Virus på Kammeret.....

[federal79]

For oss som har datakunnskap som en utrangert tomhylse, hvordan "smitter" dette?

[SSamiK]

Dette er en rein Windows infeksjon.

 

Det er berøringssmitte. Om man rørte Kammeret.no mens vi var infiserte med en maskin som ikke var oppdatert (Os+Java+Nettleser) så var du sårbar. Hvis ikke, all OK.

[3006swift]

Vil det ha noen forebygende effekt å deaktivere JAVA fra nettleseren på nåværende tidspunkt.

har oppdatert antivirus (AVAST) og kjørt scan.

Er ikke infisert, heldigvis!!

[Makkieboy]

Da har Kammeret.no rasert PCen på jobben

Alt av låsesystem og ventilasjon på skolen kutta tvert etter at jeg var innom en snartur på jobben....

Ja ja, fikk vi hvertfall oppdatert systemene våres, samt at sjefen skjønte behovet for en egen surfePC til meg

 

1000 elever og 130 lærere sleit med å få opp dørene

[Mullins]

Da har Kammeret.no rasert PCen på jobben

Alt av låsesystem og ventilasjon på skolen kutta tvert etter at jeg var innom en snartur på jobben....

Ja ja, fikk vi hvertfall oppdatert systemene våres, samt at sjefen skjønte behovet for en egen surfePC til meg

 

1000 elever og 130 lærere sleit med å få opp dørene

Skikkelig bra kollektiv følelse Kammeret gir, folk kommer seg ikke ut av det

[JegerBomX4]

Jeg bruker siste versjon av Opera og fikk viruset lastet ned to ganger i går. Skannet i dag uten resultater med MSE.

Ikke opplevd noen form for problemer utenom at MSE fant viruset. Kanskje det kan ha noe med at Opera bruker en egen Java?

 

Har du rebootet etterpå? Viruset trenger en reboot for å få installert ferdig kit´et sitt, så om du ikke har rebootet er det fortsatt mulighet for at du vil merke ubehag...

[flanged]

Det værste "viruset" her inne er alle OT og trolling innleggene ...

[Ei tohi varjata]

Jeg bruker siste versjon av Opera og fikk viruset lastet ned to ganger i går. Skannet i dag uten resultater med MSE.

Ikke opplevd noen form for problemer utenom at MSE fant viruset. Kanskje det kan ha noe med at Opera bruker en egen Java?

 

Har du rebootet etterpå? Viruset trenger en reboot for å få installert ferdig kit´et sitt, så om du ikke har rebootet er det fortsatt mulighet for at du vil merke ubehag...

 

Den har bare stått på sovemodus i natt, så nei.

 

...

 

Nå har jeg ikke lyst til å skru den av..

[Ei tohi varjata]

Loggen til MSE har følgende:

 

 

Java/CVE-2010-0840.NZ

Java/CVE-2011-3544.CI

Java/CVE-2011-3544.T

Win32/Zbot

[Smygen]

La merke til at det kom sikkerhetsoppdatering til windows7 i går.

Så, gikk inn på oppdateringen, som førte meg til denne siden http://support.microsoft.com/?kbid=890830

 

Men... om det hjelper på det som har skjedd her, må det nok en mere teknisk person enn meg svare på

[SSamiK]

[warning]OBS OBS[/warning]

Om man har fått infeksjonen så er det mer som skjer en at filene dine krypteres.

Ikke gå inn i nettbanker og andre steder som krever innlogging før du har kjørt en scan med en nylig oppdatert Antivirus. Med nylig oppdatert mener jeg da at den må være oppdatert i dag 12.april.

 

 

Vi har fått meldinger om at det har vært gjort forsøk på innbrudd i nettbanker, og at det var bankens sikkerhetssystem som fanget opp dette og fikk stoppet det.

 

 

[warning]OBS OBS[/warning]

 

 

Med andre ord; Om du har vært infisert er det veldig viktig at du får kjørt en virusscan og fjernet resten av viruset. Om programmet ditt ikke finner noen infeksjon, vent en dag eller to, oppdater og prøv igjen. Ikke alle firma er like kjappe med å oppdatere sin software!

[Stykkjunkeren]

Auda, slentret inn på Kammeret her etter en ukes fravær og fant denne tråden...

 

Er det nå jeg skal sikerhetskopiere alt og la maskina gå på evig stand-by eller?

[barerobert]

Dette er en rein Windows infeksjon.

 

Det er berøringssmitte. Om man rørte Kammeret.no mens vi var infiserte med en maskin som ikke var oppdatert (Os+Java+Nettleser) så var du sårbar. Hvis ikke, all OK.

NÅR var kammeret en kilde til viruset?

[Smygen]

NÅR var kammeret en kilde til viruset?

 

I to dager. Ble slutt i går, hvis jeg ikke husker feil

[Smygen]

Er det nå jeg skal sikerhetskopiere alt og la maskina gå på evig stand-by eller?

 

Da vil du nok bare kopiere viruset, hvis du har fått det

[Stykkjunkeren]

Er det nå jeg skal sikerhetskopiere alt og la maskina gå på evig stand-by eller?

 

Da vil du nok bare kopiere viruset, hvis du har fått det

 

OK da...back to basics, papirkopier lar seg ikke kryptere, altså trenger jeg en stabel med printerpapir...

[SSamiK]

@Stykkjunkeren:

Om tekstfilene dine ikke allerede er krypterte er du nok trygg...

[Stykkjunkeren]

@Stykkjunkeren:

Om tekstfilene dine ikke allerede er krypterte er du nok trygg...

 

Har ikke rebootet ennå da...

[SSamiK]

ah...

 

Hvilet operativsystem kjører du?

[Stykkjunkeren]

Vista....kjører på Firefox stort sett, oppdatert i går om jeg ikke tar helt feil.

[Stykkjunkeren]

Firefox var oppdatert ja, antivirus er AVG-Free og den var oppdatert kl.13.04 i dag...om det betyr noe oppdager jeg vel snart tenker jeg.

 

Edit. Stengte ned og rebootet her, intet nytt observert, et random utvalg av mapper og filer ble åpnet uten problemer, ingen indikasjoner fra AVG eller Ad-Aware...ser ut som jeg har berget unna det verste her.

[SSamiK]

Kjør full scan med antivirusen.

Start MSConfig, det gjøres i søkefeltet på Startmenyen; Skriv inn msconfig og trykk enter. Sjekk under fanen STARTUP/Oppstart om det ligger en der som heter "HOW TO DECRYPT FILES".

 

Om du ikke finner noe med antivirusen, og ikke finner den "HOW TO..." i oppstarten, så trooor jeg du begynner å nærme deg friskmeldt.

 

 

Ved å sende inn filer til analyse, etter metoden beskrevet av tigo her:

Hei, jeg registrerte meg på forumet her siden dette er det eneste forumet jeg har funnet som ser ut til å ha litt info om dette viruset.

Om administator ikke vil ha meg her, så er det bare å fjerne meg

 

 

Det jeg har funnet ut til nå er:

Dr.Web har en løsning, men det er flere varianter av viruset, så de anbefaler å ta kontakt med de via:

https://vms.drweb.com/sendvirus/?lng=en" target="_blank" target="_blank

 

Send 1-2 krypterte filer, og de vil sende deg en dekrypteringsmetode tilbake.

 

Jeg har ikke selv testet det, men flere sier det virker. (Referanse)

 

 

Det jeg ikke vet så mye om er hvordan en blir infisert. Det jeg har lest fra tv2 er at det har med eldre versjoner av nettlesere og java å gjøre.

Er det noen som kan bekrefte dette?

Kunne vert fint om de som er infisert kunne sagt hvilken nettelser de har brukt og hvilken versjon av java de har.

 

Og kjøre en scan med en oppdatert versjon av Microsoft Security Essentials/AVG har jeg nå friskmeldt to maskiner....

[Olesøn]

Datakunnskaper på minus 4, og jeg skjønner fint lite av det som står på foregående sider.

Kan dette være grunnen til at den største eksterndisken min plutselig ikke lar seg finne lenger?

[SSamiK]

Antagelig ikke men vil ikke utelukke noe, da denne infeksjonen har vist seg å ha minst tre mulige utfall hittil.

 

Når oppsto feilen? Har du fått noe virusvarsel? Er programvaren din godt oppdatert?

[Erlend Meyer]

Stykkjunkeren: Kjører du Adblock? Da bør du ha kommet uskadd fra dette, viruset lå etter det jeg forstår i "reklame-avdelingen". Jeg har i det minste gått klar av det med FF11 med Adblock. Ikke hørt et pip fra AVG Free heller.

[Stykkjunkeren]

Joda, kjører Adblock her, fant ikke noe "HOW TO" og AVG tygget gjennom maskina på 1 time og 49 minutter uten å finne noe styggedom.

 

Tror jeg tillater meg å puste igjen her.

[mS]

[...]fant ikke noe "HOW TO" og AVG tygget gjennom maskina på 1 time og 49 minutter uten å finne noe styggedom[...]

Høres omtrent ut som hos meg, men tror jeg drøyer den reboot'en ett par dager til og så kjører en ny scan med nyoppdaterte virusdefinisjoner... vil være sikker på at "vårt"-virus ligger i listen.

[vingemutteren]

Fikk svar mail fra drweb, med "saks"nr. (sendte en tekst fil og ett bilde). Noen som vet hvor lang tid det normalt tar før man får svar med fremgangsmåte etc.?

 

En annen sak er dette med at AVG internett security 2012 ikke finner noe virus på maskina mi nå (oppdater for en liten time siden). Dette mens nesten alle filene mine fortsatt er kryptert, og how to decrypt beskjedene haggler inn ved oppstart.

 

Kan jeg være fri for trojaneren, mens restene samt krypteringen fortsatt er på maskina?

[Guest]

Ble også rammet.

ESET Smart Security reagerte med en gang:

 

Logg (Trusler som er oppdaget):

11.04.2012 16:46:42

Start skanner fil

Minne = C:\Users\HansR\AppData\Roaming\Itk\fuobety.exe

en variant av Win32/Spy.Zbot.YW trojaner

renset ved sletting - i karantene

 

Logg (Hendelser):

11.04.2012 19:48:25

Kjerne

Filen 'C:\Users\HansR\AppData\Roaming\Itk\fuobety.exe' ble sendt til ESET for analyse.

 

 

Skjedde da jeg var inne på kammeret og har ikke oppdaget noen feil i mitt filsystem enda.

Finner ikke noen flere "trusler" etter datamaskin-scanning i "windows" og "sikkermodus"

 

Håper at problemet er ute av verden, ellers står det litt info her:

http://norsis.no/nyheter/2012-04-11-Losepengevirus.html

 

EDIT 2: nettleser = Opera (seneste versjon), Java = (hadde ikke den nyeste versjonen, har oppdatert nå. Vet ikke hvilken jeg hadde)

Edited April 12, 2012 by Guest

[SSamiK]

@vingemuttern: Det finnes ikke noe spor i loggen om at AVG'n din har stoppet noe eller allerede fjernet infeksjonen?

Tidligere i dag tok det noe sånt som 2-3 minutt å få svar med rett krypteringsnøkkel, så med litt flaks har du den allerede når jeg poster dette.

[vingemutteren]

Ikke fått noe nytt svar, kansje vel sent på kveld nå.

 

AVG fra tidligere i dag sier at 15 filer ikke kunne slettes etc. Det kan virke som om krypteringen har gjort at avg ikke finner viruset etter at det som kan slettes er borte. Ligger kansje på lur til at filene blir dekryptert igjen?

 

P.s. Jeg brukte "CURE REQUEST" under Submission category, var dette riktigt valg?

[SSamiK]

Om AVG'n din har fjernet noe som likner i navnet på Win32/Spy.Zbot så ser ting lyst ut. Eventuelt kan du starte på nytt i sikkermodus og prøve en scan derfra. Hvis ikke er det bare å dekryptere når du får kodenøkkelen fra Dr.Web, scanne på nytt, restarte, scanne på nytt. Om du da ikke ser noe nytt skummelt er det ganske trygt å anta du er friskmeldt. Det er også greit å kjøre oppdateringer på AVG (og andre antivirus) regelmessig i dagene som kommer og kjøre scan. Bare for å være sikker!

 

Edit: Ja, Cure Request er korrekt.

[vådeskudd]

Jeg leser at infeksjonen her på kammeret skal være fjernet, men det stemmer ikke. ads.html -siden sender meg fremdeles til styggvarens egen webside, men blir altså blocket av Avast som en usikker webside.

 

Så lenge admin har fjernet bruken av ads.html -siden ellers rundtom på kammeret er jo problemet i det minste omgått, men ikke løst per se.

[SSamiK]

Det er en grunn til at reklamene ikke er satt tilbake i drift på den vanlige siden. Men takk for at du sa fra, i forrige omgang fikk vi ingen meldinger om at det fortsatt var smitte på ads.html. Dette betyr enten at vi er infiserte på nytt, eller at infeksjonen ligger der enda. Vi tar den ned nå, så ingen andre går inn der og blir smittet.

 

Nok en gang, takk for opplysningen.

 

Reklamedelen og forumdelen er adskilte, så det skal ikke være noen fare for noe smitte via forumet.

[Marcel]

Ble angrepet tirsdag morgen.

Bruker Microsoft Esential.

Fikk ikke noe warning om noe virus, det bare var der plutselig.

Endte med formatering av alle partisjoner. HOW To encrypt dritten lå på alle mapper.

Jeg var fullstendig kapret. Explorer ikonet var spist opp.

Måtte gå omveier for å komme på nett.

Nå er jeg som ny igjen.

[Ørret]

Har dette viruset rammet noen smart-telefoner?

[SSamiK]

Nei, dette er et windows-virus.

[510 Førland]

Har fått samme driten eg og, hadde eg vist hvem som var skuldig i dette så!!!!!!

 

Er det noen mulighet å få ordnet filene igjen?

Alle dokumentene til bedriften min er krypterte!!

 

Espen

[SSamiK]

Ja, om du leser tråden så er det fremgangmåte her. Om du trenger mer hjelp er det bare å ta kontakt.

[510 Førland]

Takk for svar, håper det vill ordne seg etter å prøvd dette-

 

Beklager at eg ikke fikk med meg fremgangsmåten først.

 

Espen

[vingemutteren]

Noen som har sent inn til drweb og fått oppskrift etter at jeg gjorde det i går kveld (se lenger oppe i postene)?

 

Jeg fikk ett automatisk vente svar i 10 tiden i går kveld, men ingenting nytt enda.

 

P.s. Noen som vet hvordan skal man få startet virus scan i sikker modus, når det eneste tilgjengligheten jeg har til antivirus er gjennom hurtistart ikonet (som forsvinner ved sikker modus)?

[AcidRain]

Noen som har sent inn til drweb og fått oppskrift etter at jeg gjorde det i går kveld (se lenger oppe i postene)?

 

Jeg fikk ett automatisk vente svar i 10 tiden i går kveld, men ingenting nytt enda.

 

P.s. Noen som vet hvordan skal man få startet virus scan i sikker modus, når det eneste tilgjengligheten jeg har til antivirus er gjennom hurtistart ikonet (som forsvinner ved sikker modus)?

 

 

finn mappen til virusprogrammet på C:

[Rufus]

OT men ting ser vel ut til å være under kontroll nå.

Jeg kjører gratis Avast og fikk opp advarsel om virus 2 ganger. Hvorfor ble viruset stoppet hos meg men kom igjennom hos andre med samme eller bedre (betalt) antivirus? Bare flaks eller er det noe med innstillinger å gjøre?

[Hassel]

Hvilken nettleser bruker du rufus?

[Rufus]

Bruker XP og IE. Java var ikke oppdatert på lenge.

[vømmøl]

Nå er serveren på jobben her oppe og går igjen.

Både jeg og en annen var inne på kammeret på onsdagen, men viruset kom seg inn gjennom hans maskin. Uno IT som har ordnet opp her hos oss, mener at Java som ikke var oppdatert hos ham var årsak til at han fikk det og ikke jeg. Det er ihvertfall det jeg tror å ha forstått av det de sa.

 

Når det gjelder Drweb, så har heller ikke Uno IT fått svar derfra. Det er vel hard pågang.

[giremann]

Fikk også denne skjiten inn på min maskin og sendte en melding til Drweb sånn ca kl 23:30 i går. Fikk svar i dag kl 13:30 med en link til et program og en kode jeg skal bruke for å få dekryptert filene mine. Krysser fingre for at den informasjon som foreligger her, et oppdatert virusprogram og .exe fila med tilhørende kode jeg fikk fra drweb får orden på sakene.

[vingemutteren]

Rett etter at jeg postet forrige post, kom svar fra drweb.

 

Har lastet ned programmet til skrivebordet.

 

Problemet mitt nå, er at jeg ikke skjønner hvordan jeg skal kjøre programmet. Trykket continue, og fikk feil kode som svar.

 

Når jeg leser e-posten, står der følgende:

 

Start it with commandline params -k 88

Men hva betyr det? Noen som har en fremgangsmåte for dummys please?

[Jaffa]

Vinge.

 

Start windows utforsker

Naviger deg til c:

Kopier filen dit.

Trykk på startknappen

I det hvite filtet skriv cmd

Skriv så cd .. Cd.. Cd.. I det sorte vinduet til det bare står c:\

skriv så navnet på filen du kopierte så mellomrom og -k 88

Trykk så ok.

 

Vent til den er ferdig. Verifiser at den har pakket ut alle filene igjen.

 

OBS vær helt sikker på at alle filer er pakket ut. Du bør ha minst 1/3 ledig plass på disken før du dekrypterte

Slett duplikater ved å skrive

Del *.enciphered /s

Slett alle tekstfiler ved å skrive

Del how?to*files.txt /s

 

er du usikker på slettinga, ikke gjør det

 

//jaffa

Edited April 13, 2012 by Guest

[vingemutteren]

Nice, skal prøve i kveld når jeg kommer hjem.