Algemeen virus naslagwerk

ik heb het win95.spaces.1445 virus gehad
op de hoofd computer is ie denk ik al weg formatc: althans hier heb ik geen problemen meer.

maar hij zit in in de mbr van mn harde van mn andere computer. met harde schijven worden alleen nog gezien als ik um helemaal opnieuw opostart dus stroom aan/uit. en als die het dan doen kan ie niet schrijven/lezen half

ik heb met een boot flop scanpm gebruikt>>>>>

scanpm /adl /clean all hierbij loopt de schijf weer vast
ik heb ook al fdisk /mbr gedaan volgens mij heeft dit weinig effect.

wie kent dit virus en weet hoe je het van je systeem afschopt. (op internet zeggen ze dat de mbr helemaal gemolt wordt, is dit waar????)
PLEASE HELP!!!!!!!!!

<aand8 vragen>
HALLOOOOOOOO?????
</aand8 vragen>

Geef eens een link naar die info.
Welke scanner heb je gebruikt?
McAfee kent w95/spaces, W95.spaces.1633 en w95.spaces.1245
Stuk voor stuk vrij onschuldig en zeker geen bootsector virus. Probeer eens een andere virus scanner, bv een trial versie van KAV http://www.kav.ch

Als je problemen hebt met de schijven en het geen NTFS is, kun je proberen of proresq iets voor je kan doen.
http://www.invircible.com

Op woensdag 31 oktober 2001 12:21 schreef otaku-san het volgende:
Probeer eens een andere virus scanner, bv een trial versie van KAV http://www.kav.ch
[/url]

dit was mn basis virus scan, deze vond het virus wel, maar werd gelijk zelf geinfecteerd. hij kon ze niet deleten.

beschrijving
[URL] http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_SPACES.1445 [/url]

hehe, ik had 1700 geinfecteerde bestanden met 54 verschilldende virussen na een maandje adslen zonder virusscan

Op woensdag 31 oktober 2001 15:08 schreef SmashingPunkKing het volgende:

[..]

dit was mn basis virus scan, deze vond het virus wel, maar werd gelijk zelf geinfecteerd. hij kon ze niet deleten.

beschrijving
[URL] http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_SPACES.1445 [/url]

Maak dan op een schone comp een opstart floppie met resqpro.

http://www.invircible.com/resq.php

Die is in staat om dat ding weg te halen.

helpt niet echt,

heb nog maar een keer fdisk /mbr gedaan
lukt ook niet.

hij ziet de harde schijven wel als ik stroom dr op zet maar niet na een reboot

Ziet je bios je schijf wel?

Op woensdag 31 oktober 2001 16:15 schreef otaku-san het volgende:
Ziet je bios je schijf wel?

wel als ik um opstart.
maar als ik win probeer te instaleren of format c: wil doen loopt de hd op en of andere manier vast en blijft ut lichtje branden van de hd

als ik um dar reboot ziet ie de schijf niet meer

Dan is je MBR vernaggeld.
Wat er in hoort te staan is een verwijzing naar een OS loader. Die is er niet dus hij loopt verder vast.

Ik denk toch reqpro de enige mogelijkheid is of anders moet je op zoek naar andere bootrestore programmaas.

Ziet fdisk het wel als een primary partition?

ik heb resqdisk geprobeerd, ik snapte het niet echt
wat moet ik daar nou precies doen??

hij gaf allemaal vreemde tekens in een txt scherm.

heb je mischien een command waarmee ik in ene de hele mbr schoonmaak??? resqdisk.exe/????

Er worden twee floppies aangemaakt, een boot floppie en de reqdisk floppie.
Op de tweede staat een readme.html Ok heb je op dat moment weinig aan.

Er staat in dat je gewoon kunt starten met a:\resqdisk


Uit de readme.html
-------------
Follows a list of ResQdisk hotkeys and the tests that they initiate. The order in which they are listed here is also the order in which it is recommended to run the various tests, and record them in the report file.

F5 - Shows the CMOS settings for the drive, its IDE parameters, and the extended BIOS translation data, where available.
F6 - Displays the partition table data found in the MBR.
F7 - Displays the BPB data contained in the active partition boot sector, and tells whether it's FAT-16 or FAT-32.
^F4 - Initiates a search for existing partitions, displays the resulting partition table, and rebuilds the MBR with that data. Caution should be exerted to not write the new MBR to the drive unless absolutely sure that this is what you want!
^F5 - Initiates a search for existing FAT copies and displays their location data and size (sectors per FAT copy).
^F6 - Initiates a disk surface scan, looking for bad sectors.
The F5, F6 and F7 tests reveal problems with the IDE controller (F5), CMOS settings (F5), or mismatch between the BIOS, the MBR and the boot sector. Parameters should be consistent between the three. An inconsistency may hint that one of the three has been modified and does not match the true drive/partition geometry.

heb geeb besturings systeem meer, en vanaf een floppy booten of cd-rom heb ik nix aan omdat ie dan geen andere flop kan lezen nog enige andere mogelijk heden.

<offtopic?>
IEMAND EEN HD te koop???
</offtoppic?>

Op woensdag 31 oktober 2001 17:12 schreef SmashingPunkKing het volgende:
heb geeb besturings systeem meer, en vanaf een floppy booten of cd-rom heb ik nix aan omdat ie dan geen andere flop kan lezen nog enige andere mogelijk heden.

<offtopic?>
IEMAND EEN HD te koop???
</offtoppic?>

Dat is dus onzin, van de bootable floppie die reqdisk aanmaakt wordt command.com geladen.
Dan haal je dat floppie eruit en dan kun je nog steeds dos commando's geven zoals a:\resqdisk als je het tweede floppie erin hebt gestopt.

dat bootable doet ie dus niet heb hier win2000.
ff iemand laten maken, kijken of ut dan wel lukt

Je kunt hier bootdisk's dl en
http://www.bootdisk.com/

ik zit nu op pc1 met win2000 waarmee ik dus niet de boot kan maken.

op pc2 zit ut virus, ik heb hier geen os meer lopen de schijven ziet ie wel, maar hij vertikt het om dr ook maar iets op te schrijven of om te lezen
bij die fromat c: geeft ie na een tijdje dat de disk niet klaar is of zoiets.

die fdisk /mbr heb ik via windows me opstartdiskette of win98 opstart cd-rom gedaan
ik geloof windowns/system/command.com

daarover denk ie heel even en dan springt ie weer naar de promt c:\


ps> ik weet niet of ut uitmaakt maar ik had er pcdos op lopen en dat gebruikt fat-16

nou ja zodra je er een bootdisk voor hebt kun je alsnog resqdisk gebruiken.

Ik las trouwens net dat mensen denken dat bootdisk.com W95 van userfriendly uitgerekend een bootvirus bevatte, nml het sampol virus.

waarom worden ALLE losse virus topics gesloten, is het de bedoeling dat dit topic uitgroeid tot een onoverzichtelijk lang stuk virusmeldingen + mogelijke oplossingen?
het verschil in virussen (werking, method of infection) is dermate groot dat een "los" topic over een bepaald virus best goed op zijn plaats kan zijn als het echt een "non-standard" probleem is!

Op donderdag 01 november 2001 12:19 schreef limoentje het volgende:
waarom worden ALLE losse virus topics gesloten, is het de bedoeling dat dit topic uitgroeid tot een onoverzichtelijk lang stuk virusmeldingen + mogelijke oplossingen?
het verschil in virussen (werking, method of infection) is dermate groot dat een "los" topic over een bepaald virus best goed op zijn plaats kan zijn als het echt een "non-standard" probleem is!

Stel een slotje & nieuw topic voor bij DR

---Nogmaals omdat een admin zo vriendelijk was mijn topic te sluiten---

Ik heb hier een pc met het W95/Spaces.1445 virus.
Behoorlijk klote want hij infecteerd alle .exe files en kan dus niets meer opstarten.
Er staat Mcafee op die pc die hem ook wel herkend en kan cleanen maar toch blijft het terugkomen.
In de registers kan ik geen verwijzing naar het virus vinden. (in HKLM/Software/Micorsoft/Windows/Run) enz.
Het groete probleem is ook dat op internet ook haast niet te vinden is wat en waar het virus dingen op de pc neerzet welke de infectie min of meer veroorzaken.

Heeft iemand ervaring met dit virus en weet hoe ik het uit de pc kan krijgen zonder te formateren ofzo?

Op donderdag 01 november 2001 12:29 schreef richardc het volgende:
---Nogmaals omdat een admin zo vriendelijk was mijn topic te sluiten---

was geen admin, was een mod
admins hebben veel meer rechten

[edit]
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_SPACES.1445
daar nog wat info, asl je dit topic nog niet gelezen had
(is te begrijpen met 500 reply's)

Op donderdag 01 november 2001 12:30 schreef DR het volgende:

[..]

was geen admin, was een mod
admins hebben veel meer rechten

[edit]
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_SPACES.1445
daar nog wat info, asl je dit topic nog niet gelezen had
(is te begrijpen met 500 reply's)

Ja ok, bedankt maar dat helpt dus niet, vandaar dat ik hoopte dat iemand het hier al eens eerder aan de stok heeft gehad met het Spaces.1445 virus.

Op donderdag 01 november 2001 12:43 schreef richardc het volgende:

[..]

Ja ok, bedankt maar dat helpt dus niet, vandaar dat ik hoopte dat iemand het hier al eens eerder aan de stok heeft gehad met het Spaces.1445 virus.

yep, in dit topic zijn waren nog een paar met dit virus

Ik heb vandaag nog gelezen dat iemand het opgeruimd had met f-prot.

Ga niet klooien met fdisk.mbr want het kan zijn dat je dan nog veel verder van huis bet.
Instructies voor het gebruik van f-prot plus updater :
http://www.claymania.com/f-prot.html

Op donderdag 01 november 2001 13:03 schreef otaku-san het volgende:
Ik heb vandaag nog gelezen dat iemand het opgeruimd had met f-prot.

Ga niet klooien met fdisk.mbr want het kan zijn dat je dan nog veel verder van huis bet.
Instructies voor het gebruik van f-prot plus updater :
http://www.claymania.com/f-prot.html

Bedankt! Inmiddels ben ik met de dosscanner van Mcafee (scanpm) ook al zover.
Echter heb ik daarna nog wel met een scanreg /restore onder dos de regsiters van 2 daagies geleden terug moeten zetten omdat in het regsiter ook een hoop verwijzingen zaten.

Ik heb nog niets gedaan met de Bootrecord....Is dat nou nog nodig of niet?

Op donderdag 01 november 2001 13:59 schreef richardc het volgende:

[..]

Bedankt! Inmiddels ben ik met de dosscanner van Mcafee (scanpm) ook al zover.
Echter heb ik daarna nog wel met een scanreg /restore onder dos de regsiters van 2 daagies geleden terug moeten zetten omdat in het regsiter ook een hoop verwijzingen zaten.

Ik heb nog niets gedaan met de Bootrecord....Is dat nou nog nodig of niet?

Tuurlijk niet, je hebt daar toch geen probleem mee.
f-prot en andere virus scanners zijn heus wel in staat een virus uit het MBR te verwijderen, dus dat is al gebeurd.

Op donderdag 01 november 2001 14:15 schreef otaku-san het volgende:

[..]

Tuurlijk niet, je hebt daar toch geen probleem mee.
f-prot en andere virus scanners zijn heus wel in staat een virus uit het MBR te verwijderen, dus dat is al gebeurd.

Ok! Heel erg bedankt voor de hulp!
Alles werkt nu weer perfect.

nou mijn harde schijf is dus helemaal gemold RIP

win95.spaces.1445 zuigt = erg hardnekkig virus het heeft mn mbr onherstelbaar gemold, en als je denk dat het were goed zit doet je hd het na een 2 sec niet meer ik ben begonnen met hd scan en in de 2 sec dat ie het deed vond ie alleen maar badsectors

gelukkig krijg ik nu een 6gig hd te vervanging,
als iemand dit virus nog eens krijgt bedenk dan wel goed hoe je het weghaalt,

ps) otaku-san bedankt voor je hulp

Op dinsdag 05 juni 2001 20:21 schreef Outrospective het volgende:
Omdat de search niet werkt zal ik hier nog even de oplossing posten:

- Allereerst rename je het bestand CHOKE.EXE op de C root naar HOKE.EXE of whatever.
- Dan uninstall je MSN Messenger
- Je start de computer op, en je gooit de bestanden HOKE.EXE (of hoe hij ook heet), en about.txt weg. Je moet ook het bestand wat je gekregen hebt (in je messenger received files directory en genoemd naar je eigen naam) verwijderen.
- Je kan dan MSN downloaden en er opnieuw opzetten.

Als het goed is, is het virus dan weg. Veel suc6 ermee!

Dat weet ik! aleen ik kan het bestand Choke.exe nergens vinden! dus hoe kom ik er dan vanaf?

Ey,
ik heb een virus, W32.Annoying. Ik heb er nog niks van gemerkkt. Hij zit in Restore\temp, dus kan ik hem gewoon via windows deleten?

luitjes:

ik haal hem ff hierheen:

http://vil.mcafee.com/dispVirus.asp?virus_k=99209&
dit virus staat op mijn en nog veel erger: mijn vriendin's pc!! .. Ik krijg het er voor geen mogelijkheid af en ik ben bang dat veel files van mijn vriendin verloren zullen gaan als ik niet snel wat doe. Kan iemand mij tips geven voor removal. Ik heb de laatste mcafee er al overheen laten draaien maar die vindt constant nieuwe files en maakt er geen definitief einde aan.. plz help.. mijn meisje gaat me kielhalen!!

en:

wat ik dus ook op mijn pc heb is dat ineens allerlei exe's ipv bv. 2 meg nog maar 50 kb zijn en dat ie dan zegt dat het geen geldig win32 applicatie is! ..
en alle mail is ineens foetsie..



iemand?

Hij zit in het geheugen als load.exe
Haal die er eerst eens uit met ctrl-alt-del

In principe kan het zijn dat McAfee zelf al besmet is.

Anders als je een schoon bootfloppie hebt op een andere schone machine scan floppies maken van f-prot.

Op manier kan er geen herinfectie plaats vinden.

Kijk op http://www.claymania.com/f-prot.html

Hey, ik heb een virus op mijn computer dat W32.Nimda.A@mm heet. Ik heb met mijn virusscanner alle geinfecteerde files gedeleted behalve riched20.dll. Ik kan deze file met geen mogelijkheid verwijderen.


Weet iemand een oplossing om deze file ook te verwijderen hoe? Of moet ik formateren

Nee je hoeft niet te formatteren, lees hier maar hoe je hem onder dos moet terughalen:

http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

Succes

Als je een boot sector virus hebt en je virusscanner kan het niet verwijderen, wat is dan de beste keuze:

(Met een opstartdiskette:)
"sys c:" (boot record overschrijven)
of: "fdisk /mbr" (mbr verwijderen)

Het gaat hier trouwens over anticmos.a, dat ook de cmos RAM zou infecteren. Wat is dat precies en is het te fixen?

(zie hier een virusbeschrijving)

Op dinsdag 06 november 2001 17:30 schreef Schuursleutel het volgende:
Hey, ik heb een virus op mijn computer dat W32.Nimda.A@mm heet. Ik heb met mijn virusscanner alle geinfecteerde files gedeleted behalve riched20.dll. Ik kan deze file met geen mogelijkheid verwijderen.


Weet iemand een oplossing om deze file ook te verwijderen hoe? Of moet ik formateren

http://www.symantec.com/avcenter/tools.list.html

hey people ik heb weer eens een virus op me computer...het leuke is...Hij komt steeds terug...er staat nu helemaal niets van dit virus op me computer zodra er weer een x-aantal dagen verder ben issie er weer...en alle bestanden worden daarna weer verwijderd door het virus...zijn allemaal Bijvoorbeeld What happens If you Spill Water OVer your computer.eml bestanden...dus *.EML.
Het virusnaam is W32.Nimda.enc en ken niet verwijderd worden door Norton Anti Virus 2002 en ook niet door andere virusscanners...en met die Nimda Remover ken die hem niet vinden op mijn computer. Wie o Wie weet welk bestand ervoor zorgt dat dit virus Blijft terugkomen...want nou elke 3 dagen sochtens wakker te worden met 20x oke te klikken bij NAV2002 heb ik ook niet egt veel zin in. Hoop niet dat ik moet formateren Ennuh Draai Windows Xp Final Professional :?:? wie helpt mij dank je

Op donderdag 08 november 2001 11:18 schreef ThaNetRunner het volgende:
hey people ik heb weer eens een virus op me computer...het leuke is...Hij komt steeds terug...er staat nu helemaal niets van dit virus op me computer zodra er weer een x-aantal dagen verder ben issie er weer...en alle bestanden worden daarna weer verwijderd door het virus...zijn allemaal Bijvoorbeeld What happens If you Spill Water OVer your computer.eml bestanden...dus *.EML.
Het virusnaam is W32.Nimda.enc en ken niet verwijderd worden door Norton Anti Virus 2002 en ook niet door andere virusscanners...en met die Nimda Remover ken die hem niet vinden op mijn computer. Wie o Wie weet welk bestand ervoor zorgt dat dit virus Blijft terugkomen...want nou elke 3 dagen sochtens wakker te worden met 20x oke te klikken bij NAV2002 heb ik ook niet egt veel zin in. Hoop niet dat ik moet formateren Ennuh Draai Windows Xp Final Professional :?:? wie helpt mij dank je

je moet ff deze proberen: http://www.hawaii.edu/antivirus/tools/nimdatool.html werkte bij mij prima... en dan snel die IIS 5 patchen... ik had er net XP op staan en nog niet gepatched...

Oke ben aan het scannen maar waar ken je ook alweer die IIS Downloaden??? Want ken het zoals altijd weer eens niet vinden?

sch**t aan virus scanners virus programma's virus verwijderaars allemaal onzin je moet geen dingen openen waarvna je niet weet wat het is. ik heb nog nooit een virus gehad en al jaren kabvel

Op donderdag 08 november 2001 11:57 schreef TrehT het volgende:
sch**t aan virus scanners virus programma's virus verwijderaars allemaal onzin je moet geen dingen openen waarvna je niet weet wat het is. ik heb nog nooit een virus gehad en al jaren kabvel

Of heb je er zelf nooit iets van gemerkt?

Op dinsdag 06 november 2001 22:06 schreef AtHomer het volgende:
Als je een boot sector virus hebt en je virusscanner kan het niet verwijderen, wat is dan de beste keuze:

(Met een opstartdiskette:)
"sys c:" (boot record overschrijven)
of: "fdisk /mbr" (mbr verwijderen)

Het gaat hier trouwens over anticmos.a, dat ook de cmos RAM zou infecteren. Wat is dat precies en is het te fixen?

(zie hier een virusbeschrijving)

Iemand die me hier meer over kan vertellen

Admin SA, dit is een onwerkbare manier om over virii te praten hier. Wat was er mis met topics over virii, zoals die hiervoor bestonden? Okay, er waren er wat veel, maar er zijn ook 60.000 topics over XP en Fifa2002 etc. WTF? Hoe moet ik in godsnaam nuttige info vinden over een virus in een topic van 22 pagina's???


Anyway, toch maar proberen: iemand een truc een computer te cleanen waarop zéker W32/Magistr.B staat, maar die iemand heeft uitgezet? Gaat dat lukken met een bootflop / dos_scanner_op_flop?

Weet iemand mischien een goede virusscaner, die kan draaien op een windows 98 bak met 16 MB ram en een 60 mhz proc.
Want de meeste virusscaneers hebben nogal hoge systeem eisen.

Op donderdag 08 november 2001 11:18 schreef ThaNetRunner het volgende:
hey people ik heb weer eens een virus op me computer...het leuke is...Hij komt steeds terug...er staat nu helemaal niets van dit virus op me computer zodra er weer een x-aantal dagen verder ben issie er weer...en alle bestanden worden daarna weer verwijderd door het virus...zijn allemaal Bijvoorbeeld What happens If you Spill Water OVer your computer.eml bestanden...dus *.EML.
Het virusnaam is W32.Nimda.enc en ken niet verwijderd worden door Norton Anti Virus 2002 en ook niet door andere virusscanners...en met die Nimda Remover ken die hem niet vinden op mijn computer. Wie o Wie weet welk bestand ervoor zorgt dat dit virus Blijft terugkomen...want nou elke 3 dagen sochtens wakker te worden met 20x oke te klikken bij NAV2002 heb ik ook niet egt veel zin in. Hoop niet dat ik moet formateren Ennuh Draai Windows Xp Final Professional :?:? wie helpt mij dank je

heb je de firewall van xp aan staan?? gek genoeg werkte dit bij mij wel! Heb het idee dat die meldingen fake zijn of iets dergelijks! Kijk maar eens na als nav een melding geeft! die bestanden die hij aangeeft bestaan nie eens!!

Hallo,
ik was hier pas bij een buurjongen, die had een probleempje met zijn computer.

Heel vaag,

maar als ik 2 keer bijv. op een .bmp klik, of bijvoorbeeld een word-document, word het bestand veranderd in een .exe.

en als ik daar dan 2x op klik wil hij verbinding gaan maken met internet.

Het is gebeurd, nadat hij een klein spelletje ( .exe ) van kazaa had gedownload

Denken jullie ook dat dit een virus is??

Zo ja, nieuwe installatie van windows? Of ff virusscanner erover??

Alvast bedankt

laatst kreeg ik een mailtje van da virus SULFNBK.EXE, en jah ik heb hem weggegooid (jajah stom lach maar) nou heb ik hier wah geleze en blijkt dat ik dit bestandje nog nodig heb, kan iemand mij ff de map geven waar ik dit bestandje terug kan zetten . dan kan ik ut ff kopieren en terugzetten.

bvd Calimero

Welk OS draai je?


(Wil je aub je posts niet tekenen met Grtz. Pietje o.i.d.? We don't like that here! )

ik had het zelfde virus en heb het zelf op de volgende
manier opgelost:


mcAFEE antivirus met scan-engine: 4150 en virus-defenitie (.DAT) : 4168

pc gescanned en remove/clean alle eventueel besmette files!!!

That did the trick!

Voor meer informatie check: http://vil.mcafee.com/dispVirus.asp?virus_k=99040&

Voor een gratis versie van mcAFEE: http://software.mcafee.com/centers/download/default.asp

Jammer genoeg gaat dat over W32/Magistr.b
Da's niet dezelfde...

probeer deze eens
http://www.sophos.com/support/faqs/magbremove.html

Thanks, daar kan ik wat mee

Op maandag 12 november 2001 12:18 schreef m4rt1n het volgende:
Hallo,
ik was hier pas bij een buurjongen, die had een probleempje met zijn computer.

Heel vaag,

maar als ik 2 keer bijv. op een .bmp klik, of bijvoorbeeld een word-document, word het bestand veranderd in een .exe.

en als ik daar dan 2x op klik wil hij verbinding gaan maken met internet.

Het is gebeurd, nadat hij een klein spelletje ( .exe ) van kazaa had gedownload

Denken jullie ook dat dit een virus is??

Zo ja, nieuwe installatie van windows? Of ff virusscanner erover??

Alvast bedankt

Quote ff mezelf Niemand ervaring hiermee??

OLEEEEEEEEEEEEEEEEEEEEEEEEEE ik heb er ook eentje

Het is het W32.Nimda.enc(dr), geen idee wat ie doet want op de site van Symantec staat eigenlijk geen info over dit virus. ER zijn wel tooltjes voor wat andere Nimda varianten op de Symantec site maar niet voor deze specifiek

Kan ik ook een van die andere gebruiken ervoor Ik hoop nl niet dat ie vervelend gaat doen want hij zit in m'n IKernel.exe en dat lijkt me een belangrijk bestand(gokje dus)

Ik = virus newbie

Op maandag 12 november 2001 23:12 schreef m4rt1n het volgende:

[..]

Quote ff mezelf Niemand ervaring hiermee??

Laat hem eens online scannen:http://housecall.antivirus.com/

Waarschijnlijk het Klez virus of een variant:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_KLEZ.A&VSect=T

Op dinsdag 13 november 2001 15:58 schreef Quasi3 het volgende:

[..]

Laat hem eens online scannen:http://housecall.antivirus.com/

Waarschijnlijk het Klez virus of een variant:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_KLEZ.A&VSect=T

K thnx he, ik ga es ff proberen, ff norton laten zoeken

ik heb het nimda virus hoe haal ik die zonder format weg??

tnx

Op maandag 12 november 2001 13:54 schreef Calimero82 het volgende:
laatst kreeg ik een mailtje van da virus SULFNBK.EXE, en jah ik heb hem weggegooid (jajah stom lach maar) nou heb ik hier wah geleze en blijkt dat ik dit bestandje nog nodig heb, kan iemand mij ff de map geven waar ik dit bestandje terug kan zetten . dan kan ik ut ff kopieren en terugzetten.

Welkom bij de club. Ik heb hetzelfde meegemaakt.

Het bestandje is te vinden in de precopy1.cab van een Windows CD-rom en hoort thuis in de Command folder (meestal c:\windows\command)

ok ik heb dus het i love you virus, (jaja me broertjes schuld) en nu heeft het dus me halve pc besmet. norton kan je files niet repairen, kan ik ze nu gewoon weggooien?

het virus heeft je oorspronkelijke mp3's "verborgen"gemaakt en ze staan nog op je harde schijf...
Hier is een tooltje (ZeFRJPG) om .jpg's te herstellen (lees eerst de handleiding);
http://www.mindspring.com/~rgreen3/

Als je de jpg's hebt hersteld en de mp3's hebt gevonden moet je alles met de dubbele extensie .???.vbs verwijderen.

Nou ik restarte net mijn XP en in ELKE dir een *.eml bestand!!!

Is dit dus Nimda?


GODVERDOMME.. norton is nu aan het scannen.

hier is zeker heeel kut vanaf te komen


kijken wat de scan oplevert..


nog 2 vraagjes:

-is dit een virus van de laatste tijd? dus dat veel mensen er nu last van hebben.

- en hoe komt dit virus je comp binnen?

Het is nimda, die is al een paar maanden oud.
Het maakt gebruik van de malvormed mime header lek in windows.
Je hebt deze patch nodig
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

hij installeerd zichzelf zodra je de mail bekijkt, je hoeft niets te dubbelklikken.

Die patch is trouwens ook belangrijk tegen de nieuwe variant van de badtrans worm.
Die is er sinds vrijdag en verspreid zich behoorlijk hard.

Om welke nimda versie gaat het volgens Norton?
Deze http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html is goed voor nimda.a t/m d

En voor nimda.e is deze beter :
http://www.symantec.com/avcenter/venc/data/w32.nimda.e@mm.removal.tool.html

De patch is voor het voorkomen van herinfectie.
Lees de beschrijving eens door en kill de processen van nimda die nog in de lucht zijn.
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

Thanks ik ga het meteen proberen..ff weer scannen

Beste Tweakers,
Vanavond heb ik een e-mail ontvangen met een aantal files. In de mail stond geen tekst. De files waren:
-humor.mp3.scr
-Att00061.txt
Voordat ik het wist kreeg ik via mijn andere mail accounts een mail van mezelf met een aantal files.

Helaas heb ik geen virusscanner draaien, en ook de pc chillin 2000 wilt zich momenteel niet installeren. Daarom vraag ik het zo; weten jullie wat dit is? Moet ik er iets tegen doen?

Waar kan ik de juiste virus scanner downloaden?

PS. ik heb de files niet geopend.

W32.Badtrans.B@mm
Discovered on: November 24, 2001
Last Updated on: November 24, 2001 at 12:19:48 PM PST


Printer-friendly version Tell a Friend

W32.Badtrans.B@mm is a MAPI worm that emails itself out as one of several different file names. This worm also drops a backdoor trojan that logs keystrokes.

Type: Worm

Virus Definitions: November 24, 2001

Threat Assessment:


Wild:
Medium Damage:
Low Distribution:
High


Wild:

Number of infections: 50 - 999
Number of sites: 3 - 9
Geographical distribution: Medium
Threat containment: Easy
Removal: Easy
Damage:

Payload:
Large scale e-mailing: Sends email from addresses found in the default MAPI program.
Compromises security settings: Installs keystroke logging Trojan.

Technical description:


This worm arrives as an email with one of several attachment names and a combination of two appended extensions.

The list of possible file names is:
HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS

The first extension that is appended to the file name is one of the following:
.DOC
.MP3
.ZIP

The second extension that is appended to the file name is one of the following:
.pif
.scr

The resulting file name would look something like this:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR
etc.

When executed, this worm copies itself as kernel32.exe in the "\windows\system" directory. It then adds the following registry value:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe.

Prevention methods:
1. Corporate email filtering systems should block all email that have attachments with the extensions .scr and .pif.
2. Users should not open any emails with an attachment that matches the names listed above. Any email that has such an attachment should be deleted.



Removal instructions:



1. Run LiveUpdate to make sure that you have the most recent virus definitions.
2. Start Norton AntiVirus (NAV), and make sure that NAV is configured to scan all files. For instructions on how to do this, read the document How to configure Norton AntiVirus to scan all files.
3. Run a full system scan.
4. Delete all files that are detected as W32.Badtrans.B@mm.
5. Remove the registry value listed above.


genoeg info zo ??

succes !!

willem

bedankt willem, had de info ook al gevonden Maar hoe verwijder ik het virus nu exact? Wel antivirus programma moet ik hiervoor downen?

http://www.security.nl/artikel.php3?id=2570

daar staat ie ook al, blij dat ik email scanning aan het staan....

Ok, ik heb het nu door. Het is het virus Hoe verwijder ik hem?? Ik gebruik XP

Ik krijg om de zoveel tijd een hele zooi van dit soort melden, wat nu







ps. ik heb Norton Anti-Virus 2002 die op tijd steeds wordt ge-update

kijk op antivirus.pagina.nl - daar staat de oplossing. Maar kan iemand nu zeggen wat ik moet doen?

Ik vind het gewoon schandalig dat er nog mensen zijn die geen scanner hebben of niet goed gebruiken
Mijn werk-mailbox zit elke dag vol van de nimda's en de sircams.

Providers doen geen r**t en daar heb ik het volgende op gevonden ( het is wel wat asociaal maar ik kan niet anders )
Ik laat automatisch die mail forwarden naar de help@provider.nl e-mail adressen
En ja hoor de mailtjes worden dus ECHT minder

k, maar dat lost mijn probleem niet op

Nog ff een berichtje voor mensen die nog steeds met het choke.exe virus zitten opgescheept... Ik heb het (natuurlijk) ook gehad...

Je kunt het idd niet wegflikeren. Ik het het geprobeerd te bewerken (lees: inhoud wissen) in de edit (c:\>edit), omdat je het niet kunt renamen. dit kon dus ook niet omdat ie alleen lezen is... () Ik heb daarna widoos opnieuw opgestart in de veilige modus. En daar kun je het wel wegflikkeren.

P.S Check voor de gein ff in het verhaal van die maker van het virus (staat in de file zelf (openen in edit functie in dos) Een of andere psyco christian. (no offense verder)

Ok, kan iemand mij helpen? Ik heb dus dat verdomde W32.Badtrans.B@mm virus. Ik word er helemaal gek van- waar kan ik de juiste remover of wat zo ever vinden? Ik heb er 1 gedownload, maar die werkt niet meer zodra de computer gerestarts is, en dat is hij al..

format c: werkt altijd en je hoeft ook niet te zoeken )

Op dinsdag 27 november 2001 00:06 schreef ride277 het volgende:
format c: werkt altijd en je hoeft ook niet te zoeken )

Wel lullig voor de data die je dan waarschijnlijk kwijt bent....

Ben ik hier dan de enige die af en toe backups maakt van zijn files ???

Op dinsdag 30 oktober 2001 22:21 schreef funksngrooves het volgende:
Ik stuur tegenwoordig .dat bestandjes mee met outlook express, na het openen van een filetje gisteren (was een rar bestand).
Ik heb heel mijn computer gescand met de nieuwste updates van Norton 2002 en McAfee6 geen van deze progrjes kan virussen vinden.

Maar toch lijkt het me niet gezond dat er .dat bestandjes worden meegestuurd eigenlijk.
Het vreemde is ook nog dat het soms wel en soms niet verstuurd word, erg vaag allemaal ik weet het...

Klinkt (=) een virus.. weet naam niet meer zo 123, zie momenteel op mn werk veel te veel virussen. (Badtrans, W32.Aliz, Magistr, ze vliegen om mn oren)

Vandaag recorddag gehad, Thuis (dus particulier) gewoon 4 mails met virussen ontangen op mn domein. (5 users, hele familie emailt )

Gelukkig heb ik eigen mailserver + viruskenner, dus de zooi wordt op de server al gecleaned/deleted, dus boeie, maar geeft wel aan hoe hard t gaat / hoe stupid mensen nog steeds zijn.

Alleen zijn de laatste virussen niet meer openen en besmet, maar preview en de lul zijn.. Lang leve Outlook Express..

Maar ja, mensen updaten m ook niet ff naar 6.0, vooral niet als ze 56k hebben...

http://www.complex.is
Down daar F-Prot, en scan vanaf plain DOS je bak eens...

* DJSmiley heeft voorkeur voor F-Prot (DOS) en KAV/AVP/whatever t nu heet

Op dinsdag 27 november 2001 00:14 schreef ride277 het volgende:
Ben ik hier dan de enige die af en toe backups maakt van zijn files ???

Nee waarschijnlijk niet, maar om mijn gegevens up to date te houden moet ik elke dag een backup maken, dus waarom matten als je dat virus ook uit kan roeien. Of had je je dat nog niet bedacht?

Op maandag 26 november 2001 23:28 schreef Locutus-of-Borg het volgende:
Ik krijg om de zoveel tijd een hele zooi van dit soort melden, wat nu

[afbeelding]

[afbeelding]

[afbeelding]

ps. ik heb Norton Anti-Virus 2002 die op tijd steeds wordt ge-update

GVD jij ook al..
kijk eens een paar berichten terug..

dan zie je ook een handige reply van iemand.

Op maandag 26 november 2001 13:37 schreef otaku-san het volgende:
Om welke nimda versie gaat het volgens Norton?
Deze http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html is goed voor nimda.a t/m d

En voor nimda.e is deze beter :
http://www.symantec.com/avcenter/venc/data/w32.nimda.e@mm.removal.tool.html

De patch is voor het voorkomen van herinfectie.
Lees de beschrijving eens door en kill de processen van nimda die nog in de lucht zijn.
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

wtf..
hij geeft de W32.Nimda.Enc aan..
en nog W32.Nimda.A@MM (dll)

en hij zegt:
W32.Nimda.E was not found on your system

heb ik die NimdaE dan niet ofso. help me

Ja je hebt wel nimda, maar niet de e variant. Die zet ook een backdoor in je root.

dus het a t/m d tooltje gebruiken denk ik.
Anders zoek je op http://resource.at/virus.html naar een tooltje van een andere leverancier.

Jeesj, ik vind dat ik van die BadTrans wel heel erg veel mailtjes krijg, van nimda of IloveYou heb ik nooit geen exemplaar mogen ontvangen, maar van dit beestje heb ik er al een stuk of 5 gekregen op één dag.

Outlook XP rulez
die opent ze lekker niet. (nooit)

Op maandag 26 november 2001 23:53 schreef nebula het volgende:
Nog ff een berichtje voor mensen die nog steeds met het choke.exe virus zitten opgescheept... Ik heb het (natuurlijk) ook gehad...

Je kunt het idd niet wegflikeren. Ik het het geprobeerd te bewerken (lees: inhoud wissen) in de edit (c:\>edit), omdat je het niet kunt renamen. dit kon dus ook niet omdat ie alleen lezen is... () Ik heb daarna widoos opnieuw opgestart in de veilige modus. En daar kun je het wel wegflikkeren.

P.S Check voor de gein ff in het verhaal van die maker van het virus (staat in de file zelf (openen in edit functie in dos) Een of andere psyco christian. (no offense verder)

Je kunt ook CTRL+ALT+DEL doen, choke selecteren en Taak Beëindigen. Dan kun je het er wel vanaf gooien.
(zo heb ik dat gedaan)

Op dinsdag 27 november 2001 08:09 schreef otaku-san het volgende:
Ja je hebt wel nimda, maar niet de e variant. Die zet ook een backdoor in je root.

dus het a t/m d tooltje gebruiken denk ik.
Anders zoek je op http://resource.at/virus.html naar een tooltje van een andere leverancier.

die site doet het niet

weet iemand welke 'remove file' ik moet hebben om de:

W32.Nimda.Enc
W32.Nimda.A@mm (dll)

w32.Nimda.e patch werkte niet

http://www.symantec.com/avcenter/tools.list.html

nimda.a

De W32.Nimda.Enc eigenlijk precies hetzelfde, maar gebruikt andere bestanden.

(hetzelfde maar dan anders )

die nimda.enc kreeg ik er niet vanaf...met format wel...maaaaar instaleer niets van je recente Cd's maar bij mij zat ie in mijn xp backup...die had ik bij iemand gebrand...want ik heb liever niet hier mijn orginele cd's liggen...en had er ook eentje van...iemand die het gedowned had en zat daar in...dus heb er maar tijdelijk Me (bleh) opgegegooit...en haal van het weekend me orginele cd weer op

Op dinsdag 27 november 2001 12:17 schreef Caspian het volgende:
ik heb nu dus ook W32.Badtrans.B@mm (net) van onze geliefde Lord Deamon gekregen
ik heb hem al gevonden: Kernel32.exe, maar ik kan hem niet deleten en hij zet zichzelf ook steeds terug in de startup lijst, ik ben nu McAfee aan het downloaden maar is er verder nog iets dat ik kan/moet doen?
ik heb echt hulp nodig want ik wil mijn comp niet opnieuw opstarten

Je kan met ctr-alt-del proberen kernel32.exe te killen, neem wel de goede want waarschijnlijk staan er twee in het geheugen, de system en badtrans. Pas daarna kan de registry key worden weg gehaald. Dat lukt niet zolang dat ding in het geheugen actief is, hij schrijft iedere 24 sec die sleutel weer weg. Zoek ook op andere plekken waar hij zich opstart. Ik heb gehoord dat hij dat op meerdere plekken in de registry plaatst. kijk eens in win.ini system.ini.
Verder kan het zijn dat kernel32.dll weg is.
Daarna deleten. De andere trojans zitten er dan nog, maar kernel32.exe is de echte worm file. Complete verwijder tooltjes zijn in de maak.
Als je nog geen firewall hebt neem dan tiny van http://www.tinysoftware.com , dan hou je die trojans tenminste binnen

Voor een andere poster met nimda.a :
http://resource.at/virus deze moet het wel doen.
Tooltje op :
http://www.quickheal.com/nimda.htm