Info: MSN-orm hxxp://youtube.pl.tc/***9bR9yZg-youtube.com

Startet av norbat,

6 innlegg i emnet

Skrevet (endret)

En ny msn-trojaner er i aktivitet. Med link av typen hxxp://youtube.pl.tc/***9bR9yZg-youtube.com, får du lastet ned et MS-DOS program med navn watchv=s9bR9yZg-youtube.com

Det som skjer er at du blir infisert med en fil med filnavn kjent fra en tidligere msn-infeksjon, C:\Windows\ehSched.exe

Når man kjører fila får man opp en meldingsboks hvor det står "Picture can not be displayed'

Man får opprettet fila C:\WINDOWS\ehSched.exe

For å se fila må man aktivere 'vis beskyttede operativsystemfiler'

I Hijackthis (hjt), ser man følgende oppføringer:

C:\WINDOWS\ehSched.exe

O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe

Pr. 30.aug detekterer følgende antivirusprogrammer fila som:

avira: TR/VB.eur Trojan

F-secure: Trojan.Win32.VB.eur

Løsning:

Last ned Malwarebytes Anti-Malware

Kjør og installer programmet. Velg Norsk-språk

La programmet oppdatere seg og velg å kjør en 'hurtig systemscan', klikk Skann.

Det kommer en meldingsboks om at scannen er ferdig, klikk Ok

Klikk på 'Vis resultat'-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet.

Klikk så på Fjern valgte -knappen for å fjerne malwaren som evt. ble funnet.

Det vil deretter åpnes en logg i notisblokk.

Alt. Manuell løsning:

Start oppgavebehandlingen og velg arkfanen Prosesser

Stopp prosessen ehSched.exe

Bruk utforsker til å slette fila: C:\Windows\ehSched.exe

Hent HJT og installer programmet i en egen mappe

Start hjt, velg "Do a system scan only"

Sett merke framfor følgende linje og klikk Fix checked: O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe

Restart pc og kjør HJT på nytt. Kontroller at fila (C:\WINDOWS\ehSched.exe) og registeroppføringen (O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe) ikke forekommer i loggen.

Endret av norbat
0

Del dette innlegget

Lenke til innlegg
Del på andre sider

Skrevet

nice guide.

btw, ternger med pl.tc adressen ikke er en ekte youtube side?

0

Del dette innlegget

Lenke til innlegg
Del på andre sider

Skrevet

Dj_Evelen:

Vet ikke helt hva du spurte om, men pl.tc-siden er ingen ekte youtube-side, nei.

.tc er mest sannsynlig knyttet til http://www.smartdots.com/ der man kan lage seg 'egne' domenenavn.

0

Del dette innlegget

Lenke til innlegg
Del på andre sider

Skrevet

Malwarebytes Anti-Malware er oppdatert for denne infeksjonen.

Blant antivirusprog. tar Avira og F-secure infeksjonen.

Det virker som om denne trojaneren ikke er særlig utbredt (ennå), men medisinen er klar om det skulle bryte ut :)

0

Del dette innlegget

Lenke til innlegg
Del på andre sider

Skrevet

Takk, denne var nyttig! Men tenker at vi "nerder" ser paa domenet. hxxp://youtube.pl.tc/ legg merke til "hxxp"eller ".pl.tc"

0

Del dette innlegget

Lenke til innlegg
Del på andre sider

Skrevet

http er ikke tatt med i linken norbat la vef fordi at folk ikke skal trykke på den ved en feiltagelse, og få viruset installert. ;)

Men det bør ringe en bjelle for de fleste når det står .pl.tc, ja! :P

0

Del dette innlegget

Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå
Gå til emneliste Virusnytt

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive