norbat Skrevet 3. juni 2008 Del Skrevet 3. juni 2008 (endret) Denne info/veiledning er basert på MSN-ormen som sender ut link med teksten: "youtube.glx.nl/watchv/=......". Det er rapportert om en annen variant som sender ut link med teksten: "video.stream.idoo.com/...". Det er andre filnavn som er knyttet til den siste, men veiledningen kan brukes på denne også. Info om filer og registeroppføringer som inngår i infeksjonen: Infiserte PC-er viser gjerne en eller flere av følgende oppføringer i en Hijackthis-logg O4 - HKLM\..\Run: [Windows Controls Center] winudmr.exe O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe O4 - HKLM\..\Run: [MSN] scvhost.exe O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe <- Forekommer ofte O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe <- Forekommer ofte O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe <- Forekommer ofte Filer som inngår: C:\WINDOWS\winudmr.exe C:\WINDOWS\winudspm.exe C:\WINDOWS\winudpmgr.exe C:\Windows\scvhost.exe C:\WINDOWS\system32\sysregi.exe <- Forekommer ofte C:\WINDOWS\ehSched.exe <- Forekommer ofte Prosessene er alle en form for Orm / IRC backdoor trojaner Andre filer som kan være tilstede: C:\Windows\sshost.exe C:\WINDOWS\seeshost.exe C:\WINDOWS\sysys.exe C:\WINDOWS\sysutili.exe C:\WINDOWS\ssehost.exe C:\Windows\images.zip C:\WINDOWS\059573.exe C:\WINDOWS\203937.exe Hvordan løse problemet: Det virker som om denne infeksjonen drar med seg ulike typer filer av kategorien WORM/IrcBot backdoor trojaner. Så langt finnes det ikke noe av-prog som tar alle filer, så veiledningen nedenfor er å anbefale. NB! Det er viktig å bytte passord på din MSN-brukerkonto når du har blitt utsatt for noe slikt Program som brukes i denne veiledningen: Malwarebytes Anti-Malware: Oppdager og fjerner bla. de filene som forekommer oftest i denne infeksjonen Combofix: Vil fjerne flere av filene, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager. CCleaner: Fjerner bla. nettleser-cachen der spor etter infeksjonen kan ligge Veiledning Malwarebytes Anti-Malware (MBAM) Last ned MBAM til skrivebordet. Kjør fila og installer programmet. Velg Norsk språkdrakt La programmet oppdatere seg og velg å kjør en hurtig systemskann. Du får en meldingsboks når programmet er ferdigkjørt Klikk deretter på Vis resultat-knappen. Hvis det er funnet malware, vil du nå se hva som er funnet. Klikk så på Fjern valgt -knappen for å fjerne malwaren som evt. ble funnet. Når MBAM er ferdig med å fjerne det den har funnet, vil det bli åpnet en logg i notisblokk. Den kan du kopiere og poste senere. Veiledning Combofix: Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Du må ikke klikke på vinduet mens programmet kjører. Post loggfilen fra combofix (c:\combofix.txt) + loggen fra Malwarebytes A-M i en egen tråd, om du ønsker veiledning (klikk Nytt emne) Veiledning CCleaner: Kjør i tillegg en diskrens vha. CCleaner: Last ned CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Endret 16. juni 2008 av norbat Lenke til kommentar
Christofferaa Skrevet 6. juni 2008 Del Skrevet 6. juni 2008 Hei Norbat! Virker som om du har rå god peiling på dette... Joda... jeg fikk just dette msn viruset! Åpnet en youtube link på msn :/ Jeg har lest gjennom det du har skrevet her og... det på toppen fatter jeg ingenting av. Men som du skriver under... at jeg skal laste ned disse programmene... Skal jeg bare gjøre det og så spørre deg om videre hjelp? Jeg har meget liten peiling som du sikkert forstår! så... før jeg begynner.. skal jeg laste ned og kjøre det som du skriver i denne topicen? Takker uansett! Håper på svar Lenke til kommentar
Christofferaa Skrevet 6. juni 2008 Del Skrevet 6. juni 2008 (endret) OK Norbat... Jeg kjørte ComboFix, som du sa. Dette kom opp i notisplokk da det var ferdig: Håper du kan hjelpe Klikk for å se/fjerne innholdet nedenfor ComboFix 08-06-05.3 - Christoffer 2008-06-06 19:29:19.1 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1044.18.2101 [GMT 2:00] Running from: C:\Users\Christoffer\Desktop\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . J:\Autorun.inf . ((((((((((((((((((((((((( Files Created from 2008-05-06 to 2008-06-06 ))))))))))))))))))))))))))))))) . No new files created in this timespan . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-06 16:50 --------- d-----w C:\ProgramData\SUPERAntiSpyware.com 2008-06-06 16:49 --------- d-----w C:\Users\Christoffer\AppData\Roaming\SUPERAntiSpyware.com 2008-06-06 16:49 --------- d-----w C:\Program Files\SUPERAntiSpyware 2008-06-06 16:49 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-06-06 16:21 --------- d-----w C:\Users\Christoffer\AppData\Roaming\uTorrent 2008-06-06 11:42 22,328 ----a-w C:\Windows\system32\drivers\PnkBstrK.sys 2008-06-06 11:40 107,832 ----a-w C:\Windows\System32\PnkBstrB.exe 2008-06-05 10:24 --------- d-----w C:\Users\Christoffer\AppData\Roaming\teamspeak2 2008-06-03 17:20 --------- d-----w C:\Users\Christoffer\AppData\Roaming\LimeWire 2008-06-03 13:19 --------- d-----w C:\Program Files\Postal2 2008-06-03 12:09 --------- d-----w C:\Users\Christoffer\AppData\Roaming\Ventrilo 2008-05-30 21:45 --------- d---a-w C:\ProgramData\TEMP 2008-05-28 17:10 --------- d-----w C:\ProgramData\Apple Computer 2008-05-28 17:10 --------- d-----w C:\Program Files\QuickTime 2008-05-28 17:09 --------- d-----w C:\ProgramData\Apple 2008-05-28 17:09 --------- d-----w C:\Program Files\Apple Software Update 2008-05-28 15:05 --------- d-----w C:\ProgramData\Roxio 2008-05-26 12:13 --------- d-----w C:\Program Files\MSXML 4.0 2008-05-26 10:11 --------- d-----w C:\Program Files\DAEMON Tools Lite 2008-05-25 22:38 717,296 ----a-w C:\Windows\system32\drivers\sptd.sys 2008-05-25 22:38 --------- d-----w C:\Users\Christoffer\AppData\Roaming\DAEMON Tools 2008-05-25 19:33 --------- d-----w C:\Users\Christoffer\AppData\Roaming\Any DVD Converter Professional 2008-05-25 19:33 --------- d-----w C:\Program Files\Any DVD Converter Professional 2008-05-25 18:48 --------- d-----w C:\Users\Christoffer\AppData\Roaming\Roxio 2008-05-25 18:44 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-05-25 18:44 --------- d-----w C:\Program Files\Memeo 2008-05-25 18:43 --------- d-s---w C:\ProgramData\Memeo 2008-05-25 17:54 --------- d-----w C:\Program Files\Windows Live 2008-05-25 17:53 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller 2008-05-25 17:52 --------- d-----w C:\ProgramData\WLInstaller 2008-05-25 17:33 --------- d-----w C:\ProgramData\Uninstall 2008-05-25 17:32 --------- d-----w C:\Program Files\Roxio 2008-05-25 17:32 --------- d-----w C:\Program Files\Common Files\Sonic Shared 2008-05-25 17:31 --------- d-----w C:\Program Files\Common Files\Roxio Shared 2008-05-25 17:31 --------- d-----w C:\Program Files\Common Files\PX Storage Engine 2008-05-25 17:28 --------- d-----w C:\Program Files\Common Files\SureThing Shared 2008-05-25 17:27 --------- d-----w C:\ProgramData\Sonic 2008-05-25 17:25 --------- d-----w C:\Users\Christoffer\AppData\Roaming\InstallShield 2008-05-25 17:15 --------- d-----w C:\Program Files\Teamspeak2_RC2 2008-05-25 14:49 --------- d-----w C:\Program Files\SopCast 2008-05-24 23:31 --------- d-----w C:\Program Files\Ventrilo 2008-05-23 15:48 --------- d-----w C:\Program Files\Microsoft.NET 2008-05-22 14:21 --------- d-----w C:\Users\Christoffer\AppData\Roaming\Ubisoft 2008-05-22 14:21 --------- d-----w C:\ProgramData\Ubisoft 2008-05-22 13:34 669,184 ----a-w C:\Windows\System32\pbsvc.exe 2008-05-22 13:34 66,872 ----a-w C:\Windows\System32\PnkBstrA.exe 2008-05-22 13:34 22,328 ----a-w C:\Users\Christoffer\AppData\Roaming\PnkBstrK.sys 2008-05-22 13:34 --------- d-----w C:\ProgramData\Media Center Programs 2008-05-22 13:27 --------- d-----w C:\Program Files\LimeWire 2008-05-22 13:20 --------- d-----w C:\Program Files\Electronic Arts 2008-05-22 13:01 --------- d-----w C:\Program Files\Rockstar Games 2008-05-22 12:54 --------- d-----w C:\Program Files\Sun 2008-05-22 12:54 --------- d-----w C:\Program Files\Java 2008-05-22 12:53 --------- d-----w C:\Program Files\Common Files\Java 2008-05-22 12:41 --------- d-----w C:\Users\Christoffer\AppData\Roaming\PC Suite 2008-05-22 12:41 --------- d-----w C:\ProgramData\PC Suite 2008-05-22 11:35 --------- d-----w C:\Program Files\Postal2STP 2008-05-22 10:49 --------- d-----w C:\Users\Christoffer\AppData\Roaming\vlc 2008-05-22 10:49 --------- d-----w C:\Program Files\VideoLAN 2008-05-22 10:39 --------- d-----w C:\Program Files\Nokia 2008-05-22 10:39 --------- d-----w C:\Program Files\Common Files\PCSuite 2008-05-22 10:39 --------- d-----w C:\Program Files\Common Files\Nokia 2008-05-22 10:37 --------- d-----w C:\ProgramData\Downloaded Installations 2008-05-22 10:23 --------- d-----w C:\Program Files\uTorrent 2008-05-22 10:18 --------- d-----w C:\Program Files\EA GAMES 2008-05-22 09:53 --------- d-----w C:\Program Files\Alwil Software 2008-05-22 09:47 --------- d-----w C:\ProgramData\InstallShield 2008-05-22 09:47 --------- d-----w C:\ProgramData\eSellerate 2008-05-22 09:47 --------- d-----w C:\Program Files\Western Digital 2008-05-22 09:47 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-05-22 09:45 --------- d-----w C:\Program Files\Western Digital Technologies 2008-05-22 09:36 174 --sha-w C:\Program Files\desktop.ini 2008-05-22 09:33 --------- d-----w C:\Program Files\Windows Sidebar 2008-05-22 09:33 --------- d-----w C:\Program Files\Windows Mail 2008-05-22 09:33 --------- d-----w C:\Program Files\Windows Defender 2008-05-22 09:33 --------- d-----w C:\Program Files\Windows Calendar 2008-05-22 09:30 49,664 ----a-w C:\Windows\System32\csrsrv.dll 2008-05-22 09:30 376,320 ----a-w C:\Windows\System32\winsrv.dll 2008-05-22 09:30 194,560 ----a-w C:\Windows\System32\WebClnt.dll 2008-05-22 09:30 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys 2008-05-22 09:28 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys 2008-05-22 09:28 374,456 ----a-w C:\Windows\System32\mcupdate_GenuineIntel.dll 2008-05-22 09:28 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys 2008-05-22 09:26 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe 2008-05-22 09:26 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe 2008-05-22 09:26 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys 2008-05-22 09:26 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys 2008-05-22 09:26 104,448 ----a-w C:\Windows\System32\DWWIN.EXE 2008-05-22 09:25 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys 2008-05-22 09:25 24,064 ----a-w C:\Windows\System32\netcfg.exe 2008-05-22 09:25 22,016 ----a-w C:\Windows\System32\netiougc.exe 2008-05-22 09:25 216,632 ----a-w C:\Windows\system32\drivers\netio.sys 2008-05-22 09:25 2,048 ----a-w C:\Windows\System32\msxml3r.dll 2008-05-22 09:25 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll 2008-05-22 09:25 1,327,104 ----a-w C:\Windows\System32\quartz.dll 2008-05-22 09:25 1,191,936 ----a-w C:\Windows\System32\msxml3.dll 2008-05-22 09:23 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL 2008-05-22 09:23 223,232 ----a-w C:\Windows\System32\WMASF.DLL 2008-05-22 09:23 2,048 ----a-w C:\Windows\System32\asferror.dll 2008-05-22 09:23 2,027,008 ----a-w C:\Windows\System32\win32k.sys . ------- Sigcheck ------- . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-05-22 11:21 1232896] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184] "PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984] "ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 04:40 218032] "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856] "SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SigmatelSysTrayApp"="sttray.exe" [2007-03-06 12:37 303104 C:\Windows\sttray.exe] "NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-06 14:21 86016] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-06 14:21 8429568] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-06 14:21 81920] "Bluetooth HCI Monitor"="HCIMNTR.DLL" [2006-12-07 15:50 9728 C:\Windows\System32\HCIMNTR.DLL] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784] "MSConfig"="C:\Windows\system32\msconfig.exe" [2006-11-02 11:45 222208] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk] path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk backup=C:\Windows\pss\BTTray.lnk.CommonStartup backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^Users^Christoffer^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Memeo AutoSync Launcher.lnk] path=C:\Users\Christoffer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Memeo AutoSync Launcher.lnk backup=C:\Windows\pss\Memeo AutoSync Launcher.lnk.Startup backupExtension=.Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher] --a------ 2006-11-28 01:12 2658304 C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{D3034BAF-0A2F-4904-959D-0A089FFFCF06}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent "UDP Query User{7B56F511-2163-4D89-98FB-EF2876921F7F}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent "{0D414694-014B-4C47-9196-29CCBD13FB15}"= UDP:C:\Program Files\EA GAMES\Battlefield 2\BF2.exe:Battlefield 2 "{3014C372-9812-475C-BE90-2E37CB9C1ECE}"= TCP:C:\Program Files\EA GAMES\Battlefield 2\BF2.exe:Battlefield 2 "TCP Query User{1E8439E5-36F3-4B52-B89D-D9865B52FF77}C:\\program files\\postal2stp\\system\\postal2.exe"= UDP:C:\program files\postal2stp\system\postal2.exe:Postal2 "UDP Query User{3A15DF79-1FD2-4DDC-BD3C-6C63FB499580}C:\\program files\\postal2stp\\system\\postal2.exe"= TCP:C:\program files\postal2stp\system\postal2.exe:Postal2 "TCP Query User{6116978F-1129-444F-8707-B83FEAEFB866}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox "UDP Query User{18056159-EB67-4B83-B8D4-63320A51DDE5}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox "{AB7E3FDB-B995-45EB-B8EB-3FA372DD2072}"= UDP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32 "{3556BA8B-258B-4DBC-8D58-0F67845D002F}"= TCP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32 "{6AFF1992-4518-437F-8451-FE921912C166}"= UDP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32 "{874462FB-1ED9-4932-9BE7-E49C28A31950}"= TCP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32 "{A9AFB9ED-65E5-4075-A5AC-39F113B438EB}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA "{4CCD9D7A-9428-40C8-A729-AECDE98B96A1}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA "{D94E9AB2-ECE7-4C8F-BC58-4EFCD3C7FD29}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB "{1EA7239E-381D-48D2-A32B-206237507D60}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB "TCP Query User{1431EC66-0041-4DC8-849A-323D44F29747}C:\\users\\christoffer\\desktop\\spill\\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\\rainbow six vegas\\binaries\\r6vegas_game.exe"= UDP:C:\users\christoffer\desktop\spill\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe "UDP Query User{FD687846-6EB8-4768-AB83-D883F2622A85}C:\\users\\christoffer\\desktop\\spill\\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\\rainbow six vegas\\binaries\\r6vegas_game.exe"= TCP:C:\users\christoffer\desktop\spill\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe "TCP Query User{97DA8C1A-0E23-46C2-A5FD-87802D9EE599}C:\\users\\christoffer\\desktop\\rainbow six vegas\\binaries\\r6vegas_game.exe"= UDP:C:\users\christoffer\desktop\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe "UDP Query User{0C0742F0-6E72-421F-9E1C-1E07F3EF97F3}C:\\users\\christoffer\\desktop\\rainbow six vegas\\binaries\\r6vegas_game.exe"= TCP:C:\users\christoffer\desktop\rainbow six vegas\binaries\r6vegas_game.exe:r6vegas_game.exe "TCP Query User{BA2EDDF2-DC07-44AA-B18A-3570B43AFD2E}C:\\program files\\limewire\\limewire.exe"= UDP:C:\program files\limewire\limewire.exe:LimeWire "UDP Query User{A6C7F7B1-2F59-41B2-A043-E4CEB7600D72}C:\\program files\\limewire\\limewire.exe"= TCP:C:\program files\limewire\limewire.exe:LimeWire "TCP Query User{4C66B071-0F8B-414C-A7F9-358F48F54DB1}C:\\program files\\sopcast\\adv\\sopadver.exe"= UDP:C:\program files\sopcast\adv\sopadver.exe:SopCast Adver "UDP Query User{085B888D-4567-442B-BD04-71EE0EFADCDD}C:\\program files\\sopcast\\adv\\sopadver.exe"= TCP:C:\program files\sopcast\adv\sopadver.exe:SopCast Adver "TCP Query User{EE7B20D0-B781-46FF-A274-8E1CB7638427}C:\\program files\\sopcast\\sopcast.exe"= UDP:C:\program files\sopcast\sopcast.exe:SopCast Main Application "UDP Query User{9D5F3EB0-C5CA-4DE9-ABD5-19168E4EBE0E}C:\\program files\\sopcast\\sopcast.exe"= TCP:C:\program files\sopcast\sopcast.exe:SopCast Main Application "{322F81CA-7BB4-4E1E-A1B2-5627BA5A7657}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{A6900C78-043A-42E8-BEF2-CE98E6D360B9}C:\\users\\christoffer\\desktop\\sniper elite\\sniperelite.exe"= UDP:C:\users\christoffer\desktop\sniper elite\sniperelite.exe:sniperelite.exe "UDP Query User{37D0ACC8-57A3-4792-9765-E6DA7697AD1C}C:\\users\\christoffer\\desktop\\sniper elite\\sniperelite.exe"= TCP:C:\users\christoffer\desktop\sniper elite\sniperelite.exe:sniperelite.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-05-16 01:18] R3 btwaudio;Bluetooth-lydenhet;C:\Windows\system32\drivers\btwaudio.sys [2007-02-04 23:16] R3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2007-02-04 23:16] R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2007-02-04 23:16] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J] \shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{08af6695-338d-11dd-9936-0011507dad7a}] \shell\AutoRun\command - M:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18a4faaa-27d7-11dd-a8c1-806e6f6e6963}] \shell\AutoRun\command - D:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{afbcaaef-27e2-11dd-b79b-00197ee67383}] \shell\AutoRun\command - wd_windows_tools\setup.exe *Newly Created Service* - CATCHME . Contents of the 'Scheduled Tasks' folder "2008-06-05 08:50:27 C:\Windows\Tasks\RCHubTask 0 0 {2E6E3A14-F6F5-404E-AC33-87F20083074D} 0~0.job" - C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\Main\Roxio_Central33.exe?Sched RCHubTask 0 0 {2E6E3A14-F6F5-404E-AC33-87F20083074D} 0~0 . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-06 19:30:46 Windows 6.0.6000 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-06-06 19:31:17 ComboFix-quarantined-files.txt 2008-06-06 17:31:14 Finner ikke meldingstekst for melding nummer 0x2379 i meldingsfilen for Application. Finner ikke meldingstekst for melding nummer 0x2379 i meldingsfilen for Application. 225 --- E O F --- 2008-06-06 06:00:49 Endret 10. juni 2008 av Skagen La loggen i skjul-tag. :-) Lenke til kommentar
norbat Skrevet 6. juni 2008 Forfatter Del Skrevet 6. juni 2008 bfplayer sin egen tråd: https://www.diskusjon.no/index.php?showtopic=964019 Lenke til kommentar
Aceface Skrevet 6. juni 2008 Del Skrevet 6. juni 2008 Fikk denne driten jeg også, og trykket på linken, men så at domenet var fake, man måtte laste ned en fil med ytterst mistenkelig filnavn osv., så jeg lastet den ikke ned. Noen timer senere fant jeg ut at filen lagret seg på PC-en når man trykket på linken, men aktiverte seg ikke. Vil helst få fjernet denne filen så fort som mulig selv om den ikke gjør noe. Noe (kanskje) relevant info: Jeg bruker Firefox (den nyeste versjonen 2.02 tror jeg, ikke BETA-en til Firefox 3) Jeg har restartet PC-en en gang Jeg har innstallert et program (noe så ubeleilig som en driver(til wacom-brettet mitt)) Jeg bruker Norman antivirus.. har ikke gjennomført noen søk etter at jeg trykket på linken Jeg bruker Windows Vista Premium Håper noen kan svare meg på hvordan filen kan fjernes eller om det er nødvendig å fjerne filen i det hele tatt, ettersom den bare er der Lenke til kommentar
Christofferaa Skrevet 6. juni 2008 Del Skrevet 6. juni 2008 Lag din egen tråd. Skriv slik: eks:"Jeg fikk MSN Viruset :S" når du har gjort det... kommer sikkert Norbat til å hjelpe deg... eller noen andre... Jeg fikk hjelp av Norbat, og nå er det fikset! Lenke til kommentar
Zandreu Skrevet 6. juni 2008 Del Skrevet 6. juni 2008 Hehe, "our hero". Det irriterer meg noe så grenseløst at folk i det hele tatt tenker på å lage slike virus.. Må jo være direkte ondskapsfulle mennesker, eller at de ikke forstår omfanget av hva de gjør. Sikkert begge deler.. Lenke til kommentar
norbat Skrevet 6. juni 2008 Forfatter Del Skrevet 6. juni 2008 Fikk denne driten jeg også, og trykket på linken, men så at domenet var fake, man måtte laste ned en fil med ytterst mistenkelig filnavn osv., så jeg lastet den ikke ned. Noen timer senere fant jeg ut at filen lagret seg på PC-en når man trykket på linken, men aktiverte seg ikke. Vil helst få fjernet denne filen så fort som mulig selv om den ikke gjør noe. Håper noen kan svare meg på hvordan filen kan fjernes eller om det er nødvendig å fjerne filen i det hele tatt, ettersom den bare er der Ønsker gjerne å vite mer nøyaktig hva som sto på linken Fortell også hvor fila ligger og hva den heter. Gjør også dette: Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Du må ikke klikke på vinduet mens programmet kjører. Post loggfilen fra combofix (c:\combofix.txt) i en egen tråd som du oppretter ved å klikke NYTT EMNE-knappen. Lenke til kommentar
norbat Skrevet 6. juni 2008 Forfatter Del Skrevet 6. juni 2008 Hehe, "our hero".Det irriterer meg noe så grenseløst at folk i det hele tatt tenker på å lage slike virus.. Må jo være direkte ondskapsfulle mennesker, eller at de ikke forstår omfanget av hva de gjør. Sikkert begge deler.. De forstår nok mer enn hva vi tror Disse MSN-ormene har som hovedoppgave å få flest mulig PC-en smittet slik at de kan inngå i et botnet (nettverk av PC-er som kan bli styrt av en hacker etc). Et botnet kan brukes til ulike ting. Lenke til kommentar
Aceface Skrevet 6. juni 2008 Del Skrevet 6. juni 2008 Det er den youtube-greien, men lastet ikke ned filen. Var bare en som sa at den lagrer seg selv på PC-en når man trykker på linken, men den trenger da å bli manuelt aktivert. Misliker bare tanken på å ha en bad MS-DOS-fil et sted på PC-en. Lurte bare på om noen vet hva den heter, hvor den er, om den er skjult og om den i det hele tatt kan ha lagret lagret seg selv gjennom Firefox uten at det kan merkes på noen måte. Lenke til kommentar
norbat Skrevet 6. juni 2008 Forfatter Del Skrevet 6. juni 2008 (endret) Ok, Kunne du kanskje ha postet en combofix-logg. Den kan vis om det er noe mer som har ramlet inn. Edit: Når du sier youtube-greien, var det youtube.glx.nl/........? Endret 6. juni 2008 av norbat Lenke til kommentar
Aceface Skrevet 6. juni 2008 Del Skrevet 6. juni 2008 Ok. Orker ikke gjøre det nå, men det kommer en i morgen tidlig Lenke til kommentar
hernil Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 Jeg er ikke noen ekspert på sikkerhet (bare akkurat nok til å holde meg unna virus), men må det ikke en godkjennelse fra brukerens side før noe som helst lastes ned til pc-en? Det jeg tenker er at hvis trykker på en link, har Fx som standard nettleser og det ikke er en utdatert versjon (2.0.0.2 er utdatert for lengst, siste versjon er 2.0.0.14) så må det jo brukeren aktivt godta en nedlasting? Eller tar jeg feil nå? Lenke til kommentar
r2d290 Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 (endret) Er jo blant annet det som gjør FF så mye tryggere enn IE. Det er mye lettere å få IE til å laste ned uten brukerens godkjennelse, men ser ikke bort ifra at det går i FF også. Men uansett: Er ikke alle som er så høyt opp i nivå som deg. Er en del som tenker "Å, der fikk jeg en link fra en bekjent. Da MÅ det jo være trygt siden h*n selv har vært innpå", og da gjør de hva som skal gjøres på siden (skriver brukernavn og passord, laster ned og installerer filer etc. Er ikke alle som har lært seg nettvett Endret 9. juni 2008 av r2d290 Lenke til kommentar
hernil Skrevet 9. juni 2008 Del Skrevet 9. juni 2008 Selvfølgelig går det an å være uoppmerksom en gang i blant. Spørsmålet mitt var mer om det faktisk gikk an å få et såkalt "msn-virus" ved bare å trykke på en link (selv om det smarteste er å ikke gjøre det engang) og ikke noe mer. Har selv fått et par obskure linker på msn i min tid, men ikke de siste dagene. Lenke til kommentar
fowler100 Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 Jeg har prøvd å bli kvitt dette viruset uten å få det bort......... har vista home premium. når jeg går inn på denne linken: http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html er det den spy ware doktoren jeg skal laste ned der eller? sliter veldig med få bort dette.............. Lenke til kommentar
snippsat Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 (endret) Fowler100 lag en ny post legg ved logg fra combofix,så ordner vi opp. Last Combofix ned ,legg på skrivebordet. Ikke klikk på vindu mens programet kjører. post logg C:\combofix.txt Endret 10. juni 2008 av SNIPPSAT Lenke til kommentar
fowler100 Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 Fowler100 lag en ny post legg ved logg fra combofix,så ordner vi opp. Last Combofix ned ,legg på skrivebordet. Ikke klikk på vindu mens programet kjører. post logg C:\combofix.txt hvor skal jeg poste: C:\combofix.txt ?? jeg åpnet combofix og trykte på kjør.......... Lenke til kommentar
snippsat Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 (endret) Forum > Programvare > Antivirusprogrammer og datasikkerhet Her lager du en ny post. Combofix her svarer du ja på alle sprøsmål. Logg ligger da på root c:\ combofix.txt Endret 10. juni 2008 av SNIPPSAT Lenke til kommentar
fowler100 Skrevet 10. juni 2008 Del Skrevet 10. juni 2008 Forum > Programvare > Antivirusprogrammer og datasikkerhetHer lager du en ny post. Combofix her svarer du ja på alle sprøsmål. Logg ligger da på root c:\ combofix.txt sorry, men skjønner fremdeles ikke så mye........ skal jeg lage et nytt emne under forum - programvare - antivirusprogrammer og datasikkerhet? og poste hva? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå