Fått viruset backdoor.win32.rbot.gmy

[ARNANDO]

Hei!

 

Jeg jobber som administrator i et stort nettverk på en skole med flere hundre pc-er, og på mandag oppdaget jeg at nettet gikk utrolig tregt. Etter en deil feilsøking viste det seg at det var et virus som var skyld i dette, og det heter "backdoor.win32.rbot.gmy". Har prøvd å søke etter det på google, men det kommer ikke noe interessant informasjon om det, bare at Kaspersky oppdaget viruset ca 13.00 den 13. januar, og at de hadde oppdatert virusprogrammet sitt til å beskytte mot viruset ca 17.00 samme dag. Problemet mitt er at vi har Symantec Antivirus Corporated Edition på våre pc-er som ikke oppdaget dette viruset, og de har fortsatt ingen informasjon om det på sine nettsider.

 

Er det noen her som vet hvordan man kan fjerne dette viruset? Finnes det noen removal-tool som kan fjerne det?

[norbat]

Vil anta at de fleste onlinscannerene har oppdatert sine databaser. Prøv F-secure sin versjon og se om ikke den kan oppdage og fjerne viruset.

[ARNANDO]

Takk for svar:) Men problemet er at alle pc-ene er infisert, og når jeg slår på en av pc-ene og kobler den på nett så generer viruset så mye trafikk at det ikke går. Finnes det ingen removal-tool til dette viruset?

[norbat]

Hvilken fil er det som er knyttet opp i mot denne backdoor.win32.rbot?

Endret 18. januar 2008 av norbat

[ARNANDO]

Det er explorer.exe som er infisert av viruset.

 

Sier det deg noe mer?

[norbat]

Har du mulighet til å lage en hijackthis-logg på en av de infiserte PC-en?

 

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster.

 

(Dette er meste sannsynlig en orm eller trojan, så hvis vi snakker om den (explorer.exe) som ligger i windows-mappa så vil jeg anta at den ikke er direkte infisert. En logg kan fortelle hva som egentlig forårsaker dette)

Endret 18. januar 2008 av norbat

[ARNANDO]

Har du mulighet til å lage en hijackthis-logg på en av de infiserte PC-en?

 

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster.

 

(Dette er meste sannsynlig en orm eller trojan, så hvis vi snakker om den (explorer.exe) som ligger i windows-mappa så vil jeg anta at den ikke er direkte infisert. En logg kan fortelle hva som egentlig forårsaker dette)

 

 

Hei!

 

Her kommer en Hijachthis-log:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:35:50, on 22.01.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe

C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe

C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Symantec AntiVirus\DefWatch.exe

C:\Programfiler\Symantec\Ghost\ngctw32.exe

C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe

C:\Programfiler\Symantec AntiVirus\SavRoam.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\Explorer.EXE

C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\Programfiler\D-Tools\daemon.exe

C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\explorer.exe

C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f-secure.com/v-descs/rbot.shtml

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: Koblingshjelpeprogram for Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [NGClient] C:\Programfiler\Symantec\Ghost\ngctw32.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe

O4 - HKLM\..\RunServices: [explorer] C:\WINDOWS\system32\explorer.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\MSMSGS.EXE

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129882684076

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = undervisning.local

O17 - HKLM\Software\..\Telephony: DomainName = undervisning.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = undervisning.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = undervisning.local

O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programfiler\Symantec AntiVirus\DefWatch.exe

O23 - Service: EvtEng - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Programfiler\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: Symantec Ghost Win32 Client Agent (NGClient) - Symantec Corporation - C:\Programfiler\Symantec\Ghost\ngctw32.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programfiler\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programfiler\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programfiler\Symantec AntiVirus\Rtvscan.exe

 

--

End of file - 6018 bytes

[norbat]

Start hjt, velg "Do a system scan only", sett merke framfor følgende linjer og klikk Fix checked:

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe

O4 - HKLM\..\RunServices: [explorer] C:\WINDOWS\system32\explorer.exe

 

Følgende fil skal fjernes. Du kan godt bruke avenger (se under)

C:\WINDOWS\system32\explorer.exe <-Dette er ikke den 'vanlige' explorer.exe, men en trojan

 

Hent Avenger og pakk det ut.

 

Start programmet, sett prikk i "Input Script Manually" og klikk på lupen.

I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under:

 

Files to delete:

C:\WINDOWS\system32\explorer.exe

 

Klikk på Trafikklyset. Restart PC-en.

Etter restart vil det komme en loggfil som forteller hva som har skjedd. Post den sammen med ny hjt-logg.

Endret 22. januar 2008 av norbat

[ARNANDO]

Hei!

 

Tusen takk for flott hjelp:) Men jeg fikk lastet ned den nyeste oppdateringen til Symantec (datert 22. januar) fra en annen pc og brent på cd nå, og når jeg oppdaterer virusprogrammet på pc-ene så klarer programmet nå å sette viruset i karantene(Quarantine). Tror du det er sikkert nok?

[norbat]

Ja, skulle mene det. Du kunne jo bare ha sjekket om du finner disse oppføringene i en hjt-logg på en av de PC-en der Norton har renset. Er de ikke tilstede, så har Norton gjort jobben

[ARNANDO]

Flott!

 

Tusen tusen takk for god hjelp!