Info: MSN-orm: hxxp://myspacess.net/image.php

1 innlegg i emnet

Skrevet (endret)

Det vil nok fortsatt sendes ut slike ormer forkledd som bilde, så man får bare leve etter regelen:

"Man skal ALDRI trykke på linker uten å vite om det er bevisst sendt fra avsender"

Linkadresse: hxxp://myspacess.net/image.php?=min mailadresse

Infisert fil: DSC000020090201.JPG.exe

Klikker man få fila, installers følgende:

NB! Det ser ut til at denne infeksjonen er langt mer omfattende enn den som er nevnt tidligere. Langt flere filer/prosesser/regisertendringer er involvert. Kanskje den forrige bare var en testvariant?

Filer:

C:\WINDOWS\fxstaller.exe

C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\IXP000.TMP\DSC000.EXE

C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\TMP4352$.TMP

C:\WINDOWS\system32\lexplorer (l=L) Kan være andre filnavn:windows.exe , winamp.exe

C:\tezzzt.exe<-mulig dette er tilfeldig navn, så andre navn kan forekomme

Rootkit: <- Denne har ikke blitt gjenskapt ved senere forsøk, så jeg antar dette er et ikke-problem

Service: Seneka

Ved siste sjekk, ble det ikke funnet noe rootkit, men et par nye filer var blitt opprettet.

Registeroppføring:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Windows UDP Control Center = "fxstaller.exe

Det opprettes også noen registeroppføringer av typen:

Internet Explorer = "C:\windows\System32\lExplorer.exe (i HKCU og HKLM, Run/RunServices)

hvis det er fila lexplorer.exe som opprettes. Er det windows.exe, står det Windows osv.

På nåværende tidspunkt tar svært få av-programmer denne:

BitDefender: Trojan.Inject.TM

Enkelte andre av-prog. vil nok gi meldinger om suspekt nettkontakt.

Løsning:

Last ned Malwarebytes Anti-Malware (MBAM) til skrivebordet.

Kjør og installer programmet. Velg Norsk-språk

La programmet oppdatere seg og velg å kjør en 'hurtig systemskann', klikk Skann.

Det kommer en meldingsboks om at scannen er ferdig, klikk Ok

Klikk på Vis resultat-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet.

Klikk så på Fjern valgte -knappen for å fjerne malwaren som evt. ble funnet.

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt) sammen med loggen fra MBAM.

Kjør en ny rask skann med MBAM etter at du har kjørt Combofix og fått laget loggen.

Kjøre også en rens inkl.registerrensen til CCleaner. Når registerrensen kjøres, sørg for at MUI Cache er merket.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive