Gå til innhold

Foto

Info: MSN-virus - photobucket m.fl LES denne før dere lager en post om MSN- viruset.

Antivirus Datasikkerhet Malware Trojan

36 svar i denne tråden

#1 norbat

norbat

    Bruker

  • Medlemmer
  • 8 382 innlegg
  •   6. oktober 2004

Skrevet 14. januar 2008 - 01:06

NB! Denne veiledningen (se sort tekst lenger ned) omhandler egentlig det MSN-viruset som var aktivt for litt over en uke siden. Det som har vært i aktivitet nylig, er en annen variant med andre filer (se rød tekst). Kjør allikevel gjennom veiledningen som er gitt, med de programmene som er listet opp da det 'nye' MSN-viruset er en variant som har kjente infeksjoner.

De fleste antivirusprogram vil nå ha oppdatert sine definisjoner, som gjør at du sannsynligvis vil bli kvitt infeksjonen vha. det. Er du allikevel i tvil, så ikke nøl med å søke hjelp.

---------------------------------------------------------


Det 'nye' MSN-viruset aktiverer bla. nedlasting av filer knyttet til Vundo-infeksjon, noe som kan sees i en hijackthis-logg som:
O2-linje: C:\WINDOWS\system32\qomnnkh.dll, (dll-fila qomnnkh.dll opptrer i mange navn-varianter).
020-linje: O20 - Winlogon Notify: qomnnkh - C:\WINDOWS\SYSTEM32\qomnnkh.dll

Man kan også finne følgende linje i hjt-loggen:
O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe

Fila svchost.exe vil ligge på følgende plass: C:\windows\svchost.exe

Kjør altså gjennom veiledningen under og evt. post nødvendige logger om du ønsker hjelp.


----------------------------------------------------------

INFO:
Linken du får på MSN, kan inneholde ord som ..photobucket.., ..youtube.. etc.

I de fleste tilfellene har det vært filene ntmngr.exe, lssas.exe og images.zip som har skapt problemer.

ntmngr.exe: Backdoor.Win32.IRCBot.bag (Kaspersky)
lssas.exe: Backdoor.Win32.IRCBot.bau (F-secure)
images.zip: Backdoor.Win32.IRCBot.bau (F-secure)

Filer som kan være virksomme er:
C:\WINDOWS\ntmngr.exe
C:\WINDOWS\lssas.exe
C:\445930.exe
C:\WINDOWS\images.zip

En HJT-logg kan vise følgende linje (registeroppføring):
O4 - HKLM\..\Run: [MSN] lssas.exe
O4 - HKLM\..\Run: [MSN] ntmngr.exe

Er usikker på hvilke antivirusprogram som har oppdatert sine definisjoner for dette, så kan derfor ikke anbefale noen som garantert tar disse filene.

Hvordan løse dette

Fordi det nå har gått noen dager siden denne infeksjonen ble oppdaget, så vil sannsynligvis ditt antivirusprogram ordne problemet. Jeg gir deg allikevel en løsning som jeg vet fungerer.

Programmer som inngår i fixen:
MSNFix: Vil oppdage og fjerne alle filene som er nevnt over
Combofix: Vil fjerne de fleste, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager.
Hijackthis (hjt): Lager en logg som evt. kan fortelle hvordan det ligger an.

Veiledning MSNFix
Last ned MSNFix, og pakk det ut på skrivebordet.
Kjør filen 'MSNFix.bat'. Følg veiledningen


Veiledning Combofix:
Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.
Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt) i en egen tråd, om du ønsker veiledning (klikk Nytt emne)

Veiledning Hijackthis:
Hijackthis kan på en enkel måte fjerne registeroppføringene knyttet til denne infeksjonen.

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.
Start programmet, velg "Do a system scan only".
Sett er merke framfor følgende linjer, om de er tilstede, og klikk Fix checked:

O4 - HKLM\..\Run: [MSN] lssas.exe
O4 - HKLM\..\Run: [MSN] ntmngr.exe

Det er lite sannsynlig at begge er tilstede samtidig.

Oppdater ditt antivirusprogram og kjør en full scan.

Dette innlegget har blitt redigert av norbat: 23. november 2008 - 12:07

  • 0

#2 JohnMartin

JohnMartin

    Bruker

  • Medlemmer
  • 138 innlegg
  •   28. november 2004

Skrevet 14. januar 2008 - 18:49

Takk for en fin veiledning. Har hjulpet mange venner med denne :p
Men lurte bare på en ting.. Vet du hva viruset heter?
Lurte bare på om NOD32 har lagt den til i sin oppdatering, for de oppdaterer jo flere ganger om dagen, så ble litt nysgjerrig der..
  • 0
OS: Windows 8 Pro HK: Asus Z87-Pro CPU: Intel Core i5-4670K RAM: Kingston HyperX blu hukommelse - 16 GB System HDD: Samsung 840 Pro SSD - 256GB PSU: Be Quiet Straight Power E9 CM 680W Kabinett: Fractal Design R3

#3 norbat

norbat

    Bruker

  • Medlemmer
  • 8 382 innlegg
  •   6. oktober 2004

Skrevet 14. januar 2008 - 18:58

Heter det ikke 'MSN-viruset' da? :tease:

Filene er knyttet til Backdoor.Win32.IRCBot (de fleste 'msn-virusene' er varianter av hverandre. Navnet vil sikkert variere litt mellom de ulike av-selskapene)

Dette innlegget har blitt redigert av norbat: 14. januar 2008 - 19:10

  • 0

#4 Heineoen

Heineoen

    Bruker

  • Medlemmer
  • 2 102 innlegg
  •   22. april 2005

Skrevet 17. januar 2008 - 11:59

Ei venninde av meg ser ut til og ha pådratt seg dette viruset..
Sender ut mystiske yourtube linker..
Også av en ellerannen grunn er msn bagrunnsbildet blitt gult med paint smileys? :ermm:

Postet bilde

Combofix:
ComboFix 08-01-17.5 - Anja 2008-01-17 11:39:07.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.404 [GMT 1:00]
Running from: C:\Documents and Settings\Anja\Skrivebord\ComboFix.exe
 * Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000004_.tmp.dll
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
D:\Autorun.inf

.
(((((((((((((((((((((((((   Files Created from 2007-12-17 to 2008-01-17  )))))))))))))))))))))))))))))))
.

2008-01-17 11:38 . 2000-08-31 08:00	51,200	--a------	C:\WINDOWS\NirCmd.exe
2008-01-17 10:25 . 2008-01-17 11:27	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-17 03:40 . 2008-01-17 11:30	<DIR>	d--------	C:\Program Files\PC Tools AntiVirus
2008-01-17 03:40 . 2008-01-17 03:40	<DIR>	d--------	C:\Program Files\Common Files\PC Tools
2008-01-17 03:40 . 2008-01-17 03:40	<DIR>	d--------	C:\Documents and Settings\Anja\Programdata\PC Tools
2008-01-17 03:40 . 2008-01-17 11:32	<DIR>	d-a------	C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-17 03:40 . 2008-01-17 03:40	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\PC Tools
2008-01-17 03:40 . 2007-12-06 16:51	28,568	--a------	C:\WINDOWS\system32\drivers\AVHook.sys
2008-01-17 03:40 . 2007-12-06 16:51	21,912	--a------	C:\WINDOWS\system32\drivers\AVRec.sys
2008-01-17 03:40 . 2007-12-10 10:59	21,912	--a------	C:\WINDOWS\system32\drivers\AVFilter.sys
2008-01-17 02:38 . 2008-01-17 02:38	<DIR>	d--------	C:\Program Files\AusLogics Disk Defrag
2008-01-17 02:38 . 2008-01-17 02:38	<DIR>	d--------	C:\Documents and Settings\Anja\Programdata\Auslogics
2008-01-17 02:28 . 2008-01-17 02:29	<DIR>	d--------	C:\Program Files\TuneUp Utilities 2008
2008-01-17 02:28 . 2008-01-17 02:28	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-01-17 02:28 . 2008-01-17 02:28	306,432	--a------	C:\WINDOWS\system32\TuneUpDefragService.exe
2008-01-17 02:28 . 2007-12-20 10:41	29,440	--a------	C:\WINDOWS\system32\uxtuneup.dll
2008-01-17 02:19 . 2008-01-17 02:19	<DIR>	d--------	C:\Documents and Settings\Anja\Programdata\TuneUp Software
2008-01-17 02:10 . 2007-09-24 23:31	69,632	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-01-17 00:50 . 2008-01-17 00:50	<DIR>	d--------	C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-01-17 00:50 . 2008-01-17 00:50	5,760,054	--a------	C:\WINDOWS\AW_1600x1200.bmp
2008-01-17 00:39 . 2008-01-17 00:39	<DIR>	d--------	C:\Program Files\Common Files\Stardock
2008-01-17 00:39 . 2008-01-17 00:50	<DIR>	d--------	C:\Program Files\AlienGUIseny
2008-01-17 00:39 . 2008-01-17 00:39	58	--a------	C:\WINDOWS\wb.ini
2008-01-17 00:32 . 2008-01-17 00:38	<DIR>	d--hsc---	C:\Program Files\Common Files\WindowsLiveInstaller
2008-01-17 00:32 . 2008-01-17 00:32	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-01-17 00:13 . 2006-10-04 15:06	1,197,294	---------	C:\WINDOWS\system32\dllcache\sysmain.sdb
2008-01-17 00:13 . 2006-10-04 15:06	764,868	---------	C:\WINDOWS\system32\dllcache\apph_sp.sdb
2008-01-17 00:13 . 2006-10-04 15:06	217,118	---------	C:\WINDOWS\system32\dllcache\apphelp.sdb
2008-01-17 00:11 . 2008-01-17 00:12	<DIR>	d--------	C:\WINDOWS\system32\drivers\UMDF
2008-01-14 23:13 . 2008-01-14 23:13	<DIR>	d--------	C:\Program Files\Lavasoft
2008-01-14 23:13 . 2008-01-17 02:27	<DIR>	d--------	C:\Program Files\Common Files\Wise Installation Wizard
2008-01-14 23:13 . 2008-01-14 23:23	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-14 21:43 . 2008-01-14 21:44	<DIR>	d--------	C:\Program Files\Paint.NET
2008-01-14 21:43 . 2007-12-04 13:54	95,608	--a------	C:\WINDOWS\system32\AvastSS.scr
2008-01-14 21:43 . 2007-12-04 15:55	94,544	--a------	C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-14 21:43 . 2007-12-04 15:56	93,264	--a------	C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-14 21:43 . 2007-12-04 15:51	42,912	--a------	C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-14 21:43 . 2007-12-04 15:49	26,624	--a------	C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-14 21:43 . 2007-12-04 15:53	23,152	--a------	C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-14 21:42 . 2008-01-14 21:42	<DIR>	d--------	C:\Program Files\Alwil Software
2008-01-14 21:42 . 2007-12-04 14:04	837,496	--a------	C:\WINDOWS\system32\aswBoot.exe
2008-01-14 21:42 . 2004-01-09 10:13	380,928	--a------	C:\WINDOWS\system32\actskin4.ocx
2008-01-14 20:14 . 2008-01-14 20:14	<DIR>	d--------	C:\Program Files\MSXML 6.0
2008-01-14 19:47 . 2008-01-14 19:47	<DIR>	d--------	C:\Program Files\CCleaner
2008-01-14 19:44 . 2006-11-13 07:02	288,768	---------	C:\WINDOWS\system32\rhttpaa.dll
2008-01-14 19:44 . 2006-11-13 07:02	116,736	---------	C:\WINDOWS\system32\aaclient.dll
2008-01-14 19:44 . 2006-11-13 07:02	36,352	---------	C:\WINDOWS\system32\tsgqec.dll
2008-01-14 19:28 . 2008-01-14 19:28	<DIR>	d--------	C:\Program Files\MSBuild
2008-01-14 19:24 . 2008-01-14 20:18	<DIR>	d--------	C:\WINDOWS\system32\XPSViewer
2008-01-14 19:23 . 2008-01-14 19:23	<DIR>	d--------	C:\Program Files\Reference Assemblies
2008-01-14 19:22 . 2008-01-14 19:22	<DIR>	d--------	C:\c21f916eea1d68d6288cb9
2008-01-14 19:22 . 2006-06-29 13:07	14,048	---------	C:\WINDOWS\system32\spmsg2.dll
2008-01-12 23:14 . 2008-01-12 23:14	<DIR>	d--------	C:\Program Files\Windows Defender
2008-01-08 21:02 . 2005-02-01 14:20	5,760,056	--a------	C:\WINDOWS\Darkstar.bmp
2008-01-08 20:47 . 2008-01-17 00:43	<DIR>	d--------	C:\Program Files\AlienGUIse
2008-01-08 20:47 . 2003-02-26 22:27	36,864	--a------	C:\WINDOWS\system32\wbsys.dll
2008-01-05 19:01 . 2008-01-05 19:01	<DIR>	d--------	C:\Program Files\Serif
2008-01-05 19:01 . 1998-12-08 20:53	212,480	---------	C:\WINDOWS\pcdlib32.dll
2008-01-05 17:20 . 2008-01-05 17:21	<DIR>	d--------	C:\temp
2008-01-05 04:32 . 2008-01-05 04:32	<DIR>	d--------	C:\Program Files\Bonjour
2008-01-05 04:20 . 2008-01-05 04:20	<DIR>	d--------	C:\Program Files\Common Files\Macrovision Shared
2008-01-03 23:44 . 2008-01-17 00:32	<DIR>	d--------	C:\Program Files\Windows Live
2008-01-03 23:44 . 2008-01-03 23:44	<DIR>	d--------	C:\Program Files\Messenger Plus! Live
2008-01-03 23:44 . 2008-01-04 00:14	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-01-01 18:57 . 2008-01-01 18:57	376	--a------	C:\WINDOWS\ODBC.INI
2008-01-01 18:54 . 2008-01-01 18:55	<DIR>	d--------	C:\WINDOWS\ShellNew
2007-12-28 13:18 . 2007-10-11 00:55	6,065,664	---------	C:\WINDOWS\system32\dllcache\ieframe.dll
2007-12-28 13:18 . 2007-07-01 04:31	2,455,488	---------	C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-12-28 13:18 . 2007-07-01 04:36	991,232	---------	C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-12-28 13:18 . 2007-10-11 00:55	459,264	---------	C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-12-28 13:18 . 2007-10-11 00:55	383,488	---------	C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-12-28 13:18 . 2007-10-11 00:55	267,776	---------	C:\WINDOWS\system32\dllcache\iertutil.dll
2007-12-28 13:18 . 2007-10-11 00:55	63,488	---------	C:\WINDOWS\system32\dllcache\icardie.dll
2007-12-28 13:18 . 2007-10-11 00:55	52,224	---------	C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-12-28 13:18 . 2007-10-10 11:59	13,824	---------	C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-23 21:20 . 2007-12-23 23:21	1,407	--a------	C:\WINDOWS\mozver.dat
2007-12-23 21:17 . 2007-12-23 21:17	0	--a------	C:\WINDOWS\nsreg.dat

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-17 01:10	---------	d-----w	C:\Program Files\Java
2008-01-16 23:39	---------	d-----w	C:\Program Files\MSN Messenger
2008-01-16 23:13	---------	d-----w	C:\Program Files\Windows Media Connect 2
2008-01-14 22:16	12,632	----a-w	C:\WINDOWS\system32\lsdelete.exe
2008-01-14 20:41	---------	d-----w	C:\Program Files\Common Files\Symantec Shared
2008-01-14 20:41	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Symantec
2008-01-14 18:31	---------	d-----w	C:\Program Files\Common Files\Adobe
2008-01-11 22:08	---------	d-----w	C:\Documents and Settings\Anja\Programdata\LimeWire
2008-01-05 18:01	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-01-01 18:08	---------	d-----w	C:\Documents and Settings\Anja\Programdata\Skype
2007-12-09 20:48	---------	d-----w	C:\Documents and Settings\Anja\Programdata\AdobeUM
2007-12-05 00:10	---------	d-----w	C:\Documents and Settings\All Users\Application Data\FLEXnet
2007-12-03 19:52	---------	d-----w	C:\Program Files\iTunes
2007-12-03 19:51	---------	d-----w	C:\Program Files\iPod
2007-12-03 19:50	---------	d-----w	C:\Program Files\QuickTime
2007-12-03 19:47	---------	d-----w	C:\Program Files\Common Files\Apple
2007-12-03 19:47	---------	d-----w	C:\Program Files\Apple Software Update
2007-12-03 19:47	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Apple
2007-11-07 09:26	721,920	----a-w	C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:26	721,920	------w	C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-31 04:12	3,590,656	------w	C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-30 17:20	360,064	------w	C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-29 22:43	1,287,680	----a-w	C:\WINDOWS\system32\quartz.dll
2007-10-29 22:43	1,287,680	------w	C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-29 06:07	221,184	----a-w	C:\WINDOWS\system32\UCI32M23.dll
2007-10-27 16:40	222,720	----a-w	C:\WINDOWS\system32\wmasf.dll
2007-10-27 16:40	222,720	------w	C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-26 03:34	8,460,288	----a-w	C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-24 00:47	96,760	----a-w	C:\WINDOWS\system32\dfshim.dll
2007-10-24 00:47	84,480	----a-w	C:\WINDOWS\system32\mscories.dll
2007-10-24 00:47	282,112	----a-w	C:\WINDOWS\system32\mscoree.dll
2007-10-24 00:47	158,720	----a-w	C:\WINDOWS\system32\mscorier.dll
2007-10-18 10:31	51,224	----a-w	C:\WINDOWS\system32\sirenacm.dll
2006-10-02 23:43	2,402,550	----a-w	C:\WINDOWS\inf\SET63.tmp
2006-03-16 04:00	1,431,144	----a-w	C:\WINDOWS\inf\SETE2.tmp
2005-09-24 06:49	12,288	----a-w	C:\WINDOWS\Fonts\RandFont.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-12 21:00 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-16 05:00 15360]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-15 10:46 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 20:56 64512]
"hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 21:58 458752]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-24 19:40 7569408]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 12:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-09-15 02:27 1015808]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-07-11 21:55 102400]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 11:33 163840]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2006-01-26 16:18 40960]
"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 10:23 1187840]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2003-09-01 23:14 70816]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-09-10 18:09 95960]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 02:29 102400]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"PCTAVApp"="C:\Program Files\PC Tools AntiVirus\PCTAV.exe" [2008-01-10 11:09 1238928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-16 05:00 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
HP Pavilion Webcam Tray Icon.lnk - C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe [2007-05-21 21:51:49]
HP Photosmart Premier Hurtigstart.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2005-09-24 08:39:30]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\Program Files\AlienGUIseny\fastload.dll 2001-12-20 23:34 24576 C:\Program Files\AlienGUIseny\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeUpdater"=C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="c:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"MsmqIntCert"=regsvr32 /s mqrt.dll

R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-11-09 16:07]
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2006-03-16 05:00]
R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys [2006-03-06 15:49]
R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC);C:\WINDOWS\system32\DRIVERS\snp2uvc.sys [2006-07-06 09:28]
S3 49ed0b40-ea80-44e0-8a71-970dea668e25;49ed0b40-ea80-44e0-8a71-970dea668e25;E:\Player\cds300.dll []
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-17 02:28]
S4 viaagp;VIA AGP Bus Filter;C:\WINDOWS\system32\DRIVERS\viaagp.sys [2004-08-04 06:07]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ac66d2c-866a-11dc-ad1c-0016d316b35a}]
\Shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9275dc7-095a-11dc-ac95-0016d316b35a}]
\Shell\AutoRun\command - G:\setupSNK.exe

*Newly Created Service* - PROCEXP90 
.
Contents of the 'Scheduled Tasks' folder
"2008-01-17 01:28:40 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
"2008-01-02 16:20:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-01-12 19:26:58 C:\WINDOWS\Tasks\Internett-tjenester.job"
- C:\Program Files\Hewlett-Packard\SDP\HPSdpApp.exeb/remind /LaunchPoint reminder /App C:\Program Files\Hewlett-Packard\Internet Services\StartIS.aml
"2008-01-17 10:33:06 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
"2008-01-17 10:31:53 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-17 11:42:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ???8Z????????@???????@ 

scanning hidden files ... 

scan completed successfully 
hidden files: 0 

**************************************************************************
.
Completion time: 2008-01-17 11:42:44
ComboFix-quarantined-files.txt  2008-01-17 10:42:39
.
2008-01-16 23:09:21	--- E O F ---

Avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xuuyctlb

*******************

Script file located at: \??\C:\Program Files\edituuik.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\lssas.exe deleted successfully.


File C:\WINDOWS\ntmngr.exe not found!
Deletion of file C:\WINDOWS\ntmngr.exe failed!

Could not process line:
C:\WINDOWS\ntmngr.exe
Status: 0xc0000034



File C:\445930.exe not found!
Deletion of file C:\445930.exe failed!

Could not process line:
C:\445930.exe
Status: 0xc0000034

File C:\WINDOWS\images.zip deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Dette innlegget har blitt redigert av Heineoen: 17. januar 2008 - 12:01

  • 0

Core I3 3225, MSI GTX660
12GB DDR3 HyperX, 500W, Gigabyte GA-P67-UD4-B3
Samsung S4


#5 norbat

norbat

    Bruker

  • Medlemmer
  • 8 382 innlegg
  •   6. oktober 2004

Skrevet 17. januar 2008 - 12:24

Loggen er grei ut og du har fått fjerne de filene som var nødvendig. Hvordan oppfører MSN seg nå?
  • 0

#6 Heineoen

Heineoen

    Bruker

  • Medlemmer
  • 2 102 innlegg
  •   22. april 2005

Skrevet 17. januar 2008 - 12:35

Det var godt å høre :)
Men er viruset knytta til brukerkontoen?
Sender ikke ut på min hvertfall..
Har dog denne gule smilyen forsatt :w00t:
  • 0

Core I3 3225, MSI GTX660
12GB DDR3 HyperX, 500W, Gigabyte GA-P67-UD4-B3
Samsung S4


#7 norbat

norbat

    Bruker

  • Medlemmer
  • 8 382 innlegg
  •   6. oktober 2004

Skrevet 17. januar 2008 - 13:06

Det bør være noen innstillinger der du kan forandre dette. Let, så finner du det sikker ut :)
  • 0

#8 Programvare

Programvare

    Bruker

  • Medlemmer
  • 6 450 innlegg
  •   19. september 2006

Skrevet 20. januar 2008 - 22:50

Kjekt at du sier fra norbat ;) Dette forumet blir jo dynka i "hjelp meg, msn-viruset, hjt"-poster!
  • 0
Hun når hun ser på random såpeopera: "Å herregud så spennende! Han står i med tvillingen til broren til naboen til kusina til eieren av huset der eksen hans har begravd liket av hunden hans for fem år siden." - Lars

#9 Mr.Anki

Mr.Anki

    Bruker

  • Medlemmer
  • 10 184 innlegg
  •   8. oktober 2005

Skrevet 20. januar 2008 - 22:55

Tidligere i dag fikk jeg en komprimert fil på msn + noe tekst. Men husker ikke navnet..
  • 0

#10 Programvare

Programvare

    Bruker

  • Medlemmer
  • 6 450 innlegg
  •   19. september 2006

Skrevet 20. januar 2008 - 23:04

Kan du poste en Hijackthis-logg Mr.Anki?
  • 0
Hun når hun ser på random såpeopera: "Å herregud så spennende! Han står i med tvillingen til broren til naboen til kusina til eieren av huset der eksen hans har begravd liket av hunden hans for fem år siden." - Lars

#11 KillYou

KillYou

    Bruker

  • Medlemmer
  • 538 innlegg
  •   2. februar 2006

Skrevet 20. januar 2008 - 23:05

det siste, som er på nosrk og omhandler facebook og nettby og linker til en moo.no adresse lager filen c:\windows\scvhost.exe sjekk loggen min i den andre posten norbat.

Har du noe i mot at dette blit lagt ut på siden der hvor det norske viruset linker til?
  • 0
Bææ2

#12 KVTL

KVTL

    Administrator

  • Administratorer
  • 7 636 innlegg
  •   12. januar 2004

Skrevet 20. januar 2008 - 23:14

Midlertidig satt sticky for å informere brukerne på hva de kan poste for å få hjelp.

MVH

KVTL
  • 0

#13 Mato

Mato

    Bruker

  • Medlemmer
  • 5 293 innlegg
  •   5. februar 2003

Skrevet 20. januar 2008 - 23:26

dama klarte og få dette på lapptoppen , etter en scan og clean med AVG FREE så mangler nå de fleste exe filene på datan , kjiperne reinstall her ja .

exe filene var infiserte etter loggen på avg og bedømme og de kunne ikke cleanes og måtte slettet :/
  • 0

#14 Cobain

Cobain

    Bruker

  • Medlemmer
  • 1 innlegg
  •   27. september 2003

Skrevet 21. januar 2008 - 10:20

Har klikka på en sånn link som alle andre. Men når jeg starter maskinen, så kommer det opp fra windows brannmuren :
Navn: Issas.exe
Utgiver: Ukjent
Type: Program
Fra: C:/windows

Og spørsmål om jeg vil kjøre programmet. Har ikke gjort dette, men regner med at det kanskje er det berømte MSN viruset da?

Har hvertfal kjørt de programmene som du har post`a.

Og siden jeg er (i følge mine små brødre) en n00b, så har jeg ikke peiling på hva loggen sier når jeg har kjørt Comofix.
Så hvis du kunne sett over om det er noe urovekkende info der hadde det vært supert...

ComboFix 08-01-20.1 - Kenth Brelin 2008-01-21 9:59:05.1 - NTFSx86
Running from: C:\Documents and Settings\Kenth Brelin\Skrivebord\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2007-12-21 to 2008-01-21 )))))))))))))))))))))))))))))))
.

2008-01-21 09:56 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-21 09:08 . 2008-01-21 09:08 <DIR> d-------- C:\WINDOWS\LastGood
2008-01-14 23:20 . 2007-10-11 00:53 6,065,664 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-14 23:20 . 2007-07-01 04:31 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-14 23:20 . 2007-07-01 04:36 1,007,616 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-14 23:20 . 2007-10-11 00:53 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-14 23:20 . 2007-10-11 00:53 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-14 23:20 . 2007-10-11 00:53 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-14 23:20 . 2007-10-11 00:53 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-14 23:20 . 2007-10-11 00:53 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-14 23:20 . 2007-10-10 11:59 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-14 23:19 . 2008-01-14 23:21 <DIR> d-------- C:\WINDOWS\system32\nb-no
2008-01-12 18:59 . 2008-01-12 18:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-12 18:59 . 2008-01-12 18:59 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-03 02:14 . 2008-01-03 02:14 <DIR> dr------- C:\Documents and Settings\LocalService\Favoritter
2008-01-03 02:13 . 2008-01-03 02:13 <DIR> d--h----- C:\Programfiler\Zenographics
2008-01-03 02:13 . 2006-07-30 18:00 442,368 -ra------ C:\WINDOWS\system32\ZSHP1018.EXE
2008-01-03 02:13 . 2006-07-30 18:00 143,360 -ra------ C:\WINDOWS\apptune1018.exe
2008-01-03 02:13 . 2006-07-30 18:00 129,092 -ra------ C:\WINDOWS\system32\hp1018.img
2008-01-03 02:13 . 2006-07-30 18:00 106,496 -ra------ C:\WINDOWS\system32\VSHP1018.DLL
2008-01-03 02:13 . 2006-07-30 18:00 102,400 --a------ C:\WINDOWS\system32\zlhp1018.dll
2008-01-03 02:13 . 2006-07-30 18:00 86,016 --a------ C:\WINDOWS\system32\ZSPOOL.DLL
2008-01-03 02:13 . 2006-07-30 18:00 28,672 --a------ C:\WINDOWS\system32\zlm.dll
2008-01-03 02:13 . 2006-07-30 18:00 28,672 --a------ C:\WINDOWS\system32\IMF32.DLL
2008-01-03 02:13 . 2006-07-30 18:00 24,576 --a------ C:\WINDOWS\system32\ZTAG32.DLL
2008-01-03 02:13 . 2006-07-30 18:00 7,273 -ra------ C:\WINDOWS\system32\ZSHP1018.HLP

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 07:35 71,690 ----a-w C:\Documents and Settings\Kenth Brelin\Programdata\wklnhst.dat
2008-01-17 18:02 --------- d-----w C:\Programfiler\Fellesfiler\Symantec Shared
2008-01-16 21:12 --------- d-----w C:\Documents and Settings\Kenth Brelin\Programdata\dvdcss
2008-01-15 10:30 --------- d-----w C:\Programfiler\PKR
2008-01-03 01:13 --------- d-----w C:\Programfiler\Hewlett-Packard
2007-11-07 09:30 721,920 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:30 721,920 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-31 04:00 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-29 22:45 1,290,752 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:45 1,290,752 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:44 8,466,432 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2006-05-08 09:20 1,670 ----a-w C:\Documents and Settings\Maria\Programdata\wklnhst.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:00 15360]
"Steam"="c:\spill\steam\steam.exe" [2008-01-14 23:45 1266936]
"LogitechSoftwareUpdate"="C:\Programfiler\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44 196608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-11 09:00 339968]
"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263]
"hpWirelessAssistant"="C:\Programfiler\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-01 14:11 794624]
"SynTPLpr"="C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 13:12 102492]
"SynTPEnh"="C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 13:11 692316]
"HP Software Update"="C:\Programfiler\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152]
"QuickTime Task"="C:\Programfiler\QuickTime\qttask.exe" [2007-02-16 09:54 282624]
"ccApp"="C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" [2005-04-14 13:02 58992]
"eabconfg.cpl"="C:\Programfiler\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 12:24 290816]
"Cpqset"="C:\Programfiler\HPQ\Default Settings\cpqset.exe" [2005-02-17 13:01 233534]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 12:54 253952]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2005-09-01 20:17 100056]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32 221184]
"LogitechVideoRepair"="C:\Programfiler\Logitech\Video\ISStart.exe" [2005-06-08 14:24 458752]
"LogitechVideoTray"="C:\Programfiler\Logitech\Video\LogiTray.exe" [2005-06-08 14:14 217088]
"DAEMON Tools"="C:\Programfiler\DAEMON Tools\daemon.exe" [2005-11-08 23:00 128920]
"iTunesHelper"="C:\Programfiler\iTunes\iTunesHelper.exe" [2007-03-14 18:05 257088]
"TkBellExe"="C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe" [2007-07-09 18:34 185896]
"PKR Pal"="C:\Programfiler\PKR\pkrpal.exe" [2008-01-15 11:30 2269800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00 15360]

C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\
HP Digital Imaging Monitor.lnk - C:\Programfiler\Hp\Digital Imaging\bin\hpqtra08.exe [2004-11-04 18:28:24 258048]
Hurtigstart for Adobe Reader.lnk - C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSecurityTab"= 1 (0x1)

R2 Automatisk LiveUpdate-planlegging;Automatisk LiveUpdate-planlegging;"C:\Programfiler\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 18:08]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-12-15 16:18]
S3 DMSKSSRh;DMSKSSRh;C:\DOCUME~1\KENTHB~1\LOKALE~1\Temp\DMSKSSRh.sys []
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [2004-04-29 06:45]

*Newly Created Service* - PROCEXP90
.
Contents of the 'Scheduled Tasks' folder
"2007-11-21 14:35:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programfiler\Apple Software Update\SoftwareUpdate.exe
"2007-11-24 13:27:07 C:\WINDOWS\Tasks\Norton AntiVirus - Søk på min datamaskin - Kenth Brelin.job"
  • 0

#15 Programvare

Programvare

    Bruker

  • Medlemmer
  • 6 450 innlegg
  •   19. september 2006

Skrevet 21. januar 2008 - 15:15

Driver å hjelper en jente i klassen som har fått dette nå. Hun sliter forferdelig med at PC-en går tregt sier hun, så det tar litt tid. I tillegg er hun ganske grønn innen data. Jeg kommer med en hjt- og combofix-logg etter at jeg har kjørt msn-fix.

Spoiler


Spoiler

Dette innlegget har blitt redigert av Vintermåne: 21. januar 2008 - 16:37

  • 0
Hun når hun ser på random såpeopera: "Å herregud så spennende! Han står i med tvillingen til broren til naboen til kusina til eieren av huset der eksen hans har begravd liket av hunden hans for fem år siden." - Lars

#16 NorvegianDad

NorvegianDad

    Bruker

  • Medlemmer
  • 1 297 innlegg
  •   15. mars 2006

Skrevet 21. januar 2008 - 17:37

Her er hverfall alle infiserte filer Jeg har funnet på PC-en min hittil etter at jeg er ferdig med en grundig skanning med Avast,men det er tydeligvis ikke alle.
Fikk nettopp enda en gave til kisten.

svineri.jpg

Ser ut at det er en del,foruten det med daemon tools,så er alt komt med MSN-viruset som min samboer greidde å laste ned.
  • 0

#17 KVTL

KVTL

    Administrator

  • Administratorer
  • 7 636 innlegg
  •   12. januar 2004

Skrevet 23. januar 2008 - 18:01

Et stk meningsløst og off topic innlegg fjernet.

Takk for oppmerksomheten :cool:

MVH

KVTL
  • 0

#18 Møkkalasset

Møkkalasset

    Bruker

  • Medlemmer
  • 1 756 innlegg
  •   28. oktober 2002

Skrevet 26. januar 2008 - 17:45

Ser min logg ok ut? maskina er vertfall mongo... henger av og til når eg surfer.

Klikk for å se/fjerne innholdet nedenfor
  • 0

#19 Programvare

Programvare

    Bruker

  • Medlemmer
  • 6 450 innlegg
  •   19. september 2006

Skrevet 26. januar 2008 - 17:58

Loggen så ok ut den. Hvordan er maskina di?
  • 0
Hun når hun ser på random såpeopera: "Å herregud så spennende! Han står i med tvillingen til broren til naboen til kusina til eieren av huset der eksen hans har begravd liket av hunden hans for fem år siden." - Lars

#20 Møkkalasset

Møkkalasset

    Bruker

  • Medlemmer
  • 1 756 innlegg
  •   28. oktober 2002

Skrevet 26. januar 2008 - 18:01

ok bra :-) Virker ok no får teste den ut noen dager se om den er stabil :-) Noen av programma i tråden fjærna noe i reg...
  • 0



Les mer om samme tema: Antivirus, Datasikkerhet, Malware, Trojan

0 bruker(e) leser denne tråden

0 medlemmer, 0 gjester, 0 skjulte brukere