[Virus] het Love screensaver virus (Yaha.k)

Je bedoelt Yaha.k?

Zie dus symantec.com

Maar als je zo snel besmet wordt, is het hoog tijd voor een update van je OS en mailprogramma, en eventueel een ander mailprog/betere instellingen. (Of je opent zomaar bestanden wat niet bepalad handig is)

Kheb hetzelfde probleem en krijg dat pokke virius maar niet verwijderd. Is er ergens een removal tool te krijgen??

er lopen trouwens al een paar topics over dit onderwerp:
Hier en hier

Ik heb m dus ook was wat door SA aan t bladeren toen ik las dat dit virus je NAV afsluit kijk onderin en ja hoor hij was weg. (met slaapstand heb je dat niet snel door).

Hoe ik m heb gekregen is me nu ook duidelijk, een screensaver van een vriend. Nu ga ik eens kijken in mn inbox maar echt de helft van de mensen in mn MSN lijst heeft dat virus (Zuid-Limburg) deze gaat dus erg hard.

Ik heb t trouwens opgelost op de Norton manier, alleen weer die zeik, ze zouden die mensen die dit maken moeten opsluiten en dan de sleutel weggooien. Morgen maar eens wat mailtjes sturen, want de meeste mensen weten nog niet eens dat ze geinfecteerd zijn

ik heb hem geloof ik al 300x toegestuurd gekregen

* alt-92 snapt het niet....

als je nu nog steeds door dit virus geinfecterd wordt (het is gewoon een nieuwere variant) klopt er toch echt iets niet aan je systeem beveiliging.

• Preview in Outlook /Outlook Express uitzetten.
• Scripting blocken met je security settings als je via IE naar Hotmail gaat
• Zorg dat je je patches voor IE op orde hebt!!!!!!

De vulnerability waar Yahaa/Klez + consorten gebruik van maken is al sinds maanden een fix voor...

Als je zonealarm geïnstalleerd hebt, die heeft ook een mailblock functie (althans versie 2.6) die kan alle potentieel gevaarlijke attachments automatisch renamen, zodat ze niet meer automatisch uitgevoerd kunnen worden. Dit, in combinatie met preview uitschakelen, lijkt me redelijk afdoende, als je dan nog een virus uitvoert dan is het echt je eigen schuld..

Verwijderd schreef op 30 december 2002 @ 00:39:
Heeft iemand al een optie gevonden hoe je die kunt verwijderen?
Ik heb net XP opnieuw geinstaleerd, krijg ik een mail - heb ik hem weer!

Norton schijnt hem nog niet te kennen.. heel lam dus..

Norton herkent em zeker wel, maar je moet wel updaten.

Op de website van symantec staat de update voor 27-12.
Op de FTP server voor auto-updates staat nog steeds 24-12.

BackSlash32 schreef op 30 december 2002 @ 04:52:
* Marcj snapt het niet....

als je nu nog steeds door dit virus geinfecterd wordt (het is gewoon een nieuwere variant) klopt er toch echt iets niet aan je systeem beveiliging.

• Preview in Outlook /Outlook Express uitzetten.
• Scripting blocken met je security settings als je via IE naar Hotmail gaat
• Zorg dat je je patches voor IE op orde hebt!!!!!!

De vulnerability waar Yahaa/Klez + consorten gebruik van maken is al sinds maanden een fix voor...

Tja, daarvoor hebben we zusjes
Ik heb ook echt wel patches etc.. geïnstalleerd. En m'n zusje krijg een leuke screensaver van een kennis. Tja, heb haar direct maar even uitgelegd dat ze nooit een *.scr moet openen

ik weet niet wat het met dit virus is maar ik heb hem nou al 300 keer
En normaal zie ik een virus nooit

Zelf maar effe een scan gedaan. En niks gevonden. En op dit moment zie ik dat ik er weer 3 binnen krijg

Het is dus echt erg skyradio maakt er melding van.

[ Voor 62% gewijzigd door Sen op 30-12-2002 10:05 ]

Het venijn zit m in het feit dat deze adressen uit je .net paspoort / windows adresboek haalt. Ik heb bij mij thuis iedereen netjes geleerd nooit atachments te openen als ze van iemand afkomen die ze niet kennen. Nou deze komt dus van iemand af die ze wel kennen. En als ik al thuis met termen aan kom zitten van .scr en .exe nooooiiiiit openen dan kijken ze me al raar aan.

Ik draai thuis NAV maarja ik ga niet iedere dag op die site kijken of er al handmatige updates zijn, ik wacht gewoon netjes op de liveupdate.

Waarschuwing nieuwe versie Yaha

Domino schreef op 30 december 2002 @ 09:46:
[...]


Norton herkent em zeker wel, maar je moet wel updaten.

Op de website van symantec staat de update voor 27-12.
Op de FTP server voor auto-updates staat nog steeds 24-12.

Dat klopt nog steeds verd*&&^! Ik heb hem gisteren 4 maal binnengekregen (niet geopend) maar NAV2003 liet hem mooi doorkomen.

Moet zeggen dat ik Norton Internet Security aanzienlijk slechter vind werken dan Zone-alarm. Vooral het hernoemen van mogelijk schadelijke bestanden door Zone-alarm mis ik erg.

Sen schreef op 30 december 2002 @ 09:58:
Het is dus echt erg skyradio maakt er melding van.

Dan wordt het menens >:D

Ff serieus.. volgens mij vindt elke zichzelf respecterende virusscanner 'm als-tie kijkt naar heuristics (Bloodhound in Norton-producten).

BackSlash32 schreef op 30 December 2002 @ 04:52:
* We Are Borg snapt het niet....

als je nu nog steeds door dit virus geinfecterd wordt (het is gewoon een nieuwere variant) klopt er toch echt iets niet aan je systeem beveiliging.

• Preview in Outlook /Outlook Express uitzetten.
• Scripting blocken met je security settings als je via IE naar Hotmail gaat
• Zorg dat je je patches voor IE op orde hebt!!!!!!

De vulnerability waar Yahaa/Klez + consorten gebruik van maken is al sinds maanden een fix voor...

Punt 1: Done
Geen hotmail, outlook
Alle updates van office, windows, ie en norton systemworks 2003

Kwam door alle virusscanners gisteren en was van iemand die ik herkende (mail adres) en het engelse mailtje was normaal want hij is engels

Ja, want kan je er dan nog aan doen

Hmmm...iik,heb dus ook geopend.......in de veronderstelling dat het geen kwaad kan omdat Norton alles normaliter GOED scant....helaas dus!!

Nu dus niet helemaal gedaan wat er op de site stond,maar wel opnieuw gestart en dan begint het pas....Kan DLL bestanden niet laden...raadpleeg de leverancier.

Opstarten van CD gaat ook niet meer....etc,etc...

Dus met me oude Win 98 diskette opgestart...en die deed het nog...gelukkig.

Onder Fdisk de partitie C:\ verwijderd en daarna weer XP erop...al met al wel een paar uurtjes verder,maar de belangrijke dingen stonden gelukkig op E:

dit is een tool tegen het virus
http://www.bitdefender.co...ad.php?file=AntiYahaa.exe

Arno schreef op 30 december 2002 @ 11:15:
Hmmm...iik,heb dus ook geopend.......in de veronderstelling dat het geen kwaad kan omdat Norton alles normaliter GOED scant....helaas dus!!

Nu dus niet helemaal gedaan wat er op de site stond,maar wel opnieuw gestart en dan begint het pas....Kan DLL bestanden niet laden...raadpleeg de leverancier.

Opstarten van CD gaat ook niet meer....etc,etc...

Dus met me oude Win 98 diskette opgestart...en die deed het nog...gelukkig.

Onder Fdisk de partitie C:\ verwijderd en daarna weer XP erop...al met al wel een paar uurtjes verder,maar de belangrijke dingen stonden gelukkig op E:

Het belangrijkste van de hele opschoonactie is de koppeling van exe files opnieuw leggen. Die staat door het virus op "drive:%windir%/system32/winservices.exe" "%1" %* oid. Dat moet zijn "%1" %*. Kun je bij www.nai.com vinden.

Al dit soort virussen berusten op een of meerdere combinaties van onderstaande :

* Koppeling naar .exe bestanden. Hierdoor wordt elke keer als er een programma gestart wordt het virus geactiveerd.
* Het virus wordt geactiveerd tijdens de boot procedure, over het algemeen staat er dan een verwijzing in het register bij "local machine\software\microsoft\windows\current version\run"
* Diverse systeembestanden worden of overschreven of er wordt een extra stuk code aan toe gevoegd.

Duurde bij mij ook even voordat ik dit door had (tijd geleden alweer, win95 ). Maar als je dit weet heb je de machine in een 20 tot 30 minuten weer compleet en 'virus vrij' aan de gang.

Met online virusscan kan je hem ook terug vinden.

http://housecall.trendmicro.com/


En hierboven ^^ stond een removal tool

BackSlash32 schreef op 30 december 2002 @ 04:52:
* MuddyMagical snapt het niet....

als je nu nog steeds door dit virus geinfecterd wordt (het is gewoon een nieuwere variant) klopt er toch echt iets niet aan je systeem beveiliging.

• Preview in Outlook /Outlook Express uitzetten.
• Scripting blocken met je security settings als je via IE naar Hotmail gaat
• Zorg dat je je patches voor IE op orde hebt!!!!!!

De vulnerability waar Yahaa/Klez + consorten gebruik van maken is al sinds maanden een fix voor...

Alles leuk en aardig, maar dit is natuurlijk nooit de oplossing. Misschien voor diegene een eigen pc hebben waar nooit iemand anders op komt.
Helaas is dit maar een kleine deel van Nederland. Veel pc's worden door het hele gezin gebruikt en kan dus worden besmet. Wat ik alleen vreemd vindt is dat er nog steeds een optie in een virusscanner zit dat je de automatische update kan uitschakelen en dat de LiveUpdate van Norton maar 1x in de week wordt uitgebracht. Hele volksstammen zijn niet ver genoeg met een pc om handmatig elke dag te updaten en worden dus zo het slachtoffer.

MuddyMagical schreef op 30 December 2002 @ 15:42:
[...]


Alles leuk en aardig, maar dit is natuurlijk nooit de oplossing. Misschien voor diegene een eigen pc hebben waar nooit iemand anders op komt.
Helaas is dit maar een kleine deel van Nederland. Veel pc's worden door het hele gezin gebruikt en kan dus worden besmet. Wat ik alleen vreemd vindt is dat er nog steeds een optie in een virusscanner zit dat je de automatische update kan uitschakelen en dat de LiveUpdate van Norton maar 1x in de week wordt uitgebracht. Hele volksstammen zijn niet ver genoeg met een pc om handmatig elke dag te updaten en worden dus zo het slachtoffer.

Blokkeer dan gewoon alle executable attachments; simpel maar doeltreffend, en de mensen die mij toch een .exe of .scr willen sturen moeten dan maar de moeite doen om het eerst te zippen. Het eerste virus dat zichzelf gezipped doorstuurd moet nog gemaakt worden

heeft iemand deze tool al geprobeerd? en zo ja, werkt het?
http://www.bitdefender.com/download/AntiYahaa.exe

iemand hier op mijn werk heeft, prive, het virus op een pc gekregen

Was gister ook de lul....
Heb de oplossing die op symantec.com werd geopperd geprobeerd maar werkte niet helemaal.
Ze zeggen dat je regedit.exe moet renamen naar regedit.com en dan in safe-mode 'start regedit.com' moet doen om je registry te editten.
NOT!!
yahaa,k start regdit.com ook niet. je kunt het wel renamen naar bv re.com en dan zal je in safe-mode wel de regedit kunnen starten, maar yaha.k is niet dom en is ook in normale safe-mode actief en past net zo snel de keys weer aan zoals hij dat wil (of is het een zij).

Wat ik heb geprobeerd (en het werkte nog ook) is winXP in safe-mode met command-prompt starten. Yaha.k schijnt dan nog te slapen.
Dan kun je gewoon regedit starten de keys aanpassen volgens de instructies die symantec geeft. Herstarten laatste virus definities ophalen. schoonmaken die handel ...et voila.... a clean machine......

MuddyMagical schreef op 30 december 2002 @ 15:42:
Alles leuk en aardig, maar dit is natuurlijk nooit de oplossing. Misschien voor diegene een eigen pc hebben waar nooit iemand anders op komt.

Ik pretendeer dan ook niet de be-all and end-all solution te hebben, alleen beperken die maatregelen de risico's al enorm.

Die IE security fixes waar ik op doel geven een duidelijke, niet mis te verstane melding als een Iframe-eploit virus-executable zich probeert te openen.
[rant]
LEES DIE DAN OOK!

J*zus.. dubbelklikvee
[/rant]

Hele volksstammen zijn niet ver genoeg met een pc om handmatig elke dag te updaten en worden dus zo het slachtoffer.

Dan zul je als consument de consequentie moeten trekken en een dusdanig slecht produkt (want het functioneert immers niet goed) links laten liggen.

Kies een Antivirus produkt wat niet enkel op naam teert ( Tot en met NAV2001 kon je nog dagelijks updates binnen halen, zelf in te stellen) maar een produkt wat WERKT.

ik heb ook het virus maar krijg me virus scanner niet meer aan :(

mitchel schreef op 30 December 2002 @ 21:30:
ik heb ook het virus maar krijg me virus scanner niet meer aan :(

Kijk op de symantec.com site, zoek yaha.k. Lees de oplossing en lees mijn eerdere reply... That should do it....

ik heb het virus er nu af maar als ik een exe aan klik dan kan windows het niet vinden

ik zal het een keer uitleggen, heeft me 4 uur geduurt voor ik het door had, doe lles precies in deze stappen. beste is om dit is safe modus te doen


1: rename regedit naar een andere naam, bijvoorbeeld regdir.exe, run deze nieuwe versie en laat hem de hele procedure open staan.

2: open een venster met adress c:\windows\system32

3: druk alt+ctrl+del en kill de volgende taken "winservices.exe" en "TCPSVS32.EXE" en als hij bestaat "NAV32_LOADER.EXE "

4: delete in het venster dat in c:\windows\system32 zit, eerst winservices.exe, en dan alle andere files met een blauw hartje. (let op ze hebben verschillende extensies, en meestal zijn het in totaal rond de 8 files.

5: ga in het register naar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

en verwijder de entry ""WinServices"= C:\WINDOWS\SYSTEM\WinServices.exe"

6: ga in het register naar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

en verwijder de volgede entry ( deze hoeft niet altijd te bestaan)
en verwijder de entry ""WinServices"= C:\WINDOWS\SYSTEM\WinServices.exe"

7: ga in het register naar
HKEY_CLASSES_ROOT\exefile\shell\open\command

en pas de volgende entry aan, dit staat er
"C:\WINDOWS\SYSTEM\nav32_loader.exe""%1"%*

dit moet je er van maken

"%1" %*

8: sluit alle vensters en reboot

9: na reboot cheq je c:\windows\system32 en kijk of het bestan winservices.exe bestaat, is dit niet het geval dan heb je een succesvolle remove gedaan, bestaat hij nog wel dan heb je iets niet goed gevolgd uit deze regels.

veel succes

[ Voor 106% gewijzigd door Verwijderd op 30-12-2002 23:02 ]

mitchel schreef op 30 December 2002 @ 22:39:
ik heb het virus er nu af maar als ik een exe aan klik dan kan windows het niet vinden

Dan moet je die registry wijziging doorvoeren zoals bv. Symantec op zijn site beschrijft.

Ik heb gelukkig geen last gehad nog.

paella schreef op 30 December 2002 @ 22:45:
[...]


Dan moet je die registry wijziging doorvoeren zoals bv. Symantec op zijn site beschrijft.

Ik heb gelukkig geen last gehad nog.

kan alleen niet regedit starten want hij vind hem niet

Spidey73 schreef op 30 december 2002 @ 20:20:
Was gister ook de lul....
Heb de oplossing die op symantec.com werd geopperd geprobeerd maar werkte niet helemaal.
Ze zeggen dat je regedit.exe moet renamen naar regedit.com en dan in safe-mode 'start regedit.com' moet doen om je registry te editten.
NOT!!
yahaa,k start regdit.com ook niet. je kunt het wel renamen naar bv re.com en dan zal je in safe-mode wel de regedit kunnen starten, maar yaha.k is niet dom en is ook in normale safe-mode actief en past net zo snel de keys weer aan zoals hij dat wil (of is het een zij).

Wat ik heb geprobeerd (en het werkte nog ook) is winXP in safe-mode met command-prompt starten. Yaha.k schijnt dan nog te slapen.
Dan kun je gewoon regedit starten de keys aanpassen volgens de instructies die symantec geeft. Herstarten laatste virus definities ophalen. schoonmaken die handel ...et voila.... a clean machine......

Dit werkt wel. Kennis had virus ook en heb precies gedaan wat symantec zei.
enweg was virus.
Let echter wel op pas renamen in safe mode en niet eerst renamen en dan naar safe mode.

Sorry niet helemaal goed gelezen wat er stond.
Bij jouw is het dus ook weg.

[ Voor 5% gewijzigd door DarkSide op 30-12-2002 22:53 ]

heb al 2 weken last van die vervelende mailtjes, de bijlage, love.scr, is zelfs ook al een keer geopend op m'n computer.
Dat is denk ik al een week geleden en heb nog nergens last van
heb geen virusscan draaien oid.

ik heb er in de afgelopen 15 minuten wel 10 achter elkaar gehad

je merkt er zelf ook niks van slimmerik

mitchel schreef op 30 december 2002 @ 22:48:
kan alleen niet regedit starten want hij vind hem niet

Heb je de link die ik in de tweede post van dit topic gaf al helemaal doorgelezen? Onder het kopje removal instructions staat het allemaal haarfijn uitgelegd
(hernoemen of kopieren naar .com dus)

[ Voor 6% gewijzigd door F_J_K op 30-12-2002 23:28 ]

Norton LiveUpdate kent inmiddels dit virus ook al

Ik heb nu weer alles aan de praat na een fijne Fresh install,maar nu loopt ie vet traag met opstarten....ook het formatteren ging erg traag...iets met me HDD aan de hand door het virus.....PC HD is volledig geformatterd!!

Weet iemand iets....dan ga ik ondertussen ff kijken naar "Snel opstarten XP"

Verwijderd schreef op 30 December 2002 @ 22:42:
ik zal het een keer uitleggen, heeft me 4 uur geduurt voor ik het door had, doe lles precies in deze stappen. beste is om dit is safe modus te doen


1: rename regedit naar een andere naam, bijvoorbeeld regdir.exe, run deze nieuwe versie en laat hem de hele procedure open staan.

2: open een venster met adress c:\windows\system32

3: druk alt+ctrl+del en kill de volgende taken "winservices.exe" en "TCPSVS32.EXE" en als hij bestaat "NAV32_LOADER.EXE "

4: delete in het venster dat in c:\windows\system32 zit, eerst winservices.exe, en dan alle andere files met een blauw hartje. (let op ze hebben verschillende extensies, en meestal zijn het in totaal rond de 8 files.

5: ga in het register naar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

en verwijder de entry ""WinServices"= C:\WINDOWS\SYSTEM\WinServices.exe"

6: ga in het register naar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

en verwijder de volgede entry ( deze hoeft niet altijd te bestaan)
en verwijder de entry ""WinServices"= C:\WINDOWS\SYSTEM\WinServices.exe"

7: ga in het register naar
HKEY_CLASSES_ROOT\exefile\shell\open\command

en pas de volgende entry aan, dit staat er
"C:\WINDOWS\SYSTEM\nav32_loader.exe""%1"%*

dit moet je er van maken

"%1" %*

8: sluit alle vensters en reboot

9: na reboot cheq je c:\windows\system32 en kijk of het bestan winservices.exe bestaat, is dit niet het geval dan heb je een succesvolle remove gedaan, bestaat hij nog wel dan heb je iets niet goed gevolgd uit deze regels.

veel succes

Bij mij werkte dit dus niet omdat yaha.k zelfs in safemode de registrykeys vrolijk weer terugzette. En ik ik safemode zelfs de taskmanager steeds werd gekilled. (winXp pro engels)
Als dit het geval is, probeer dan XP in safemode met commandprompt te starten. Dan is die taskmanager32 niet eens actief, je kunt gewoon regedit starten, registry aanpassen en herstarten......
Dit werkte bij mij perfect.....

nogmaals success!

Oud
Yaha-K is alweer een week oud, vanmorgen is z'n broertje Yaha-L al beschikbaar

Je begint je stilletjes af te vragen waarom iemand geinfecteerd moet raken:

Name: W32/Yaha-K
Type: Win32 worm
Date: 24 December 2002

A virus identity file (IDE) which provides protection is
available now from our website and will be incorporated into the
February 2003 (3.66) release of Sophos Anti-Virus.

At the time of writing Sophos has received no reports from users
affected by this worm. However, we have issued this advisory
following enquiries to our support department from customers.

More information about W32/Yaha-K can be found at
http://www.sophos.com/virusinfo/analyses/w32yahak.html

Download the IDE file from
http://www.sophos.com/downloads/ide/yaha-k.ide

Check de datum

Name: W32/Yaha-L
Aliases: I-Worm.Lentin.J
Type: Win32 worm
Date: 31 December 2002

A virus identity file (IDE) which provides protection is
available now from our website and will be incorporated into the
February 2003 (3.66) release of Sophos Anti-Virus.

At the time of writing Sophos has received just one report of
this worm from the wild.

More information about W32/Yaha-L can be found at
http://www.sophos.com/virusinfo/analyses/w32yahal.html

Download the IDE file from
http://www.sophos.com/downloads/ide/yaha-l.ide

Maak je alvast maar klaar, Yaha-L komt er ook aan

_JGC_ schreef op 31 December 2002 @ 15:38:
Oud
Yaha-K is alweer een week oud, vanmorgen is z'n broertje Yaha-L al beschikbaar

Je begint je stilletjes af te vragen waarom iemand geinfecteerd moet raken:


[...]


Check de datum


[...]


Maak je alvast maar klaar, Yaha-L komt er ook aan

Mar die zit al wel bij norton in de liveupdate geloof ik, of ik heb hem toen bij de manual update gekregen.

toch leuk virus...:) mn schoonvader had het ineens, windows startte wel op, maar exe bestanden wilde niemeer, dus ook NAV niet! hehe..vanalles geprobeerd, online scan, zag em wel, maar kon em nie verwijderen.....in dos scannen, maar verwijderde niet alles...al op symatec.nl gekeken(dan zou je toch een proggie verwachten dat da virus ff binnen 2sec verwijdert maar nee hoor!), register ge-edit, maar zo gouw je 1 regel had verwijdert stond er ergens anders al een andere....verborgen bestanden verwijdert, maar als je er 1 had verwijdert stond er weeral een ander bestand te kutten
pc in netwerk gehangen, maar virus blokkeerde ook netwerk, dus kon niet via mn eigen pc (met geupdate norton AV) die geinfecteerde hdd scannen....

vanmorgen nog een op symatec gekeken en die komen nu eindelijk ook met een remove proggie...lekker optijd! had ik me al die moeite kunnen besparen....:(


afijn.....die gast moet zich wel heel erg verveelt hebben toen ie dit ging maken...kan je toch beter in dos fdisk intypen en dos6.0 gewoon eens proberen op een AMD 2400XP(stel) met 100gig hdd....da zijn dan toch heel leuk 50 partities die je moet maken

Ik wordt een beetje moe van al die scriptkiddy virusjes........ Die hele virus verspreidende massa is niet meer dan een stelletje kippen zonder koppen, die absoluut NIET nadenken bij het ontvangen / openen van mailtjes etc.
Terecht ook, dat XS4ALL dat soort gebruikers gewoon tijdelijk afsluit wanneer ze virii versturen. Eerst de boel op orde en dan pas weer aan het internet [EN NIET EERDER].
Het bestaansrecht van deze virii zijn ook die kippen zonder koppen.

Alle kennissen, waar ik de 'IT' doe, hebben een restore CD. Bij een virus .... CD terugzetten en alles werkt weer. Gezeik over dat ze alles kwijt zijn.... Tsja, dan hadden ze maar beter op moeten letten... En ik moet zeggen, het gaat steeds beter (ik krijg steeds minder support calls).
Men leert het vanzelf. Je moet moet gewoon GEEN moeite doen om zo'n systeem weer in de lucht te krijgen [IF Virus Then Format]. Als ze weten, dat 'pietje' het kan maken, leert men het nooit.

ja leuk ik was ook de zak gister, handig broertje en zusje
, mja, bitdefender removal werkt g00die, dus weer clean

ik heb door bitdefender op een flop te zetten en mee te geven aan een geinfecteerd persoon een doos chocola ontvangen

toch leuk voor 2 seconden werk

Ik was er ook weer eens ingetrapt (@2keer per jaar), formatteren die handel blijft voor mij toch altijd de beste optie. Als je het net moet afstruinen naar remove guides ed. ben je de halve dag bezig terwijl met een schone install alles in ca. anderhalf uur weer als vanouds is.

Met de on-line scanner van www.Ravantivirus.com heb ik hem er keurig uit kunnen vissen (en een paar trojans waar ik nix van wist)

wat staat er op norton.com
copy regedit.exe regedit.com
start regedit.com

delete de key Winservice oid in LOCAL MACHINE / SOFTWARE / WINDOWS / RUN /
of in RUNSERVICE/

EXEFILE

ff uit mijn hoofd hoor

Ik had zondag een vriend die dat had die mij belde heb het binnen een paar minuutjes verholpen. Daarna kreeg mijn bro het ook en daar dus ook meteen maar gedaan.. en ik heb dus een domme broer die ondanks ADSL en supersnel netwerk toch zijn virusscan niet regelmatig update.. GEWOONWEG DOM


[edit]

en een reinstall kost mij echt geen anderhalf uur.. tenzij je alleen windhoos met office draaid ofzo....

[ Voor 11% gewijzigd door smaij op 01-01-2003 16:09 ]

smaij schreef op 01 January 2003 @ 16:07:
en ik heb dus een domme broer die ondanks ADSL en supersnel netwerk toch zijn virusscan niet regelmatig update.. GEWOONWEG DOM

Ik update elke week standaard en deze update was een dag oud! Helaas kwam het gewoon door norton heen, helaas

[edit]

en een reinstall kost mij echt geen anderhalf uur.. tenzij je alleen windhoos met office draaid ofzo....

Jep Heb hier ook geformat

We Are Borg schreef op 01 January 2003 @ 16:25:
[...]


Ik update elke week standaard en deze update was een dag oud! Helaas kwam het gewoon door norton heen, helaas


[...]


Jep Heb hier ook geformat

Ik krijg het idee, dat iedereen denkt, dat virusscanners heilig zijn
Er wordt pas een middel / lapmiddel ontwikkeld als daar reden toe is. EN DAT IS BIJ COMPUTER VIRII DUS ALTIJD TE LAAT.

je moet gewoon zelf de discipline hebben om van dat soort mailtjes afteblijven... voor de rest -> geen medeleiden

Damn, had ik dus al vanaf 24 december een antivirus update voor dit kutding, lees ik de mailing list:

Just found the fix for this problem with sophie and the Yaha-K virus:
Just make sure that sophie is compiled with the entry in sophie_init.h
for UPX set to:

#define SOPHIE_SOPHOS_UPX "1"


It defaults to "0". Recompile and it should now detect the virus.

Scant dat domme ding niet op UPX virussen. kreeg dat virus vandaag in mn mailbox, ikke openen: staat helemaal geen attachment en niets in, blijkt dat dit virus dus ook gebruik maakt van een header bug in Outlook (Express), in de source stond nml wel degelijk een verwijzing naar dat virus (wat vaag genoeg release.txt heette)

Volgens mij kan je de laatste virussen zelfs zonder virusscanner nog wel vangen met een simpel script: bekijk de raw source van zo'n bericht en kijk of er een <iframe> tag in staat, staat ie erin, is het 98 van de 100 keren een virus, blijkt dat die 2 andere keren het een HTML tutorial en een spambericht met een iframe naar de website van de spammer is.

smaij schreef op 01 januari 2003 @ 16:07:

Edit:
en een reinstall kost mij echt geen anderhalf uur.. tenzij je alleen windhoos met office draaid ofzo....

Xp der op ca. 15 min, sp1 incl download idem. Mapje met documenten, favorieten en desctop icons ff op d: gezet verders staat alles toch op d: . Alle zut die niet meteen wil werken ff opnieuw installen (Heb je dan een uur de tijd voor, meeste staat ook netjes op volgorde in mijn docs) = anderhalf uur met alles der op en der aan!

sh4d0wman schreef op 30 December 2002 @ 16:01:
heeft iemand deze tool al geprobeerd? en zo ja, werkt het?
http://www.bitdefender.com/download/AntiYahaa.exe

iemand hier op mijn werk heeft, prive, het virus op een pc gekregen

ja hij werk
wel eerst alle mappen en bestande zichtbaar maken
en dan in de &windir& je system32 map selecteren

Bedankt man, 279 bestanden waren bij mijn moeder geinfecteerd, 1 thread afgebroken en 1 regkey verbeterd.
Toch raar, ik had zelf al de files gedelete, en de keys verwijderd.
In het begin werden ze idd na een sec. terug geplaatst, NaV kon ik niet starten en regedit werd na 1 sec. gesloten waar je bij was.
En dat deed ie later niet meer, maar de mailtjes bleven. Dus toen kwam dit tooltje enorm van pas.
Tnx!!!

Ik had hem 6x in me hotmail inbox staan, 6x van dezelfde afzender. En daarnaast ook nog zoiets, hotmailhack.exe heette dat.

da-dude schreef op 02 January 2003 @ 12:03:
Nou niet iedereen is zo slim.
En uit de titel kan je ook niks opmaken.(fwd: )

Dan moet je zorgen dat je slim raakt in dit soort dingen. En er zijn ook een aantal maatregelen in dit topic genoemd om je daarbij te helpen.

HUH? de patch draaide ik voor de 2e keer en toen had ie nav_32.exe ofzoiets gedelete.
ik HEB helemaal geen Nortonantivirus!!!!!

When W32.Yaha.K@mm runs, it does the following:

1. Copies itself as the following files and sets the attribute of the files to hidden:

* C:\%System%\WinServices.exe.
* C:\%System%\Nav32_loader.exe
* C:\%System%\Tcpsvs32.exe

Gek he...

http://securityresponse.symantec.com/avcenter/FixYaha.com

Nog'n yaha removal tool.

What the tool does
The W32.Yaha.E@mm/W32.Yaha.F@mm/W32.Yaha.K@mm Removal Tool does the following:

1. It terminates all the viral W32.Yaha.E@mm, W32.Yaha.F@mm and W32.Yaha.K@mm processes.
2. It deletes the viral W32.Yaha.E@mm, W32.Yaha.F@mm and W32.Yaha.K@mm files.
3. It fixes the registry entries altered by the worm.

Revision History:

December 31, 2002. Version 1.0.1 added support for W32.Yaha.K@mm variant.

Wees gewoon altijd up-to-date met virus definitions en je bent er zeker van dat je sys niet zo snel infecteerd... toevallig hoorde ik het een en ander op de radio en open ik nooit attachments van een vreemde.. en als je dan 4 mailtjes hebt van verschillende afzenders met de zelfde text en de zelfde attachements van de zelfde groote.. tjah dan word het bij mij eens tijd dat je ff naar symantec.com gaat ofzow...

RamShackle schreef op 02 januari 2003 @ 12:13:
Wees gewoon altijd up-to-date met virus definitions en je bent er zeker van dat je sys niet zo snel infecteerd...

Nee hoor. Stel je hebt Norton Antivirus en Live Update zorgt maar 1x per week voor een update van je virusdefinities, dan begin je de eerste paar dagen nog niets tegen het virus, qua virusscanner dan.

blackd schreef op 02 January 2003 @ 12:15:
Nee hoor. Stel je hebt Norton Antivirus en Live Update zorgt maar 1x per week voor een update van je virusdefinities, dan begin je de eerste paar dagen nog niets tegen het virus, qua virusscanner dan.

En een virusscanner reageert per definitie op de virusmaker. Als je het pech hebt dat het virus sneller bij jou aankomt dan dat de leverancier van de virusscanner een remedie heeft kunnen maken heb je nog pech, zelfs als je een scanner dagelijks wordt geupdate en de leverancier dagelijks updates post.

[ Voor 25% gewijzigd door F_J_K op 02-01-2003 13:08 ]

Ik ben er (hoop ik!!) net weer van af...
Had em dus mooi te pakken dat yaha-K virus....En MCaffee herkende em eerst niet!
Na een update wel (blijkbaar net toegevoegd, want update zeer regelmatig).

Op mijn PC stonden maar lieft 166 virussen (en scan is nog bezig)....dus het had zich aardig verspreid kun je wel zeggen....

[ Voor 1% gewijzigd door kazz1980 op 02-01-2003 14:27 . Reden: typos verwijderd, de "S" op mn toetsenbord doet het nl. niet goed meer :( ]

Ik heb wel een vaag probleem in Norton Antivirus Corporate Edition gevonden. Hier staan 4 servers: 2 W2k en 2 Netware 5.1.

Real time scan van Norton vind het virus niet als het op de server geschreven wordt. Als ik echter een Manual scan doe vind hij hem wel op de W2k servers maar niet op de Novell servers, terwijl de scan engine en de virus definition files op alle servers gelijk is.

* SnowDude snapte het echt niet meer en wordt redelijk gek van Norton

Dit virus krijg je toch alleen als je het *.src echt opent,
zoals me broertj had gedaan?
Want kheb win98 er al nieuw opgegooid maar als je hem ook al hebt als je de mail previewd kan ik weer aan de gang.

Verwijderd schreef op 02 januari 2003 @ 16:48:
Dit virus krijg je toch alleen als je het *.src echt opent,
zoals me broertj had gedaan?
Want kheb win98 er al nieuw opgegooid maar als je hem ook al hebt als je de mail previewd kan ik weer aan de gang.

• zet standaard previewen uit
• hoog tijd dat je http://windowsupdate.microsoft.com bezoekt

Je hebt wel gelijk, maar kben meer bezig met me eigen comp xp prof altijd up to date.
Maar kzal de beneden computer ook maar eens updaten die heeft wel outlook express 6. kan het dan ook nog kwaad?

Is ie nu trouwens geinfecteerd? dan gooi k er nog maar weer een scan over heen

yaha killed virusscanners...
dus je virusscanner updaten als je het al hebt heeft geen reet zin...
http://www.xs4all.nl/~possamai/stinger.exe

probeer die tool maar eens.. die heeft een maat van mij ook al uit de problemen geholpen..
Da's ook zo'n gladiool die vanalles opent..........

40.000 virus mails op m'n mailserver gekregen..
draait gelukkige een virusscanner op

possamai schreef op 02 January 2003 @ 21:43:
yaha killed virusscanners...
dus je virusscanner updaten als je het al hebt heeft geen reet zin...
http://www.xs4all.nl/~possamai/stinger.exe

probeer die tool maar eens.. die heeft een maat van mij ook al uit de problemen geholpen..
Da's ook zo'n gladiool die vanalles opent..........

Ehm, niet om het een of ander maar wat is het ? Om de een of andere reden ben ik een beetje schugterig om vage .exe bestandjes te openen

Mijn virusscanner zag het virus wel meteen in mijn inbox verschijnen en zorgt ervoor dat het niet geopend kan worden. Ook de virusdefinities worden zo nodig dagelijks bijgewerkt. Het antivirus programma is gratis voor non-commercieel gebruik en werkt erg lekker (beter dan norton imho).

* Benadski heeft al heel lang geen besmetting meer gehad...

Ik krijg ook om de minuut bijna yahaa-k virusmails. Kheb mailwasher draaien, dus die laat ik ze gelijk van de mailserver van chello afhalen. DAarna haal ik mijn niet-geinfecteerde mail op met outlook en dat werkt toppie....

Verder ook de familie inlichten geen bijlagen meer te openen voordat ik ze gekeurd heb

BackSlash32 schreef op 30 December 2002 @ 04:52:
* Beamer snapt het niet....

als je nu nog steeds door dit virus geinfecterd wordt (het is gewoon een nieuwere variant) klopt er toch echt iets niet aan je systeem beveiliging.

• Preview in Outlook /Outlook Express uitzetten.
• Scripting blocken met je security settings als je via IE naar Hotmail gaat
• Zorg dat je je patches voor IE op orde hebt!!!!!!

De vulnerability waar Yahaa/Klez + consorten gebruik van maken is al sinds maanden een fix voor...

Preview uitzetten? Net of dit enige invloed heeft ik heb me preview aan staan maar Norton pakte hem gelijk toen hij binnen kwam en geen probleem. BTW preview opent geen exe bestanden of iets dergelijks dit is volgens mij dus helemaal NIET van toepassing

Beamer schreef op 05 January 2003 @ 22:41:
Preview uitzetten? Net of dit enige invloed heeft ik heb me preview aan staan maar Norton pakte hem gelijk toen hij binnen kwam en geen probleem. BTW preview opent geen exe bestanden of iets dergelijks dit is volgens mij dus helemaal NIET van toepassing

Euh, naast .exe bestanden dubbelklikken zijn er nog wel meer methoden om virussen te krijgen, waaronder scripts + beveiligingsgaten in OE/OL.

Helaas staat HTML weergeven standaard aan in OL/OE...

Beamer schreef op 05 januari 2003 @ 22:41:
Preview uitzetten? Net of dit enige invloed heeft ik heb me preview aan staan maar Norton pakte hem gelijk toen hij binnen kwam en geen probleem.

Iframe exploit is je blijkbaar onbekend

Verwijderd schreef op 30 december 2002 @ 00:49:
Nee, dat is het niet(helaas) anders had Norton hem wel opgepakt..

Dit 'virus' of wat het ook is heeft als vervelende neiging alle windows te sluiten,
zoals bijvoorbeeld de Windows Task Manager..
Maar ook Norton..

Ik draai XP(verse install) en bekijk mail me Outlook express..
En nee ik open niet zomaar bestanden

Yaha.K dus, je hebt waarschijnlijk het virus binnengekregen als je net niet up to date zat met je nav. Tool downloaden van symantec.com, in veilige modus opstarten, laten runnen, weer opstarten, normaalgezien alles weer in orde dan...
suxes

Got! Bedankt voor de waarschuwing! Kreeg vandaag net een verd8 mailtje met daarin een bijlage van 34,3 K die GC_Messenger.exe heet...

Als ik op het internet ga doe ik altijd een live-update van Norton en kijk desnoods op hun website als er al een nieuwe virus-defenitie uit is en instaleer die gelijk, dus dat jullie zo iets binnen krijgen is jullie eigen schuld , je moet er wel wat voor doen om je computer virusvrij te houden

BackSlash32 schreef op 05 januari 2003 @ 22:51:
[...]

Iframe exploit is je blijkbaar onbekend

Ik moet bekennen dat dit mij onbekend is (offtopic: leg uit) maar we hebben het nu toch over yahaa.e wat wel degelijk d.m.v een exe bestandje binnen komt

[ Voor 3% gewijzigd door Beamer op 05-01-2003 23:05 ]

Beamer schreef op 05 januari 2003 @ 23:00:
Ik moet bekennen dat dit mij onbekend is (offtopic: leg uit) maar we hebben het nu toch over yahaa.e wat wel degelijk d.m.v een exe bestandje binnen komt

http://securityresponse.s.../data/iframe.exploit.html

Bovendien heb ik doorgaans vrij veel mails te lezen, als ik preview uit zet kan ik veel sneller selecteren wat wel en niet essentieel is (nadat de boel door rules al in de juiste subdirs is gezet).

Attachments e.d. vallen beter op, ook rare subjects, grootte van mails ... Yahaa heeft altijd dezelfde grootte bijvoorbeeld, zou je zelfs op kunnen filteren

Ik heb gewoon een restore gedaan in windows xp en alles was weer zoals vanouds.
Wel nog even een scan gedaan met NAV, niets meer te vinden.

Zit al 6jr bijna dagelijks op Internet en ben nog nooit geinfecteert. En zo slim ben ik ook weer niet, gebruik wel mijn gezonde verstand....

a) Draai altijd een scanner met automatische updates, ben je echt huiverig draai er desnoods 2 ....

b) Open nooit , nooit, NOOIT zomaar een wildvreemd bestand van een wildvreemde afzender. Ben je toch nieuwsgierig, wacht dan ff een paar weken ofzo en/of probeer wat info over dat bestand te krijgen (google ?)

c) hou ook je "vrienden" in de gaten (je weet maar nooit)

Zelf pleur ik alles van vreemden gelijk weg, boeit nie. Alles wat ik nodig heb of wil hebben vind ik zelf wel. Heb ik die spammers niet voor nodig, want als je ongevraagde email krijgt is dat al erg, met een attachment is het helemaal verdacht....

Maar goed, dit gezegd hebbende zullen de meeste er niks van leren.
"ZE'" weten het toch zo goed

Happy formatting, cleaning en installing your XP.... again,,,,,and again......Forever.

Madrox schreef op 09 januari 2003 @ 08:12:
Zit al 6jr bijna dagelijks op Internet en ben nog nooit geinfecteert. En zo slim ben ik ook weer niet, gebruik wel mijn gezonde verstand....

a) Draai altijd een scanner met automatische updates, ben je echt huiverig draai er desnoods 2 ....

b) Open nooit , nooit, NOOIT zomaar een wildvreemd bestand van een wildvreemde afzender. Ben je toch nieuwsgierig, wacht dan ff een paar weken ofzo en/of probeer wat info over dat bestand te krijgen (google ?)

c) hou ook je "vrienden" in de gaten (je weet maar nooit)

Zelf pleur ik alles van vreemden gelijk weg, boeit nie. Alles wat ik nodig heb of wil hebben vind ik zelf wel. Heb ik die spammers niet voor nodig, want als je ongevraagde email krijgt is dat al erg, met een attachment is het helemaal verdacht....

Maar goed, dit gezegd hebbende zullen de meeste er niks van leren.
"ZE'" weten het toch zo goed

Happy formatting, cleaning en installing your XP.... again,,,,,and again......Forever.

Wijze woorden Helaas bij mij:

Bekend mail adres
Bestand ging over msn, hij had net een msn site gemaakt met allerlei downloads
Hij is engels, mail was in engels
En niet bedacht dat het virus zo nieuw kon zijn dat NAV 2003 het niet opving

Ach ja, mijn eerste virus

F_J_K schreef op 05 januari 2003 @ 22:45:

[...]

Euh, naast .exe bestanden dubbelklikken zijn er nog wel meer methoden om virussen te krijgen, waaronder scripts + beveiligingsgaten in OE/OL.

Helaas staat HTML weergeven standaard aan in OL/OE...

Er staat mij bij dat er programma's zijn die dit af kunnen vangen in OE/OL, in de support alert nieuwsbrief zag ik zoiets staan, ik zoek dat nog eens op. Ik denk dat je hiermee ook al wat meer paranoia de wereld uit kunt helpen.

Ik begrijp trouwens niets van al die fratsen, is het nu echt zo moeilijk om niet te dubbelklikken op die attachments? Ik krijg de indruk dat de gemiddelde medemens wel erg veel vertrouwen heeft in de anti-virus industrie.

wat ik nou niet snap:
dat tweakers ook virussen hebben zoals Yaha.k. je ziet toch zo of iets een virus is als je een btje verstand hebt van computers?

[ Voor 5% gewijzigd door MeIsTwisted op 10-01-2003 11:55 ]

MeIsTwisted schreef op 10 January 2003 @ 11:54:
wat ik nou niet snap:
dat tweakers ook virussen hebben zoals Yaha.k. je ziet toch zo of iets een virus is als je een btje verstand hebt van computers?

Nee, dat is niet zo, als je een leuk programmatje gemaild krijgt van je vrienden met de naam 'msn hack.exe' dan ga je die zeker wel proberen ook al is die in de buurt van de 45kb.

BLACK SPIDER NL schreef op 10 januari 2003 @ 16:06:
[...]


Nee, dat is niet zo, als je een leuk programmatje gemaild krijgt van je vrienden met de naam 'msn hack.exe' dan ga je die zeker wel proberen ook al is die in de buurt van de 45kb.

Mensen die niet zoveel verstand hebben van computers klikken er misschien op. Iemand die verstand heeft van computers en internet klikt daar echt niet op.

I HATE DA VIRUS, HEB HET AL GEHAD, HET IS F*CKED UP
ZIT MEESTAL IN "SCREENSAVERS"

ik heb m ook gehad en hotmail herkende het Yaha.k 4us gewoon!

Oke dit is dus écht raar.

Ik heb een paar kenmerken van Yaha namelijk:
-afsluiten regedit [tip: met lavasoft reghance lukt 't wel]
-afsluiten taskmanager

Maar Norton sluit niet af en ik kan met de symantec removal tool ook niks vinden.

Ben druk op zoek, maar mijn geval kan ik nergens vinden. OS = XP

Iemand tips?

nb. heb 't dus via regedit geprobeerd, maar daar kan ik de juiste 'string' niet vinden.

[ Voor 14% gewijzigd door captainzoom op 22-07-2003 13:27 ]

1. HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
verwijder sleutel -> %System%\Wintsk32.exe
2. HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
verwijder sleutel -> %System%\Wintsk32.exe

disclaimer: proberen op eigenriscio (aangezien ik niet weet welke yaha type je hebt)
tip: gebruik een virus encyclopedie, staat meestal de manual verwijderings procedure wel

Grappig dat iedereen altijd zijn of haar broertje of zusje de schuld geeft van het openen van een potentieel gevaarlijk mailtje.

Lijkt me niet realistisch namelijk. Dan zou de halve tweakers society zijn/haar broertje/zusje toelaten op zijn trotse getweakte bezit.

Lijkt me sterk

captainzoom schreef op 22 juli 2003 @ 13:00:
Oke dit is dus écht raar.

Ik heb een paar kenmerken van Yaha namelijk:
-afsluiten regedit [tip: met lavasoft reghance lukt 't wel]
-afsluiten taskmanager

Maar Norton sluit niet af en ik kan met de symantec removal tool ook niks vinden.

Ben druk op zoek, maar mijn geval kan ik nergens vinden. OS = XP

Iemand tips?

nb. heb 't dus via regedit geprobeerd, maar daar kan ik de juiste 'string' niet vinden.

Zou je hier een nieuw topic voor willen openen, en dan met volledige informatie over je probleem met wat je allemaal geprobeerd hebt.
Ik zie hier nml. al weer reply's verschijnen die niet relevant zijn of op oudere reply's bedoeld zijn, dus deze gaat maar dicht

En als het alleen maar over een virus is, graag in Windows Operated Systems volgens Windows Operated Systems - Policy

[ Voor 8% gewijzigd door momania op 22-07-2003 14:03 ]