Win-XP.no › Hvordan man blir kvitt Messenger-viruset

Hvordan man blir kvitt Messenger-viruset
Tuesday, January 22, 2008 (20:35:29)

Posted by FredrikK92

Det kan være greit å vite om det såkalte MSN-viruset som nå herjer, og hvordan man kan bli kvitt det når man først har fått det.

INFO
Linken du får på MSN, kan inneholde ord som ..photobucket.., ..youtube.. etc.
For eksempel:

Code::

Heey, Har du sett detta? syykt bilde av deg, haha :P
http://members.lycos.nl/msnphotos/PictureXXX.jpg?=dinepostadresse-
@epostadresse.no

Hvis du er usikker på hvordan du fikk viruset kan du ha fått det etter å ha åpnet en fil fra en link du har mottatt fra noen i kontaktlista di på f.eks. MSN. Denne filen gjorde noen endringer i systemet og sendte linken videre til alle i din kontaktliste på MSN.

I de fleste tilfellene har det vært filene ntmngr.exe, lssas.exe og images.zip som har skapt problemer.

ntmngr.exe: Backdoor.Win32.IRCBot.bag (Kaspersky)
lssas.exe: Backdoor.Win32.IRCBot.bau (F-secure)
images.zip: Backdoor.Win32.IRCBot.bau (F-secure)

Filer som kan være virksomme er:
C:\WINDOWS\ntmngr.exe
C:\WINDOWS\lssas.exe
C:\445930.exe
C:\WINDOWS\images.zip

En HJT-logg kan vise følgende linje (registeroppføring):
O4 - HKLM\..\Run: [MSN] lssas.exe
O4 - HKLM\..\Run: [MSN] ntmngr.exe

Vi er usikker på hvilke antivirusprogram som har oppdatert sine definisjoner for dette, så vi kan derfor ikke anbefale noen som garantert tar disse filene.

Hvordan løse dette

Fordi det nå har gått noen dager siden denne infeksjonen ble oppdaget, så vil sannsynligvis ditt antivirusprogram ordne problemet. Vi gir deg likevel en løsning som vi vet fungerer.

Programmer som inngår i løsningen:
MSNFix: Vil oppdage og fjerne alle filene som er nevnt over
Combofix: Vil fjerne de fleste, samt avsløre om det fortsatt ligger infiserte filer igjen i form av en logg den lager.
Hijackthis (hjt): Lager en logg som evt. kan fortelle hvordan det ligger an.

Veiledning MSNFix
Last ned MSNFix, og pakk det ut på skrivebordet.
Kjør filen 'MSNFix.bat'. Følg veiledningen

Veiledning Combofix
Hent Combofix, og legg det på skrivebordet.

Kjør combofix.exe, og følg veiledningen.
Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt) i en egen tråd, om du ønsker veiledning.

Veiledning Hijackthis
Hijackthis kan på en enkel måte fjerne registeroppføringene knyttet til denne infeksjonen.

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.
Start programmet, velg "Do a system scan only".
Sett er merke framfor følgende linjer, om de er tilstede, og klikk Fix checked:

O4 - HKLM\..\Run: [MSN] lssas.exe
O4 - HKLM\..\Run: [MSN] ntmngr.exe

Det er lite sannsynlig at begge er tilstede samtidig.

Oppdater ditt antivirusprogram og kjør en full scan.

Har du fått viruset og fortsatt trenger hjelp og veiledning kan du spørre i forumet.

Det kan også være lurt å ta en titt i forumet, her og her, for hjelp til å bli kvitt det.
Hvis man får en slik link via MSN, bør man også være skeptisk når filtypen er MS-DOS program og ikke .jpg eller andre filtyper som teksten sier. Enkelte brukere vet ikke selv at linken har blitt automatisk sendt til sine kontakter.

Kilde: ITpro.no

Content received from: Win-XP.no, http://win-xp.no