Hjelp, Virus

[kroghelg]

Heisan, har en mistanke om at jeg er blitt rammet av et virus som slår ut NIS 2004. Både NAV og NIS starter som deaktivert ved oppstart(endrer den til aktivert med engang), men klarer ikke å gjøre noen endringer på NIS/NAV(som f.eks å kjøre virus-scan,,) Klarer heller ikke å avinstallere den Så lenge jeg får fjernet alt som har med NAV/NIS i oppstarten, fungerer den som normal(tror jeg,,,,)..Håper på snarlig tilbakemelding, visst jeg IKKE takker for hjelpen, så er det nok desverre pga av at jeg da er i full gang med å formaterer

[Syar-2003]

Kan høres ut som MyDoom.B viruset.

B-varianten av viruset sperrer infiserte maskiner mot visse nettsteder, mange av dem drevet av sikkerhetsselskaper og antivirusleverandører. Viruset gjør det vanskelig for brukere med infiserte maskiner å laste ned programvare som kan fjerne det.

 

Du kan prøve online scannere fra panda , trend , eller sygate.

http://www.pandasoftware.com/activescan/co...n_principal.htm

http://housecall.trendmicro.com/

http://scan.sygate.com/prestealthscan.html

 

MyDoom removal

nederst på denne siden MydoomFix

http://www.norman.com/virus_info/w32_mydoom_a_mm.shtml

[kroghelg]

hei, takker så mye for linkene. Har kjørt flere online virus-scan nå, men ser desverre ikke ut til å hjelpe mye. Ser ut som om det er noe som legger seg i oppstarten under prosesser. Er heller ikke sikker på hvilken av dem som trygt kan fjernes......Kjører også norman trial-versjon, finner ingening.

Når jeg prøver å slette enkelte under prosesser, låser maskinen seg bare. Er nok noen der som skal bort, men hvilke og hvordan(uten at maskinen låser seg.....) er jeg ikke sikker på.

[kroghelg]

tillegsinformasjon:når jeg kjører sygates test, får jeg dette resultet:Server Message Block, port 445, "In Windows 2000, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NBT.", ellers var alle testene der "closed"....noen forslag?

[Aanes]

Du har kjørt mydoom fixene fra Symantec eller Norman? uten at de finner noe??

Rart.

Hvis du er usikker på prosesser som kjører, gjør ett søk på google på navnene. Bruker det daglig i min jobb som tekniker.

[Syar-2003]

Sjekke om du har mydoom.a på windows xp/2000/NT

 

MyDoom.a sjekk:

Åpne en cmd prompt.

Skriv

CD\

Skriv

dir shimgapi.dll /a /s

 

Hvis fil blir funnet er du infisert , hvis ikke BRA.

 

MyDoom.b sjekk:

Åpne en cmd prompt.

Skriv

CD\

Skriv

dir ctfmon.dll /a /s

 

Hvis fil blir funnet er du infisert , hvis ikke BRA.

 

kilde:https://information.microsoft.com/security/antivirus/mydoom.asp#howtotell

[kroghelg]

hei igjen, har tilslutt fått fjernet det meste,,,bortsett fra et virus som heter bck/vicer.a,,bruker panda plat. som antivirus, den finner det, men får ikke fjernet det. Søkte på google, men fant litt informasjon om det..noe hjelp?

[Syar-2003]

Hvis du har problemer med å slette en fil benytt DelLater .

 

Husk å disable system restore når du tar vekk virus filer ellers

så kommer de tilbake .

 

DelLater lar deg slette en fil som er i bruk , filen slettes ved neste boot

før windows starter .

 

http://www.diamondcs.com.au/index.php?page=dellater

[kroghelg]

hei igjen, da ser det ut til at alle virus-testene viser ok!,,jipppi,, og tusen takk for all hjelpen, MEN; gjenstår fortsatt noen problemer(er usikker på årsaken til disse). Ved oppstart får jeg beskjed om at den ikke finner c:/windows/system32/fservice.exe(klikker ok på den, så er det borte, men..?.). Får heller ikke kjørt windows update, ingen feilmld, bare en blank side og til slutt;bruker nettbanken til skandibanken, her er det også blitt "krøll"(trykker på div. knapper på den siden, men ingenting skjer, nb,,fungerer fortsatt på opera`en min og fungerte på IE før virusangrepet), ellers ser det ut til at IE kjører som vanlig.

[pgdx]

Har du sett i task manager om du finner noen filer du ikke kjenner igjen?

 

Eventuelt ta et google-søk på alle filnavnene som er i listen, og google sier om det er virus eller ikke.

[Syar-2003]

Den der er spor etter en backdor trojan kalt prorat .

Sjekk disse lokasjonene :

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

 

Se etter ="C:\\WINDOWS\\system32\\fservice.exe"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}]

"StubPath"="C:\\WINDOWS\\system\\sservice.exe"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]....

.....

"Shell"="Explorer.exe C:\\WINDOWS\\system32\\fservice.exe"

.......

[Syar-2003]

Jeg vil anbefale deg å kjøre

cwshredder

spybot

adaware

 

i den rekkefølgen

oppdater definisjonene på spybot og adaware før du kjører dem .

 

last de ned herfra:

cwshredder (cool web shredder):

spybot & adaware:

http://www.spywareinfo.com/downloads.php?cat=sp#det

[jevel]

Når du har hatt såpass heftig besøk som det du beskriver her, så ville jeg ha vært litt paranoid med å bruke nettbank.

 

Uten å kjøre noen programmer så kan du ta en sjekk på om noe eller noen er koblet opp mot maskina di. Dette gjør du ved å trykke start > kjør > skriv cmd > skriv netstat i konsollet, og se etter åpne linker. Hvis du finner noen oppkoblinger, så kan du sjekke IPene via f.eks. Whois på geektools.com.

 

En annen finfin software heter Trojan Hunter. Ta et søk på Google.

 

-KJ

[Ueland]

Vi flytter denne til rett kategori

[kroghelg]

hei igjen:)

har kjørt ad-aware, spotbot og cwchredder -----> finner ingenting!

panda antivirus finner heller ingenting.

 

har ennå ikke fått sjekket regedit, men skal fservice og sservice i utg.punktet finnes på maskinen, eller er det noe som virusene har forårsaket?

 

ps, trojan hunter fant heller ikke noe.

 

Begynner å lure på om ikke en re-installasjon kunne vært løsningen, men vil såfremst som mulig unngå dette.

 

Kommer nok også til å endre kodene på nettbanken ja

[Syar-2003]

fservice.exe og sservice.exe finnes ikke i en standard xp installasjon

så dette har nok vært noen backdoor greier ja.

[kroghelg]

hmm,,da skal jeg vel i utg.punktet kunne slette alt som har med disse to filene å gjøre,,både i registeret og visst dem finnes fysisk på maskinen?

[eiriksen]

SØk etter HijackTHis på forumet og last det ned, deretter copy and paste loggen inn hit.

[kroghelg]

Her er loggen fra hijack

 

Logfile of HijackThis v1.97.7

Scan saved at 20:41:53, on 02.02.2002

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

C:\Program Files\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Panda Software\Panda Platinum Internet Security\apvxdwin.exe

C:\Program Files\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\iolo\System Mechanic 4 Professional\PopupStopper.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Panda Software\Panda Platinum Internet Security\WebProxy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\kent roger helgesen\Local Settings\Temp\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vg.no/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

F0 - system.ini: Shell=

F2 - REG:system.ini: Shell=

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {15fd49d2-69a6-4472-ac97-685b6ddb64ad} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O2 - BHO: (no name) - {d6ef2b43-2521-44de-b5a1-0dc02b4f88bf} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program Files\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [system Mechanic Popup Stopper] "C:\Program Files\iolo\System Mechanic 4 Professional\PopupStopper.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: ICQ Lite (HKLM)

O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll

O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {1842B0EE-B597-11D4-8997-00104BD12D94} (iCC Class) - http://www.pcpitstop.com/internet/pcpConnCheck.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.icanal.no/spill/commerce/catalo...es/ExentCtl.ocx

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...7864.3305092593

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{53E2B238-16D1-4884-A1B8-720A3B07837B}: NameServer = 193.213.112.4 130.67.60.68

[eiriksen]

Du har ihvertfall ikke noen mistenkelig kjørende på pcen din, heller ikke er du hijacked av noe slag. Da mener jeg at du bare kan slette de filene som blir nevnt her så er du kvitt problemet.