Just nu i M3-nätverket
Jump to content

virusstrul


Ammie

Recommended Posts

Mitt virusprogram har hittat viruset w32.hllw.gaobot, ett antal gånger. De infekterade filerna är msgfix.exe, fnksvc32.exe och payload.dat

 

Enligt symantec (mitt virusprogram) sparar sig w32.hllw.gaobot som c:\winnt\system32\sysldr32.exe. Denna fil har jag dock aldrig någonsin upptäckt på min dator. Vidare, så har jag på internet hittat att det virus som sparar sig som fnksvc32.exe heter w32/Agobot-ov och det som sparar sig som msgfix.exe heter w32.gaobot.sn.

Så jag förstår inte vad det är för virus jag har egentligen.

Och vad är payload.dat?

 

Vidare så har jag följt instruktionerna för att ta bort viruset, radera filerna samt radera vissa värden i registereditorn.

 

Jag har även använt symantecs fixtool för gaobot

 

Virusprogrammet och windowsupdate är uppdaterade.

Jag har även ad-aware, som jag kör regelbundet

 

Viruset (masken) borde vara fullständigt borttaget tycker jag men ändå återkommer det. Msgfix och fnksvc pluppar återkommande upp antingen i c:/winnt eller i c:/winnt/system32.

Oftast så är det virusprogrammet som hittar dem och sätter dem i karantän, men vid ett par tillfällen har jag hittat msgfix igång som en process i aktivitetshanteraren.

 

Jag vet verkligen inte vad jag ska göra. All hjälp mottages tacksamt!!

 

Ytterligare en mysko sak är en fil i aktivitetshateraren som heter serviceconnect. (alltså bara punkt, inte punkt exe eller liknande). Denna verkar ibland ”flippa ur” så att den upptar hela cpu:n

 

Dessutom har jag försökt att skaffa en brandvägg (zonalarm) men det upptog nästan allt arbetsminne och datorn blev alldeles orimligt trög. (gammal dator…), Tips på en brandvägg som tar liten plats?

 

 

Link to comment
Share on other sites

Ladda ner Tiny Personal Firewall härifrån:

http://www.webmasterfree.com/tpfw.html en brandvägg som är

enkel att använda,och tar liten plats i burken.Den är gratis att

ladda ner för hemanvändare.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[inlägget ändrat 2005-02-10 01:04:54 av Brynäsarn]

Link to comment
Share on other sites

Olika antivirustillverkare har olika namn för samma otrevlighet, detta gäller t ex gaobot och agobot, dessutom finns det i många olika varianter (-ov, .sn etc). Det som gäller de flesta av dem är att de bara infekterar datorer som inte är uppdaterade med säkerhetsfixar så börja med att köra Windows Update.

 

Du verkar ha drabbats av flera saker. Kör denna online-skanningar:

http://housecall.trendmicro.com/housecall/start_corp.asp

 

Skriv ner exakt vad den rapporterar, infektion och fil.

 

Ha internetförbindelsen bortkopplad så mycket det går.

 

Ladda sedan hem HijackThis härifrån:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen.

 

Skriv i ditt svar här exakt vad online-skanningen rapporterade samt bifoga HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

PS. I fortsättning tänk på att inte skapa en ny tråd när det gäller samma sak som du redan har en tråd i. Dvs det hade varit bättre om du hade svarat i din förra tråd att det vi föreslog inte hjälpte än att börja en ny.

//eforum.idg.se/viewmsg.asp?EntriesId=673661

 

 

Link to comment
Share on other sites

Tack för svar. Tänkte mig inte för... ska inte börja någon ny tråd nu...

 

först fick jag ett meddelande: "housecall has found and cleaned a malware.worm_Agabot-1 worm_agabot.air

 

och resultatet från scanningen blev följande:

(skriver av, lyckades inte kopiera)

 

worm sdbot.gen not cleanable c:\winnt\system32\msconfig.dat

worm agobot.air not cleanable c:\winnt\serviceconnect.exe

 

gissar att dessa filer är viktiga så att man inte bara kan ta bort dem?

 

under skanningen hittade mitt virusprogram samtidigt följande:

filnamn: VA10QMa01612

virus: w32.gaobot.sn

orginal location: temp-mapp under documents and settings

filnamn: VA10QMa01612

virus: Bloodhound.Packed

orginal location: temp-mapp under documents and settings

 

 

 

Link to comment
Share on other sites

Inte lätt att vet hur man ska göra när man är ny på ett forum. :thumbsup:

Jättebra att du skrev av, då vet jag precis vad du har och kan slå upp hur du ska bli av med det.

 

Har du kört Windows Update?

 

Ha anslutningen til internet urdragen så mycket som möjligt.

 

WORM_AGOBOT.AIR står det om på denna sida, men du behöver inte följa några borttagningsanvisningar där:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EAIR&VSect=P

WORM_SDBOT.GEN:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSDBOT%2EGEN&VSect=P

W32.Gaobot.SN:

http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.sn.html

Bloodhound.Packed:

http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.packed.html

 

serviceconnect.exe är ingen viktig fil, den ska bort, men den håller på och kör och går därför inte att ta bort. Utan det behövs göras lite andra grejer först.

Kan du ta och titta efter vad det står för datum på filen (Egenskaper för filen):

c:\winnt\system32\msconfig.dat

 

Om vi börjar med W32.Gaobot.SN så skriver Symantec att man ska starta om datorn i felsäkert läge, hur man gör det står här:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&src=sec_doc_nam

och sedan köra en komplett skanning med Norton där så ska Norton kunna ta bort filerna.

 

Medan du är i felsäkert läge så kan du passa på och ta bort alla filer från temp-mappen under Documents and Settings, exakt sökväg dit varierar mellan olika Windows, men bör vara ungefär:

C:\Documents and Settings\<anv.namn>\Lokala inställningar\Temp

 

För att kunna se mappen/sökvägen så behöver du troligen ställa in Utforskaren för att visa alla filer och mapar:

Verktyg eller Visa eller något liknande - (Mapp)alternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Starta om i normalt läge.

 

Jag antar att du inte känner dig hemtam med att ändra i registret?

Då måste du ladda hem HijackThis som jag skrev om i mitt förra inlägg.

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen.

 

Skriv i ditt svar hur det har gått samt bifoga HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

Okej

Följande har hänt…

 

* c:\winnt\system32\msconfig.dat

är skapad: 1 februari 2005

ändrad: 30 januari 2005

använd 11 februari 2005

 

*Jag uppdaterade virusprogrammet igen, och efter detta hittades:

Filename: serviceconnect.exe

Virus name: w32.hllw.gaobot

Action taken: quarantined

User: administrator

Orginal location c:\winntCurrent location: quarantine

 

*Noteringsvärt kan även följande vara som virusprogrammet också hittat idag:

Filename: VA10QMb01612

Virus name: w32.gaobot.sn

Action taken: left alone

User: system (??)

Orginal location c:\winntCurrent location: c:\docume~1\admin~1\lokal~1\Temp

Filename: VA10QMb01612

Virus name: bloodhound.packed

Action taken: left alone

User: system (??)

Orginal location c:\winntCurrent location: c:\docume~1\admin~1\lokal~1\Temp

två likadana loggar (som gjordes INNAN) där user=administrator och action taken=quarantine

 

*Jag startade datorn I felsäkert läge och gjorde virusscanning. Denna hittade dock INGENTING

 

*Jag tog även bort innehållet I tempmappen (det var rätt många filer- säkert att man kan ta bort dem? Det fanns en mapp till som hette temorary internet files som jag tömde via explorer-verktyg-töm… (filerna ligger I papperskorgen nu))

Vad som var konstigt var att filen ovan: (VA10QMb01612) inte fanns!! Trots att jag gjorde åtgärdena för att visa alla filer.

 

*Jag skannade med hijackthis och klistrar in loggen. Förstår ärligt talat ingenting av den.

 

 

 

[log]Logfile of HijackThis v1.99.0

Scan saved at 16:47:30, on 2005-02-11

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Program\Iomega\System32\ActivityDisk.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\ZipToA.exe

C:\WINNT\Explorer.EXE

C:\Program\SYMANT~1\SYMANT~1\vptray.exe

C:\Program\Winamp3\winampa.exe

C:\Program\Iomega\DriveIcons\ImgIcon.exe

C:\Program\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

C:\Program\WinZip\WZQKPICK.EXE

C:\WINNT\System32\svchost.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Försvar\unzipped\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://netlogon.student.uu.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [iomega Startup Options] C:\Program\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [iomega Drive Icons] C:\Program\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\Run: [Windows Loader] fix.exe

O4 - HKLM\..\RunServices: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\RunServices: [Windows Loader] fix.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKCU\..\Run: [Windows Loader] fix.exe

O4 - Global Startup: CAMEDIA Master.lnk = C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O16 - DPF: {1538D4E0-B2C4-402D-B71A-BA6A04BC7A5D} (PictureChooser.picChooser) - http://direct.fotomenyn.com/direct/PictureChooser.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {65F77758-B822-45FB-8F0C-08E85705EC4A} (Upload.ctlUpload) - http://direct.fotomenyn.com/direct/upload.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O23 - Service: byvwyy - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\Program\Iomega\System32\ActivityDisk.exe

O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe

O23 - Service: nlswga - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

O23 - Service: uoprxej - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: wdtyn - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

 

[/log]

 

Link to comment
Share on other sites

Då verkar ju inte msconfig.dat vara någon fil som har med Windows att göra för då hade den nog varit äldre.

 

Det var ju bra att antivirusprogrammet nu kunde ta hand om serviceconnectfilen.

 

Knepigt att antivirusprogrammet skriver "left alone" och filen inte finns sedan, men det gjorde kanske något i alla fall eftersom den inte fanns sedan i felsäkert läge (det verkar ha stoppat filen i karantän tidigare).

 

Det ska alltid vara Ok att tömma Temp-mappen, det brukar bli kvar en massa där efter program som inte städar efter sig ordentligt, bland annat för att de kraschar eller bara är taskigt skrivna.

 

Bra att du tömde Temporary internet files också.

 

[log]Då kommer vi till HijackThis-loggen. Det ser ut som du borde ha en del säkerhetsuppdateringar att hämta ner från Windows Update.

 

Kul namn på mappen HijackThis ligger i. ;)

 

Dra ut internetanslutningen. Kör HijackThis och skanna. Bocka för dessa rader:

 

O4 - HKLM\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\Run: [Windows Loader] fix.exe

O4 - HKLM\..\RunServices: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKLM\..\RunServices: [Windows Loader] fix.exe

O4 - HKCU\..\Run: [Configuration Loaders For Device] Rundlle32.exe

O4 - HKCU\..\Run: [Windows Loader] fix.exe

O23 - Service: byvwyy - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: nlswga - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: uoprxej - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

O23 - Service: wdtyn - Unknown - \\10.11.35.75\ADMIN$\serviceconnect.exe (file missing)

 

Stäng alla program och fönster, förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge.

 

Ställ in så att du kan se alla filer, som förra gången.

 

Ta bort dessa filer (om de finns kvar):

c:\winnt\system32\msconfig.dat

Rundlle32.exe

fix.exe

Dessa är antagligen också i c:\winnt\system32 eller c:\winnt, men sök igenom hårddisken för säkerhets skull om de inte finns där. Om du är osäker så kan du ju lägga filerna i papperskorgen eller byta namn på dem.[/log]

 

Starta om datorn i normalt läge.

 

Skanna med Norton och online-skanningen med Housecall.trendmicro. Skriv här hur det har gått och bifoga en ny HijackThis-logg.

 

PS. Kan ju vara bra att ha en brandvägg också, finns gratis från t ex Kerio, Sygate och Zone Labs. Vilken årsmodell är det på din Norton?

 

Link to comment
Share on other sites

Tack för att du vill hjälpa mig!!

Ska följa dina instruktioner men ville kommentera:

 

Det ser ut som du borde ha en del säkerhetsuppdateringar att hämta ner från Windows Update.

 

Så sent som idag förökte jag göra en uppdatering, och fick veta att det inte fanns några nya viktiga uppdateringar.

Betyder detta att det kan finnas "gamla" uppdateringar, som jag inte har, men som den inte bryr sig om att be mig uppdatera eftersom det var längesedan de var "nyheter"? För utefter mina erfarenheter (som dock är väldigt små) så BORDE verkligen säkerhetsuppdateringarna vara uppdaterade. Är patchar och säkerhetsuppdateringar samma sak?

 

PS. Kan ju vara bra att ha en brandvägg också, finns gratis från t ex Kerio, Sygate och Zone Labs. Vilken årsmodell är det på din Norton?

 

Jag laddade hem en brandvägg från jag tror det var ZoneLabs (den hette ZoneAlarm) men då verkade den ta allt arbetsminne eller nåt för extremt segt blev det. Men det kanske kan vara virusets förtjänst.

Fick ett tips i ett av de andra trådarna om en brandvägg. (Tiny Personal Firewall härifrån:

http://www.webmasterfree.com/tpfw.html ) Borde jag installera den nu eller ska jag vänta tills jag blivit av med maskkräket?

 

 

 

 

Link to comment
Share on other sites

Hej

Jag har gjort det jag skulle med HiJackThis- loggen.

Jag har även i felsäkert läge raderat msconfig.dat

Vad som var mysko är att fix.exe och rundlle32.exe inte hittades när jag sökte efter dem. (det närmaste jag hittade var rundll32.exe (ett e saknas)) trots att jag gjorde alla åtgärder för att kunna se alla filer. Så dessa är inte borttagna. (om de nu finns)

 

Symantec hittade ingenting

Houscall.trendmicro hittade worm.sdbot.gen i c:/recyclers/ettjättelångtnummer/dc376.dat

Fast filer i papperskorgen borde väl vara ofarliga? Hur som helst är papperskorgen tömd, så det borde inte vara något problem. (?)

 

Däremot verkar nya infekterade filer dykt upp under den korta tiden jag laddade hem housecall-grejen (eller kanske jag inte behöver gå ut på internet och göra det varje gång, hittade dock inte någon ikon eller nåt som visar att den är sparad). Symantec hittade Bloodhound.packed och w32.gaobot.sn återigen i temp-mappen. Dessas sattes i karantän. (Temp-mappen var ju fullständigt tömd innan).

 

Hijackthis hittade följande:

[log]Logfile of HijackThis v1.99.0

Scan saved at 12:58:09, on 2005-02-12

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Program\Iomega\System32\ActivityDisk.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\ZipToA.exe

C:\WINNT\Explorer.EXE

C:\Program\SYMANT~1\SYMANT~1\vptray.exe

C:\Program\Winamp3\winampa.exe

C:\Program\Iomega\DriveIcons\ImgIcon.exe

C:\Program\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

C:\Program\WinZip\WZQKPICK.EXE

C:\Försvar\unzipped\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://netlogon.student.uu.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [iomega Startup Options] C:\Program\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [iomega Drive Icons] C:\Program\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: CAMEDIA Master.lnk = C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O16 - DPF: {1538D4E0-B2C4-402D-B71A-BA6A04BC7A5D} (PictureChooser.picChooser) - http://direct.fotomenyn.com/direct/PictureChooser.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {65F77758-B822-45FB-8F0C-08E85705EC4A} (Upload.ctlUpload) - http://direct.fotomenyn.com/direct/upload.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O23 - Service: DefWatch - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\Program\Iomega\System32\ActivityDisk.exe

O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe

O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

 

[/log]

 

Link to comment
Share on other sites

Så sent som idag förökte jag göra en uppdatering, och fick veta att det inte fanns några nya viktiga uppdateringar.

Min Internet Explorer har ett senare versionsnummer än din och jag trodde att alla IE skulle ha samma nummer, men nu såg jag precis att IE på min andra dator hade samma nummer som din så det är säkert Ok. Patch betyder ungefär fix eller lagning så det är ett sätt att lösa ett säkerhetsproblem, säkerhetsuppdatering är lite vidare säger inget om hur man löser problemet, å andra sidan så kan ju en patch vara en lagning av något som inte är ett säkerhetsproblem utan en annan typ av problem.

 

Borde jag installera den nu eller ska jag vänta tills jag blivit av med maskkräket?

Är nog bäst på en gång, hjälper till för att få stopp på nya infektioner. Tiny Personal Firewall känner jag inte till men den funkar antagligen lika bra som någon annan. Har du någon kompis som kan ladda ner filen åt dig och lägga den på diskett eller bränna på CD? Så slipper du gå ut på internet utan brandvägg.

 

Vad som var mysko är att fix.exe och rundlle32.exe inte hittades när jag sökte efter dem.

Ibland lyckas HijackThis ta bort filerna men inte alltid, så man måste alltid kolla själv, så det var säkert Ok.

 

Filer i papperskorgen låter ofarliga, har inte sett något om något som körs därifrån.

 

Tyvärr, så måste man ut på nätet för att köra Housecall.

 

Bra att Symantec kunde sätta filerna i karantän. Villken version/årsmodell av Norton har du?

 

Denna gång ser jag inget otrevligt i din logg.

 

Så börja med att installera en brandvägg, skanna sedan med Norton i normalt och felsäkert läge. Gå ut på internet och skanna med housecall. Ladda sedan hem antispionprogrammen Ad-aware och Spybot - Search & Destroy:

http://www.lavasoft.de/swedish/support/download/

http://www.lavasoftsupport.com/index.php?showtopic=42066 (instruktioner)

http://www.safer-networking.org/en/download/index.html

Kör dem.

 

Skriv här hur det har gått.

 

Link to comment
Share on other sites

Tänker riktigt onda tankar om min dator just nu.

 

Har redan försökt skriva detta meddelande 2 gånger men då har det försvunnit, så detta blir kortfattat.

 

Har installerat brandväggen (tiny personal firewall) och slänger hela tiden upp meddelande om:

 

"incoming connection alert"

someone from 10.11.35.104 port 138 wants to send UDP datagram to port 138 owned by "system" on your computer

 

och liknande outcoming connection alert

 

Dessa kommer hela tiden, med någon/några sekunders mellanrum, minst tio olika nummer, orkade inte räkna mer, och en del återkommer. Och detta oberoende om jag gjort någonting

 

jag svarade "deny" på alla utan de som hade med min inloggningssida att göra

 

(vilket är konstigt, incomming connection alert kom tom INNAN jag hade loggat in på internet)

 

Innebär dessa att min dator är inblandad i suspekta kommunikationer för det kan väl inte vara normalt eller?

 

**

Mitt virusprogram heter kort och gott Symantec Antivirus, inte Norton. Vet inte något om det eftersom det fanns på datorn när jag fick den. Men någonstans hittade jag året 2002

[inlägget ändrat 2005-02-13 00:13:47 av Ammie]

Link to comment
Share on other sites

Incoming betyder att det är någon utifrån som försöker ta sig in, det är tyvärr normalt i dagens läge att folk håller på och skannar efter datorer som det går att komma in på. Däremot så brukar de inte komma så ofta som du beskriver, det brukar i alla fall gå minst ett par minuter, men det kan bero på att det tidigare har gått att komma in på din dator så att det är någon/några som har lärt sig din dators ip-adress (internetadress).

 

Däremot om det står outgoing så är det något i din dator som vill ut, typiskt någon sorts spionprogram om det inte är din webbläsare, epostprogram eller annat känt.

 

Deny är alldeles rätt sak att svara. Du kan se om du kan ställa in brandväggen så att du slipper se varningsmeddelanden om incoming.

 

Oftast brukar Symantec kalla sina antivirusprogram för Norton så därför skrev jag så. Om den är ända sedan 2002 så kan det tänkas att någon nyare gratis antivirusprogram klarar av fler otrevligheter. Exempel på gratis antivirusprogram är AVG och Avast.

http://www.grisoft.com/

http://www.avast.com/

Men det kan du vänta med ett tag utan gör det som jag föreslog tidigare.

 

 

Link to comment
Share on other sites

Hej

 

Symantec hittade ingenting

Housecall hittade inte heller någonting

AdAware hittade

[log]Tracking Cookie Object Recognized!

Type : IECache Entry

Data : administratör@server.iad.liveperson[1].txt

Category : Data Miner

Comment : Hits:1

Value : Cookie:administratör@server.iad.liveperson.net/

Expires : 2006-02-13 11:14:44

LastSync : Hits:1

UseCount : 0

Hits : 1

 

 

Någon vecka tidigare hittade den: (och ytterligare ett par veckor tidigare, första gången jag körde det hittade den ca 80 någonting, men dem har jag raderat nu. Men de var av typen data miner och tracking cookie

 

TRACKING COOKIE

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[0]=IECache Entry : Cookie:administratör@statcounter.com/

obj[1]=IECache Entry : Cookie:administratör@doubleclick.net/

obj[2]=IECache Entry : Cookie:administratör@bravenet.com/

obj[3]=IECache Entry : Cookie:administratör@atdmt.com/

obj[4]=IECache Entry : Cookie:administratör@imrworldwide.com/cgi-bin[/log]

 

Spybot hittade följande (jag valde sedan fix problem)

 

[log]--- Report generated: 2005-02-13 13:29 ---

 

Alexa Related: What's related link (Replace file, fixed)

C:\WINNT\Web\RELATED.HTM

 

DSO Exploit: Data source object exploit (Registry change, fixed)

HKEY_USERS\S-1-5-21-583907252-1677128483-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Registry change, fixed)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

Roings: Library (File, fixed)

C:\WINNT\system32\objsafe.tlb

 

 

--- Spybot - Search && Destroy version: 1.3 ---

2004-05-12 Includes\Cookies.sbi

2004-05-12 Includes\Dialer.sbi

2004-05-12 Includes\Hijackers.sbi

2004-05-12 Includes\Keyloggers.sbi

2004-05-12 Includes\LSP.sbi

2004-05-12 Includes\Malware.sbi

2004-05-12 Includes\Revision.sbi

2004-05-12 Includes\Security.sbi

2004-05-12 Includes\Spybots.sbi

2004-05-12 Includes\Tracks.uti

2004-05-12 Includes\Trojans.sbi[/log]

 

HiJackThis hittade följande

 

[log]

Logfile of HijackThis v1.99.0

Scan saved at 13:36:33, on 2005-02-13

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Program\Iomega\System32\ActivityDisk.exe

C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\Försvar\Brandvägg\Tiny Personal Firewall\persfw.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\ZipToA.exe

C:\WINNT\Explorer.EXE

C:\Program\SYMANT~1\SYMANT~1\vptray.exe

C:\Program\Winamp3\winampa.exe

C:\Program\Iomega\DriveIcons\ImgIcon.exe

C:\Program\QuickTime\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

C:\Program\WinZip\WZQKPICK.EXE

C:\Försvar\Spybot\Spybot - Search & Destroy\SpybotSD.exe

C:\WINNT\system32\NOTEPAD.EXE

C:\Försvar\unzipped\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://netlogon.student.uu.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Försvar\Spybot\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [iomega Startup Options] C:\Program\Iomega\Common\ImgStart.exe

O4 - HKLM\..\Run: [iomega Drive Icons] C:\Program\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: CAMEDIA Master.lnk = C:\Program\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O16 - DPF: {1538D4E0-B2C4-402D-B71A-BA6A04BC7A5D} (PictureChooser.picChooser) - http://direct.fotomenyn.com/direct/PictureChooser.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {65F77758-B822-45FB-8F0C-08E85705EC4A} (Upload.ctlUpload) - http://direct.fotomenyn.com/direct/upload.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O23 - Service: DefWatch - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\Program\Iomega\System32\ActivityDisk.exe

O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe

O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Program\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

O23 - Service: Tiny Personal Firewall - Tiny Software - C:\Försvar\Brandvägg\Tiny Personal Firewall\persfw.exe

O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe[/log]

 

Jag har inte noterat någonting annat skumt, virusprogrammet har inte get några nya varningar, ingen process tar stor kapacitet el liknande.

 

Vad jag inte vet hur jag ska hantera är brandväggen…

Har nog aldrig känt så påtagligt vad lite jag kan om datorer. Brandväggen skulle tydligen vara lättanvänd. *fnys* Men jag ska leta i menyerna.

 

 

 

 

Link to comment
Share on other sites

Cookies är i alla fall inget farligt för datorn, möjligen otrevligt för den personliga integriteten.

 

Spybot: DSO Exploit brukar återkomma när man kör Spybot nästa gång beroende på en bugg i Spybot så det är inget att bry sig om framöver. Det var ju bra att den fixade det andra, Alexa related är något som håller reda på surfvanor, Roings vet jag inte vad det är.

 

Jag ser inget konstigt i din HijackThis-logg heller.

 

Så nu så skulle jag betrakta din dator som ren. Grattis! :thumbsup: Bra jobbat!

 

För att skydda din dator framöver så kan du se om du vill använda programmen SpywareBlaster och SpywareGuard, de hindrar en del otrevligheter från att laddas ner resp. köras.

http://www.javacoolsoftware.com/

 

Kör också programmen Ad-aware och Spybot regelbundet liksom en online-skanning med Housecall eller liknande.

 

Se också över säkerhetsinställningarna i Internet Explorer, det finns en del tips här:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm

 

IE-SpyAd lägger en massa otrevliga platser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra så mycket med din dator:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Alternativt så kan du ju fundera på om du vill gå över till en annan webbläsare såsom Firefox, Mozilla eller Opera:

http://www.mozilla.se

 

Gällande brandväggen så kan du ju hoppas att Brynäsarn kan svara på frågor, eftersom det var han som rekommenderade den. Eforum har ett särskilt forum för brandväggar i så fall.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...