Irriterende "virus" problem

[skauert]

På mandag satt jeg på jobben med en aktiv kobling mot min linux PC (SSH) som stod hjemme, da koblingen helt uten videre ble avbrutt. Jeg tenkte ikke noe stort over det siden slike ting kan skje når som helst. Da jeg kom hjem fant jeg ut at en god del ting ikke funka. MSN funket ikke, 70% av websidene jeg prøvde å komme inn på funket ikke (inkludert norman.com), enkelte nettspill funket ikke (slik som WoW) og det samme skjedde med alle PCene som står i nettverket mitt (omtrent 6).

 

Jeg er vanligvis tålmodig, så jeg brydde meg ikke noe særlig om det. Neste dag, da jeg kom hjem fra jobb, fikk jeg en telefon fra Lyse. De fortalte meg at de hadde funnet virus spredning fra min IP. Kun en advarsel virket det som, fordi de hadde ingen antydning til å stenge linjen til jeg hadde fikset det. Jeg sjekket det opp. Siden jeg ikke kom inn på de mest populære web-virusscanner sidene, prøvde jeg en tilfeldig scanner jeg fant på google (denne). Den fant ingenting / fikset ingenting. Prøvde også SpyBot og Ad-Aware som kun fant tilfeldig spyware som hadde ingenting med saken å gjøre. Fikset heller ingenting.

 

Da sjekket jeg ut av interesse om linux PCen min hadde det samme problemet, og det hadde den. Jeg begynte å tvile fordi virus spres ikke like lett fra windows maskiner til linux maskiner. Jeg ringte opp Lyse igjen for å spørre hva som foregikk. Han jeg fikk snakke med kunne ikke hjelpe med slike tekniske ting og måtte gi saken videre til teknisk avdeling som har en responstid på 48 timer.

 

Jeg er da fortsatt tålmodig, men det er litt irriterende å tenke på at Lyse kan fortsette å nekte feil på deres side, da jeg ikke finner noen problemer her. Har prøvd enkelte ting som å koble en PC direkte til modemet, noe som resulterte i akkurat det samme. Jeg spurte også en kompis av meg som hadde et likt problem for en stund siden, hvor han fikk beskjed av Telenor at han hadde åpnet en kobling til en god del kunder. De sperret linjen hans til han fikset det, noe som han gjorde ved å formatere PCen 10 ganger og installere SP2 m/ brannmur som visstnok sperret en service port som dette viruset brukte (135/137 ellerno). Jeg prøvde en firewall som jeg fant på google, men det hjalp ikke stort det heller.

 

Det eneste jeg ikke har prøvd (som jeg heller ikke har hatt anledning til enda) er å ta med laptopen til en kompis og prøve den der. Hvis det skulle funke er det vel klart at problemet ikke eksisterer hos meg. Derimot, hadde det vært scenarioet i dag, ville jeg fortsatt uroet meg over hvordan Lyse kan si at jeg sitter her og sprer virus, noe som visstnok resulterer i at jeg ikke kommer inn på tilfeldige websider, ikke kan koble meg gjennom tilfeldige porter, o.l.

 

Derfor spør jeg dere på HW.no. Har noen av dere tips om hva som skjer? Noen som har opplevd det samme? Jeg setter stor pris på all info jeg kan få!

 

På forhånd takk.

[Pozzolan]

Last ned hijackthis og post en log (se signatur)

[skauert]

Logfile of HijackThis v1.99.1

Scan saved at 12:30:36 PM, on 5/17/2006

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\mysql\bin\mysqld-nt.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\AIM\aim.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\windows\System32\ctfmon.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\mysql\bin\winmysqladmin.exe

C:\windows\System32\wuauclt.exe

C:\Documents and Settings\Christian Skogen\Desktop\skauert\programs\mirc\mirc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Christian Skogen\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.53.137.62:50050

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: openprogram - {14A2E64E-053A-E3DC-9BBC-70407A7C5750} - C:\PROGRA~1\LOVEAT~1\tool option.dll__SpybotSDDisabled (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: tonslitejoy - {059BB338-FCD2-F0BD-6492-5556EC0BF885} - C:\PROGRA~1\LOVEAT~1\tool option.dll (file missing)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [AIM] C:\Program Files\AIM\aim.exe -cnetwait.odl

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200312...meInstaller.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{255A54EB-9623-485A-85EA-CC3E15199E44}: NameServer = 213.167.96.50,213.167.96.34

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WB - C:\DOCUME~1\CHRIST~1\Desktop\skauert\programs\WINDOW~1\fastload.dll

O23 - Service: Apache - Unknown owner - C:\apache\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

 

Ser nok at det kan være en del spyware/adware o.l. der, men om de har noe med dette problemet å gjøre er et spørsmål for seg selv. :/

[Pozzolan]

Tenkte at du har fått noe som redigerte host filen slik at du ble blokkert fra visse webadresser. Men dette er ikke tilfellet. Beklager

[berxter]

Å, her er en stygg about:blank infeksjon. Det virker som du er oppegående på pc, så du kan prøve denne:

http://www.bleepingcomputer.com/forums/topic4210.html

Ellers var det nettopp en tråd her på forumet, der Zjulik ga en link, men søren om jeg finner den i farta.

Denne:

O17 - HKLM\System\CCS\Services\Tcpip\..\{255A54EB-9623-485A-85EA-CC3E15199E44}: NameServer = 213.167.96.50,213.167.96.34

Er det et domene du kjenner til? Dersom ikke få HJT til å fixe den.

Denne Active-X kontrollen ønsker du ikke, få HJT til å fixe:

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200312...meInstaller.exe

Det samme for denne:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Har du satt denne proxyen:

211.53.137.62?

 

 

Bernt K

Endret 17. mai 2006 av berxter

[skauert]

Takk for deres innlegg. Jeg har gjort det du nevnet, Bernt, men ingen av dem ser ut til å ha noen forbindelse med dette problemet. Jeg kommer forresten ikke inn på den linken du la til (tror det er temmelig klart hvorfor det skjer), så jeg kan ikke fikse den about:blank infeksjonen akkurat nå. :/

 

Den proxyen er visst noe jeg har fiklet med for noen måneder siden. Den var heller ikke aktiv, så den gjorde ingenting. Derimot har jeg ikke bruk for den lenger. Jeg fjernet den bare.

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{255A54EB-9623-485A-85EA-CC3E15199E44}: NameServer = 213.167.96.50,213.167.96.34

Er det et domene du kjenner til? Dersom ikke få HJT til å fixe den.

Dette er DNS adressene som Lyse bruker. De er satt opp manuelt fordi jeg har fjernet DHCP oppsettet fra routeren min og bruker statiske IP adresser.

Endret 17. mai 2006 av skauert

[berxter]

Vel, du kan prøve å laste ned cwshredder fra en annen site, f eks

http://www.trendmicro.com/ftp/products/onl.../cwshredder.exe

eller

http://www.trendmicro.com/cwshredder/

dersom de ikke sperres. Den bør kunne fikse så mye at du kommer deg ut.

 

Første gang la jeg ikke merke til disse:

 

O3 - Toolbar: tonslitejoy - {059BB338-FCD2-F0BD-6492-5556EC0BF885} - C:\PROGRA~1\LOVEAT~1\tool option.dll (file missing)

O2 - BHO: openprogram - {14A2E64E-053A-E3DC-9BBC-70407A7C5750} - C:\PROGRA~1\LOVEAT~1\tool option.dll__SpybotSDDisabled (file missing)

 

De ser frøktele skumle ut... Få HJT til å fikse dem. HJT skulle klare å stoppe about:blank imidlertidig, så prøv HJT på dem og den 02 og 03innførselen, og se om du kommer ut uten å reboote.

Adaware SE med VX2pluginen er også verd å prøve.

 

Bernt K

[skauert]

Scan is complete!

CoolWebSearch was not found on this system.

HJT fjernet hvertfall about:blank.

 

Prøver å få tak i den VX2 pluginen, men det går ikke så bra. Alle linkene jeg har prøvd er enten døde eller blir blokket. :/

 

EDIT:

 

Fikk til VX2 plugin nå. Den fant heller ingenting, noe som egentlig ikke overrasker meg.

Endret 17. mai 2006 av skauert

[berxter]

Overrasker ikke meg heller, men den er verd å ta med seg når du først plukker ned Adaware. Hvis du fixer 02 og 03tingene med HJT, går det bedre da?

I såfall ville jeg brukt Killbox eller den noenlunde samme funksjonen i HJT til å slette hele folderen

C:\PROGRA~1\LOVEAT~1\ eller hva den nå heter uten 8.3navnet.

 

Bernt K

[skauert]

LOVEAT~1 eksisterer ikke lenger på mitt system. 02 og 03 tinga er også fikset ved hjelp av HJT. Sånt sett er dette systemet nokså fritt for dritt. Derimot fungerer ikke ting bedre når det gjelder det originale problemet.

 

Her er forresten en ny logg:

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [AIM] C:\Program Files\AIM\aim.exe -cnetwait.odl

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{255A54EB-9623-485A-85EA-CC3E15199E44}: NameServer = 213.167.96.50,213.167.96.34

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WB - C:\DOCUME~1\CHRIST~1\Desktop\skauert\programs\WINDOW~1\fastload.dll

O23 - Service: Apache - Unknown owner - C:\apache\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

[berxter]

Da begynner jeg å gå tom for ideer.

 

Bruker du AOL Instant Messenger? Jeg ser AIM ligger i autostart.

Panda sa ingenting..

 

Jeg har igjen 2 forslag:

 

- Last ned og kjør Ewido i safe mode

- F-secure Blacklight.

 

Hvis ingen av disse finner grums er jeg tom for forslag

 

Bernt K

[Pozzolan]

Hva med restart av modem/router eller lignende?

[skauert]

- Ewido kunne ikke koble til oppdaterings serveren for å hente inn definisjoner.

- F-secure Blacklight fant ingenting på PCen min.

- Restart av modem/router hjalp heller ikke.

 

Begynner å se mørkt ut. :/

Endret 17. mai 2006 av skauert

[berxter]

Du kan laste ned Ewidoupdaten manuelt fra

 

http://www.ewido.net/en/download/updates/

 

Bernt K

[skauert]

Problemet er at jeg ikke kommer meg inn på ewido.net. :O

 

Hadde jeg kunnet gjort det, ville nok programmet sin oppdateringsfunksjon funke helt greit.

[GeirNord]

Logfile of HijackThis v1.99.1

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.53.137.62:50050

 

 

Tipper dette er problemet ditt. I menyen til Internet Explorer, velg Verktøy --> Alternativer for Internet. Deretter arkfanen Tilkoblinger, trykk på knappen LAN-instillinger. I dialogboksen fjerner du krysset for "Bruk en proxy-server...".

[skauert]

Den var aldri et problem til å begynne med. Den boksen var ikke krysset av. Selv om du fjerner krysset, så kommer IPen og porten til å ligge i registered slik at den kan bli husket hvis du skulle trenge den igjen.

[berxter]

Ja, det kan jo hende. Han skrev at han hadde lagt inn denne proxyen for en stund siden, og ting hadde virket etter det, men man vet jo aldri.

 

EDIT: Urk, han kom meg i forkjøpet.

 

Bernt K

Endret 17. mai 2006 av berxter

[Pozzolan]

Prøv å laste ned ewido fra min ftp server

 

Si ifra nå du har lastet det ned slik at jeg kan fjerne filen.

 

Edit: Fjernet link

Endret 17. mai 2006 av stealthy

[skauert]

Takk. Har lastet den ned nå. Driver å scanner. Skal oppdatere med resultater når den er ferdig.