Hjälp virus!

[DrRoland]

Har en treåring hemma som klickar på allt som rör sig (Till sättet alltså, inte till åldern.) så jag har fått in virus på datorn nu.

 

Avasten hittar viruset men det kommer tillbaks hela tiden när jag tagit bort det eller satt det i karantän.

 

Så här står det i avasten:

Sign of VBS:malware gen has been found in http://---------- och filen heter wpad.dat och wpad.htm.

 

Hur får jag bort skiten?

[TotalFarsa]

Googla wpad.dat.

 

Ser inte ut som virus för mitt otränade öga, snarare nåt microsoft-skit. Men Brainslicer ger säkert bättre svar

[brainslicer]

jag vet ju inte mer än vad jag orkar läsa, har inte drabbats av allt själva så jag kan allt utantill:D

 

man kan ju döpa filer till vad man vill....och avast har jag inte...så:

 

ingen länk till avast där man kan läsa mer om det?

uploada filen till http://www.virustotal.com/sv/ ?

 

att malware kommer tillbaka efter reboot är inget ovanligt då det oftast är många filer o grejs inblandade, brukar krävas en del olika steg bl.a. att man går till safemode osv...

 

...tror inte det är nåt som borde finnas by deffault, på en klient dator iaf?

jag har då inga wpad.dat filer... verkar som du har nån sorts webserver på datorn?

 

 

 

http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol#Security

Web Proxy Autodiscovery Protocol

Security

 

While greatly simplifying configuration of one organisation's web browsers, the WPAD protocol has to be used with care: simple mistakes can open doors for attackers to change what appears on your browsers:

• An attacker inside your network can set up a DHCP server that hands out the URL of a malicious PAC script.
  
• If your network is 'company.co.uk' and for some reason you don't serve the file http://wpad.company.co.uk/wpad.dat, the browsers will go on to request http://wpad.co.uk/wpad.dat. The browser just doesn't think about if this is still inside your organization or not. See http://wpad.com/ for an example.
  
• The same method has been used with http://wpad.org.uk. This used to serve a wpad.dat file that would redirect all of the user's traffic to an internet auction site.

Through the WPAD file, the attacker can point your browsers to his own proxies and intercept and modify all of your WWW traffic. Although a simplistic fix for Windows WPAD handling was applied in 2005, it only fixed the problem for the .com domain. A presentation at Kiwicon showed that the rest of the world was still critically vulnerable to this security hole, with a sample domain registered in New Zealand for testing purposes receiving proxy requests from all over the country at the rate of several a second.

Thus, you should make sure that you can trust all the DHCP servers in your organisation and that all possible wpad domains for your organisation are under your control. Furthermore, if there's no wpad domain configured for your organisation, your PC will go to whatever external location has the next wpad site in the domain hierarchy and use that for its configuration. This allows whoever registers the wpad subdomain in a particular country to perform a man-in-the-middle attack on large portions of that country's internet traffic by setting themselves as a proxy for all traffic or sites of interest.

On top of these traps, the WPAD basically fetches a JavaScript file and executes it on all your browsers, even when they have disabled JavaScript for viewing web pages.

[DrRoland]

Har ingen direkt server, men två datorer som sitter på samma kabel och surfar genom samma bredband.

 

 

 

Så här ser avasts log fil ut:

 

 

07/22/2008 12:39:34 AM SYSTEM 668 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file.

07/22/2008 12:40:55 AM SYSTEM 668 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\W1KR0F4Z\wpad[1].htm" file.

07/22/2008 12:40:59 AM SYSTEM 668 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\W1KR0F4Z\wpad[2].htm" file.

07/22/2008 12:46:11 AM SYSTEM 668 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\0DQRGH67\wpad[1].htm" file.

07/22/2008 12:48:31 AM SYSTEM 668 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\KPQJW1YZ\wpad[1].htm" file.

07/22/2008 5:35:11 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\KPQJW1YZ\wpad[1].htm" file.

07/22/2008 5:35:22 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\KPQJW1YZ\wpad[2].htm" file.

07/22/2008 5:42:33 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file.

07/22/2008 5:58:33 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file.

07/22/2008 6:14:33 AM Roland 908 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Default User\Lokala inställningar\Temporary Internet Files\Content.IE5\89G5O7QR\wpad[1].htm" file.

07/22/2008 7:24:31 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file.

07/22/2008 7:34:47 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\0DQRGH67\wpad[1].htm" file.

07/22/2008 7:36:01 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\0P2FGT67\wpad[1].htm" file.

07/22/2008 7:36:40 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\MD8NEHI1\wpad[1].htm" file.

07/22/2008 7:37:10 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\SHUV8XMV\wpad[1].htm" file.

07/22/2008 7:39:28 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\KPQJW1YZ\wpad[1].htm" file.

07/22/2008 7:41:08 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\SHUV8XMV\wpad[1].htm" file.

07/22/2008 7:42:48 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\SHUV8XMV\wpad[1].htm" file.

07/22/2008 7:45:02 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\0DO9EZK9\wpad[1].htm" file.

07/22/2008 7:45:09 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\0DO9EZK9\wpad[2].htm" file.

07/22/2008 7:51:44 AM Roland 1392 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Default User\Lokala inställningar\Temporary Internet Files\Content.IE5\S5CV834N\wpad[1].htm" file.

07/22/2008 7:53:55 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file.

07/22/2008 7:56:38 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file.

07/22/2008 8:51:07 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\S1EZK9IR\wpad[1].htm" file.

07/22/2008 8:54:02 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\0DO9EZK9\wpad[1].htm" file.

07/22/2008 8:54:29 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\GHMV8H2V\wpad[1].htm" file.

07/22/2008 8:56:47 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\0DQRGH67\wpad[1].htm" file.

07/22/2008 8:57:16 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\GHMV8H2V\wpad[1].htm" file.

07/22/2008 8:58:45 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\GHMV8H2V\wpad[1].htm" file.

07/22/2008 9:21:52 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\MD8NEHI1\wpad[1].htm" file.

07/22/2008 9:25:32 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\Roland\Lokala inställningar\Temporary Internet Files\Content.IE5\GHMV8H2V\wpad[1].htm" file.

07/22/2008 9:30:35 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file.

[brainslicer]

verkar ju mest vara Temporary Internet Files, provat tömma dom?

 

de där ser väl lite knepigt ut dock? särskilt om datorn försöker ansluta dit av sig självt?

"07/22/2008 9:30:35 AM Roland 664 Sign of "VBS:Malware-gen" has been found in "http://64.28.188.43/wpad.dat" file."

 

man hamnar till searchathand

http://www.google.se/search?hl=sv&q=searchathand&btnG=Google-s%C3%B6kning&meta=

 

nåt sånt här verkar ha hänt

IE browser hijacked to searchathand.com, cannot determine how to remove search page hijack

http://www.spywareinfoforum.com/index.php?showtopic=77450

Apparently something was able to change my TCP/IP settings.

 

It was set to an IP in Russia.

if your settings were changed without your knowledge, you are very likely still infected and need further cleaning.

hur? jag vet inte....sårbarhet? godkände han att nåt skulle köras?

jag tror du har nåt annat som inte ditt Avast hittar om de kommer tillbaka hela tiden...är det nån toolbar/startsida som installerats(searchathand?)

Scanna med några online scanners, en HiJackThis log kanske?

 

 

 

 

=================================================

ett steg är väl att börja med att kolla om din internet leverantörs DNS är sårbar fortfarande:

 

http://www.idg.se/17.108/2.1085/1.172074

 

Allvarlig internetbugg publicerad av misstag

 

För drygt två veckor sedan uppdaterade flera stora programleverantörer mjukvaran i sina respektive dns-programvaror i hemlighet. Anledningen var att en bugg påträffats i internet dns-protokoll som gör det möjligt för en hackare att styra om internettrafiken.

 

Enligt Kaminsky så är det bråttom för de internetleverantörer och företag som inte redan uppdaterat sina system att göra det omedelbart.

 

På webbsajten Doxpara.com går det att kontrollera om din internetleverantör har åtgärdat problemet i den programvara som används av internetleverantörens dns-servrar.

[brainslicer]

SearchAtHand is apparently a Ukrainian company that has developed software that hi-jacks your DNS server settings. Once they have control of your browser, they can re-direct you to whatever website they want.

Symptoms:

• When you type in an incorrect web address, the Searchathand search box appears. They want you to try your search again with them. When you do, they make money by brokering your search result to pay-per click advertisers.
  
• You type in a web address but are directed to the wrong webpage. This may happen 2 or 3 times before they finally let you go where you want to go. Of course, this can be extremely frustrating.

den har ändrat dina DNS settings? ändra tillbaka

håll koll så det inte ändras tillbaka efter en reboot eller nåt.

observera att det där var från 2006, kan mycket väl vara nån annan variant nu.

 

[DrRoland]

hur? jag vet inte....sårbarhet? godkände han att nåt skulle köras?

jag tror du har nåt annat som inte ditt Avast hittar om de kommer tillbaka hela tiden...är det nån toolbar/startsida som installerats(searchathand?)

Scanna med några online scanners, en HiJackThis log kanske?[/url]

 

Definitivt sitter han och godkänner allting på alla suspekta sidor som han hittar. Vilka sidor han besöker vet jag dock inte.

 

Totalt värdelösa toolbars är skit är han också duktig på att installera.

Verkar ha hjälpt att tömma temporary internet files för det har inte kommit tillbaka än iaf:-D

[brainslicer]

Definitivt sitter han och godkänner allting på alla suspekta sidor som han hittar. Vilka sidor han besöker vet jag dock inte.

 

Totalt värdelösa toolbars är skit är han också duktig på att installera.

Verkar ha hjälpt att tömma temporary internet files för det har inte kommit tillbaka än iaf:-D

 

Har du rebootat också?

[animalplanet]

Inte skojj sånthär, dock om/när ekonomin tillåter, skaffa en dator för poker endast.

[DrRoland]

Har du rebootat också?

 

Startat om menar du?

Boota om datorn veti fan om jag orkar hålla på med.

Då köper jag nästan hellre en ny.

 

Inte skojj sånthär, dock om/när ekonomin tillåter, skaffa en dator för poker endast.

 

Funderar på det. Köra med den här huvudsakligen som nöjesdator och den nya enbart till poker. Men hur löser man det med sladdarna då?

Går ju inte att hålla på och rycka ur och sätta i varenda sladd när man ska byta mellan.

[brainslicer]

Startat om menar du?

Boota om datorn veti fan om jag orkar hålla på med.

Då köper jag nästan hellre en ny.

 

hehe, dns och sånt och andra fixar har nog ingen effekt innan du gör det

 

 

Funderar på det. Köra med den här huvudsakligen som nöjesdator och den nya enbart till poker. Men hur löser man det med sladdarna då?

Går ju inte att hålla på och rycka ur och sätta i varenda sladd när man ska byta mellan.

buy a router? http://pokerforum.nu/forum/datorsaekerhet/44748-koeptips-foer-router.html

[DrRoland]

Får fan inte bort det, så det är bara att ominstallera windows och alla program?

[brainslicer]

Får fan inte bort det, så det är bara att ominstallera windows och alla program?

 

Formatera(tömma och ominstallera allt) är ju bäst och säkrast, om du inte känner dig bekväm med att använda ett dussin olika verktyg och följa instruktioner i stil med:

 

http://www.urlfan.com/local/vbsmalwaregen/90962078.html -kolla även source länken

där kan du få nån hint iaf...(dock inte nödvändigtvis exakt samma)

 

helst ska du ju posta egna loggar tex där http://forums.techguy.org/, där dom kan innan och utantil vilka verktyg det finns osv....

 

har du kollat dina dns inställningar? som på bilden ovan, vad säger din TCP/IP properties om dina DNS servrar? Antagligen så ska den stå på auto....(om inte din ISP gett dig specifika)

 

edit:

där hittar du DNS inställningarna på en eng win xp iaf....

högerklicka på "My Network Places" ikonen, välj Properties

högerklicka på "din anslutning", välj Properties(har du flera så är väl alla ändrade)

markera Internet protocol(TCP/IP) tryck Properties

[SoderKrippa]

Får fan inte bort det, så det är bara att ominstallera windows och alla program?

 

Jag kanske missuppfattat, men jag fick uppfattningen om att du satt "reboota"="formatera om". reboota=starta om.

 

Antingen är jag hjälpsam, eller så får alla sig ett skratt.

 

/SK

[brainslicer]

hehe, jo asså

 

med reboot menar jag boota om, starta om...osv förstås....(inte formatera)

 

skriver/läser jag slarvigt så beror det på action på borden...