[LØST] Info: MSN-trojaner aktiv, ..photobucket..., ..youtube...

11 innlegg i emnet

Skrevet (endret)

NB! Denne veiledningen (se sort tekst lenger ned) omhandler egentlig det MSN-viruset som var aktivt for litt over en uke siden. Det som har vært i aktivitet nylig, er en annen variant med andre filer (se grønn tekst). Kjør allikevel gjennom veiledningen som er gitt, med de programmene som er listet opp da det 'nye' MSN-viruset er en variant som har kjente infeksjoner.

De fleste antivirusprogram vil nå ha oppdatert sine definisjoner, som gjør at du sannsynligvis vil bli kvitt infeksjonen vha. det. Er du allikevel i tvil, så ikke nøl med å søke hjelp.

---------------------------------------------------------

Det 'nye' MSN-viruset aktiverer bla. nedlasting av filer knyttet til Vundo-infeksjon, noe som kan sees i en hijackthis-logg som:

O2-linje: C:\WINDOWS\system32\qomnnkh.dll, (dll-fila qomnnkh.dll opptrer i mange navn-varianter).

020-linje: O20 - Winlogon Notify: qomnnkh - C:\WINDOWS\SYSTEM32\qomnnkh.dll

Man kan også finne følgende linje i hjt-loggen:

O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe

Fila svchost.exe vil ligge på følgende plass: C:\windows\svchost.exe

Kjør altså gjennom veiledningen under og evt. post nødvendige logger om du ønsker hjelp.

----------------------------------------------------------

INFO:

Linken du får på MSN, kan inneholde ord som ..photobucket.., ..youtube.. etc.

I de fleste tilfellene har det vært filene ntmngr.exe, lssas.exe og images.zip som har skapt problemer.

ntmngr.exe: Backdoor.Win32.IRCBot.bag (Kaspersky)

lssas.exe: Backdoor.Win32.IRCBot.bau (F-secure)

images.zip: Backdoor.Win32.IRCBot.bau (F-secure)

Filer som kan være virksomme er:

C:\WINDOWS\ntmngr.exe

C:\WINDOWS\lssas.exe

C:\445930.exe

C:\WINDOWS\images.zip

En HJT-logg kan vise følgende linje (registeroppføring):

O4 - HKLM\..\Run: [MSN] lssas.exe

O4 - HKLM\..\Run: [MSN] ntmngr.exe

Er usikker på hvilke antivirusprogram som har oppdatert sine definisjoner for dette, så kan derfor ikke anbefale noen som garantert tar disse filene.

Hvordan løse dette

Fordi det nå har gått noen dager siden denne infeksjonen ble oppdaget, så vil sannsynligvis ditt antivirusprogram ordne problemet. Jeg gir deg allikevel en løsning som jeg vet fungerer.

Programmer som inngår i fixen:

MSNFix: Vil oppdage og fjerne alle filene som er nevnt over

Combofix: Vil fjerne de fleste, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager.

Hijackthis (hjt): Lager en logg som evt. kan fortelle hvordan det ligger an.

Veiledning MSNFix

Last ned MSNFix, og pakk det ut på skrivebordet.

Kjør filen 'MSNFix.bat'. Følg veiledningen

Veiledning Combofix:

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt) i en egen tråd, om du ønsker veiledning (klikk Nytt emne)

Veiledning Hijackthis:

Hijackthis kan på en enkel måte fjerne registeroppføringene knyttet til denne infeksjonen.

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan only".

Sett er merke framfor følgende linjer, om de er tilstede, og klikk Fix checked:

O4 - HKLM\..\Run: [MSN] lssas.exe

O4 - HKLM\..\Run: [MSN] ntmngr.exe

Det er lite sannsynlig at begge er tilstede samtidig.

Oppdater ditt antivirusprogram og kjør en full scan.

Kilde: http://www.diskusjon.no/index.php?showtopic=894817

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Til opplysning har jeg prøvd å legge ved en kommentar i artikkelen som påpeker at det forfatteren skriver om gjelder et gammelt virus, med under 170 treff på google på hver respektivt. IRCBot.anl gir 120 treff/IRCBot.ane gir 166(nermere 30 er fra cirt) samt at de fleste virus scannere vil ta virsuet med heuristisk skanning pag at de ligner mye tidligere versjoner + oppdaterte virus definisjoner.

Disse kommentarene har blitt slettet 3 ganger

Endret av exchange
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Artikkelen omhandler et virus som ble laget for lenge siden - ja - men som fremdeles spres. Basert på innlegg i forumet angående folk som har fått viruset, samt egne erfaringer fra folk i kontaktlisten som har spredt viruset, valgte vi å skrive en artikkel om hvordan du kunne fjerne dette viruset. Selvsagt finnes det antageligvis nye MSN-virus, men vi kan ikke dekke opp alle disse. Fint at du da har tatt intiativ til denne tråden, norbat.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Bare hyggelig :)

Artikkelen din kan dessverre virke litt misvisende da den kan lede til å tro at det er dens innhold som må sjekkes ut. I de 100 loggene jeg har sett, er det nok ikke denne som har stukket fram hodet igjen.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Veiledningen er oppdatert pga. oppdaterte program for løsning.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Du har store kunnskaper rundt dette norbat.

Godt å ha deg her i forumet. :thumbup:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk, vi får bidra med det vi kan :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Synes det er litt uklart, men hvis jeg har forstått det riktig, så heter viruset issas.exe, og systemfilen lssas.exe ( altså med L). På taskmanager kjører jo lssas.exe, så jeg fikk jo litt panikk (visste ikke dette da) Men på den sist analyserte HJT loggen min, sto det at lsass.exe er en system prosess, og at den altså var safe... Og jepp, det var riktig fikk jeg høre hos en kompis.

Dette kommer veldig uklart frem her, og ellers på nettet synes jeg. Synes også at begrepene i og l brukes om hverandre, så det blir fort forvirrende.

Samme gjelder filen svchost.exe. Denne kjører jo også på taskmanager, og jeg som er ganske så fersk, fikk jo litt panikk, for jeg har lest at den er liltt skummel... Men, samtidig er den en systemfil? øøøh??

Har fjernet virus og trojaner. Og har kjørt scanning x antall ganger, og finner ingenting...Men som sagt, så ER dette litt forvirrende for meg som er ny.

Noen som har lyst og forklare nærmere? :)

Endret av Milla79
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei Milla79

Ja, disse filene som heter tilnærmet det samme og disse filene som heter det sammen, men ligger på ulike plasser på pc'n, kan være en utfordring i en litt stresset situasjon.

Grunnen til at det ikke ligger en lang utredning i 1.post ang. isass/lsass/issas/lssas, ulike svchost etc, er fordi det ikke nødvendigvis gjør saken enklere. Uansett er det en forutsetning at man må lese nøye det som står.

For å gjøre det mer tydelig (forhåpentligvis), så har du i denne sammenheng to filer som du skal HA på pc:

lsass.exe (med bokstaven L), som skal ligge på følgende plass: c:\windows\system32\lsass.exe

svchost.exe, som skal ligge på følgende plass: c:\windows\system32\svchost.exe

All annen plassering på filer med samme navn, bør gjøre at man kontrollerer filene nøye da det mest sannsynlig er noe rusk.

Har du en fil som heter Isass (med bokstaven i) og som ligger på samme plass som den snille lsass (med bokstaven L), så er nok det også en liten luring.

Hvis du leser veiledningen over en gang til, så vil du se at det er snakk om fila lssas.exe (ikke lsass.exe, som den snille heter).

Det er også nevnt hvor svchost.exe fila ligger, ikke system32-mappa, men i mappa windows.

Dette er to meget viktige opplysninger man må få med seg, spesielt om man har tenkt å fjerne filer manuelt.

mvh

n

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ang svchost.exe.

Får opp en fil som heter SVCHOST.EXE-2D5FBD18.pf i c:\windows\prefetch. Er det en luring også?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Er vel bare å la være å klikke på linkene så slipper man jo dette :thumbs:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive