Virus med en gang! Fjerner system restore virus?

[daggerfall]

Dette er scenarioet:

 

PC'en er akurat nyformatert, og jeg har lastet ned Opera(har fått smaken for denne leseren!) og instalert det. Virusprogramet ble først oppdatert selvsagt, jeg beveger meg ikke inn på en eneste webside før det er gjort.

 

Det kommer en melding i symatec firewallen om jeg vil slippe Opera gjennom når jeg går inn i nettleseren første gangen. Low risk. Jeg sier ja. Denne burde være grei.

 

Rett etter(omtrent på sekundet) kommer nok en melding fra firewallen. En eller annen utgående protokol vil gjennom. Low risk Jeg tror det er noe mere Opera greier, og sier ja. Så spretter en melding om virus fra northon opp. Faen i helvete.

 

Satte systemet tilbake til gør opera ble innstalert, er viruset borte nå?

 

[berxter]

Tviler jeg på. Kjør Norton i safe mode. Med det samme du er der ( i safe mode), ta en runde med et dedikert antispywareprogram, f eks SAS, AVG e l.

 

Bernt K

[daggerfall]

Jepp... fikk meldinga igjen... blokka den denne gangen. Trivial file het den.

[berxter]

Ah, er det ikke Trivial File Transfer Protocol? Den er det mange virus som bruker, bl a Blaster, Sasser og en del andre gamle. Du har installert SP2, ja? Du har kjørt Norton osv i safe mode? Kanskje en HJT-logg?

 

Bernt K

[johome]

Er ikke det en såkalt nettverksorm ?

Det scanner hele nettet etter Pc'er som det kan infisere.

 

Har selv blitt utsatt for noe sånt for en del år siden med en nyinnstallert windows.

 

Etter at jeg begynte med Kerio firewall ble det helt slutt med slikt. Tror den firewallen har innebygd blokkering mot slikt.

 

Isåfall utrolig at ikke Norton firewallen stoppet angrepet.

 

Jeg har tatt lærdom av det og trekker alltid ut nettverkskabelen før jeg innstallerer Windows.

Og når Windows og de viktigste programmene er innstallert fra CD , bruker jeg Acronis true image.

Deretter går jeg på nettet.

[daggerfall]

Har ganske gammelt virusprogram(fra 2002), så før jeg fikk oppdatert var jeg nok ganske sårbar. Ledninga til internett sto i en laptop da jeg innstallerte windows.

 

Det var Trivial File Transfer Protocol ja. Siden det spratt opp rett etter at jeg slap Opera gjennom trodde jeg det hørte til Opera. Har fått virus med en gang en gang tidligere.

 

Logfile of HijackThis v1.99.1

Scan saved at 22:19:03, on 24.07.2007

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\PROGRA~1\ONLINE~2\ADSL\ADSL.exe

c:\program files\online internett\adsl\wsupdate.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.online.no/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{58C380BA-905D-47CD-AA37-17101B06837D}: NameServer = 130.67.60.68 193.213.112.4

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe

 

[berxter]

Vel, loggen din ser rein ut, men HJT viser jo ikke alle virus. Beklager å måtte si det, men du må skaffe deg SP2 og oppdatere XP ellers, ellers vil du være sårbar for ormer og virus vi andre har vært immune mot i flere år. Du skriver ikke at du har kjørt Norton i safe mode, og dermed blitt kvitt svineriet, men det antar jeg du har. Jeg ville likevel satt maskina på en full Trend Housecall i natt (Google er din venn).

 

Bernt K

[johome]

Hvis du har NIS fra 2002 ville jeg like godt avinnstallert hele Norton greia , og deretter innstallert NIS 2007 som er bygget opp på en helt annen måte.

 

De gamle utgavene av NIS er jo beryktet for å sluke ressurser.

[daggerfall]

Northon fant ikke noe i safemode, eller i vanlig modus.

 

På meldinga sto det "access to the file denied", noe som kan tolkes som at filen ikke fikk slippe gjennom, men jeg heller mot at det beyr at virusprogrammet ikke klarte å hanskes med viruset.

 

AVG fant en malware backdoor greie. Tror kanskje det var den som åpna opp. Det tryggeste er kanskje en ny formatering siden systemrestore ikke fjerna virus slik som jeg hadde et håp om.

 

Skal prøve 07 utgaven av Norton. Årsaken til at jeg kjører 02 er at PC'en er 7 år gammel og har en P3 cpu på 800mhz

Endret 25. juli 2007 av daggerfall

[covah]

Dersom du bruker en vanlig XP installasjons-CD uten SP2 integrert, bør du IKKE ha nettverkskabelen i under installasjonen. Du bør IKKE sette den i før du har fått installert en brannmur. PRE-SP2 versjonen av XP har noen gigantiske sikkerhetshull. Du behøver ikke engang å åpne en nettleser for å bli smittet, det er nok at PCen har tilgang til nettet (må moderere meg litt, iom. at de fleste routere blokkerer slikt).

 

Da dette var på det værste, viste undersøkelser at en ubeskyttet XP maskin brukte under 10 minutter på å bli infisert. Heldigvis er det ikke like ille nå lenger, iom. at de aller fleste har oppgradert til SP2. Det skremmende med saken, er at patchen som tettet dette hullet var tilgjengelig via Windows Update flere mnd. før det første viruset som utnyttet hullet kom. Dette viser igjen bare hvor viktig det er å ha et oppdatert OS.

 

Tips. Dersom du ikke har en cd der SP2 er integrert i XP, bør du lage denne selv. Søk på google etter "xp slipstream".

[norbat]

Som flere nevner, må du oppdatere din Windows.

Du kan laste ned SP2 fra denne siden: http://www.microsoft.com/downloads/details...45-9e368d3cdb5a (Bytt språk om nødvendig).

Endret 26. juli 2007 av norbat