submit Ingenting? Hva med følgende: <((((((((((((((((((((((((((((((((((((((( Andre slettinger ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\programdata\Microsoft\Network\Downloader\qmgr0.dat c:\programdata\Microsoft\Network\Downloader\qmgr1.dat ----- BITS: Mulige infiserte sider ----- hxxp://ped-02wsus> -En annen ting, i tidligere scanner med combofix har jeg sett at den har brukt rootkit detector av gmer... men det så jeg ikke noe til i denne loggen.. (?) -Hva er egentlig forskjellen på combofix og HJT? Bør jeg kjøre med HJT og, for å være sikker? -Var ikke Java, flash, adobe eller windows oppdatert? :s ps. fikk avinstallert ComboFix Lenke til kommentar
raWrz Skrevet 19. november 2010 Del Skrevet 19. november 2010 1.Det er filer Combofix sletta. 2. Den skanner uansett, er dog usikker på hvorfor det ikke kom opp i loggen. 3. HJT viser div. register nøkkler som er forbundet med oppstart og programmer som skal kjøre, combofix viser det samme og enda mer. 4. du kan gå til http://secunia.com/vulnerability_scanning/online/ får å se hva som ikke er oppdater av programmer på dataen 1 Lenke til kommentar
theguy Skrevet 19. november 2010 Forfatter Del Skrevet 19. november 2010 1.Det er filer Combofix sletta. 2. Den skanner uansett, er dog usikker på hvorfor det ikke kom opp i loggen. 3. HJT viser div. register nøkkler som er forbundet med oppstart og programmer som skal kjøre, combofix viser det samme og enda mer. 4. du kan gå til http://secunia.com/vulnerability_scanning/online/ får å se hva som ikke er oppdater av programmer på dataen 1. Vil det si virus? 2. Jaja, IT fyr på skolen reinstallerte og formaterte idag, tok bare sjansen når jeg kunne + combofix gjorde at jeg ikke kom på nett mer, og fikk ikke fikset det En ting til: Jeg koblet meg på nett hjemme isted og fikk da valget mellom hjemmenettverk, arbeidsnettverk eller offentlig nettverk. Jeg valgte offentlig, ettersom jeg tenker det er sikrest (?) Er det noen negative sider med det? Da tenker jeg på at nettet ikke går tregere eller noe sånt... Lenke til kommentar
cruzader Skrevet 19. november 2010 Del Skrevet 19. november 2010 Nå kan vi jo nesten leke stalkers! Utifra combofix/screenshots har vi skole,klasse,pc-modell Da er det vel bare 10-15igjen og velge mellom? yrkesskolene har jo stortsett små klasser Lenke til kommentar
raWrz Skrevet 19. november 2010 Del Skrevet 19. november 2010 Hva du velger er som dataen din skal være synelig for de andre dataene, nøyaktig hva de går ut på veit jeg ikke men.. Men uansett i bunn og grunn så er ikke maskina di noe mer tryggere ps. combofix viste startsiden til firefox (?) som så ut som hjemme sia til skolen han Men det trenger vi ikke finne ut av, hehe Lenke til kommentar
theguy Skrevet 19. november 2010 Forfatter Del Skrevet 19. november 2010 Hva du velger er som dataen din skal være synelig for de andre dataene, nøyaktig hva de går ut på veit jeg ikke men.. Men uansett i bunn og grunn så er ikke maskina di noe mer tryggere ps. combofix viste startsiden til firefox (?) som så ut som hjemme sia til skolen han Men det trenger vi ikke finne ut av, hehe åjah, ok Men var det virus som ble fjernet og hva med: hxxp://ped-02wsus> ? hehe, nei det trenger vi ikke Lenke til kommentar
raWrz Skrevet 19. november 2010 Del Skrevet 19. november 2010 Finner ikke noe info som peker til at det er noe å bry seg om ~ Submit Lenke til kommentar
theguy Skrevet 19. november 2010 Forfatter Del Skrevet 19. november 2010 Finner ikke noe info som peker til at det er noe å bry seg om ~ Submit ok, og så har jeg og reinstallert nå, så hvertfall ikke noe å bry seg om Men du, tusen takk for all hjelpen! Setter virkelig pris på det Lenke til kommentar
raWrz Skrevet 19. november 2010 Del Skrevet 19. november 2010 Ikke no problem ~ Submit Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå