tcpsvs32.exe virus ( emailt zich door) - Client software algemeen

zaterdag 28 december 2002 12:32

Acties:

Verwijderd

Topicstarter

vandaag heb ik een mailtje gekregen van iemand met een screensaver erin (tenminste dat stond erbij) ik was dus zo dom om het te openen en nu krijg ik steeds van nav 2003 een bericht dat C:\WINDOWS\System32\tcpsvs32.exe een worm bevat en zich door wil mailen.
nu heb ik dus al naar dat bestandje gezocht maar het was er niet.
nu heb ik in de search en omega search gezocht maar hier heb ik niks gevonden , toen ben ik naar google gegaan en heb ik hetvolgende gevonden:
http://securityresponse.s...c/data/w32.yaha.k@mm.html
(link even helemaal doortrekken)
alleen hier staan bestanden in die je moet verwijderen maar die staan dus helemaal niet op mijn computer ik heb ook systeemherstel uitgezet want ergens stond dat je dat ook moest doen.
nu kan ik dit virus dus niet verwijderen ( tenminste niet vinden) en als ik nav 2003 om updates uit te voeren krijg ik enkele 100e keren dat bericht van dat hij zich door wil mailen en kom ik er dus niet in.
in quartine zetten heeft geen zin want hij blijft het bericht geven.
nu heb ik wel wat bestanden gezien die er op leken in system32 zoals srvsvc.dll maar dus niet de bestanden die ik echt moet hebben..
ik hoop dat jullie me kunnen helpen met het virus te verwijderen

ik draai trouwens op windows xp professional

zaterdag 28 december 2002 12:34

Acties:

Plague

Van sommige mensen vraag ik me echt af wat ze hier doen... SOrry hoor, maar het is wel HEEL dom als je dit soort mails gaat openen, waar zelfs BIJ staat dat je systeemherstel uit moet zetten...
nofi enzo, maar ik vind het gewoon ontzettend dom..

zaterdag 28 december 2002 12:36

Acties:

supakeen

Plague schreef op 28 december 2002 @ 12:34:
Van sommige mensen vraag ik me echt af wat ze hier doen... SOrry hoor, maar het is wel HEEL dom als je dit soort mails gaat openen, waar zelfs BIJ staat dat je systeemherstel uit moet zetten...
nofi enzo, maar ik vind het gewoon ontzettend dom..

Stond dus op die site dat hij systeemherstel uit moest zetten

Is wel vaker zo als je een virus wil weghalen

zaterdag 28 december 2002 12:38

Acties:

Plague

zmn schreef op 28 december 2002 @ 12:36:
[...]

Stond dus op die site dat hij systeemherstel uit moest zetten Is wel vaker zo als je een virus wil weghalen

ah, my bad

Dan heb ik niets gezegt

zaterdag 28 december 2002 12:39

Acties:

aardbeix15

100%fruit pers je er niet uit!

zoek gewoon ff een removal tool bij Symantec, Norton of McAffee

snel zeggen: 'De koetsier poetst de postkoets met postkoetspoets'
levensmotto: 'vroeg gedaan is lang gerelaxed!'.

zaterdag 28 december 2002 12:42

Acties:

Verwijderd

Topicstarter

ja die zijn er dus niet volgens mij.... en ik zie nu helemaal onderaan de pagina hoe het kan maar dan moet je eerst itteligent updater downloaden en de files niet openen of zo iets maar daat snap ik dus niet veel van... want het is een heel gekloot als je die hele waslijst zien
weet iemand misschien hoe het toch iets makkelijk kan?

zaterdag 28 december 2002 12:42

Acties:

Marcj

Waarschuwing nieuwe versie Yaha

Heb ik net geopend over het nieuwe yaha-virus. Onderaan die link staat ook een removal-tool

zaterdag 28 december 2002 12:51

Acties:

Verwijderd

Topicstarter

nou bedankt alvast maar met die virusscanner kan je het virus niet verwijderen he.. "however FreeScan does not allow you to clean or delete files. however FreeScan does not allow you to clean or delete files. " ja oke zo kan je hem vinden en dan zelf verwijderen nou ik zal kijken of het lukt alvast bedankt

zaterdag 28 december 2002 12:53

Acties:

Marcj

Verwijderd schreef op 28 December 2002 @ 12:51:
nou bedankt alvast maar met die virusscanner kan je het virus niet verwijderen he.. "however FreeScan does not allow you to clean or delete files. however FreeScan does not allow you to clean or delete files. " ja oke zo kan je hem vinden en dan zelf verwijderen nou ik zal kijken of het lukt alvast bedankt

Ik zou toch eens proberen het uit het register te gooien (staat toch beschreven hoe??) Handmatig verwijderen zou moeten lukken

zaterdag 28 december 2002 12:58

Acties:

Verwijderd

Topicstarter

ja maar ik kom verdomme niet eens in regedit als ik dit bij uitvoeren intyp krijg ik weer die melding dat ie zich door wil sturen en zoeken naar die keys geeft error bij zoeken maar de online virusscanner is nog niet klaar dus ik w8 af....

zaterdag 28 december 2002 13:00

Acties:

Marcj

Moet je regedit.exe ff renamen naar regedit.com

zaterdag 28 december 2002 13:02

Acties:

Verwijderd

Topicstarter

weet niet of dit grapje is of niet.... maar als het geen grapje is

hoe doe ik dat dan?

zaterdag 28 december 2002 13:04

Acties:

Marcj

Verwijderd schreef op 28 December 2002 @ 13:02:
weet niet of dit grapje is of niet.... maar als het geen grapje is hoe doe ik dat dan?

Start -> Uitvoeren -> command (of cmd onder Win2k/XP)
Dan c: -> cd \windows (of \winnt) -> ren regedit.exe regedit.com

zaterdag 28 december 2002 13:07

Acties:

Verwijderd

Topicstarter

nah das heel mooi...:'( ik kom erin! dan ben ik er 0.1 sec sluit hij zichzelf weer af?
ik verlies de hoop.... nog ideen?

zaterdag 28 december 2002 13:09

Acties:

Marcj

Dat is wel raar, iets nieuws voor deze Yaha?? Kun je niet ergens in je taaklist een vreemd bestand vinden?? Welk besturingssysteem heb je eig??

zaterdag 28 december 2002 13:13

Acties:

Verwijderd

Topicstarter

nou zoals je al kon lezen in mijn eerste post ik heb windows xp prof. en nu je het zegt ik heb bij processen gekeken het filetje stond er wel (zoals in mijn topicnaam) heb ik afgesloten maar doet nog steeds hetzelfde maar nu staat daar ook winservices.exe bij en system moet ik die ook afsluiten??? en er staat 4 x ofzo svchost.exe bij

zaterdag 28 december 2002 13:15

Acties:

Marcj

svchost is van windows zelf. NAV32_LOADER.EXE, TCPSVS32.EXE en WINSERVICES.EXE zijn van het Yaha-K virus. Die dus afsluiten en dan opnieuw proberen het register weer te herstellen.

edit:

Registry
Aanwezigheid van twee registry-sleutels welke verwijzen naar het bestand "winservices.exe" (zie hierboven). Deze sleutels zorgen ervoor dat het virus automatisch wordt gestart na het starten van Windows.
Deze volledige sleutels luidden:

a) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WinServices"= C:\[locatie bestand]\WinServices.exe

b) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"WinServices" = C:\[locatie bestand]\WinServices.exe

Dit moet je er dus uit gooien. Daarna zou ik zoeken naar al deze bestanden om het virus helemaal te verwijderen:

Bestanden

1) Aanwezigheid van 1 of meerdere van onderstaande bestanden in de standaard Windows\System directorie, meestal C:\Windows\System:
NAV32_LOADER.EXE
TCPSVS32.EXE
WINSERVICES.EXE

2) Aanwezigheid van 1 of meerdere van onderstaande bestanden op uw systeem, hierin bevinden zich copies van het virus:

hotmail_hack.exe
friendship.scr
world_of_friendship.scr
shake.scr
Sweet.scr
Be_Happy.scr
Friend_Finder.exe
I_Like_You.scr
love.scr
dance.scr
GC_Messenger.exe
True_Love.scr
Friend_Happy.scr
Best_Friend.scr life.scr
colour_of_life.scr
friendship_funny.scr
funny.scr

[ Voor 79% gewijzigd door Marcj op 28-12-2002 13:16 ]

zaterdag 28 december 2002 13:22

Acties:

Verwijderd

Topicstarter

oke om je even informed te houden ik heb bij processen die dingen afgesloten kom er nu in heb 2 sleutels verwijderd maar virus is er waarschijnlijk nog ( komt weer zon ding van doorsturen als ik nav2003 wil opstarten) dus ga nu je laatste tip (2) opvolgen

1 ding moet ik je trouwens zeggen je legt het wel HEEL precies uit en daar ben ik zeer blij mee .... ga het nu proberen ( stap 2)

[ Voor 21% gewijzigd door Verwijderd op 28-12-2002 13:23 ]

zaterdag 28 december 2002 13:23

Acties:

Marcj

Je hebt toch wel opnieuw opgestart nadat je het register hebt aangepast? Dan is het virus iig niet opgestart en kan je de bestanden weggooien. Nu gaat het waarschijnlijk ook wel goed hoor

zaterdag 28 december 2002 13:26

Acties:

Marcj

Trouwens, als je nog steeds geen exe-bestanden kan uitvoeren na het opnieuw opstarten moet je nog even dit in je register aanpassen:

Aanpassen van de registry:
Yaha.E tast de registryfunctie aan, daarom dient u eerst regedit.exe om te zetten in regedit.com
Ga naar "start" -> "uitvoeren / run"
type in: copy regedit.exe regedit.com [enter]
type in: start regedit.com [enter]

Vervolgens: Ga naar de waarde:
HKEY_LOCAL_MACHINE/Software/Classes/exe/file/shell/open/command

Je ziet dan een mappenstructuur die eindigt in de geopende map "command".
(Of kies CTRL-F en zoek op de naam "command".
(Controleer vervolgens of je in de bovenstaande mappenstructuur zit!)

Deze selecteer je.
Kies vervolgens in het rechterpaneel de waarde "standaard"
Indien u hier een verwijzing vindt naar het virusbestand (zie "preventie maatregelen : 1") dan heeft het virus deze dus aangepast en dient u onderstaande stappen uit te voeren!

Klik met rechtermuisknop op dit icoon en kies "wijzigen".
Pas vervolgens de waardegegevens aan, type in ["%1" %*].
Kies [ok].
De standaardwaarde in de commandsleutel is nu veranderd in: ""%1" %*"

Start de PC opnieuw op en voer vervolgens met uw ge-update AV-software een volledige systeemscanuit, zet hierbij ook de scan op verborgen bestanden aan. Lees evt. hiervoor de helpfunctie van uw av-pakket.

[ Voor 12% gewijzigd door Marcj op 28-12-2002 13:51 . Reden: Typo's 2) Slashes toegevoegd :) ]

zaterdag 28 december 2002 13:32

Acties:

Verwijderd

Topicstarter

nou ik post maar weer even.... ik heb em gerestart en TCPSVS32.EXE staat niet meer bij processen maar winservices.exe komt er steeds weer bij te staan? en ik moest die key van winservices.exe net ook weer verwijderen ... toen weer opgestart maar nu weer hetzelfde ( misschien heetf dit er wel mee te maken misschien ook niet... ineens krijg ik steeds van scherm van nividea services?? ja heb net nieuwe drivers van ze) ga nu ff verder naar je stappen kijken

zaterdag 28 december 2002 13:37

Acties:

Verwijderd

Topicstarter

heej sorry maar ik snap deze waarde niet: HKEY_LOCAL_MACHINESoftwareClasses/exe/file/shell/open/command
als ik dan naar hkey_local_machine ga zie ik nergens iets met software classes

edit: gevonden... sorry je moet eerst naar software dan naar classes

[ Voor 18% gewijzigd door Verwijderd op 28-12-2002 13:39 ]

zaterdag 28 december 2002 13:48

Acties:

Marcj

Verwijderd schreef op 28 December 2002 @ 13:37:
heej sorry maar ik snap deze waarde niet: HKEY_LOCAL_MACHINESoftwareClasses/exe/file/shell/open/command
als ik dan naar hkey_local_machine ga zie ik nergens iets met software classes

edit: gevonden... sorry je moet eerst naar software dan naar classes

Ach ja, sorry... op die site waren ze de slashes vergeten

zaterdag 28 december 2002 13:52

Acties:

Verwijderd

Topicstarter

fuck zooi het helpt nog niet!! heb nu dus die waarde gegevens aangepast en opnieuw opgestart maar nog steeds start hij winservices.exe vanzelf op dus kan ook niet nav updaten want als ik dan winservices uitschakel en op nav druk komt weer die door stuur zeur er en staat winservices weer bij processen....

als ik nu weer ga kijken heeft ie de waarde gewoon weer aangepast in waar in ie stond....

[ Voor 14% gewijzigd door Verwijderd op 28-12-2002 13:57 ]

zaterdag 28 december 2002 14:01

Acties:

Marcj

Ik zou toch nog eens proberen alle registerwaarden weer te veranderen en dan opnieuw op te starten. Dat zou toch echt moeten werken hoor. Of anders zou ik eerst het proces stoppen en dat exe-bestand alvast weggooien. Ook al staat ie dan in het register kan hij nooit meer opstarten

zaterdag 28 december 2002 14:03

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

WOS --> Software Algemeen

Als het virus verwijderen niet goed lukt kan je van ellende altijd nog een format c doen en de backup terugzetten. Geen backup: haal via netwerk de data over waarbij je erg oppast dat je niets opent. Geen netwerk: schroef de HDD er uit.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 28 december 2002 14:06

Acties:

Verwijderd

Topicstarter

yesssssssssssssssss hij doet het!!!! ik was van a) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WinServices"= C:\[locatie bestand]\WinServices.exe

b) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"WinServices" = C:\[locatie bestand]\WinServices.exe

de bovenste vergeten!!! dom dom dom maar nav 2003 start nu weer gewoon op ik hou van je !!! eej bedankt voor je uitleg hij was zeer helder joepieeee

zaterdag 28 december 2002 14:10

Acties:

Verwijderd

Topicstarter

mijnheer f_j_k ik zou normaal allang een format c hebben gedaan maar dit keer wou ik het graag een x niet doen.... maar danku voor de hulp van allen en zal voortaan beter oppassen bij deze mails

zaterdag 28 december 2002 14:11

Acties:

Marcj

No problem

Zou maar direct een update doen en kijken of NAV hem nu al wel kent. Tis wel een behoorlijk nieuw virus.
En in vervolg geen screensavers direct meer openen hé

zaterdag 28 december 2002 14:18

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op 28 December 2002 @ 14:10:
mijnheer f_j_k ik zou normaal allang een format c hebben gedaan maar dit keer wou ik het graag een x niet doen....
maar danku voor de hulp van allen en zal voortaan beter oppassen bij deze mails

Logisch dat je het zonder format wou doen. Scheelt weer een hoop werk

Lekker dat het zonder is gelukt. Zie het trouwens wel weer als een hint waarom vaak en goed backuppen essentieel is

offtopic:
Help! Ze noemen me meneer en u. Ik wordt ouuuud

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 28 december 2002 14:37

Acties:

Marcj

F_J_K schreef op 28 December 2002 @ 14:18:

[...]

Logisch dat je het zonder format wou doen. Scheelt weer een hoop werk
Lekker dat het zonder is gelukt. Zie het trouwens wel weer als een hint waarom vaak en goed backuppen essentieel is

offtopic:
Help! Ze noemen me meneer en u. Ik wordt ouuuud

Met veel virussen is het echt niet nodig om te formateren hoor... vaak vernielen ze de windows zelf niet. Desalniettemin is het wel aan te bevelen om regelmatig backups te maken van de crusiale data

maandag 30 december 2002 13:18

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Marcj schreef op 28 December 2002 @ 14:37:
Met veel virussen is het echt niet nodig om te formateren hoor... vaak vernielen ze de windows zelf niet. Desalniettemin is het wel aan te bevelen om regelmatig backups te maken van de crusiale data

Je hebt helemaal gelijk op beide punten

Desalniettemin is het handig om het bij een topic over dit virus te houden: [rml][ Virus] het Love screensaver virus (Yaha.k)[/rml]
Zie ook Nieuw virus: Yaha.k

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Dit topic is gesloten.