Ik heb gisteravond een melding gekregen dat ik een virus in m'n pc zou hebben .
het zou gaan om :
Worm.Mabutu.A-unp
hoewel ik een norton antivirus erop heb zitten , wil ik idereen toch ff via deze weg waarschuwen .
het kan dus zijn dat je via mijn adres een virus gekregen hebt .
voor mij is nu belangrijk , weet iemand hoe ik dat ding er weer vanaf kan krijgen !
Heeft iemand hier de oplossing voor omdat het virus bij hem of haar ook al "huisgehouden" heeft ?
b.v.d
gr.
Robert
Er zijn 3 manieren:
- gewoon handmatig verwijderen
- en een virusscanner op het web opzoeken en dan je hele harde schijf(/schijven) scannen
- je PC helemaal formateren en alles gewoon eropnieuw opzetten
dat is dus worm, is gewoon een bestand dat niet veel doet, alleen toegang voor andere verzorgt :P. vervolgens beter firewall downloaden, en kijk maar eventjes voor virusscanners op http://antivirus.pagina.nl/ voor allerlei links. nuttiger dan op zon klein forumpje vragen
ik ben dan dol op formatteren
Ik doe het haast elke maand!
Citaat van: Omerta op december 18, 2004, 21:37:35 PM
Ik doe het haast elke maand!
euh.... kheb ut in anderhalf jaar 1x gdaan ::)
northon scant om 20;00 elke dag nog automatisch bij ons ... onze pc staat toch de hele dag aan beneden ....
bij ons maandag om 19.00 dan staat ie ook altijd aan
Gelukkig hebben we alle virussen verwijderd.,...
Bropia virus was pas in mn pc beland dus gewoon ff formatten en je hebt er geen last meer van
Mededeling: als je een mail opent met de naam support@microsoft.com dan is je harde schijf gecrashd behalve als je hem opent op linux.
hoezo zou je zo'n mail krijgen?
en ook niet op UNIX en op MacOS ;) ;D
Hmm, waarom bestaat virussen nou .. ?
Je hebt er niks aan die dingen ;D
als je pc zo'n ding bevat leer je wel weer wa van de pc omda je da ding er uit probeert te halen (althans da doe ik)
tjaah maar ik haal die dingen der niet uit...... dus dan leer k der nog niets van
Man ik ken 2 site's
www.virusalert.com:info over virussen en mails erover
www.emailalert.com:mails met info over virussen
Deze site niet opzoeken:
www.googkle...
Die site bevat 50 trojans,3 wormen,1 spyware en schakelt je pc uit
Site:
http://www.hitmanpro.nl/ (http://www.hitmanpro.nl/)
Info:
Haalt trojans van je PC (daarom zet ik het bericht ook hier)
En haalt gemiddeld 89% van de spyware van je PC.
Meestal heb je van de rest die overblijft geen last.
je zult nooit spyware krijgen als je o.a
2 virusscanners van 100%heb
1 van de beste firewall heb
geen sex of spam mails openen of de sites bekijken met sec of spam
download nooit kazaa of enkele peer to share prog alleen meaby limeware/bearshare en ares
dan is de kans dat je zoiets binnenkrijgt bijna none
Citaat van: vulcanblaster op oktober 04, 2005, 19:34:14 PM
je zult nooit spyware krijgen als je o.a
2 virusscanners van 100%heb...
100% veilig bestaat NIET!!!
Citaat van: vulcanblaster op oktober 04, 2005, 19:34:14 PM
...1 van de beste firewall heb...
Site:Zonelabs.com (http://www.zonelabs.com/store/content/home.jsp)
Info:Beste firewall!
Ook de niet-pro versie is zeer goed.
Heb hem zelf ook.
Downloadlink: (voor de niet-pro versie)
Klik hier! (http://download.zonelabs.com/bin/free/1012_zl/zlsSetup_60_667_000.exe)
Citaat van: vulcanblaster op oktober 04, 2005, 19:34:14 PM
...geen sex of spam mails openen of de sites bekijken met sec of spam
download nooit kazaa of enkele peer to share prog alleen meaby limeware/bearshare en ares
dan is de kans dat je zoiets binnenkrijgt bijna none
Nee, zelfs die programma's zijn ook nog bestanden (onder een naam van bijv een spel) die gewoon virussen zijn.
Wat ook nog een 'veilig' p2p programma is: Azureus (BitTorrent)
En ja je kan gewoon bestanden downloaden, maar doe het wel met een gezond verstand! Je kan zelf wel ongeveer bekijken of het een virus zou kunnen zijn of niet. (je houdt nooit alles tegen)
En download het liefst een bestand van de orginele server zelf.
Voorbeeld:
Download WinRAR niet op een andere site dan Winrar.nl
Anders is er KANS dat het een virus is.
Een nadeel is wel als je die firewall instaleert dat die andere automatische firewall het blokkeert
Je moet voor echte goeie firewall geld betalen want via internet is niet te vertrouwen
Nee, zonelabs (free version) is zelf beter dan de meeste betaalde firewalls.
Citaat van: vulcanblaster op oktober 05, 2005, 07:33:42 AM
Een nadeel is wel als je die firewall instaleert dat die andere automatische firewall het blokkeert...
Welke firewall wat blokkeerd?
ah laat maar
ik hoef geen firewall heb het al
Welke heb jij dan?
Ik heb Windows Xp en daar zit automatisch Windows Firewall bij.
Ik heb ook Norton Antivirus Firewall en virusprotect.
En als bonus heb ik nog Ad Aware 6.
Thats all.
W32.Sober.Q@mm (Symantec)
CME-151
W32.Sober.r@mm
W32/Sober.r@MM
W32/Sober.r@MM!CME-151
W32/Sober.Y.worm (Panda)
Win32.Sober.S@mm (Softwin)
Eigenschappen:
Sober.Q@mm is een massa-mailing worm die zijn eigen SMTP machine gebruikt om emails te verzenden. Het verzend zichzelf als een email bijlage naar adressen die hij verzameld heeft van de besmette computer. De email kan in het engels of duits zijn.
Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 en Windows XP.
Schade / Payload:
Laat een valse foutbericht zien. Verzend massa-mailing van zichzelf naar email adressen die hij verzameld heeft van de besmette computer.
Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje "verwijder instructies".
VirusAlert per e-mail (gratis)
Voor dit virus is op 6 oktober 2005 een gratis VirusAlert per mail verstuurt.
TIP: Ontvang onze gratis viruswaarschuwingen per e-mail.
klik hier om u gratis aan te melden!
Wanneer Sober.Q@mm geinstalleerd is, dan voert hij de volgende acties uit:
1. Laat het volgende venster zien:
[ ZIE BOVEN VOOR AFBEELDING ]
2. Cre?ert de volgende bestanden:
# %Windir%ConnectionStatus\services.exe
# %Windir%ConnectionStatus\netslot.nst (a BASE-64 encoded file of the zipped version of the worm)
# %System%\bbvmwxxf.hml
# %System%\gdfjgthv.cvq
# %System%\langeinf.lin
# %System%\nonrunso.ber
# %System%\rubezahl.rub
# %System%\seppelmx.smx
Opmerking:
* %System% is een variabele dat verwijst naar de systeem map. Standaard is dit C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
* %Windir% is een variabele dat verwijst naar de Windows installatie map. Standaard is dit C:\Windows (Windows 95/98/ME/XP) of C:\Winnt (Windows NT/2000).
3. Voegt de waarde:
" WinINet" = "%Windir%\ConnectionStatus\services.exe"
toe aan de subsleutel van de register:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W
indows\CurrentVersion\Run
zodat het elke keer draait wanneer Windows opnieuw opstart.
4. Voegt de waarde:
"_WinINet" = "%Windir%\ConnectionStatus\services.exe"
toe aan de subsleutel van de register:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zodat het elke keer draait wanneer Windows opnieuw opstart.
5. Verzameld email adressen van bestanden met de volgende extensies:
# pmr
# phtm
# stm
# slk
# inbox
# imb
# csv
# bak
# imh
# xhtml
# imm
# imh
# cms
# nws
# vcf
# ctl
# dhtm
# cgi
# pp
# ppt
# msg
# jsp
# oft
# vbs
# uin
# ldb
# abc
# pst
# cfg
# mdw
# mbx
# mdx
# mda
# adp
# nab
# fdb
# vap
# dsp
# ade
# sln
# dsw
# mde
# frm
# bas
# adr
# cls
# ini
# ldif
# log
# mdb
# xml
# wsh
# tbb
# abx
# abd
# adb
# pl
# rtf
# mmf
# doc
# ods
# nch
# xls
# nsf
# txt
# wab
# eml
# hlp
# mht
# nfo
# php
# asp
# shtml
# dbx
6. Slaat de verzamelde email adressen op in het volgende bestand:
%Windir%\ConnectionStatus\socket.dli
7. De verzamelde email adressen heeft een van de volgende domein namen:
# .de
# .at
# .ch
# .com
# .net
8. Verzend email naar email adressen die hij verzameld heeft. Het email heeft een bijlage van een .zip bestand die het bestand PW_Klass_Pic.packed-bitmap.exe bevat. Dit is een kopie van Sober.Q@mm. Het email is geschreven in het engels of duits.
Verwijder instructies:
TIP - Twijfels bij een bepaald bestand?
Verwijder het virus met de gratis online scanner van McAfee, klik hier
Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP
Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten.
U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1.
1. Raadpleeg Windows help voor meer informatie over [systeemherstel]
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in het register van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"
Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatie-procedure.
1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Citaat van: vulcanblaster op oktober 05, 2005, 16:17:20 PM
Ik heb Windows Xp en daar zit automatisch Windows Firewall bij...
Windows Firewall is echt slecht! Werkt voor geen meter!
Hier zijn sites zat voor...kan je beter die link van die sites geven, dan gegevens kopieren.
idd.... dit heeft niet veel nut
Citaat van: wicky the viking op november 06, 2004, 13:47:42 PM
Ik heb gisteravond een melding gekregen dat ik een virus in m'n pc zou hebben .
het zou gaan om :
Worm.Mabutu.A-unp
hoewel ik een norton antivirus erop heb zitten , wil ik idereen toch ff via deze weg waarschuwen .
het kan dus zijn dat je via mijn adres een virus gekregen hebt .
voor mij is nu belangrijk , weet iemand hoe ik dat ding er weer vanaf kan krijgen !
Heeft iemand hier de oplossing voor omdat het virus bij hem of haar ook al "huisgehouden" heeft ?
b.v.d
he ik wil een ding zegge over dat
heb je het van een officiele site gehad
want ze kunnen niet weten dat je een virus heb
is het via je virus defensie binnen of gewoon binnen via email
als het via email dan kreeg je die virus zeker want dan is het een virus in mail
Windows Firewall is echt slecht! Werkt voor geen meter!
inderdaad Mc Duck ik heb hem altijd uitstaan die kut virussen komen niet langs mijn virusprogramma's
gr.
Robert
Citaat van: wicky the viking op november 06, 2004, 13:47:42 PM
Alleen was dat November 2004!!!!
Dus tloopt hier een beetje achter.
Geef maar een link waar je de actuele virussen kan vinden.
Lol
heb je het tegen mij?
Oke verwijder dit bericht dan en al mijjn berichten sjonge.
Ja! jij postte dat bericht.
Dat kan jezelf ook!
Je moet soms gewoon even logisch nadenken! Dat is helemaal niet moeilijk hor!
Citaat van: McDuck op oktober 07, 2005, 19:04:29 PM
Dat kan jezelf ook!
Je moet soms gewoon even logisch nadenken! Dat is helemaal niet moeilijk hor!
Sorry hoor maar ik vind dat jij ook wel beetje aardiger mag doen :-\ je reageert gelijk zo heftig je mag ook het wel eens wat aardiger zeggen je zult zien dat dat meer effect hebt.
Citaat van: vulcanblaster op oktober 07, 2005, 18:13:51 PM
Oke verwijder dit bericht dan en al mijjn berichten sjonge.
Klikt een beetje ongeduldig... vandaar.
Maar je heb gelijk!
Sorry, mn excuus
He man ik weet het kan soms gemeen klinken maar dat komt allemaal door die moeder van mij.
Als ik aardig klinkt is me moeder er niet of heb ik een leuke dag
als ik gemeen klink is me ma er en is me dag na de ...
Oh oke soms jah ben ik erg oudjes
Sorry voor het bericht
[offtopic]
Maar ff:
*back to the topic*
Net mn pc gescant met anti-vir en 1 geinfecteerd bestand ontdekt ;)
En nog geeneens last van gehad !!! ;D
W00T!
aha
er zijn alweer ong 50 nieuwe virussen man
echt heavy
Valt mee hor!
Meestal zijn er al een paar duizend nieuw
jah het gaat zo snel
eerste virus : 1986
eerste trojan : 1989
zie hoe kort er een nieuwe kwam
echt errug!!!
CiteerVan: <hostmaster@gmail.com>
Verzonden: woensdag 23 november 2005 17:39:43
Aan: emailserv@hotmail.com
Onderwerp: smtp mail failed
Bijlage: mail.zip (0.05 MB)
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
Deze mail kreeg ik bij mijn hotmail binnen. Deze mail komt niet van Gmail omdat deze andere woorden gebruikt en ZEKER geen bijlage gebruikt!!!
Ik raad het je ook af om deze te downloaden en te openen.
Nee ik weet niet zeker of dit een virus is, maar het is te verdacht!
Nog ??n:
CiteerVan: <postmaster@msn.com>
Verzonden: dinsdag 22 november 2005 22:24:44
Aan: XPost@hotmail.com
Onderwerp: Registration_Confirmation
Bijlage: reg_pass-data.zip (0.05 MB)
Account and Password Information are attached!
***** Go to: http://www.msn.com
***** Email: postman@msn.com
Ook weer zo'n foute mail... En hier van de registratie!
Weer de gegevens in bijlage!!! NIET VERTROUWEN!!!
en de laatste
CiteerVan: <webmaster@msn.com>
Verzonden: dinsdag 22 november 2005 19:09:43
Aan: rms_maluku_5@hotmail.com
Onderwerp: Paris_Hilton_&_Nicole_Richie
Bijlage: downloadm.zip (0.05 MB)
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
Ook hier weer een bijlage: Vertrouw deze niet!!!
Ik had nergens om gevraagd of verzonden...
Waarschijnlijk heeft ??n of andere gek msn hoofdaccount gehackd en ook die van google!!!
Dats een hoax. En een trojan in een.
Msn of google schrijven nooit hun email erbij.
lol ik kreeg 10 of zo van zulke berichten en dankzij wanadoo anti-virus konde zij het scannen voor dat ik het kreeg en virus weghalen :P
Of gewoon slim genoeg nadenken en gewoon niet de bijlage downloaden :P
Er was geen bijlagen bij die mail's :-\
Nog even een paar
CiteerVan: <office@msn.com>
Verzonden: vrijdag 25 november 2005 14:45:30
Aan: Z-Account@hotmail.com
Onderwerp: Paris Hilton & Nicole Richie
Bijlage: downloadm.zip (0.05 MB)
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
CiteerVan: <hostmaster@hyves.nl>
Verzonden: vrijdag 25 november 2005 15:32:02
Aan: emailserv@hotmail.com
Onderwerp: Mail delivery failed
Bijlage: mail_body.zip (0.05 MB)
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
heb jij je bij een site geregistreerd?
want ik krijg dat gezeik helemaal niet.
heb je msn 8.0?
Citaat van: McDuck op november 25, 2005, 22:18:14 PM
Nog even een paar
CiteerVan: <office@msn.com>
Verzonden: vrijdag 25 november 2005 14:45:30
Aan: Z-Account@hotmail.com
Onderwerp: Paris Hilton & Nicole Richie
Bijlage: downloadm.zip (0.05 MB)
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
CiteerVan: <hostmaster@hyves.nl>
Verzonden: vrijdag 25 november 2005 15:32:02
Aan: emailserv@hotmail.com
Onderwerp: Mail delivery failed
Bijlage: mail_body.zip (0.05 MB)
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
Deze heb ik ook gehad.
Ze bevatten het Sober.X virus!!!
Die schakeld alle beveiliging uit.
Sterker nog: ik heb er ook een gehad van de fbi, van de cia en de school waar ik op zit!!!!
wazig :S
maarre, mail hoeft niet van diegene af te komen die bij Van: staat he!...
Citaat van: _Luc_ op november 25, 2005, 23:10:43 PM
wazig :S
maarre, mail hoeft niet van diegene af te komen die bij Van: staat he!...
Nee, maar daardoor 'lijkt' het betrouwbaar en openen mensen het!
idd? ;) dat bedoelde ik er maar mee
Hier dit gaat over de sober x virus
Gewoon extra in fo geven over die ene virus
Ik kreeg die ook in me hotmail maar dat wist ik niet
W32.Sober.X@mm (Win32)
Besturing:
Microsoft Windows
Datum:
22 november 2005
Risico:
Middel
Bron:
(c) 2005, VirusAlert
Aliassen:
* WORM_SOBER.AG [Trend Micro]
* W32/Sober-{X, Z} [Sophos]
* Win32.Sober.W [Computer Associates]
Eigenschappen:
Sober.x@mm is een massa-mailing worm die zijn eigen SMTP machine gebruikt. Het verzend zichzelf als een e-mail bijlage naar adressen die hij verzameld heeft van de besmette computer. Het e-mail ken in het engels of duits zijn.
Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 en Windows XP.
Schade / Payload:
Het verstuurt zichzelf als een e-mail met bijlage, waarin het virus zit, naar adressen die hij verzameld heeft op het besmette systeem. Vanaf het besmette systeem verstuurt het zich verder naar andere gebruikers, hiervoor misbruikt het het adressenboek op het systeem.
Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje "verwijder instructies".
VirusAlert voor Sober.x per e-mail (gratis)
** Een gratis waarschuwing per e-mail is op 22-11-2005 om 17.05u verstuurt. Ook VirusAlert medium- en highrisk alerts per e-mail ontvangen? Wordt gratis lid van VirusAlert klik hier voor meer informatie.
VirusAlert voor Sober.x per SMS
** Een waarschuwing per SMS is op 22-11-2005 om 16.45u verstuurt. Ook VirusAlert medium- en highrisk alerts per SMS ontvangen? klik hier voor meer informatie.
ZIE PUNT 8 VOOR E-MAIL KENMERKEN !
? VirusAlert schaal
Innovatie: 12
Besturing: 40
Logistiek: 13
Schade: 20
Schaal: 21/100
Aanduiding: LASTIG
Gratis Nieuwsbrief!
Preventieve maatregelen:
Wanneer Sober.X@mm geinstalleerd is, dan voert hij de volgende acties uit:
1. Laat een bericht zien met de volgende tekst:
Titel: WinZip Self-Extractor
Tekst:Error: CRC not complete
2. Kopieeert zichzelf als de volgende bestanden:
* %Windir%\csrss.exe
* %Windir%\WinSecurity\services.exe
* %Windir%\WinSecurity\smss.exe
Opmerking: %Windir% is een variabele dat verwijst naar de Windows installatie map. Standaard is dit C:\Windows of C:\Winnt.
3. Cre?ert het volgende bestand, dit is een MIME-ge?ncodeerde .zip bestand bevatten met een kopie van de worm:
%Windir%\WinSecurity\socket1.ifo
4. Cre?ert de volgende niet-schadelijke bestanden:
* %Windir%\WinSecurity\mssock1.dli
* %Windir%\WinSecurity\mssock2.dli
* %Windir%\WinSecurity\mssock3.dli
* %Windir%\WinSecurity\winmem1.ory
* %Windir%\WinSecurity\winmem2.ory
* %Windir%\WinSecurity\winmem3.ory
* %Windir%\WinSecurity\sysonce.tst
* %Windir%\WinSecurity\starter.run
* %Windir%\WinSecurity\nexttroj.tro
* %System%\bbvmwxxf.hml
* %System%\langeinf.lin
* %System%\nonrunso.ber
* %System%\rubezahl.rub
Opmerking: %System% is een variabele dat verwijst naar de systeem map. Standaard is dit C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) of C:\Windows\System32 (Windows XP).
5. Voegt de waarde:
"_Windows" = "%Windir%\WinSecurity\services.exe"
toe aan de subsleutels van de register:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zodat het elke keer draait wanneer Windows opnieuw opgestart is.
6. Checkt de netwerk connectie van de besmette computer, en de huidige datum, door met een van de volgende NTP servers te verbinden:
# Rolex.PeachNet.edu
# clock.psu.edu
# cuckoo.nevada.edu
# gandalf.theunixman.com
# nist1.datum.com
# ntp-1.ece.cmu.edu
# ntp-2.ece.cmu.edu
# ntp-sop.inria.fr
# ntp.lth.se
# ntp.massayonet.com.br
# ntp.metas.ch
# ntp.pads.ufrj.br
# ntp0.cornell.edu
# ntp1.arnes.si
# ntp1.theremailer.net
# ntp2.ien.it
# ntp2b.mcc.ac.uk
# ntp2c.mcc.ac.uk
# ntp3.fau.de
# ntps1-1.uni-erlangen.de
# ptbtime2.ptb.de
# rolex.usg.edu
# st.ntp.carnet.hr
# sundial.columbia.edu
# swisstime.ethz.ch
# tick.greyware.com
# time-a.timefreq.bldrdoc.gov
# time-ext.missouri.edu
# time.chu.nrc.ca
# time.ien.it
# time.kfki.hu
# time.mit.edu
# time.nist.gov
# time.nrc.ca
# time.windows.com
# time.xmission.com
# timelord.uregina.ca
# tock.keso.fi
# utcnist.colorado.edu
# vega.cbk.poznan.pl
7. Verzameld e-mail adressen van bestanden met de volgende extensies:
# .abc
# .abd
# .abx
# .adb
# .ade
# .adp
# .adr
# .asp
# .bak
# .bas
# .cfg
# .cgi
# .cls
# .cms
# .csv
# .ctl
# .dbx
# .dhtm
# .doc
# .dsp
# .dsw
# .eml
# .fdb
# .frm
# .hlp
# .imb
# .imh
# .imh
# .imm
# .inbox
# .ini
# .jsp
# .ldb
# .ldif
# .log
# .mbx
# .mda
# .mdb
# .mde
# .mdw
# .mdx
# .mht
# .mmf
# .msg
# .nab
# .nch
# .nfo
# .nsf
# .nws
# .ods
# .oft
# .php
# .phtm
# .pl
# .pmr
# .pp
# .ppt
# .pst
# .rtf
# .shtml
# .slk
# .sln
# .stm
# .tbb
# .txt
# .uin
# .vap
# .vbs
# .vcf
# .wab
# .wsh
# .xhtml
# .xls
# .xml
De worm vermijdt zichzelf te verzenden naar e-mail adressen die de volgende teksten bevatten:
# -dav
# .dial.
# .kundenserver.
# .ppp.
# .qmail@
# .sul.t-
# @arin
# @avp
# @ca.
# @example.
# @foo.
# @from.
# @gmetref
# @iana
# @ikarus.
# @kaspers
# @messagelab
# @nai.
# @panda
# @smtp.
# @sophos
# @www
# abuse
# announce
# antivir
# anyone
# anywhere
# bellcore.
# bitdefender
# clock
# detection
# domain.
# emsisoft
# ewido.
# free-av
# freeav
# ftp.
# gold-certs
# google
# host.
# icrosoft.
# ipt.aol
# law2
# linux
# mailer-daemon
# mozilla
# mustermann@
# nlpmail01.
# noreply
# nothing
# ntp-
# ntp.
# ntp@
# office
# password
# postmas
# reciver@
# secure
# service
# smtp-
# somebody
# someone
# spybot
# sql.
# subscribe
# support
# t-dialin
# t-ipconnect
# test@
# time
# user@
# variabel
# verizon.
# viren
# virus
# whatever@
# whoever@
# winrar
# winzip
# you@
# yourname
8. Probeert een kopie van zichzelf te verzenden naar e-mail adressen die hij verzameld heeft op het getroffen systeem. Het e-mail kan in het Engels of Duits zijn, en heeft de volgende kenmerken:
Duits:
Afzender:
Een van de volgende:
* Ihr Passwort
* Account Information
* SMTP Mail gescheitert
* Mailzustellung wurde unterbrochen
* Ermittlungsverfahren wurde eingeleitet
* Sie besitzen Raubkopien
* RTL: Wer wird Millionaer
* Sehr geehrter Ebay-Kunde
Tekst van het bericht:
Een van de volgende:
# Bei uns wurde ein neues Benutzerkonto mit dem Namen
beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team
# Aktenzeichen NR.:#
(siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
# Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
Bijlagebestand:
Een van de volgende:
# [STRING 1].zip
# [STRING 1]-TextInfo.zip
# Email.zip
# Email_text.zip
# [STRING 2].zip
# Akte[STRING 2].zip
# [STRING 3].zip
# [STRING 3]_Text.zip
# Ebay.zip
# Ebay-User_RegC.zip
waar de variabele [STRING 1] een van de volgende teksten is:
# Service
# Webmaster
# Postman
# Info
# Hostmaster
# Postmaster
# Admin
en de variabele [STRING 2] een van de volgende teksten is:
# Downloads
# BKA
# Internet
# Post
# Anzeige
# BKA.Bund
en de variabele [STRING 3] een van de volgende teksten is:
# Kandidat
# WWM
# Auslosung
# Casting
# Gewinn
# Info
# RTL-Admin
# RTL
# Webmaster
# RTL-TV
Engels:
Afzender: [SPOOFED]
Onderwerp:
Een van de volgende:
# Your Password
# Registration Confirmation
# smtp mail failed
# Mail delivery failed
# hi, ive a new mail address
# You visit illegal websites
# Your IP was logged
# Paris Hilton & Nicole Richie
Message:
Een van de volgende:
# ***** Go to: http://www.[DOMAIN NAME OF SENDER]
***** Email: postman
# hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
# Please answer our questions!
Steven Allison
Department Office Admin Mail Post
===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@?
===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
# The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
Bijlagebestand:
# reg_pass.zip
# reg_pass-data.zip
# mail.zip
# mail_body.zip
# mailtext.zip
# list[RANDOM CHARACTERS].zip
# question_list[RANDOM CHARACTERS].zip
# downloadm.zip
De bijlage bevat het volgende bestand, dit is een kopie van de worm:
File-packed_dataInfo.exe
Verwijder instructies:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
of
TIP - Twijfels bij een bepaald bestand?
Verwijder het virus met de gratis online scanner van McAfee, klik hier
Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP
Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten.
U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1.
1. Raadpleeg Windows help voor meer informatie over [systeemherstel]
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in het register van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"
Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatie-procedure.
1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
doe volgende x een linkje :-\
ja :o
www.virusalerts.com
he ik mog toch niet spammen dus deed ik het zo
Citaat van: Killerflight op november 26, 2005, 18:22:08 PM
www.virusalerts.com
he ik mog toch niet spammen dus deed ik het zo
wel andere sites maa rniet vaker dan een keer.. je doet je eigen site en dan 3x dat mag nie
Ik blijf van dat soort mails krijgen >:( :-\
Baal ervan!
Ga iemand anders pesten!
ah wacht hets
www.virusalert.nl
je moet ff goed denken waar je je allemaal geregistreerd heb
want alleen mensen die nog niet msn 8.0 heb gebruikt of iets niet heb gedaan met msn krijg et niet
dat maakt geen fuck uit of je msn 8 hebt of niet
oh oke
why krijg je dan die berichten ???
Ik heb opt moment wat probleempjes op men pc.
Spyware, spam en stuff.
Geef es wat tips hoe ik hem nog beter kan beveiligen! welke programma's (liefst niet te duur, maar kben wel bereid om te betalen:p)
Citaat van: Lenwë Culnámo op april 02, 2006, 14:50:40 PM
Ik heb opt moment wat probleempjes op men pc.
Spyware, spam en stuff.
Geef es wat tips hoe ik hem nog beter kan beveiligen! welke programma's (liefst niet te duur, maar kben wel bereid om te betalen:p)
Je bedoelt dat je dan een crack gebruikt :P
- HitMan Pro 2 (Programma wat allemaal Anti-spyware progjes bijelkaar gebruikt, voor het reinigen en voorkomen van spyware (http://www.hitmanpro.nl))
- ZoneLabs (FireWall tegen het internetgebruik van ongewenste programma's (http://dl2.zonelabs.com/bin/free/1001_cnet_zdnet/zlsSetup_61_744_001_en.exe) (insteleer als niet-pro editie)
- Thunderbird (Email-bekijk-progje tegen spam e.d.) (http://www.mozilla-europe.org/nl/products/thunderbird/)