skjult trojan tar over nettverket

[kallis]

alle våre 3 kontor pcer har blitt infisert av et irriterende program som sørger for å alltid være tilkoblet internett.. med det samme den får uplink tar den over alle isdn linjene og laster ned et hav av virus og nye trojaner.

 

har fått installert aller siste oppdatering av ad-aware 2007 og avast antivirus som jeg trodde ville fixe biffen!

der ble det funnet og fjernet hundrevis av saker.. men programmet som tar styring over nettverket er ikke å finne noen steder.. det jobber flittig enno, etter noen minutter har jeg like mange virus igjen! :/

eneste løsning var å slette hele internettprotokollen.

 

finnes det en liten enkel firewall som lett lar meg blokkere alle portene dette programmet bruker f.eks?

Endret 3. januar 2008 av kallis

[norbat]

Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

 

Post loggfilen fra combofix (c:\combofix.txt)

[kallis]

blir litt rotete med så bred tekst her men

 

 

ComboFix 08-01-03.3 - Møyfrid Kvalsvik 2008-01-03 23:35:42.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1252.1.1033.18.342 [GMT 1:00]

Running from: C:\Documents and Settings\Møyfrid Kvalsvik\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((( Files Created from 2007-12-03 to 2008-01-03 )))))))))))))))))))))))))))))))

.

 

2008-01-03 23:32 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-03 17:43 . 2008-01-03 17:43 <DIR> d-------- C:\Program Files\Alwil Software

2008-01-02 19:42 . 2002-11-28 18:44 9,216 -ra------ C:\WINDOWS\system32\capi2032.dll

2008-01-02 19:42 . 1999-11-30 16:16 8,976 -ra------ C:\WINDOWS\system32\capi20.dll

2008-01-02 19:42 . 1998-05-29 18:24 3,584 -ra------ C:\WINDOWS\system32\capitask.exe

2008-01-02 19:41 . 2008-01-02 19:42 <DIR> d-------- C:\WINDOWS\LastGood.Tmp

2008-01-02 19:41 . 2008-01-02 19:41 <DIR> d-------- C:\isdn

2008-01-02 19:41 . 2003-07-31 16:21 774,045 --a------ C:\WINDOWS\system32\drivers\WDMCAPI.sys

2008-01-02 19:41 . 2003-07-10 16:02 42,267 --a------ C:\WINDOWS\system32\isdncoin.dll

2008-01-02 19:41 . 2003-03-25 23:31 28,800 --a------ C:\WINDOWS\system32\drivers\wdmwanmp.sys

2008-01-02 19:26 . 2008-01-02 19:26 <DIR> d-------- C:\Program Files\Lavasoft

2008-01-02 19:26 . 2008-01-02 19:26 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-01-02 19:25 . 2008-01-02 19:25 <DIR> d---s---- C:\WINDOWS\system32\Microsoft

2008-01-02 19:24 . 2008-01-02 19:24 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard

2008-01-02 17:03 . 2008-01-03 11:34 <DIR> d-------- C:\Documents and Settings\Møyfrid Kvalsvik\Application Data\MSN6

2008-01-02 17:03 . 2008-01-02 17:03 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\MSN6

2008-01-02 16:56 . 2008-01-02 19:25 <DIR> d-------- C:\Documents and Settings\Møyfrid Kvalsvik\Application Data\Lavasoft

2008-01-02 15:14 . 2008-01-02 15:16 471,040 --a------ C:\WINDOWS\system32\DesktopClock.exe

2007-12-31 15:03 . 2007-12-31 15:03 79,957 --a------ C:\WINDOWS\system32\msv.exe

2007-12-20 17:13 . 2007-12-20 17:17 382,388 --a------ C:\WINDOWS\system32\Q0shad.exe

2007-12-20 17:13 . 2007-12-20 17:13 317,821 --a------ C:\725w2kGB.exe

2007-12-20 17:13 . 2002-11-20 14:48 86,016 --a------ C:\WINDOWS\system32\OZLIB114.DLL

2007-12-20 17:13 . 2003-12-01 15:44 36,864 --a------ C:\WINDOWS\system32\OKPSEMON.DLL

2007-12-17 12:54 . 2007-12-20 17:15 17,580 --a------ C:\WINDOWS\system32\OP5400N.cah

2007-12-17 12:54 . 2007-12-20 17:15 13,332 --a------ C:\WINDOWS\system32\OPLO_M00.cah

2007-12-17 12:54 . 2007-12-20 17:15 469 --a------ C:\WINDOWS\OPLO.INI

2007-12-17 12:47 . 2007-12-17 12:50 970,752 --a------ C:\725w2kNO.exe

2007-12-16 11:56 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll

2007-12-16 11:56 . 2007-12-16 11:56 376 --a------ C:\WINDOWS\ODBC.INI

2007-12-16 11:55 . 2007-12-16 11:55 <DIR> d-------- C:\WINDOWS\SHELLNEW

2007-12-16 11:55 . 2007-12-16 11:55 <DIR> d-------- C:\Program Files\Microsoft.NET

2007-12-16 11:53 . 2007-12-16 11:53 <DIR> dr-h----- C:\MSOCache

2007-12-16 11:45 . 2001-08-17 14:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-15 17:30 --------- d-----w C:\Program Files\ISDN_UTL

2007-12-15 16:48 99,965 ----a-w C:\WINDOWS\UninstallFirefox.exe

2007-12-15 16:45 --------- d-----w C:\Program Files\Common Files\InstallShield

2007-12-15 16:32 --------- d-----w C:\Program Files\microsoft frontpage

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2001-08-23 12:00 66,658 --sh--r C:\WINDOWS\system32\mmdmm.exe

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 13312]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]

"Windows Service Agent"="DesktopClock.exe" [2008-01-02 15:16 471040 C:\WINDOWS\system32\DesktopClock.exe]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Windows Service Agent"="DesktopClock.exe" [2008-01-02 15:16 471040 C:\WINDOWS\system32\DesktopClock.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]

"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]

"mmsass"="mmdmm.exe" [2001-08-23 13:00 66658 C:\WINDOWS\system32\mmdmm.exe]

"Windows Service Agent"="DesktopClock.exe" [2008-01-02 15:16 471040 C:\WINDOWS\system32\DesktopClock.exe]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Windows Service Agent"="DesktopClock.exe" [2008-01-02 15:16 471040 C:\WINDOWS\system32\DesktopClock.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"mmsass"="mmdmm.exe" [2001-08-23 13:00 66658 C:\WINDOWS\system32\mmdmm.exe]

"Windows Service Agent"="DesktopClock.exe" [2008-01-02 15:16 471040 C:\WINDOWS\system32\DesktopClock.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 13:00 13312]

"Windows Service Agent"="DesktopClock.exe" [2008-01-02 15:16 471040 C:\WINDOWS\system32\DesktopClock.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"Windows Service Agent"="DesktopClock.exe" [2008-01-02 15:16 471040 C:\WINDOWS\system32\DesktopClock.exe]

 

R0 isdnlink;isdnlink;C:\WINDOWS\System32\DRIVERS\linkisdn.sys [2002-06-10 20:51]

R0 viaagp;VIA AGP Bus Filter;C:\WINDOWS\System32\DRIVERS\viaagp.sys [2001-08-17 14:58]

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\System32\DRIVERS\WDMCAPI.sys [2003-07-31 16:21]

R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\System32\DRIVERS\wdmwanmp.sys [2003-03-25 23:31]

R4 flys.q8pilots.net;Windows Service Agent;"C:\WINDOWS\System32\DesktopClock.exe" [2008-01-02 15:16]

S3 wanlink;wanlink;C:\WINDOWS\System32\DRIVERS\wanlink.sys [2002-06-10 20:52]

 

*Newly Created Service* - PROCEXP90

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-03 23:36:10

Windows 5.1.2600 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-03 23:36:33

ComboFix2.txt 2008-01-03 22:34:07

[norbat]

Det ligger noen filer der som skal vekk. Gjør følgende:

 

Last ned SAS, installer, oppdater og kjør en full (Complete) scan.

 

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan and save a logfile".

 

Loggfilen kopierer du og poster sammen med loggen fra SAS (preferences->statistics/logs)

[kallis]

fant ingen loggfil til superspyware, men fikk "0 detected" i søkeresultatet. selv om dialup vinduet og annet sto å blinket foran programmet :!:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:02:42, on 04.01.2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\DesktopClock.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\mmdmm.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\rasautou.exe

 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [mmsass] mmdmm.exe

O4 - HKLM\..\Run: [Windows Service Agent] DesktopClock.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] DesktopClock.exe

O4 - HKLM\..\RunOnce: [Windows Service Agent] DesktopClock.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows Service Agent] DesktopClock.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\RunOnce: [Windows Service Agent] DesktopClock.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Service Agent] DesktopClock.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Service Agent] DesktopClock.exe (User 'Default user')

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

--

End of file - 3729 bytes

[norbat]

Huffameg!

 

Problemet, kjære kallis, er at aktuelle pc mangler vesentlige oppdateringer (les: SP1/SP2). At PC-en ikke for lengst har gått ned i knestående og har tatt kvelden er mildt sagt et under.

 

Du bør snarest ta backup av de data som er viktige (dokumenter, bilder, epost etc) uansett hva du velge gjøre fordi:

 

Slike PC-er anbefaler jeg å reinstallere fra grunnen av, og før man kobler til nett, så installerer man Service Pack 2 (SP2). Slik PC-en er nå, er den vid åpen for det meste som ønsker å infiltrere PC-en og det er en stor risiko å bruke PC-en på nett.

 

Så, er det slik at alle 3 PC-er mangler oppdateringer (SP1 eller SP2)?

 

Hva ønsker du å gjøre - reinstallere eller forsøke å rense?

Endret 4. januar 2008 av norbat

[kallis]

hele harddisken på den ene maskinen ble byttet for en uke siden. vet ikke hvor viruset har kommet fra, muligens gjennom tvilsomme internet explorer.

 

men er den virkelig så dårig? alle pcene har brukt xp standard i årevis uten problemer. og jeg har ikke råd til å kjøpe 5 lisenser for XP, 3 på jobb og 2 hjemme. derfor blir installasjonen nektet oppdatering pga piratvare eller noe i den duren..

[norbat]

kallis:

 

Hvis dette er piratversjoner av XP, så kan jeg dessverre ikke hjelpe deg. Er ikke meningen å være kjip, men å kjøre med piratversjon vil alltid føre til at man får de problemer du opplever. Dessuten er det en prinsippsak, for min del. Dette vil gjelde de fleste forum som driver med denne type support også.

 

Om det er alvorlig? Vel, noen kan/har full tilgang til din pc gjennom div. backdoors (ut fra loggen er faktisk dette tilfellet hos deg), det kan være at pc'ene er en del av et botnet som skaper problemer for andre m.m.

 

Lovlige lisenser trenger ikke å koste mer en rundt 1000,- (XP pro upgr eller XP Home oem

 

Dessuten, å rense PC-en slik de(n) er nå er fånyttes da de(n) vil bli infisert igjen når du kobler deg til nettet.

 

Beklager, men slik er det.

Endret 4. januar 2008 av norbat

[kallis]

har betalt for 2 lisenser av XP home hjemme. desse kobler til internett under installasjon og kan trolig ikke brukes andre steder. syns det bør være grenser for hvor mye man skal legge ut, 1000kr per installasjon, nei vet du hva

 

hva gjør forresten skolene med dette, betaler de så mye per maskin? ikke rart mange av de har linux..

Endret 4. januar 2008 av kallis

[norbat]

Vil tro skolene bestiller pc m/windows på samme måte som når du kjøper deg en pc i butikken (kommer med windows installert).

 

At noen skoler bruker linux er nok mer som et forsøk (vil programvaren til linux dekke de faglige målene) enn at man ikke har råd til å kjøpe pc m/win.

 

Dette er nok ingen argument for at du som driver et firma ikke skal betale for lovlige lisenser. Det positive er jo at du får utgiftført det

Endret 4. januar 2008 av norbat

[Inc]

Utrolig at slike pc`r får stå å gå uten "tilsyn". Det er nesten så at man blir provosert, for slike maskiner som dette gjør mye av fxxxskapet som dos angrep osv på andre mulig. Sorry min harde tone ,men dette er vanskjøtting av maskiner. Det verste er at de er koblet til internett og gjør ugang for andre.

[norbat]

Som du ser, kallis, så får du ikke mye gehør for denne måten å spare penger.

[kallis]

lol hva prater du om. at de kobler til nettet og laster ned virus og reklame er mitt problem, hvordan i huleste gjør dette ugang for andre? angrep på servere og annet er en paranoid påstand, slikt blir avstengt automatisk fra internett-leverandøren!!

 

microsoft er isåfall de skyldige, ved å lansere et så elendig produkt og lar det gå i et år før det fantes særlige utbedringer.

Endret 4. januar 2008 av kallis

[norbat]

Les (på svensk): http://sv.wikipedia.org/wiki/Botnet

 

Dette er nok ikke bare ditt 'problem'.

Endret 4. januar 2008 av norbat

[Alastor]

har betalt for 2 lisenser av XP home hjemme. desse kobler til internett under installasjon og kan trolig ikke brukes andre steder. syns det bør være grenser for hvor mye man skal legge ut, 1000kr per installasjon, nei vet du hva

 

hva gjør forresten skolene med dette, betaler de så mye per maskin? ikke rart mange av de har linux..

Du vil ikke betale, men synes det er teit du får virus fordi de du egentlig skulle betalt til ikke har sikkerhetsoppdateringer preinnstallert til sikkerhetshull o.l. oppdaget 2 år etter dine piratkopiers dato.

 

Mhm...

 

Jeg stenger denne tråden jeg, da vi ikke ønsker diskusjon som hjelper med piratvirksomhet.

[Skagen]

Bare en liten notis: Brukeren Norbat har uttrykket ønske om å holde tråden åpen for å føre en diskusjon om sikkerhetsspørsmål rundt bruk av piratvare på et generelt grunnlag. Jeg og Alastor foreslår at dere oppretter en ny tråd om dere ønsker å fortsette denne diskusjonen, men da med en problemstilling som tar opp temaet på et generelt grunnlag, og eventuelt henviser til denne tråden for konkrete eksempler på slike sikkerhetsproblemer vedrørende piratvare. Å diskutere slike sikkerhetsspørsmål på et generelt grunnlag er altså tillatt.

 

Med vennlig hilsen

Skagen og Alastor

Endret 4. januar 2008 av Skagen