Gaobot-668 eller ej?

Følg vejledningen for Spybot og HijackThis her: http://www.arlet.dk/spybothjt.htm

Smid loggen herind, i dette spm, så vil der blive kigget på den. Husk at indsætte *alle* linier fra loggen herinde.

(dette indlæg betyder ikke at jeg tager loggen)

Hej og tak for det hurtige indlæg. Jeg kører med spywareguard og spywareblaster, så spybot fandt som forventet ikke det store. Dog var der noget i regdb "Windows Media Player" Jeg ved ikke lige hvad det skal betyde, men jeg fjernede det og kørte spybot igen den gang fandt den ingen problemer.

Det bekymrer mig nu stadig, hvis det virkelig var en virus avast fandt. Hvordan beskytter jeg mig så fremover? Avast har jo kørt hele tiden...

Her er Hijack-loggen:

Logfile of HijackThis v1.97.7
Scan saved at 21:56:17, on 15-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Deerfield.com\VisNetic MailServer\Control.exe
C:\Program Files\Deerfield.com\VisNetic MailServer\Pop3.exe
C:\Program Files\Deerfield.com\VisNetic MailServer\Smtp.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\REALmagic\REALmagic Xcard\RmRemote.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\gamefi~1\steam\steam.exe
C:\Program Files\MicroStar\Bluetooth Software\BTTray.exe
C:\Program Files\8Dim\JovePlayer\jpHost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Program Files\BPFTP Server\G6FTPSrv.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe
C:\Program Files\MicroStar\Bluetooth Software\BTStackServer.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\DC++\DCPlusPlus.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Winamp\winamp.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
E:\downloads\06.15.2004\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Spark/My%20Documents/bookmark.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RMremote] C:\Program Files\REALmagic\REALmagic Xcard\RmRemote.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "c:\gamefi~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: BPFTP Server.lnk = C:\Program Files\BPFTP Server\G6FTPSrv.exe
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: RMremote.exe.lnk = C:\Program Files\REALmagic\REALmagic Xcard\RMremote.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: JovePlayer Host.lnk = C:\Program Files\8Dim\JovePlayer\jpHost.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag (HKLM)
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

OBS jeg har Messenger Plus installeret og ved denne er slem mht spyware. Men sponsor programmet er ikke medinstalleret.

Bruger du "Plaxo"?
Ellers er loggen ren, og du er godt beskyttet..

Prøv at scanne din computer, med nogle online antivirus-scannere fra: http://www.spywarefri.dk/onlinevark.htm

thesurfer tak for hjælpen først og fremmest. Jeg onlinescanner asap. Inden jeg tildeler dig point, vil jeg dog gerne lige fortsætte spørgsmålet om denne Gaobot... Mht. Plaxo, jeg inst. det blot for at se hvordan det virkede, men mente ikke jeg havde brug for det og afinstallerede det efter et par dage igen.

Jeg vil lige høre om i kan sige noget videre om den virus, jeg snakkede om. For mig er dét det vigtigste. Var det i virkeligheden en virus eller kan avast have taget fejl? Det jeg finder mærkeligt, er at jeg kunne slette SPL filen, da jeg slukkede printeren, men ikke inden.

Hvordan kan den være kommet ind på mit system og kan den have udrettet nogen skade?

Normalt vil en "Gaobot"/"Agobot" orm komme ind via DCom. Det er en tjenest, som Microsoft syntes vi skal ha aktiveret fra installationen af. Den kan deaktivers med DCOMbobulator.

Det anbefales at du downloader og kører (filerne fylder typisk cd 20-40 kb):
- DCOMbobulator: http://www.grc.com/dcom/
- Shoot The Messenger: http://www.grc.com/stm/shootthemessenger.htm
- UnPlug n' Pray: http://www.grc.com/unpnp/unpnp.htm
- XPdite: http://www.grc.com/xpdite/xpdite.htm

Jeg søgte på "Gaobot-668" tidligere, men fandt kun navnet, og ikke hvad den gjorde. Jeg vil søge igen. Imens kan du downloade ovennævnte små utilities.

Har du prøvet at opdatere Avast ? Det er en rigtig virus..

En søgning på Google: http://www.google.com/search?q=Gaobot-668&filter=0

Avast er 100% opdateret, det er den sat til selv at gøre. Jeg forsøgte at online scanne med panda, men den gik ned i løbet af natten... Jeg henter de 4 utils som du anbefalede :)

DCOMbobulator meldte "DCOM is Available but is NOT Vulnerable."
Kan det så udelukkes at gaobot-668 er kommet ind gennem DCOM?

Jeg kunne virkelig godt tænke mig at vide hvordan den er kommet ind på maskinen...

thesurfer kan du ikke lige lave et svar så smider jeg de 200 point til dig. det har du vist fortjent. :)

Jeg vil helst vente med at få points, til problemet er løst.. og 200 points er alt for meget..

Jeg vil se, om jeg kan lokke fromsej herover.. det kan være at han har nogle ideer, til hvordan du kan komme af med den.

Det lyder super. Jeg lader spørgsmålet stå åbent lidt endnu. Men du slipper ikke helt for point :) Hehe

Prøv lige at onlinescanne hos både Housecall og Bitdefender.http://spywarefri.dk/onlinevark.htm
Derefter henter du denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Jeg har ikke selv fået den afprøvet, men den skulle være utrolig effektiv, og indeholde hele Kaspersky´s virusdatabase.
Luk Dcom, hvis du ikke allerede har gjort det.
Vend tilbage med navne på det scannerne finder, hvis de finder noget.

Log fra onlicescan med bitdefender...:

Memory ok
Master Boot Record 80 ok (Windows 95 B20 - Windows 98)
Partition Boot 1 (primary) (active) ok (Windows NT 2000 NTFS)
Partition Boot 2  ok (Windows NT 2000 NTFS)
Master Boot Record 81 ok (Windows 95 B20 - Windows 98)
Partition Boot 1 (primary)  ok (Windows NT 2000 NTFS)
Master Boot Record 82 ok (Windows 95 B20 - Windows 98)
Partition Boot 1 (primary)  ok (Windows NT 2000 NTFS)
Master Boot Record 83 ok (Windows 95 B20 - Windows 98)
Partition Boot 1 (primary)  ok (Windows NT 2000 NTFS)
Master Boot Record 84 ok (Windows 95 B20 - Windows 98)
Partition Boot 1 (primary)  ok (Windows NT 2000 NTFS)
C:\Documents and Settings\Spark\Local Settings\Application Data\Identities\{38793DE8-AB16-403B-BD4B-5EE15FF2E51E}\Microsoft\Outlook Express\dk.edb.system.ms-windows.dbx=>(message 566) suspect: BAT.Delete
C:\www\log\cheaper.dk\access_log infected: Win32.IISWorm.CodeRed.1.Gen
C:\www\log\cheaper.dk\access_log unable to disinfect

Se det fatter jeg ikke en brik af, "access_log" består kun af log fra apache... og jeg kan ikke finde noget onskabfuld code der i... De andre scanner finder ingenting... og det er en tekst fil.

jeg stoppede apache som service... og kørte bitdefender på c:\www\ igen her er loggen:

C:\www\log\cheaper.dk\access_log infected: Win32.IISWorm.CodeRed.1.Gen
C:\www\log\cheaper.dk\access_log deleted

Kan det passe det var en virus eller tog bitdefender fejl... det var den eneste scanner der reagerede på den fil, hverken avast eller housecall, eller e-scan reagerede...

Umiddelbart vil jeg sige at Bitdefender overreagerede, når tre andre scannere siger ingenting, så må det vægte højere.
Men du kan scanne filen hos Kaspersky, er den scanning negativ, så er det Bitdefender der tager fejl, men hellere 10 alarmer for meget end en for lidt.
http://www.kaspersky.com/remoteviruschk.html

Ok, da jeg stoppede Apache, og scannede diret igen med bitdefender slettedes filen. Så jeg regner med jeg er ved at være ormefri.

Hvordan søren beskytter jeg mig fremover. Og kan de to orme have gjort skade på systemet? Jeg forstår simpelthen ikke hvordan de kan være kommet ind.

Aovergaard har lavet en artikel om emnet. Du kan kigge i: http://www.eksperten.dk/artikler/144
Som minimum anbefales Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.

"Hvordan 'søren'".. *fnis fnis fnis* ;-)

hehehe jaja man er vel jyde! :)

den artikel har jeg faktisk læst og lyttet til. alt relevant fra artiklen er faktisk installeret lige pånær IE værktøjerne. Jeg bruger mozilla firefox istedet...

mht FireFox: den er nice, og har brugt den selv.. mener dog at den er lidt ustabil.. bruger Opera nu.. som egentligt har et hukommelsesproblem, men det er til at leve med..

mht Internet Explorer: Jeg bruger den heller ikke.. kun når jeg vil "live on the edge".. man ved jo aldrig, hvilket website vil hacke ens computer, og tømme køleskabet ;-)  Så det er jo lidt spændende :-)

Husk at opdatere din Windows, med alle de nyeste updates, via www.windowsupdate.com . Windows' programmer, som f.eks. Internet Explorer, Windows Media Player (integreret i IE, kan udnyttes), DirectX (mindst v9.0b), osv, skal også opdateres, da de er en del af Windows, og udgør en sikkerhedsrisiko.

Opdateringerne til WMP og DX skal installeres hver for sig, da de kræver genstart efter installationen.

mht det med "søren": Jeg talte med fromsej, og vi var enige om sætningen skulle ha' været "Hvordan, Søren, beskytter jeg mig fremover.", da fromsej hedder "Søren" ;-)

..en lille sprogjoke :-)

Hehe ja, ok! Det var pudsigt! Havde jeg vist det havde jeg måske omformuleret spørgsmålet.

Jeg tror jeg er ved at have fået svar på det jeg gerne ville, så jeg smider lige pointene. Hvis i har en tillægskommentar til mit problem hører jeg meget gerne fra jer!

Mvh
Kenneth

keodk> Hvis jeg falder over et eller andet, skal jeg nok skrive :-)

fromsej> Sig til hvis du vil ha' points.

jeg vil også gerne give fromsej en slant points, det må stå for min regning
så bare sig til.

Jeg springer over.*S*

keodk> Normalt er det sådan, at man venter til dem der skal have points, har lagt et svar, inden man uddeler points.
Hvis det skulle ske, at pointsne var blevet uddelt, inden alle havde lagt svar, kan den der har fået pointsne oprette et spm, hvor pointsne deles.
- Hvilket hvad jeg ville gøre, hvis fromsej ville ha' points :-)

Men det endte lykkeligt alligevel :-)

keodk> PS: Takker for points :-)