Nytt Virus, trojan (Swedbank)

En vilande trojan enligt Dagens industri. Var på den säkra sidan och formatera om. Det hade jag gjort.

Jag hade valt att formatera om hårddisken, men det är jag det.

PS! Det var bra att du skickade med en skärmdump så man ser hur det ser ut.

Hade inte placerat mitt kort nära den datorn innan en omformatering och nyinstallation var gjord. Du vet aldrig om viruset har gömt sig och har andra djävulskap för sig.

Instämmer!

Mvh: Eric

Så om man har den vanliga inloggningssidan på internetbanken är man trojanfri då? av just den här sorten.. Eller kan den ligga vilande till olika datum?

Från Aftonbladet
"Enligt Anders Nilsson är det nya viruset så lömskt och avancerat att moderna antivirusprogram kan missa det.

– Det tar sig djupt in i systemet och ändrar ständigt skepnad. Därför är det mycket svårt att upptäcka, säger han."

Även Nordea är drabbat och som de andra säger så behöver det inte vara virus eller trojan som orsakar detta.
Skönt att så många insåg direkt att det var bedrägeriförsök, äntligen har folket lärt sig.

beror ju på hur mycket stålar man har men ja chansar inte fick en fetinglön så ja skall formatera hur som! haha är smått paranoid! men skall få en ny ssd på måndag så väntar tills då för skall ju lix formatera då ^^

Kan upplysa er om att det är mycket riktigt "msseedir.dll" (samt ett par till .dll) filer i Windows32-diren.
Jag körde ComboFix vilket hittade det, men jag tog bort filerna manuellt för att säkerställa att inget konstigt hängde kvar.

Efter reboot drog jag även en "sfc /scannow" för att återställa ev. modifierade Windows (samt hosts-filen tror jag återställs då med, osäker då jag kör egen namnserver istället för att pilla lokalt).

Viruset tycks vara nästan helt UD enligt virustotal, iaf den dll-filen...
https://www.virustotal.com/file/a660bc2c3e38cb904ed2c8c0a0405...

Verkar även som att den ändrar struktur, namn och packas när den körs första gången, för något suspekt är det med att den är helt UD.

EDIT: jag stötte på detta första gången på ebay iförrgår, lokaliserade och raderade alla spår av den inom nån timma/två, så det är inte jätteallvarligt. Relativt simpelt att hitta alla ändringar (baserat på timestamp, EDIT: då jag noterade att dom faktiskt inte ändrades av trojanen) i win, samt pekningar till en dll-filen i registret.

Verkar som den hi-jackade DNS-kommunikation för vissa sajter och redirectade till 127.0.0.1 för att sedan kasta in lite HTML-kod i body'n och sen visa ursprungliga sidan bakom det.

Tror att informationen lagrades lokalt först med, för jag hittade en bunt med .dat filer (ccdxmmde.dat, drss.dat, xessmsxe.dat) kopplade till den .dll-filen.

Som många sagt, en formatering av samtliga diskar är nog att rekommendera, om man inte vill det och inte hittar en bra lösning testa och skriv in i hosts-filen att redirekta till swedbank.

Bara format på c: brukar tyvärr inte alltid hjälpa.... Man behöver visserligen inte formatera om alla diskar, om du ha videoanuttar och foton på en disk är nog dessa inte infekterade. (om du gör så du kan se gömda filer)

Ta bort alla installerade program i safe mode och lämna inga,. Exe. Dll. Js. Sfw osv kvar bara. (detta är såklart inte 100% säkert). Kolla med så det inte skapats en ny användare på datorn, och ett bra sett att slippa en del är att inte va inloggad som admin.
Vissa simpla virus lägger sig också i autostart(mest äldre) som du kommer åt med win+r och sen msconfig. De nyare brukar göra services istället vilket är klurigare. Ett bra verktyg är som tillägg till AV kan va "Advanced Task Manager" där du kan stänga av suspekta processer(även om du inte kunnat göra det i vanliga task managern, och lite andra användbara saker) och gå direkt till den fil-mappen.

Och kolla/följ aldrig länkar i mail ni inte vet vart de kommer ifrån! Sunt förnuft och information kommer du långt på, men aldrig hela vägen.
Noscript till opera, ff och chrome är med viktigt.

Ja jag hade trist denne natt, lite allmänt info om bekämpning mot virus(trött som f- och supit en del, folk får gärna rätta till eventuella fel) . Ännu en gång, se till att inte va inloggade som admin utan som vanlig användare om du är osäker. (förebyggande syfte enbart)

Sist men inte minst finns det program som kan vad som har installerats nyligen, tror även den listar services (måste ha programmet igång när ändringen sker) och på så vis kan man kolla upp suspekta filer, bästa är väl om dessa filer behöver verifieras och blir placerad i en sandbox tillsammans vidare. (de väsentligt filerna, annars är det ju redan försent)

Hej, lånar tråden om det går bra, min syster har råkat ut för just detta med swedbank, kommer att formatera om hennes dator, men undrade bara en sak, hon har en partion med recovery grejset på , har inte bränt ut den ännu, om jag ska formatera om hdd:n så måste jag formatera om hela hårddisken eller räcker det om jag formaterar om bara C:\?, kan viruset eller vad det nu är sprida sig till recovery partionen?

Tacksam för svar

Såvitt jag sett så påverkar inte detta MBR eller andra partitioner, utan är endast ett par .dll filer i windows/system32.
Slående bör det räcka med att antingen radera dom eller format C:/

Formatera , försök inte att fixa det manuellt genom att ta bort filer då viruset ändå kommer vara kvar till 99,99% chans

Okey, tack för snabbt svar

Huh? Care to explain? Jag har gissningsvis blivit smittad via nån java-sploit, första "viruset" jag haft på herrans massa år.
Jag har fortfarande ingen aning om vilken sajt det faktiskt ursprungligen kom ifrån, men numera kör jag java helt avaktiverat, lathet som var boven i dramat där innan. Viruset är fortfarande helt UD hos virustotal, vilket får mig misstänka att det rör sig om lite mer än fulkod, gissningsvis ett polymorfiskt virus (jag har dock inte undersökt det noggrannare då jag inte haft tid).

Du kanske borde läsa tråden igen - jag är inte TS.
Så du är väldans för snabb med dina antaganden.

Viruset tycks dessutom komma in genom dom nyligen upptäcka java-säkerhetshålen som publicerats häromveckan, inget annat.

Jag har samma virus/bot/trojan.. vad det nu är för något. Den verkar spana efter när man surfar något bank eller kreditkortsrelaterat och lägger en "alternativ" inloggningssida ovanpå den riktiga. Det är ganska usel layout på banksidan men Ebay-versionen gör den ganska bra. Verified by visa är oxå trovärdig. Eller ja.. om det inte vore för att den vill ha cvc och bankomatkoden..

Jag har rotat runt på banker men det enda dom svarar är att man får formatera och Visa svarade via mail att det säkert var i sin ordning så det var bara att shoppa loss.
Jag har fotointresse och vill inte formatera, har nog 200 000 bilder sen musik och annat som jag får flytta till en annan disk så länge och om där finns skadlig kod i dom mapparna hjälper det dessutom inte. Finns det inte något bra antivirusprogram eller antisypware som hittar detta ?

Du kan vara lugn, du kan säkert kopiera över dina filer till en extern hårddisk eller annan partition och formatera systemdisken.
Viruset verkar bara bestå av ett fåtal filer i Windows-mappen, och slående inte sprida sig till varken andra partitioner eller diskar.

/ Jim

det ska vara Nordea

På vilket vis är vad du skrev relevant för ämnet?

Det spelar ingen roll vilken bank du har, när du gör något bankrelaterat så poppar den upp. Olika bra design på dom, den som visades i aftonbladet är riktigt usel (den får jag upp om jag loggar in på min bank). Men när jag skulle handla med visakort kom en annan ruta upp och den screenshot jag mailade till Visa sa dom att det förmodligen var okej att skriva in sina uppgifter. Förmodligen för att dom inte tittade värst noga på den. Går jag in på tradera får jag upp en e-bay ruta som även den är väldigt välgjord.

Lägger bilder på dom två här: