Win32/PeyBot.A + The Bat/FTPDownloader

Hej pinklady *S*

Dem vil du antageligt kunne finde mange af (virus navne du ikke kan finde oplysninger på) ;-)

Det ses til tider, at det skidt selv generer helt nye navne, som derfor aldrig tidligere har set dagens lys og derfor heller ikke er at finde oplysninger på.

Hvor har du fået navnet peybot fra ?

Den anden er der lidt info om her:
http://vic.zonelabs.com/tmpl/body/CA/virusDetails.jsp?VId=40179

pinklady>> hvis du har dem på computeren så kan både victor og tonny hjælpe dig af dem det... hvis altså det ikke bare var et spørgsmål du stillede af nysgerrighed

Tonnybrandt:

Jeg får dem som meddelelse fra "tjenesten messenger", som jeg går ud fra, er enten fra mit virusprogram (etrust) eller fra XP. Ganske vist står der også, at der er cured, men problemerne bliver ved at dukke op.....

Kalp:

Nej, jeg har skam ikke grebet dem ud af den blå luft. Jeg har kæmpet med de djævle samt et par andre (SDBot og SasserE) i 3 uger, og faktisk været ved at købe en ny maskine http://www.eksperten.dk/spm/580837. De kommer ind hurtigere end jeg kan nå at få opdateret virusprogram og firewall efter ominstallationer.

Tjenesten messenger kan simpelthen deaktiveres, da den ikke bruges til noget på en normal hjemmecomputer. Her er en forklaring og et værktøj der nemt disabler servicen.: http://grc.com/stm/shootthemessenger.htm

Kigger du på linket jeg lagde, har ftpdownloader noget at gøre med MalWare og det kan ses i en HiJackThis log.

Hent Hijackthis her: http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Kør programmet, scan, save log og kopier logfilen herind.
Slet ikke noget selv, det skader mere end det gavner.

download hijackthis http://www.spywarefri.dk/vaerktoj.htm
scroll ned på siden ligger lidt nede... Scan med værktøjet.. og den log der bliver genereret kopir den herind så skal du forhåbentlig ikke plages af det mere:)

hehe

Må hellere lige sige, at eftersom jeg ominstallerede så sent som igår er der ikke kørt sp2 på endnu. Har snart ikke længere mod på at bruge timer på at installere en masse, når jeg hele tiden skal om igen.



Logfile of HijackThis v1.99.0
Scan saved at 08:02:36, on 17-01-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
C:\Programmer\CA\eTrust Antivirus\InoRT.exe
C:\Programmer\CA\eTrust Antivirus\InoTask.exe
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Skrivebord\Hijack\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.babyzone.dk/active.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sygate.com/swat/support/spf50_reg.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.1\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: CA License Client - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmer\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\smc.exe

Det kommer nok ikke som nogen overaskelse at loggen er ren, når den nu lige er ominstalleret.

Du kan evt installere nogle af programmerne i spywarefri pakken. De er alle små, konflikter ikke og er meget effektive mod de fleste former for spyware.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Endvidere bør du bruge værktøjet shootthemessenger til at deaktivere tjenesten windows messenger, samt selvfølgelig opdatere med servicepack.

Forstår jeg dig ret, at maskinen skulle være fri for virus, og at de beskeder er falsk alarm???

Du skal forstå det sådan at loggen er ren.

Man kan se langt størstedelen af alt spyware og virus i en HiJackThis log, og loggen er som sagt ren.
Man kan ikke se de beskeder du får via messenger servicen, og man kan ikke se de vira som bliver fanget af en virusscanner og som dermed ikke når at komme ind. Man kan heller ikke se hvis selve skrivebordet bliver hijacked, d.v.s. at den webside som skrivebordet består af, bliver udskiftet med en "aktiv" som spammer dig med falske oplysninger om spyware eller virus.

Så jeg synes du skal udføre det jeg skrev kl 08:58 og så se hvad der sker. Kommer der en advarsel op om virus, så skriv igen her med så mange oplysninger om problemet som muligt, evt hvis du kan finde en log i virusscanneren eller i eventloggen i maskinen.

Hvis du vil foretage et check af maskinen, så download denne engangsscanner:
http://www.spywareinfo.dk/download/mwav.exe
Genstart i fejlsikret tilstand og dobbeltklik den downloadede fil.
Sæt den op så den scanner mest muligt, dog skal du IKKE klikke på at den skal køres ved hver opstart.
Den bruger vi fordi det er lidt af en hybrid. Den napper både vira, men også en del spyware filer, som alm virusscannere ikke tager.

Takker for ekspertisen :-)) - så er det vist bare om at gå i gang og se, hvad der sker.....

Jeg kan ikke få lov at uddele points - hvordan får jeg så de knapper frem??

Velbekomme :)

For at du kan uddele point kræves det at nogen har lagt et svar.

Så her er et svar, men vent blot lidt med at uddele point. jeg synes lige du skal afprøve mit råd først og se om ikke det har en gavnlig virkning.

Her var svaret *s*

Kan spørgsmålet lukkes ?