Virus på Kammeret.....

[Ole Brum]

Hjemmemaskina berget da Avast ( betalt fullversjon ) tok det før skade oppsto. Men har fått et annet problem. Kommer ikke lenger inn på "kammeret" på jobb. Virusprogrammet der blokkerer alle sider der det er funnet virus, så nektes jeg adgang. Litt kjiip!

[ktm250sx]

Nå ble ikke jeg rammet da Avast tok dritten før skader, men til dere som ikke får slettet viruset ved scanning, kjør virussøk i oppstartmodus da pleier virusprogrammet å klare det om det finner det.

 

Hvordan kjører man virusscanning i oppstartsmodus?

[jerognal]

Du kan scedule en scan neste gang maskinen starter. Da scanner den før den laster windows...

Gjøres i virusprogrammet

[SSamiK]

Det er ikke alle antivirusprogram som har denne funksjonen, men mange.

[LeivVidar]

Det så mørkt ut i går ettermiddag da jeg oppdaget faenskapet, men jeg sendte ei fil til drweb og fikk i retur kode -k 85. Så maskinen har stått og jobbet i natt og i hele dag og nå er alt reddet ser det ut til. 24.000 filer ble dekryptert, men det er enda en del på stasjon D: som ikke ble dekryptert. Gjør man det på samme viset som man gjorde på stasjon D: da eller? Eller, det kan kanskje ha med det å gjøre at det er 0 byte ledig på stajonen og at dekrypteringen var begynt? Får vel formatere D: da...

[John H]

Er det avklart at det er her det kommer fra?

[vådeskudd]

Er det avklart at det er her det kommer fra?

 

 

Nå representerer jeg ikke kammeret, men jeg kan bekrefte at kammeret (reklameseksjonen i det minste) var utsatt for et angrep som gjorde at de endte med å peke brukere videre til en 3.parts webside i det skjulte. Dette gjorde at "de bak" kunne presentere sin egen angreps-webside til alle oss som besøkte kammeret, hvor de da utnyttet en svakhet i Java JRE.

 

Kammeret var derimot ikke den eneste websiden som ble utsatt - trolig brukte "de bak" viruset samme eller tilsvarende metoder for å infisere flere andre store websider-

 

Java og Flash er dessverre to av de store synderne når det gjelder sikkerhetshull, og vil du ha en tryggere surfemaskin kan du alltids avstå frå å installere disse to programmene.

[OIH]

Kammeret er svartelistet i Kongsberggruppens firewall. Antar det tar tid før den slipper igjennom igjen, om noen gang.

 

Øivind

[Raudnakke]

Iflg. media var bl.a. langrennsporet.no også brukt til dette angrepet..

[Wikingen]

Pokkers drit. Nå hagler det inn med mailer fra folk på kammeret.no og hotmail-kontoen min sender i hytt og pine.

Nå har jeg fått isolert alt her ser det ut til, men folk flest her inne bør nok virusscanne maskinen sin og alt av mail-mapper....

[Stykkjunkeren]

Om ikke det faktum at AVG Free version var oppdatert og fungerte, samt at jeg brukte nettbanken (og dermed oppdaterte Java) før jeg gikk inn på kammeret skal ha all æren for at jeg berget unna virus og uhumskheter, så kan forklaringen være at jeg alltid går direkte inn på forumet uten å ta omveien om startsiden til Kammeret.

[SSamiK]

Usikker på hva du mener nå, Stykkjunkeren... Forumet har stått som "forside" på kammeret.no i mange måneder, portalen har ikke fungert optimalt på leeenge så skal man inn på den må man faktisk ville det ganske så mye selv.

 

 

Om man hadde godt oppdatert java slapp man unna, selv uten oppdatert antivirus. Jeg testet på egen maskin.

[vingemutteren]

Hvordan vet man egentlig at man er kvitt viruset/Trojaneren?

[SSamiK]

Om du har en god, oppdatert, virusscanner som ikke finner noe er du ganske så sikkert friskmeldt.

[Stykkjunkeren]

Usikker på hva du mener nå, Stykkjunkeren... Forumet har stått som "forside" på kammeret.no i mange måneder, portalen har ikke fungert optimalt på leeenge så skal man inn på den må man faktisk ville det ganske så mye selv.

 

 

Om man hadde godt oppdatert java slapp man unna, selv uten oppdatert antivirus. Jeg testet på egen maskin.

 

 

Ah, du har skremmende rett, beklager.

[ruger1022]

Noe nytt virus/ trojaner på gang her inne tro? Har fått opp varsel 2 ganger i kveld på ESET når jeg har gått inn på forumet..

[Kraakefjes]

samme her, det kommer opp noe americana dreams et eller annet vil ha tilgang?

[Perpålsa]

Her og. Andre gang dette dukker opp i dag:

 

 

EDIT: Var litt overivrig med resizinga, så teksten ble nesten uleselig på bildet. Er ikke så mye å se på uansett skulle jeg tro?

[Stian84]

Jeg å.....

[SSamiK]

Har fått denne selv i dag, men koblet den ikke til kammeret. Iverksetter undersøkelser ASAP!

[12gauge]

Her også.. Bruker internet explorer og nextgentel antivirus (f-secure).. Skjedd 3 ganger i dag

 

Sent from my GT-S5690 using Tapatalk 2

[Smygen]

Hmmmm

Fikk og en advarsel om alvorlig angrep, i dag. Tenkte først, at nå er det herfra, igjen. Men kikket i loggen. Og, der stod det at det var vlc (media avspiller) som var kilden/grunnen

"suspicious.cloud.5.d." var det som prøvde å komme seg inn hos meg

 

Kammeret var eneste stedet jeg var, nå advarselen kom. Så, stusset litt over av vlc var nevnt i loggen på norton

[SSamiK]

Fint om flere som har opplevd dette, og som har klart å få en logg ut av det kan dele informasjon.

 

Har ikke klart finne noe her inne som sprer smitte, enda. Men fortsetter lete, og setter pris på tilbakemeldinger som kan hjelpe med å finne frem til synderen.

 

 

VLC vil kunne bli sett på som synder av antivirus, om man f.eks kjører Firefox med VLC plugin, og angrepet skjer via ei fil den pluginen kjører.

[sako_35]

Fikk også advarsler her i stad, når jeg var på kammeret!

Tok ikke printscreen av det.

 

Sako_35

[Tika]

Det advares mot ett hull i sikkerheten til Java 7

Stod noe om det på vg nett i går eller i dag.

Kanskje det et det som skjer igjen?

[SSamiK]

Om man opplever at skjermen låses, med melding om at man må betale en løsepengesum. IKKE GJØR DET!!! (ser ironien i å advare mot det, da de som opplever det neppe ser dette her før det er for seint)

 

Om man har tilgang på en annen maskin, følg denne oppskriften som jeg har bekreftet at fjernet infeksjonen på en maskin hos meg:

http://trojan-killer.net/police-central-e-crime-unit-pceu-ransomware-removal/

 

Man trenger ikke kjøpe programmet. Trial versjonen funker utmerket til å fjerne problemet, så kan programmet avinstalleres senere om man ikke føler for å beholde det.

[Smygen]

VLC vil kunne bli sett på som synder av antivirus, om man f.eks kjører Firefox med VLC plugin, og angrepet skjer via ei fil den pluginen kjører.

 

Fikk mest følelsen av at angrepet ble forsøkt maskert som et angrep gjennomført av vlcplayer.exe. Den filen ligger jo inaktiv, og har ikke blitt brukt siden forrige oppdatering av vlc. Og filen ble scannet og godkjent når den ble lastet ned. At et "gammelt" og alvorlig virus plutselig skulle bli oppdaget der, virker ulogisk, for meg

 

At det ble gjort på samme måte som når dem gir inntrykk av at en mail kommer fra en annen ip enn den egentlig kommer fra, var det jeg fikk følelsen av

Men, vet jo ikke, da

 

Forrige gang, var det jo ikke tvil, da. Var bare å gå ut av, og inn på kammeret igjen

hehe

 

Har firefox med vlc plugin og, da (siden du nevnte det)

[Varj]

Med fare for å gjenta meg selv.

 

Firefox + adblock + noscript (+ flashblock om du ønsker å ta den helt ut)

Da er slike issues en ikke-sak.

[Rognli]

Har også blitt angrepet i dag. står att det er maskin 204.93.210.24, 80 det kommer fra

[SSamiK]

Kan også nevne, at på den infiserte maskinen min så fikk jeg ikke startet MSCONFIG før etter at infeksjonen var fjernet. Og da oppdaget jeg at det hadde dukket opp tre msconfig.exe filer i Users/brukernavn/AppData/Local/Temp/ som inneholdt samme virus-faen igjen. Så denne kan være litt vrien, derfor anbefaler jeg bruk av No-Script og Adblock utvidelser til nettleseren (og ja, de finnes til mer enn Firefox), inntil vi veit hvor dette kommer fra.

[Mr Lasse]

Har egentlig ikke så mye vettug å komme med da edb-kunnskapen er noget begrenset. Fikk imidlertid beskjed om at norton hadde stoppet en trojaner tidligere i dag like etter at jeg logget meg på kammeret. Hadde tre faner oppe, men den kom nesten umiddelbart da jeg logget på her.

 

Utdrag fra norton loggen: Kategori:Løste sikkerhetsrisikoer

Dato/klokkeslett,Risiko,Aktivitet,Status,Anbefalt handling

30.08.2012 17:53:20,Høyt,chrome.exe (Trojan.Shylock.B!gen1) oppdaget av Auto-Protect,Blokkert,Løst - ingen handling påkrevd

[Trond99]

Noe muffens ja.... "americana dreams"

[Ei tohi varjata]

Om man opplever at skjermen låses, med melding om at man må betale en løsepengesum. IKKE GJØR DET!!! (ser ironien i å advare mot det, da de som opplever det neppe ser dette her før det er for seint)

 

Om man har tilgang på en annen maskin, følg denne oppskriften som jeg har bekreftet at fjernet infeksjonen på en maskin hos meg:

http://trojan-killer.net/police-central-e-crime-unit-pceu-ransomware-removal/

 

Man trenger ikke kjøpe programmet. Trial versjonen funker utmerket til å fjerne problemet, så kan programmet avinstalleres senere om man ikke føler for å beholde det.

 

Opplevde dette tidligere i kveld.. har brukt to timer på å fjerne dritten nå.

 

Er det altså via Kammeret dette har skjedd?

[Rausheim]

Jeg har fått både searchsafer-viruset og en gang for lenge siden viruset som gjør alle filer på PC'en skjulte og flytter "programmer"-mappa (den som inneholder snarveier til startmenyen etc), på kammeret.

 

Begge to er et rent helvete å bli kvitt... Formatering er det tryggeste på begge to.

[SSamiK]

Er ikke hundre prosent sikker, men nærmer meg 99.

 

Har ikke klart finne årsaken enda, og ikke fått kontakt med flere av teknikerene så må jobbe alene inntil videre, så ting kan ta tid.

[SSamiK]

Jeg har fått både searchsafer-viruset og en gang for lenge siden viruset som gjør alle filer på PC'en skjulte og flytter "programmer"-mappa (den som inneholder snarveier til startmenyen etc), på kammeret.

 

Begge to er et rent helvete å bli kvitt... Formatering er det tryggeste på begge to.

 

Nja... den forrige var relativt lett å bli kvitt og formatering var totalt unødvendig. Denne kan virke litt værre ved første øyekast. Selv om den fjernes, virker det som den kommer tilbake. Om det er pga at virusen er sint, eller om det er fordi jeg har nytt oppsett på harddisken nå, med dvalepartisjon og lagring til flere steder som gjør det vanskeligere å fjerne virus er jeg usikker på enda.

[Rausheim]

"Lett" å bli kvitt, men tar j***a lang tid... Jeg fikset alt manuelt

 

Den tar kun det som ligger på C (eller hva OS'et kjører på). Jeg fant fila som inneholdt "viruset" og måtte jo selvsagt ha en kikk på det. Sabla enkelt, men irriterende som fy.

[SuperHansen]

Jeg får melding fra Mcafee om at beskyttelse mot virus og spionprogrammer er utdatert.Men Mcafee vil ikke starte oppdateringstjenesten

og abbonementet mitt er gyldig..Får denne meldingen når jeg forsøker å oppdatere:

 

 

Merker ingen problemer ellers..

Men vil dette si at jeg har fått noe dritt?

[mvs]

Får advarsel på nett, når Kammeret skal lastes!

[SSamiK]

Men vil dette si at jeg har fått noe dritt?

Kanskje, kanskje ikke. Prøv starte på nytt, i sikkermodus. Prøv kjør en virusscan derfra. Sikkermodus startes ved å trykke F8 før Windows starter opp. Sikkermodus med nettverk kan være en fordel, da kan man hente oppdateringer om det er nødvendig.

[Rausheim]

Den feilmeldinga er McAfee som kødder. Re-installer programmet om ikke det SSamiK skrev funker.

 

Men, for din egen skyld, bruk noe annet enn Internet Explorer. Det er så usikkert som det går an.

[mbg]

Ser at kammeret bruker openx reklameløsning. Hvordan versjon er det som blir kjørt? Denne har en rekke sikkerhetshull på samvittigheten så om den er gammel så er det ikke utenkelig at det er her styggedommen kommer fra.

[Ei tohi varjata]

Hvilken, ikke hvordan..

 

og anbefaler å stoppe all bruk av McAfee umiddelbart og bytte til en bedre løsning (Malwarebytes/Avast kombinert med Microsoft Security Essentials) ASAP. Har aldri vært borti noe som gir flere falske advarsler og feilmeldinger enn McAfee. Det skaper bare problemer og løser ikke en ting..

 

Rausheim har også et MEGET godt poeng, Interslett Eksplodér er søppel både sikkerhets- og funksjonsmessig og det er faktisk skremmende at folk fortsatt bruker det. Bytt til Firefox eller Opera.. Chrome om du absolutt må.

[SSamiK]

Vi kjører nyeste OpenX, uten at det hjalp mye. Nå kastes den dritten ut...andre gang vi angripes via OpenX.

[Rausheim]

Hvorfor ikke gjøre det tryggest? Et eller annet php-randomizer script (som tar link og banner) som legges rett inn i tpl-filene, uten noe avansert piss som inneholder masse crap, er jo mye bedre.

 

Du kan jo enkelt programmere et basic system med et login-script som igjen gjør at du kan laste opp/slette nye bannere og lenker Du trenger kanskje ikke en gang en db til det formålet.

[santo 1]

Er det noe Virus på kammeret NÅ Får stadig opp noe "ONDSINNET URL BLOKKERT" på virus prog når jeg er inne på kammeret nå ikveld.

Noen fler som har det også Om det ikke bare er data'n min som er rar..men den har ikke vært sånn før jeg kom inn her. Har ikke vært innpå noen snuske sider heller.

 

Kan noen sjekke detta å gi tilbake meld på det...

[Rommling]

bruker crome og kommer opp her også. vis man går inn på hovedsiden på forumet, må være noen banner der med no dritt

[Woff]

Siste du besøkte i går var en snuskeside? Ikke noe virusproblemer her iallefall..

Bruker Chrome med Adblock for å fjerne virus-reklamene på kammeret da..

[santo 1]

bruker crome og kommer opp her også. vis man går inn på hovedsiden på forumet, må være noen banner der med no dritt

 

Er når jeg å går inn på for/hovedsiden.

 

er detta som kommer fram på virus prog mitt :

 

http://www.danish-open-rifle.dk/images/l. <-----( ikke åpne,tror jeg)

 

 

 

Process:

 

C:\Program Files (x86)\Internet Explorer