virusstrul

9 februari, 2005

Mitt virusprogram har hittat viruset w32.hllw.gaobot, ett antal gånger. De infekterade filerna är msgfix.exe, fnksvc32.exe och payload.dat

Enligt symantec (mitt virusprogram) sparar sig w32.hllw.gaobot som c:\winnt\system32\sysldr32.exe. Denna fil har jag dock aldrig någonsin upptäckt på min dator. Vidare, så har jag på internet hittat att det virus som sparar sig som fnksvc32.exe heter w32/Agobot-ov och det som sparar sig som msgfix.exe heter w32.gaobot.sn.

Så jag förstår inte vad det är för virus jag har egentligen.

Och vad är payload.dat?

Vidare så har jag följt instruktionerna för att ta bort viruset, radera filerna samt radera vissa värden i registereditorn.

Jag har även använt symantecs fixtool för gaobot

Virusprogrammet och windowsupdate är uppdaterade.

Jag har även ad-aware, som jag kör regelbundet

Viruset (masken) borde vara fullständigt borttaget tycker jag men ändå återkommer det. Msgfix och fnksvc pluppar återkommande upp antingen i c:/winnt eller i c:/winnt/system32.

Oftast så är det virusprogrammet som hittar dem och sätter dem i karantän, men vid ett par tillfällen har jag hittat msgfix igång som en process i aktivitetshanteraren.

Jag vet verkligen inte vad jag ska göra. All hjälp mottages tacksamt!!

Ytterligare en mysko sak är en fil i aktivitetshateraren som heter serviceconnect. (alltså bara punkt, inte punkt exe eller liknande). Denna verkar ibland ”flippa ur” så att den upptar hela cpu:n

Dessutom har jag försökt att skaffa en brandvägg (zonalarm) men det upptog nästan allt arbetsminne och datorn blev alldeles orimligt trög. (gammal dator…), Tips på en brandvägg som tar liten plats?

9 februari, 2005

Och vad är payload.dat?

http://startup.iamnotageek.com/srch-payload.dat.html

payload.dat Added by the RANDEX.D WORM or ROXY or ROXY.B TROJANS!

---

C:\Eforum\Stefan Eklinder>|

Murphys lagar om datoranvändande:. 6. Den som skrattar sist har antagligen gjort en backup. - Yttermera, E-verything

9 februari, 2005

Ladda ner Tiny Personal Firewall härifrån:

http://www.webmasterfree.com/tpfw.html en brandvägg som är

enkel att använda,och tar liten plats i burken.Den är gratis att

ladda ner för hemanvändare.

[inlägget ändrat 2005-02-10 01:04:54 av Brynäsarn]

10 februari, 2005

Olika antivirustillverkare har olika namn för samma otrevlighet, detta gäller t ex gaobot och agobot, dessutom finns det i många olika varianter (-ov, .sn etc). Det som gäller de flesta av dem är att de bara infekterar datorer som inte är uppdaterade med säkerhetsfixar så börja med att köra Windows Update.

Du verkar ha drabbats av flera saker. Kör denna online-skanningar:

http://housecall.trendmicro.com/housecall/start_corp.asp

Skriv ner exakt vad den rapporterar, infektion och fil.

Ha internetförbindelsen bortkopplad så mycket det går.

Ladda sedan hem HijackThis härifrån:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen.

Skriv i ditt svar här exakt vad online-skanningen rapporterade samt bifoga HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

PS. I fortsättning tänk på att inte skapa en ny tråd när det gäller samma sak som du redan har en tråd i. Dvs det hade varit bättre om du hade svarat i din förra tråd att det vi föreslog inte hjälpte än att börja en ny.

//eforum.idg.se/viewmsg.asp?EntriesId=673661

10 februari, 2005

Tack för svar. Tänkte mig inte för... ska inte börja någon ny tråd nu...

först fick jag ett meddelande: "housecall has found and cleaned a malware.worm_Agabot-1 worm_agabot.air

och resultatet från scanningen blev följande:

(skriver av, lyckades inte kopiera)

worm sdbot.gen not cleanable c:\winnt\system32\msconfig.dat

worm agobot.air not cleanable c:\winnt\serviceconnect.exe

gissar att dessa filer är viktiga så att man inte bara kan ta bort dem?

under skanningen hittade mitt virusprogram samtidigt följande:

filnamn: VA10QMa01612

virus: w32.gaobot.sn

orginal location: temp-mapp under documents and settings

filnamn: VA10QMa01612

virus: Bloodhound.Packed

orginal location: temp-mapp under documents and settings

11 februari, 2005

Inte lätt att vet hur man ska göra när man är ny på ett forum. :thumbsup:

Jättebra att du skrev av, då vet jag precis vad du har och kan slå upp hur du ska bli av med det.

Har du kört Windows Update?

Ha anslutningen til internet urdragen så mycket som möjligt.

WORM_AGOBOT.AIR står det om på denna sida, men du behöver inte följa några borttagningsanvisningar där:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EAIR&VSect=P

WORM_SDBOT.GEN:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSDBOT%2EGEN&VSect=P

W32.Gaobot.SN:

http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.sn.html

Bloodhound.Packed:

http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.packed.html

serviceconnect.exe är ingen viktig fil, den ska bort, men den håller på och kör och går därför inte att ta bort. Utan det behövs göras lite andra grejer först.

Kan du ta och titta efter vad det står för datum på filen (Egenskaper för filen):

c:\winnt\system32\msconfig.dat

Om vi börjar med W32.Gaobot.SN så skriver Symantec att man ska starta om datorn i felsäkert läge, hur man gör det står här:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&src=sec_doc_nam

och sedan köra en komplett skanning med Norton där så ska Norton kunna ta bort filerna.

Medan du är i felsäkert läge så kan du passa på och ta bort alla filer från temp-mappen under Documents and Settings, exakt sökväg dit varierar mellan olika Windows, men bör vara ungefär:

C:\Documents and Settings\<anv.namn>\Lokala inställningar\Temp

För att kunna se mappen/sökvägen så behöver du troligen ställa in Utforskaren för att visa alla filer och mapar:

Verktyg eller Visa eller något liknande - (Mapp)alternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Starta om i normalt läge.

Jag antar att du inte känner dig hemtam med att ändra i registret?

Då måste du ladda hem HijackThis som jag skrev om i mitt förra inlägg.

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen.

Skriv i ditt svar hur det har gått samt bifoga HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

11 februari, 2005

Okej

Följande har hänt…

* c:\winnt\system32\msconfig.dat

är skapad: 1 februari 2005

ändrad: 30 januari 2005

använd 11 februari 2005

*Jag uppdaterade virusprogrammet igen, och efter detta hittades:

Filename: serviceconnect.exe

Virus name: w32.hllw.gaobot

Action taken: quarantined

User: administrator

Orginal location c:\winntCurrent location: quarantine

*Noteringsvärt kan även följande vara som virusprogrammet också hittat idag:

Filename: VA10QMb01612

Virus name: w32.gaobot.sn

Action taken: left alone

User: system (??)

Orginal location c:\winntCurrent location: c:\docume~1\admin~1\lokal~1\Temp

Filename: VA10QMb01612

Virus name: bloodhound.packed

Action taken: left alone

User: system (??)

Orginal location c:\winntCurrent location: c:\docume~1\admin~1\lokal~1\Temp

två likadana loggar (som gjordes INNAN) där user=administrator och action taken=quarantine

*Jag startade datorn I felsäkert läge och gjorde virusscanning. Denna hittade dock INGENTING

*Jag tog även bort innehållet I tempmappen (det var rätt många filer- säkert att man kan ta bort dem? Det fanns en mapp till som hette temorary internet files som jag tömde via explorer-verktyg-töm… (filerna ligger I papperskorgen nu))

Vad som var konstigt var att filen ovan: (VA10QMb01612) inte fanns!! Trots att jag gjorde åtgärdena för att visa alla filer.

*Jag skannade med hijackthis och klistrar in loggen. Förstår ärligt talat ingenting av den.

[log]Logfile of HijackThis v1.99.0

Scan saved at 16:47:30, on 2005-02-11

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Program\Iomega\System32\ActivityDisk.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\ZipToA.exe

C:\WINNT\Explorer.EXE

C:\Program\SYMANT~1\SYMANT~1\vptray.exe

C:\Program\Winamp3\winampa.exe

C:\Program\Iomega\DriveIcons\ImgIcon.exe

C:\Program\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

C:\Program\WinZip\WZQKPICK.EXE

C:\WINNT\System32\svchost.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Försvar\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://netlogon.student.uu.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [iomega Startup Options] C:\Program\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [iomega Drive Icons] C:\Program\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\Run: [Windows Loader] fix.exe

O4 - HKLM\..\RunServices: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\RunServices: [Windows Loader] fix.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKCU\..\Run: [Windows Loader] fix.exe

O4 - Global Startup: CAMEDIA Master.lnk = C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O16 - DPF: {1538D4E0-B2C4-402D-B71A-BA6A04BC7A5D} (PictureChooser.picChooser) - http://direct.fotomenyn.com/direct/PictureChooser.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {65F77758-B822-45FB-8F0C-08E85705EC4A} (Upload.ctlUpload) - http://direct.fotomenyn.com/direct/upload.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O23 - Service: byvwyy - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\Program\Iomega\System32\ActivityDisk.exe

O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe

O23 - Service: nlswga - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

O23 - Service: uoprxej - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: wdtyn - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

[/log]

11 februari, 2005

Då verkar ju inte msconfig.dat vara någon fil som har med Windows att göra för då hade den nog varit äldre.

Det var ju bra att antivirusprogrammet nu kunde ta hand om serviceconnectfilen.

Knepigt att antivirusprogrammet skriver "left alone" och filen inte finns sedan, men det gjorde kanske något i alla fall eftersom den inte fanns sedan i felsäkert läge (det verkar ha stoppat filen i karantän tidigare).

Det ska alltid vara Ok att tömma Temp-mappen, det brukar bli kvar en massa där efter program som inte städar efter sig ordentligt, bland annat för att de kraschar eller bara är taskigt skrivna.

Bra att du tömde Temporary internet files också.

[log]Då kommer vi till HijackThis-loggen. Det ser ut som du borde ha en del säkerhetsuppdateringar att hämta ner från Windows Update.

Kul namn på mappen HijackThis ligger i.

Dra ut internetanslutningen. Kör HijackThis och skanna. Bocka för dessa rader:

O4 - HKLM\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\Run: [Windows Loader] fix.exe

O4 - HKLM\..\RunServices: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\RunServices: [Windows Loader] fix.exe

O4 - HKCU\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKCU\..\Run: [Windows Loader] fix.exe

O23 - Service: byvwyy - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: nlswga - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: uoprxej - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: wdtyn - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

Stäng alla program och fönster, förutom HijackThis.

Tryck på Fix checked.

Starta om i felsäkert läge.

Ställ in så att du kan se alla filer, som förra gången.

Ta bort dessa filer (om de finns kvar):

c:\winnt\system32\msconfig.dat

Rundlle32.exe

fix.exe

Dessa är antagligen också i c:\winnt\system32 eller c:\winnt, men sök igenom hårddisken för säkerhets skull om de inte finns där. Om du är osäker så kan du ju lägga filerna i papperskorgen eller byta namn på dem.[/log]

Starta om datorn i normalt läge.

Skanna med Norton och online-skanningen med Housecall.trendmicro. Skriv här hur det har gått och bifoga en ny HijackThis-logg.

PS. Kan ju vara bra att ha en brandvägg också, finns gratis från t ex Kerio, Sygate och Zone Labs. Vilken årsmodell är det på din Norton?

11 februari, 2005

Tack för att du vill hjälpa mig!!

Ska följa dina instruktioner men ville kommentera:

Det ser ut som du borde ha en del säkerhetsuppdateringar att hämta ner från Windows Update.

Så sent som idag förökte jag göra en uppdatering, och fick veta att det inte fanns några nya viktiga uppdateringar.

Betyder detta att det kan finnas "gamla" uppdateringar, som jag inte har, men som den inte bryr sig om att be mig uppdatera eftersom det var längesedan de var "nyheter"? För utefter mina erfarenheter (som dock är väldigt små) så BORDE verkligen säkerhetsuppdateringarna vara uppdaterade. Är patchar och säkerhetsuppdateringar samma sak?

PS. Kan ju vara bra att ha en brandvägg också, finns gratis från t ex Kerio, Sygate och Zone Labs. Vilken årsmodell är det på din Norton?

Jag laddade hem en brandvägg från jag tror det var ZoneLabs (den hette ZoneAlarm) men då verkade den ta allt arbetsminne eller nåt för extremt segt blev det. Men det kanske kan vara virusets förtjänst.

Fick ett tips i ett av de andra trådarna om en brandvägg. (Tiny Personal Firewall härifrån:

http://www.webmasterfree.com/tpfw.html ) Borde jag installera den nu eller ska jag vänta tills jag blivit av med maskkräket?

12 februari, 2005

Hej

Jag har gjort det jag skulle med HiJackThis- loggen.

Jag har även i felsäkert läge raderat msconfig.dat

Vad som var mysko är att fix.exe och rundlle32.exe inte hittades när jag sökte efter dem. (det närmaste jag hittade var rundll32.exe (ett e saknas)) trots att jag gjorde alla åtgärder för att kunna se alla filer. Så dessa är inte borttagna. (om de nu finns)

Symantec hittade ingenting

Houscall.trendmicro hittade worm.sdbot.gen i c:/recyclers/ettjättelångtnummer/dc376.dat

Fast filer i papperskorgen borde väl vara ofarliga? Hur som helst är papperskorgen tömd, så det borde inte vara något problem. (?)

Däremot verkar nya infekterade filer dykt upp under den korta tiden jag laddade hem housecall-grejen (eller kanske jag inte behöver gå ut på internet och göra det varje gång, hittade dock inte någon ikon eller nåt som visar att den är sparad). Symantec hittade Bloodhound.packed och w32.gaobot.sn återigen i temp-mappen. Dessas sattes i karantän. (Temp-mappen var ju fullständigt tömd innan).

Hijackthis hittade följande:

[log]Logfile of HijackThis v1.99.0

Scan saved at 12:58:09, on 2005-02-12