Just nu i M3-nätverket
Jump to content

Real och BackDoor.Generic3.GBB!CME-762


windowsman

Recommended Posts

Hej

Var ute och surfade när virusprogramet plötsligt varnade.

Nortera att jag just då var i full färd på sajten jag besökte trycka på ett videoklipp (Real).

Av något anledningen började real söka efter uppdatering avbröts dock av okänt anledning. Norterat detta händer varje gång jag kollar på detta videoklipp?

 

Mysterier finns det gott om! Här är det mitt Avg antivirus varnade för!

 

C:\Program\Real\RealPlayer\rpplugins\rimisc.dll

Trohan horse BackDoor.Generic3.RVI

 

BackDoor.Generic3.GBC!CME-482

BackDoor.Generic3.GBB!CME-762

 

Vad detta är mysterium!

 

Nå väl som åtgärd track jag på Heal!

Börja bli lite orolig när man blir varnad för Trojan.:thumbsdown:

 

/Tacksam för svar.

 

[inlägget ändrat 2006-10-24 20:18:31 av windowsman]

Link to comment
Share on other sites

Ladda hem HijackThis:

 

http://www.majorgeeks.com/download3155.html

 

Installera,kör,scanna datorn,spara loggen i en egen mapp t.ex C:\HJT

Men inte på skrivbordet.

 

I ditt svar bifogar du HijackThis-loggen på följande sätt

 

Tryck på LOG-knappen i besvara-fönstret

Klistra in loggen

Tryck på LOG-knappen igen

 

Zipp, Cecilia eller något annat av proffsen här på forumet kan

hjälpa dig att tolka loggen,har själv ingen erfarenhet av att tolka

HijackThis-loggar,så det överlåter jag åt dem som kan mer än jag.

 

[inlägget ändrat 2006-10-24 23:38:34 av Brynäsarn]

Link to comment
Share on other sites

Har du skrivit rätt på filens namn, för den finns inte när man googlar?

Om det är en vanlig plugin till RealPlayer så borde namnet finnas på någon webbsida.

Vad är det för webbsida egentligen? Det finns ju många som är illasinnade, tyvärr.

 

Här står det i alla fall om en annan Backdoor.Generic3:

http://www.grisoft.com/doc/TopThreats/lng/us/tpl/tpl01

 

 

Link to comment
Share on other sites

Hej

Här kommer loggen [log]Logfile of HijackThis v1.99.1

Scan saved at 19:30:42, on 2006-10-25

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Hijackthis\rensning.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hiiraan.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgemc.exe

 

[/log]

 

Hoppas det kan vara till hjälp!

 

Link to comment
Share on other sites

Så kanske hittar du den nu!

 

C:\Program\Real\RealPlayer\rpplugins\rimisc.dll

Trojan horse BackDoor.Generic3.RVI

 

BackDoor.Generic3.GBC!CME-482

BackDoor.Generic3.GBB!CME-762

 

Link to comment
Share on other sites

Syns inget otrevligt i HijackThis-loggen, bara en avsaknad av en bra brandvägg. En brandvägg är ju väldigt bra om man nu har ett program i datorn som försöker öppnar en bakdörr till datorn så att andra kan komma åt den.

 

Gå till http://www.virustotal.com/ klistra in C:\Program\Real\RealPlayer\rpplugins\rimisc.dll i rutan och tryck på Send.

Vänta till det är klart (Status blir Finished) och klistra sedan in resultatet (inkl. filstorlek) här.

 

Link to comment
Share on other sites

Gå till http://www.virustotal.com/ klistra in C:\Program\Real\RealPlayer\rpplugins\rimisc.dll i rutan och tryck på Send.

Vänta till det är klart (Status blir Finished) och klistra sedan in resultatet (inkl. filstorlek) här.

 

Här kommer den!

 

[log]Antivirus Version Update Result

AntiVir 7.2.0.32 10.26.2006 no virus found

Authentium 4.93.8 10.26.2006 no virus found

Avast 4.7.892.0 10.26.2006 no virus found

AVG 386 10.26.2006 no virus found

BitDefender 7.2 10.26.2006 no virus found

CAT-QuickHeal 8.00 10.26.2006 no virus found

ClamAV devel-20060426 10.26.2006 no virus found

DrWeb 4.33 10.26.2006 no virus found

eTrust-InoculateIT 23.73.37 10.26.2006 no virus found

eTrust-Vet 30.3.3158 10.26.2006 no virus found

Ewido 4.0 10.26.2006 no virus found

Fortinet 2.82.0.0 10.26.2006 no virus found

F-Prot 3.16f 10.26.2006 no virus found

F-Prot4 4.2.1.29 10.26.2006 no virus found

Ikarus 0.2.65.0 10.26.2006 no virus found

Kaspersky 4.0.2.24 10.26.2006 no virus found

McAfee 4882 10.26.2006 no virus found

Microsoft 1.1609 10.25.2006 no virus found

NOD32v2 1.1837 10.26.2006 no virus found

Norman 5.80.02 10.26.2006 no virus found

Panda 9.0.0.4 10.26.2006 no virus found

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.106 10.26.2006 no virus found

UNA 1.83 10.26.2006 no virus found

VBA32 3.11.1 10.26.2006 no virus found

VirusBuster 4.3.15:9 10.26.2006 no virus found

 

 

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

[/log]

 

Link to comment
Share on other sites

File size: 0 bytes

Verkar inte bra, antingen är filen verkligen 0 bytes och då gör den ingen nytta eller så är det någon otrevlighet som förhindrar att filen laddas upp till virustotal. Så jag tycker det ska bort från datorn (åtminstone flyttas på). Så det verkar som webbplatsen försöker (har lyckats?) få in en trojan i din dator.

 

Link to comment
Share on other sites

Verkar inte bra, antingen är filen verkligen 0 bytes och då gör den ingen nytta eller så är det någon otrevlighet som förhindrar att filen laddas upp till virustotal. Så jag tycker det ska bort från datorn (åtminstone flyttas på). Så det verkar som webbplatsen försöker (har lyckats?) få in en trojan i din dator

 

Hej

Tack för hjälpen. Hur undrar gör jag det hjälp???

 

Här kommer förresten den senaste loggen.

[log]Logfile of HijackThis v1.99.1

Scan saved at 23:56:28, on 2006-10-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Hijackthis\rensning.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hiiraan.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgemc.exe

 

[/log]

 

/Tacksam för svar.

 

Link to comment
Share on other sites

Ta bort filen C:\Program\Real\RealPlayer\rpplugins\rimisc.dll

 

Här kommer mina vanliga råd för en säkrare dator, men det är såklart viktigt att man använder sitt förnuft också.

 

Uppdatera från Windows Update och kör antispionprogrammen AVG Anti-Spyware (Ewido), Spybot S&D och/eller Ad-aware regelbundet.

http://www.ewido.net/en/

http://www.safer-networking.org/en/download/index.html

http://www.lavasoft.com

 

Komplettera antivirusprogrammet med några online-skanningar då och då:

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/ie.html

http://www.pandasoftware.com/products/activescan/

 

Använd en brandvägg (bättre än den inbyggda i XP), finns gratis från t ex ZoneLabs.

http://www.zonelabs.com/store/content/home.jsp

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

http://www.spywarewarrior.com/uiuc/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

http://www.spywarewarrior.com/uiuc/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.org

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

Link to comment
Share on other sites

Ta bort filen C:\Program\Real\RealPlayer\rpplugins\rimisc.dll

 

Hur ska jag ta bort detta fil? Är det säker att den innehåller virus?

Vad gör filen i datorn?

 

Föresten hur såg den senaste loggen ut?

 

Link to comment
Share on other sites

Föresten hur såg den senaste loggen ut?

I HijackThis-loggen ser jag inget otrevligt i. Märker du något konstigt med datorn?

 

Hur ska jag ta bort detta fil?

Med Utforskaren/Den här datorn t ex.

Eller har AVG redan tagit bort den?

 

Är det säker att den innehåller virus?

Visst förekommer det falsklarm, det är svårt att veta, men det gick inte att ladda upp filen till virustotal vilket är ett dåligt tecken. Men du kan skanna datorn här t ex:

http://www.kaspersky.com/virusscanner

http://housecall.antivirus.com/

 

Vad gör filen i datorn?

Backdoor betyder bakdörr och brukar användas av antivirusföretagen för otrevligheter som öppnar en bakdörr till datorn så att datorer ute på internet kan komma åt datorn.

http://www.grisoft.com/doc/62/lng/us/tpl/tpl01/idv/286202

http://www.sophos.com/security/analyses/w32cuebotl.html

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FIRCBOT%2EJL&VSect=P

Är Windows-brandväggen igång?

 

Link to comment
Share on other sites

Kolla om filen finns eller inte med Utforskaren/Den här datorn efter att ha ställt in så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...