Info: MSN-Orm, youtube.glx.nl/*****....

8 innlegg i emnet

Skrevet (endret)

Infiserte PC-er viser gjerne en eller flere av følgende oppføringer i en Hijackthis-logg

O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe

O4 - HKLM\..\Run: [MSN] scvhost.exe

O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe

O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe <- Forekommer ofte

O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe <- Forekommer ofte

O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe <- Forekommer ofte

Filer som inngår:

C:\WINDOWS\winudspm.exe

C:\WINDOWS\winudpmgr.exe

C:\Windows\scvhost.exe

C:\WINDOWS\system32\sysregi.exe <- Forekommer ofte

C:\WINDOWS\ehSched.exe <- Forekommer ofte

Prosessene er alle en form for Orm / IRC backdoor trojaner

Andre filer som kan være tilstede:

C:\Windows\sshost.exe

C:\WINDOWS\seeshost.exe

C:\WINDOWS\sysys.exe

C:\WINDOWS\sysutili.exe

C:\WINDOWS\ssehost.exe

C:\Windows\images.zip

C:\WINDOWS\059573.exe

C:\WINDOWS\203937.exe

Hvordan løse problemet:

Det virker som om denne infeksjonen drar med seg ulike typer filer av kategorien WORM/IrcBot backdoor trojaner. Så langt finnes det ikke noe av-prog som tar alle filer, så veiledningen nedenfor er å anbefale.

Program som brukes i denne veiledningen:

Malwarebytes Anti-Malware:

Oppdager og fjerner bla. de filene som forekommer oftest i denne infeksjonen

Combofix:

Vil fjerne flere av filene, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager.

CCleaner:

Fjerner bla. nettleser-cachen der spor etter infeksjonen kan ligge

Veiledning Malwarebytes Anti-Malware (MBAM)

Last ned MBAM til skrivebordet.

Kjør fila og installer programmet. Velg Norsk språkdrakt

La programmet oppdatere seg og velg å kjør en hurtig systemskann.

Du får en meldingsboks når programmet er ferdigkjørt

Klikk deretter på Vis resultat-knappen. Hvis det er funnet malware, vil du nå se hva som er funnet.

Klikk så på Fjern valgt -knappen for å fjerne malwaren som evt. ble funnet.

Når MBAM er ferdig med å fjerne det den har funnet, vil det bli åpnet en logg i notisblokk. Den kan du kopiere og poste senere.

Veiledning Combofix:

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt) + loggen fra Malwarebytes A-M i en egen tråd, om du ønsker veiledning (klikk Nytt emne)

Veiledning CCleaner:

Kjør i tillegg en diskrens vha. CCleaner:

Last ned CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......."

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg fikk det viruset i går.. En link med et hjerte forann og rett etter kom en youtube link med noe nl greier i. Har ikke peiling hvordan jeg skal få det bort. har ikke peiling på pc generelt. har kjørt combofix men det kom ingen logg etter at maskinen starta igjen. har kjørt mange andre virus programmer men ingen finner viruset. Det som skjer er at jeg trykka på linken og så var jeg smart nok til å trykke kjør... deretter kom det opp msn samtaler og lukka seg hele veien. og så begynte folk å spør ''hva er det på linken?'' og så fant jeg ut at den hadde sendt den samme linken som jeg trykket på videre til alle mine kontakter.:S Er litt forvirra. er det borte? hvordan fjerne det på en enkel og god måte?

Men hvordan vite at viruset er borte? Tuuusen takk for de som svarer =)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

er ikke det bare å ta system gjennoppretting da om man ikke blir kvitt...? <_<

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei det gikk ikke ann å gjennoppdrette pcen min. sto at den ikke ble fullført -____- men tror det ble slettet. fikk loggen opp fra combofix greiene. Hvordan ser man om man har virus der da? hvor står det? sorry vis jeg maser nå, men er desperat..

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Loggen kopierer du og limer inn i en egen tråd som du oppretter ved å klikke på Nytt Emne-knappen. Da kan noen som leser disse loggene hjelpe deg.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Infoen her var en OK løsning.

Jeg besvarer ofte noen av virustrådene på et tidlig tidspunkt, men enkelte ganger kan det være litt diffust hvilken løsning jeg skal linke til (med eller uten SAS). Denne var enkel og oversiktlig.

------

Hvis denne MSN-saken er like mye "epidemi" som tidligere saker foreslår jeg å få inn "oppskriften" på forsiden - en haug av mennesker bruker forside-artikler istedenfor forumet i virussaker. Tidligere saker har ofte gitt en haug av "innlegg" blant kommentarene - "Jeg har også fått dette viruset - HJELP".

Løsningen fra januar med "oppskrift" + "hvordan starte egen tråd" + "annen relevant info" fungerte greit. Få opp en lignende løsning hvis denne saken gir inntrykk av å være "epidemisk".

Tilrettelegg gjerne slik at de som søker på nettet treffer "rett MSN-sak" - løsninger varierer mellom "MSN januar" og "MSN-virus juni 2008". En rekke av de som "er nye på slike ting" søker først på nettet, og treffer relevante løsninger derfra. Gjør den riktige saken lett synlig - la folk slippe å lese gjennom mange gamle saker.

Få gjerne med tips om "kjappe løsninger" som kan være effektive. Virus som sprer seg via adressebok kan avbrytes ved å deaktivere forbindelsen med internett raskt.

NB. Forrige MSN-virus hadde en sideeffekt i at det lastet ned en haug av problemer i tillegg. Hold oss oppdatert på slike effekter (hvis løsninger kanskje må justeres).

------

Hvorfor jeg ikke skriver forsideløsning SELV ?

Jeg savner trening på oppgaven - stilen bør være litt annerledes enn innlegg i forum. Det er lite egnet å utføre oppgaver hvis andre tar det kjappere og bedre. Jeg kan bruke denne saken som en trening etter hvert - men her vil andre være kjappere og bedre enn meg.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Et velmenende råd til personer som ikke kan la være å trykke på linker i WLM/MSN.

Et par grep som kan gjøres for og minske risikon av å bli smittet av virus via Messenger.

Verktøy>alternativer>Marker Filoverføring.

Huk av> Avvis automatisk filoverføringer av kjente/risikable filtyper.

Linken du får i Messenger blir da ren tekst.

Forsett til sikkerhet.

Fjern haken ved Tillat koblinger i samtalevinduet.Klikk bruk og ok

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

En oppdatering av aktuelle filer som denne infeksjonen drar med seg.

Noen nevner at problemet løses hvis man avinstallerer msn og sletter div. mapper knyttet til messenger. Dette medfører ikke riktighet, da de infiserte filene ikke ligger i mapper knyttet til MSN.

Hensikten med denne tråden er å gi de som ønsker å fixe dette selv el. de som ønsker hjelp til å få fixet problemet et lite utgangspunkt på hva man bør se etter og hvilke verktøy som er å anbefale for øyeblikket.

EDIT: MSNFix er byttet ut med Malwarebytes Anti-Malware. Dette fordi Malwarebytes A-M fjerner den mest aktive fila og ikke bare forandrer navn på den slik MSNFix gjør. Man slipper derfor å fjerne disse rename-filene etterpå.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive