Backdoor Berbew -mato

Oletko muistanut päivitykset!
Jättänyt palomuuriin tahtomattasi aukkoja?
Tehnyt HijackThis tarkastuksen, jos et hae ohjelma tuolta http://koti.mbnet.fi/pattaya1/hijackthis.htm#Lataus ja lähetä loki.

 

Jees, kiitoksia vinkistä. Pääsin kyllä jo SVI kansioon, mutta mitään en siellä uskalla tehdä. Enkä tiedä miten se tilaa helpottaisi.

Tahtomattani olen mahdollisesti voinut aukkoja muuriin jättääkin. Sitä kun en tiedä, kyseessä on ollut tiedostamaton tapahtuma.

Päivityksiä teen minkä ehdin, varsinkin Nortoniin.

HJT-logissa ei pitäisi kummallista olla, kuten tuolla ensimmäisessä viestissäni kirjoitinkin. Tässäpä se kuitenkin on, ja tällä hetkellä mato on koneella samassa paikasta:HKCU:\Software\Microsoft\Internet Explorer\Main Form\FormSugget PW Ask

En viitsi sitä edes poistaa, jos vaikka saisi niin asiaan selvyyttä.

Logfile of HijackThis v1.99.1
Scan saved at 23:12:07, on 4.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\A-Link\RoadRunner 11 ADSL\CnxDslTb.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\A-Link\RoadRunner 11 ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120128789921
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D6E2C70F-C694-4FDB-9283-459FC77FEFE0} (Softers.efOrderX) - https://www.efoto.fi/efOrderX.CAB
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect -palvelu (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

 

Lokissa ei näyttänyt tosiaan olevan mitään vikaa olevan.
Tuolta voisi jotain mielenkiintoista löytyvän. http://securityresponse.symantec.com/avcenter/venc/data/backdoor.berbew.html
En tosin ehdi enempää kattella muutamaan päivään ku lähen Viroon työmatkalle. Toivottavasti enkku sujuu

 

En tunne Adware Away ohjelmaa, mutta ei se kuitenkaan ole huonojen spywarepoisto-ohjelmien listalla.
Tulee kuitenkin mieleen että mahtaako löytö olla todellinen, koska Norton, eScan, Ewido, SpySweeper ja mitä muita mahtoi ollakkaan, ei löydä mitään.
Toisekseen se löytö oli pelkkä rekisterimerkintä, jos olen oikein ymmärtänyt, niin se ei yksinään(vaikka pahis olisikin)pysty tekemää mitään,
jos ja kun itse ohjelma puuttuu.

Katsoin omastani mutta sieltä ei löytynyt tuota Main Form:ia ollenkaan(mikä mahtaa ollakaan???), Main kyllä on
HKCU:\Software\Microsoft\Internet Explorer\Main Form\FormSugget PW Ask

Tuosta lokista poistaisin tuon
PeerGuardian2
Monet epämääräiset ongelmat nettiliikentessä voi johtua tuosta.

Toinen josta olen kuullut JOSKUS olleen ongelmia(ei läheskään niinpaljon kuin edellisestä)on
NetLimiter

 

Viroon työmatkalle? Vai lukeeko vaimosikin tätä foorumia?

Tuo Englanti nyt taipuu miten sattuu, mutta tuollakaan sivustolla ei HKCU:sta puhuta mitään, vaan örkin pitäisi tehdä HKEY-jotain -tiedosto, sillä että paljonkaan noiden päälle ymmärrän mitään.

AdwareAway:ta mainostettiin nettikirjoituksissa ainoaksi ohjelmaksi, joka osaa poistaa about:blank:n suoraan, sen takia alunperin hommasinkin. Saattaa kyllä olla virheilmoituskin, kummallista vaan, kuinka se joka kerta palaa vasta vähän ajan kuluttua.

Peerguardianin käytöstä alan olla itse samaa mieltä: taitaa olla enemmän hyötyä kuin haittaa. NetLimiterin kanssa onkin sitten päinvastoin

 

Koitas auttaisko rekisterin siivous. Hae RegSeeker, scannaa ja anna poistaa kaikki löydöt(noin itse olen aina tehnyt, ja se tekee varmuuskopion poistoista)
http://www.hoverdesk.net/freeware.htm

 

No nyt on RegCleaner ajettu läpi. Pariin kertaan, ensimmäisellä kerralla löytöjä kun oli 517, toisella pari kymmentä ja kolmannellakin vielä kaksi... Toivottavasti käytin oikein, poistin kaiken mitä Clean The Regitry löysi. Toimiihan tuo kone ainakin ensisilmäyksellä kuten pitää.

Vaan AA löytää edelleen madon :/

Mikä tuo HKCU nyt oikein on? HKEY on jotain rekisteritiedostoja, sen verran olen tässä käsittänyt. Miten noihin pääsee suoraan käsiksi katselemaan mitä sieltä löytyy?

 

HKCU on joku netin sivurekisteri? http://koti.mbnet.fi/pattaya1/hjt7_ohjeita.htm
Oletko kokeillut toista selainta, tuleeko tuo silloinkin?

 

Exploreria olen tällä hetkellä pääsääntöisesti käyttänyt, Mozilla ei vain tuntunut oikealta... Vaan voisihan sitä tuotakin koettaa, että vaihtaisi selainta! Jospa nuo uusimmat päivitykset Mozillasta ovat parempia.

Luulisi, että tämä olisi yleisempi ongelma, jos vika on ainoastaan Explorerissa olevassa aukossa? Vai eikö kukaan muu ole ajanut tuota Adware Awayta koneellaan?

 

Taitaa tuo Adware Away olla aikas tuntematon suuruus, ainakin toistaiseksi.

Kokeillaas vielä näin. Käynnistä vikasietotilaan(paina F8 käynnistyksen aikana) ja tyhjennä tempit
Nuo alemmat kaikissa käyttäjätileissä
C:\Temp
C:\Windows\Prefetch
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp

Scannaa AdwareAwaylla

Käynnistä normaalisti(kysyykö SpySweeper mitään?), sitten vain jännätään mitä tapahtuu

 

Nytpä jännittää vähän itseänikin...

Kone käynnistyi Järjestelmän määrityksiä kysellen, josta yleistä-välilehdeltä valitsin "normaali käynnistys". Tämä saattoi kyllä johtua myös siitä, että edellisellä käynnistyksellä poistin tuon PG:n käynnistyksen yhteydessä avattavista ohjelmista.

Nooh, kaikki kyseiset kansiot tyhjensin, jopa niistä netservice\localsettings\temp~1\content.ie5, tai jotain, -kansioista.

Spy sweeperin Startup Shield ilmoitti ensimmäisenä, että "Spy Sweeper has detected new programs that will start when windows starts."

Nero Check (C:\windows\system32\NeroCheck.exe)
InCD (C:\Program Files\Ahead\InCD\InCD.exe)
ATIPTA (Crogram Files\ATI Technologies\ATI Control Panel\atiptaxx.exe)

Vaihtoehtoja valittavaksi: Keep taikka Restore

Enpähän uskaltanut valita mitään. Järjestelmän määrityksetkset vaativat vielä parasta aikaa koneen uudelleen käynnistystä.

Ja AdwareAwayn tulos, yllätys yllätys: Backdoor Berbew löytyy edelleen koneelta.

 

Kyllä ne SpySweeperin ilmoittamat saa käynnistyä(tosin aika turhia kyllä ovat).

Stten koitetaan poistaa se suoraan rekisteristä
Otetaan ensin varmuuskopio ongelmien varalle.
>Käynnistä
>Suorita, (kirjoita) regedit
>OK
>Tiedosto
>Vie
>Varmista että tallennuspaikkana lukee TYÖPÖYTÄ ja kirjota alas TIEDOSTO-nimi kohtaan Rekisteri
>Tallenna

Nyt työpöydällä on Rekisteri-niminen kuvake ja sitä kun klikkaa hiirenvasemmalla ja
klikkaa > Kyllä, niin se palauttaa rekisterin kaikki tiedostot ennalleen.

Sitten tuplaklikkaile > HKEY_CURRENT_USER > Software\Microsoft\Internet Explorer,
klikkaa hiirenoikealla > Main Form ja valitse > POISTA. Sulje regedit.

Kyseleekö SpySweeper nyt mitään?

Ja taas jännätään

 

No nyt en IHAN vielä uskaltanut tuota tehdä, kun NIIN paljon jännittää

Ei vaan, tuolta löytyi pelkästään kansio "Main", ei "Main Form". "Main"-kansiosta löytyy kyllä tuollainen tiedosto nimeltä "FormSuggest PW Ask", kyseessä oli siis kirjoitusvirheni, tarkistin asian uudesta AA:n skannauksesta. Sori.

Poistanko nyt varmasti koko kansion "Main" vai pelkästään tuon kyseisen tiedoston.

 

Mun mielestä anna niitten olla siellä,varmaan väärä hälytys Adware Awayltä.

 

Ei poisteta Main kansiota. Symantecillä näyttäis olevan poisto-ohje, en nyt kerkiä sitä senparemmin tavaamaan.
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.berbew.html

Kylä jänskää riittää

 

Sweet jesus, noin paljon lontoota! Olo on kuin kirjoituksissa...

Nortonhan ei tuota löydä ja enkä ohjeiden mukaista {79FA9088-19CE-715D-D85A-216290C5B738}löytänyt minäkään sieltä missä sen pitäisi mukamas olla...

Tuohon virheeseen minäkin alan uskoa. Mutta kovasti kyllä kiinnostaisi, että mikä tuo FormSuggest PW Ask oikein on ja mistä se tulee? Ja voiko sen poistaa? Ja voiko sen koneelle tulemisen jotenkin estää?

Kyllä tää on niin jänskää, että kohta pissin housuuni. Taikka ammun reijän tämän rakkineen kylkeen.

 

Tostahan on monta varianttia (A-T Symantecin sivujen mukaan), että jos siinä on "vika". Eli nuo ohjeet eivät ehkä päde kaikille niistä.

 

> Mutta kovasti kyllä kiinnostaisi, että mikä tuo FormSuggest PW Ask oikein on <

Tuola pikkasen juttua siitä.

http://pubs.logicalexpressions.com/Pub0009/LPMArticle.asp?ID=348

 

Tuo teksti FormSuggest PW Ask:sta selvensi asiaa minulle kummasti. Elikkäs kun minulla on siellä datana "no", ei selaimeni koskaan kysy salasanojen tallentamista, eikö vaan?

No nyt taas poistin AdwareAwaylla sen, ja se häivisikin rekisteristä. Mistä se sinne tulee uudestaan? Kävin tuossa parilla sivulla testaamassa, niin ei selain minulta salasanojen tallentamista kysy nytkään... Hmm...

Tulisimmeko siihen tulokseen, että kyseessä on siis virhe AdwareAwayssa? Nyt pitäisi olla joku toinenkin, joka on ko. ohjelmaa käyttänyt... Löytyykö samanlaisia kokemuksia?

Tai sitten on kuten -kemisti- sanoi: muut ohjelmat eivät vain sitä tunnista. Kummallista silloin, kuinka Nortonin palomuuri päästä madon koneelleni kerta toisensa jälkeen...

 

Siis ollaanko me kokoajan jahdattu IE:n salasana asetuksen muutoksesta johtuvaa AA:n hälyytystä?
Winukkahan sen AA:lla poistetun sinne takaisin laittaa käynnistyessään.

Kokeillas mitä tuo vaikuttaa
Avaa IE > Työkalut > Internet-asetukset > Sisältöön liityvät asetukset > Automaattinen täydennys...
laita merkki muihin kolmeen mutta älä > Lomakkeet, kohtaan(näin pitäisi olla oletusasetus) > OK.
Eli nyt sen pitäisi kysyä tallennetaanko salasana.

Jaa kohta? Minä olen jo kahdesti käynyt housupyykillä ja pian tulee lisää koskapa taas jännätään