ARNANDO Skrevet 18. januar 2008 Del Skrevet 18. januar 2008 Hei! Jeg jobber som administrator i et stort nettverk på en skole med flere hundre pc-er, og på mandag oppdaget jeg at nettet gikk utrolig tregt. Etter en deil feilsøking viste det seg at det var et virus som var skyld i dette, og det heter "backdoor.win32.rbot.gmy". Har prøvd å søke etter det på google, men det kommer ikke noe interessant informasjon om det, bare at Kaspersky oppdaget viruset ca 13.00 den 13. januar, og at de hadde oppdatert virusprogrammet sitt til å beskytte mot viruset ca 17.00 samme dag. Problemet mitt er at vi har Symantec Antivirus Corporated Edition på våre pc-er som ikke oppdaget dette viruset, og de har fortsatt ingen informasjon om det på sine nettsider. Er det noen her som vet hvordan man kan fjerne dette viruset? Finnes det noen removal-tool som kan fjerne det? Lenke til kommentar
norbat Skrevet 18. januar 2008 Del Skrevet 18. januar 2008 Vil anta at de fleste onlinscannerene har oppdatert sine databaser. Prøv F-secure sin versjon og se om ikke den kan oppdage og fjerne viruset. Lenke til kommentar
ARNANDO Skrevet 18. januar 2008 Forfatter Del Skrevet 18. januar 2008 Takk for svar:) Men problemet er at alle pc-ene er infisert, og når jeg slår på en av pc-ene og kobler den på nett så generer viruset så mye trafikk at det ikke går. Finnes det ingen removal-tool til dette viruset? Lenke til kommentar
norbat Skrevet 18. januar 2008 Del Skrevet 18. januar 2008 (endret) Hvilken fil er det som er knyttet opp i mot denne backdoor.win32.rbot? Endret 18. januar 2008 av norbat Lenke til kommentar
ARNANDO Skrevet 18. januar 2008 Forfatter Del Skrevet 18. januar 2008 Det er explorer.exe som er infisert av viruset. Sier det deg noe mer? Lenke til kommentar
norbat Skrevet 18. januar 2008 Del Skrevet 18. januar 2008 (endret) Har du mulighet til å lage en hijackthis-logg på en av de infiserte PC-en? Last ned Hijackthis. Legg det i en egen mappe på skrivebordet. Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster. (Dette er meste sannsynlig en orm eller trojan, så hvis vi snakker om den (explorer.exe) som ligger i windows-mappa så vil jeg anta at den ikke er direkte infisert. En logg kan fortelle hva som egentlig forårsaker dette) Endret 18. januar 2008 av norbat Lenke til kommentar
ARNANDO Skrevet 22. januar 2008 Forfatter Del Skrevet 22. januar 2008 Har du mulighet til å lage en hijackthis-logg på en av de infiserte PC-en? Last ned Hijackthis. Legg det i en egen mappe på skrivebordet. Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster. (Dette er meste sannsynlig en orm eller trojan, så hvis vi snakker om den (explorer.exe) som ligger i windows-mappa så vil jeg anta at den ikke er direkte infisert. En logg kan fortelle hva som egentlig forårsaker dette) Hei! Her kommer en Hijachthis-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:35:50, on 22.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Symantec AntiVirus\DefWatch.exe C:\Programfiler\Symantec\Ghost\ngctw32.exe C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe C:\Programfiler\Symantec AntiVirus\SavRoam.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programfiler\D-Tools\daemon.exe C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\explorer.exe C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\system32\wuauclt.exe C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f-secure.com/v-descs/rbot.shtml R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: Koblingshjelpeprogram for Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [NGClient] C:\Programfiler\Symantec\Ghost\ngctw32.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe O4 - HKLM\..\RunServices: [explorer] C:\WINDOWS\system32\explorer.exe O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129882684076 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = undervisning.local O17 - HKLM\Software\..\Telephony: DomainName = undervisning.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = undervisning.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = undervisning.local O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programfiler\Symantec AntiVirus\DefWatch.exe O23 - Service: EvtEng - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Programfiler\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: Symantec Ghost Win32 Client Agent (NGClient) - Symantec Corporation - C:\Programfiler\Symantec\Ghost\ngctw32.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programfiler\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programfiler\Symantec AntiVirus\Rtvscan.exe -- End of file - 6018 bytes Lenke til kommentar
norbat Skrevet 22. januar 2008 Del Skrevet 22. januar 2008 (endret) Start hjt, velg "Do a system scan only", sett merke framfor følgende linjer og klikk Fix checked: O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe O4 - HKLM\..\RunServices: [explorer] C:\WINDOWS\system32\explorer.exe Følgende fil skal fjernes. Du kan godt bruke avenger (se under) C:\WINDOWS\system32\explorer.exe <-Dette er ikke den 'vanlige' explorer.exe, men en trojan Hent Avenger og pakk det ut. Start programmet, sett prikk i "Input Script Manually" og klikk på lupen. I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under: Files to delete: C:\WINDOWS\system32\explorer.exe Klikk på Trafikklyset. Restart PC-en. Etter restart vil det komme en loggfil som forteller hva som har skjedd. Post den sammen med ny hjt-logg. Endret 22. januar 2008 av norbat Lenke til kommentar
ARNANDO Skrevet 23. januar 2008 Forfatter Del Skrevet 23. januar 2008 Hei! Tusen takk for flott hjelp:) Men jeg fikk lastet ned den nyeste oppdateringen til Symantec (datert 22. januar) fra en annen pc og brent på cd nå, og når jeg oppdaterer virusprogrammet på pc-ene så klarer programmet nå å sette viruset i karantene(Quarantine). Tror du det er sikkert nok? Lenke til kommentar
norbat Skrevet 23. januar 2008 Del Skrevet 23. januar 2008 Ja, skulle mene det. Du kunne jo bare ha sjekket om du finner disse oppføringene i en hjt-logg på en av de PC-en der Norton har renset. Er de ikke tilstede, så har Norton gjort jobben Lenke til kommentar
ARNANDO Skrevet 23. januar 2008 Forfatter Del Skrevet 23. januar 2008 Flott! Tusen tusen takk for god hjelp! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå