Toon posts:

[Win2K] Virussen blijven terugkomen

Pagina: 1
Acties:
  • 364 views sinds 30-01-2008

donderdag 10 juli 2003 14:50

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Heb met een van de mods overlegd,maar die kwam niet verder dan een vliegenmepper :) of ik dit topic toch kon plaatsen.
Ik wil niemand tegen de schenen schoppen,probeer me te gedragen zoals dat zou horen,maar ik heb een probleem waar ik niet uitkom en ik hoop dat het topic nu niet dicht gaat.

Van Norton antivirus krijg ik steeds meldingen dat zich een virus aanmeldt. (windows 2000 professional)
Het w32HLLW.Deloder virus, Bat.mumu en nog een paar.
Hoe komt die troep mijn pc in, met windows 98 SE heb ik er geen last van.

Ik heb een vrij ingewikkeld password om in te loggen.
De administrator heeft ook een moeilijk password.
Ik zit achter een router achter NAT en er is geen enkele poort doorgemapt naar mijn pc.
IIS is niet geinstalleerd ben ik nu achter.
Nieuwste service pack 4 is geinstalleerd.

Na het alarm dat het virus is gevonden (meestal inst.exe bij Deloder) wordt het gewist.
Een scan is schoon, dus blijkbaar gebeurt dit:
Op de een of andere manier komt er iets door mijn systeem,installeert de loader voor een besmetting maar dit wordt gevonden.
Omdat het gelijk wordt gewist kan infectie zelf niet plaatsvinden.
Toch komt iets er doorheen.
Ik heb in mijn Draytec ingesteld dat elk pakketje op poort 445 (deloder) inkomend gelijk moet worden geblokkeerd.
Toch komt het binnen.
Hoe sluit ik dit af want ik word er gek van.
Ik hoop dat dit topic niet dicht gaat, ik heb de search gebruikt,een mod via ICQ gevraagd of ik het mocht posten,de FAQ gelezen, beter kan ik me niet indekken en anders weet ik het ook niet meer.

donderdag 10 juli 2003 14:55

Acties:
  • RaZ
  • Registratie: November 2000
  • Niet online

RaZ

Funky Cold Medina

Ik heb ook eens een keer een ranzig iets gehad op 1 van de werkstations hier op't werk.
Bij opstarten van een Office app, kwam McAfee ophoog over een virus. Na veel dingen bleek het de virus-definities corrupt geweest te zijn. Uninstall / Re-install / Update van de virus-scanner gaf geen problemen meer. Was wel heel vaag.

Zit het niet in SP4 anders?

Aangezien je iin win98 nergens geen last van heb. (Ervanuitgaant dat je win2k op FAT heb draaien).

Ey!! Macarena \o/

donderdag 10 juli 2003 15:00

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
RaZ schreef op 10 July 2003 @ 14:55:
Ik heb ook eens een keer een ranzig iets gehad op 1 van de werkstations hier op't werk.
Bij opstarten van een Office app, kwam McAfee ophoog over een virus. Na veel dingen bleek het de virus-definities corrupt geweest te zijn. Uninstall / Re-install / Update van de virus-scanner gaf geen problemen meer. Was wel heel vaag.

Zit het niet in SP4 anders?

Aangezien je iin win98 nergens geen last van heb. (Ervanuitgaant dat je win2k op FAT heb draaien).
De meldingen komen gewoon uit zichzelf..niet als ik wat opstart.
Update van de virus scanner is gedaan,de besmette files staan inderdaad in quarantine (inst.exe) gisteren draaide ik op SP3 en daar was het ook.
Vanochtend zag ik SP4 bij windows update.
Het systeem staat er gewoon rustig bij,geen enkele server geinstalleerd,alleen een proggie dat af en toe kijkt of er mail is en opeens pats,waarschuwing,virus gevonden,gewist zonder dat ik iets doe of opstart.

donderdag 10 juli 2003 15:05

Acties:
  • Han
  • Registratie: Juli 2001
  • Niet online

Han

Staat het virus niet toevallig op een cd-rom met gegevens die telkens gebruikt?

titel iets duidelijker gemaakt

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

donderdag 10 juli 2003 15:07

Acties:
  • Krypt
  • Registratie: April 2000
  • Laatst online: 12:57

Krypt

Info
Die worm heeft in eerste instantie al W2k/XP nodig; daarom zul je onder W98 niets merken.

Heb je toevallig in je netwerkje een andere W2k/XP machine staan waar je een connectie naar toe hebt gehad van deze pc; of andersom... Dit virus verspreidt zich namelijk ook via shares (administrative shares en anderen) en runt deze via een speciale call..

Bij de info-link staat ook nog een andere methode om deze worm te verwijderen.. (update ook even je def-files van je virusscanner handmatig.. misschien is er een extra update)

[edit]
En even kijken of deze key bestaat: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "messnger" = %worm path%

Zoja.. verwijderen in safemode..

[ Voor 14% gewijzigd door Krypt op 10-07-2003 15:09 ]

Pvouput live

donderdag 10 juli 2003 15:10

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
XceeD schreef op 10 July 2003 @ 15:05:
Staat het virus niet toevallig op een cd-rom met gegevens die telkens gebruikt?

titel iets duidelijker gemaakt
Nee, ook niet,heb het gelijk even gecontroleerd, volledige systemscan ook gedaan maar niets gevonden op geen enkele partitie.
Geen cd-rom,geen floppy in het systeem en ook geen andere pc in het netwerk,de switch met andere pc's in het netwerk ligt los en toch weer een melding gehad.

donderdag 10 juli 2003 15:25

Acties:
  • nero355
  • Registratie: Februari 2002
  • Laatst online: 22-02 18:06

nero355

ph34r my [WCG] Cows :P

Wat ik me afvraag he is het niet zo'n Virus dat in je Opstarten greop zit zeg maar :? alleen dan onder een look-a-like Win2K naam :?

Was bij mijn Pa het geval had ik Norton niet eens voor nodig en hij zag dit niet eens trouwens ;) Was ook zo'n soort Virus beetje anders :)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 10 juli 2003 15:29

Acties:
  • momania
  • Registratie: Mei 2000
  • Laatst online: 21-05 06:42

momania

iPhone 30! Bam!

Nick39 schreef op 10 July 2003 @ 15:00:
[...]
Het systeem staat er gewoon rustig bij,geen enkele server geinstalleerd,alleen een proggie dat af en toe kijkt of er mail is en opeens pats,waarschuwing,virus gevonden,gewist zonder dat ik iets doe of opstart.
Dat progje dat je mail checked, wat is dat? Misschien komt het daar door.

Neem je whisky mee, is het te weinig... *zucht*

donderdag 10 juli 2003 15:44

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
nero355 schreef op 10 juli 2003 @ 15:25:
Wat ik me afvraag he is het niet zo'n Virus dat in je Opstarten greop zit zeg maar :? alleen dan onder een look-a-like Win2K naam :?

Was bij mijn Pa het geval had ik Norton niet eens voor nodig en hij zag dit niet eens trouwens ;) Was ook zo'n soort Virus beetje anders :)
Een scan zou dit moeten vinden lijkt me.... want het virus zelf ziet ie ook.
Rare is ook dat er steeds van buitenaf ook verkeer wordt aangevraagd op poorten 137 en 139..netbios..

donderdag 10 juli 2003 15:46

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
momania schreef op 10 July 2003 @ 15:29:
[...]

Dat progje dat je mail checked, wat is dat? Misschien komt het daar door.
Mailwasher pro..maar die zit netjes op poortje 110...

donderdag 10 juli 2003 15:56

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Maar boven dit alles..er is mij altijd gezegd dat als je achter NAT zit dat je in princiepe veilig zit.
Zolang de desbetreffende poorten niet doorgemapt zijn naar je interne pc zou men van buitenaf je pc niet mogen kunnen bereiken.
Hoe kan dan toch van buitenaf dat gebeuren ?
Zelfs als de ISS server aan zou staan (wat ie niet staat,zelfs niet geinstalleerd) zou een ander er niet in mogen komen als die poorten niet staan doorgemapt.
Ik snap er echt niets van.

donderdag 10 juli 2003 16:05

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
user: administrator : backdoor Trojan
user: administrator: bat.mumu
user: administrator: W32.Valla.2048

maar ik log in onder mijn eigen naam,welliswaar met administrator rechten maar niet onder die naam.
Er lekt iets..maar wat dan ?

donderdag 10 juli 2003 16:18

Acties:
  • kvaruni
  • Registratie: Oktober 2002
  • Laatst online: 19-05 21:49

kvaruni

hmmm, dit probleem krijgt weer een staartje....

Mijn verhaal:
ALLE PCs van vrienden die ik ken worden geplaagd door gelijkaardige omstandigheden. Allemaal gebruiken ze Windows 2000. Nu zal je wel zeggen, tjah, zijn vrienden, geef je virsussen door. Wel, niet dus. Ik ben er al altijd heel delicaat mee geweest wat ik ontvang van de buitenwereld. Alle mails met aanhangsel worden automatisch verwijderd en onlangs ben ik zelf volledig gestopt met outlook te gebruiken en staat mijn hotmaal account op exclusieve filter.

Toch, ik mocht mijn volledige PC formateren en win2k er opnieuw opzetten, het duurde niet lang voor onze 'vriend' terugwas. En Norton, McAfee of wat dan ook deden er niets aan. Evenmin fire walls schenen te werken.

Nu, uiteindelijk ben ik er toch in geslaagd om op mijn PC het probleem om te lossen. De oplossing bestond erin om een nieuwe installatie van win2k op PC te plaatsen, zorgen dat er geen netwerkverbinding was en dan maar pc-cillin antivirus en firewall installeren met direct firewall op maximum security.

Wat blijkt nu? Pc is 24/7 onder aanval door hacker attacks?!? Is absurd, vooral omdat mijn ip voortdurend veranderd. Eerst dacht ik dat dit een massive aanval was op alle adressen van Telenet, maar schijnen mensen met ADSL er ook last van te hebben (in België dus).

Nu, het blijft voor mij een waar raadsel :s Maar mss dat deze oplossing voor jou kan helpen?

donderdag 10 juli 2003 16:21

Acties:

Verwijderd

Dat w32.deloder virus heb ik ook een aantal gehad. Wist ook totaal niet waar het vandaan kwam. Nieuwe install gedaan, virus weer erop. Het virus stond ook niet op de CD waarvandaan ik win2k installeerde en NAV.
Maar omdat ik zag dat het een Trojan was had ik het idee dat ik gehackt was. Dus format C:\, stekker van internet eruit trekken, installeren(w2k+NAV+ZA) en geen virus daarna meer.
Toen weer stekker van internet erin gestopt en ook nog steeds geen virus.

Dus ik denk dat de trojan automatisch op de en of andere manier naar jou IP-adres wordt verstuurd, ervan uitgaande dat je steeds hetzelfde IP hebt zoals bij @Home.

donderdag 10 juli 2003 16:24

Acties:

Verwijderd

mischien moet je even hier mee scannen, hij verwijdert ze ook voor je, vanochtend had ik een virus waar norton geen raad mee wist en deze heeft hem keurig verwijderd.

http://housecall.trendmicro.com/

Suc6 :)

donderdag 10 juli 2003 16:29

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
onder windows 98 kon ik bij tcp/ip file and printershare gewoon uitzetten.. blijkbaar kon via netbeuii en ipx/spx ook wel geprint worden en mijn files worden bekeken vanaf een andere pc.
Maar nu heb ik bij netwerk beheer alleen een centraal file en printershare geval..als ik die uitzet ligt het hele netwerk plat.

donderdag 10 juli 2003 16:34

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Verwijderd schreef op 10 July 2003 @ 16:21:
Dat w32.deloder virus heb ik ook een aantal gehad. Wist ook totaal niet waar het vandaan kwam. Nieuwe install gedaan, virus weer erop. Het virus stond ook niet op de CD waarvandaan ik win2k installeerde en NAV.
Maar omdat ik zag dat het een Trojan was had ik het idee dat ik gehackt was. Dus format C:\, stekker van internet eruit trekken, installeren(w2k+NAV+ZA) en geen virus daarna meer.
Toen weer stekker van internet erin gestopt en ook nog steeds geen virus.

Dus ik denk dat de trojan automatisch op de en of andere manier naar jou IP-adres wordt verstuurd, ervan uitgaande dat je steeds hetzelfde IP hebt zoals bij @Home.
Ik heb inderdaad een vast IP nummer.
Bij een scan is de pc volledig schoon.
Ik ga die andere optie even doen en scannen.
Iemand stuurt blijkbaar steeds een virus,maar van verschillende ip adressen en verschillende varianten ?
En hoe ?????? blijkbaar heeft ie met NAT geen probleem...

donderdag 10 juli 2003 17:07

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Verwijderd schreef op 10 juli 2003 @ 16:24:
mischien moet je even hier mee scannen, hij verwijdert ze ook voor je, vanochtend had ik een virus waar norton geen raad mee wist en deze heeft hem keurig verwijderd.

http://housecall.trendmicro.com/

Suc6 :)
Hij vond nu een virus pcghost.413 die norton dus niet vond.
Of het de oplossing is weet ik niet....
Fijn..je verwacht toch dat Norton het allemaal moet kunnen..

[ Voor 7% gewijzigd door Nick39 op 10-07-2003 17:36 ]

donderdag 10 juli 2003 17:59

Acties:

Verwijderd

kvaruni schreef op 10 juli 2003 @ 16:18:
Wat blijkt nu? Pc is 24/7 onder aanval door hacker attacks?!? Is absurd, vooral omdat mijn ip voortdurend veranderd. Eerst dacht ik dat dit een massive aanval was op alle adressen van Telenet, maar schijnen mensen met ADSL er ook last van te hebben (in België dus).
dude dat je firewall verkeer dropt betekent niet dat je aangevallen wordt... 99,9% is gewoon internet verkeer...

en je virus is 99,9% zeker gewoon door jezelf geintroduceert...

donderdag 10 juli 2003 19:39

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
En weer een backdoor nu....waar komt het toch vandaan ?

donderdag 10 juli 2003 19:46

Acties:
  • Han
  • Registratie: Juli 2001
  • Niet online

Han

Hoe bedoel je? Leg eens uit...

p.s. zou je, wanneer je als laatste hebt gepost en wanneer je iets wilt toevoegen, gebruik willen maken van de editknop? Je kan je post tot 24 uur na het posten aanpassen. Wanneer je telkens achter elkaar post dan wordt dat beschouwd als kicken. ( editknop --> Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/edit.gif)

even uit nieuwsgierigheid; met welke mod heb je overlegt over dit topic?

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

donderdag 10 juli 2003 19:48

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 00:16

Jimbolino

troep.com

- je verteld dat je achter een NAT-server zit, heb je die al volledig op virussen gecheckt?
- zitten er nog meer pc's op je netwerk (die moet je ook scannen !)
- heb je op verschillende pc's dezelfde login namen met dezelfde passwoorden, of makkelijke login namen en makkelijke passwoorden
- heb je een draadloze app. in het netwerk?

waar ik op doel is: misschien is het wel een virus dat zich via je internet netwerk verspreidt. Ik heb dat ooit gehad, en dan instal je 1 pc opnieuw, en 10min later is die weer infected. enz enz

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

donderdag 10 juli 2003 19:56

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
XceeD schreef op 10 July 2003 @ 19:46:
Hoe bedoel je? Leg eens uit...

p.s. zou je, wanneer je als laatste hebt gepost en wanneer je iets wilt toevoegen, gebruik willen maken van de editknop? Je kan je post tot 24 uur na het posten aanpassen. Wanneer je telkens achter elkaar post dan wordt dat beschouwd als kicken. ( editknop --> [afbeelding])

even uit nieuwsgierigheid; met welke mod heb je overlegt over dit topic?
In totaal zijn er door norton anti virus sinds gisteren 48 files in quarantine gezet.
Zojuist springt norton antivirus venster weer op met een bat.mumu waarschuwing.
Ik de patch halen die een infectie hiermee zou verwijderen en die zegt weer, niet gevonden.
Ik zit dus gewoon naar tweakers te kijken en opeens waarschuwt norton dus voor een virusinfectie en dat het virus weer is verwijderd.
Het lijkt echt alsof iemand van buitenaf dit stuurt.
Maar hoe...
Staat in een normale win2k installatie standaard een of meerdere poorten open ?

Ik heb gesproken met ene Predator maar die kwam niet verder dan de vliegenmepper.
(ik wilde niet kicken alleen even de frustratie kwijt)

En ja ik zit achter NAT,maar geen server, NAT zit in de router (draytek)

[ Voor 3% gewijzigd door Nick39 op 10-07-2003 19:57 ]

donderdag 10 juli 2003 20:01

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Jimbolino schreef op 10 July 2003 @ 19:48:
- je verteld dat je achter een NAT-server zit, heb je die al volledig op virussen gecheckt?
- zitten er nog meer pc's op je netwerk (die moet je ook scannen !)
- heb je op verschillende pc's dezelfde login namen met dezelfde passwoorden, of makkelijke login namen en makkelijke passwoorden
- heb je een draadloze app. in het netwerk?

waar ik op doel is: misschien is het wel een virus dat zich via je internet netwerk verspreidt. Ik heb dat ooit gehad, en dan instal je 1 pc opnieuw, en 10min later is die weer infected. enz enz
Ik had je natvraag al beantwoord in het vorig bericht.
Alle andere pc's gescand en die waren clean,en op het moment dat de meeste virus infecties liepen was alleen deze pc aan.
Er worden relatief gezien wel makkelijke namen gebruikt (onze gezinsleden) maar de wachtwoorden zijn een combinatie van Hoofdletters,kleine letters en getallen.
Geen draadloos gebeuren.
Anders moet win2k er maar weer af..windows 98 heeft deze zottigheid niet.

[ Voor 3% gewijzigd door Nick39 op 10-07-2003 20:03 ]

donderdag 10 juli 2003 20:03

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Waar komen die virussen vandaan: in welke map of bestand zitten ze, volgens je virusscanner?
Nick39 schreef op 10 July 2003 @ 20:01:
Anders moet win2k er maar weer af..windows 98 heeft deze zottigheid niet.
Yeah right, alsof w2k ingebouwde virussen heeft ofzo.

[ Voor 56% gewijzigd door blackd op 10-07-2003 20:36 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 10 juli 2003 20:36

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 12:55

Predator

Suffers from split brain

Nick39 schreef op 10 July 2003 @ 14:50:
Heb met een van de mods overlegd,maar die kwam niet verder dan een vliegenmepper :) of ik dit topic toch kon plaatsen.

Ik hoop dat dit topic niet dicht gaat, ik heb de search gebruikt,een mod via ICQ gevraagd of ik het mocht posten,de FAQ gelezen, beter kan ik me niet indekken en anders weet ik het ook niet meer.
Nick39 schreef op 10 July 2003 @ 19:56:
Ik heb gesproken met ene Predator maar die kwam niet verder dan de vliegenmepper.
(ik wilde niet kicken alleen even de frustratie kwijt)
euhm :?
Je had iets te vragen aan mij @ ICQ maar dat heb je nooit gedaan.
Althans, ik heb nooit een vraag gezien, enkel dat je allemaal virus meldingen kreeg.
Waar jij vandaan haalt dat ik zou toestemming gegeven voor een topic waar dan ook weet ik niet, maar dat klopt iig van geen kanten.

[ Voor 7% gewijzigd door Predator op 10-07-2003 20:38 ]

Everybody lies | BFD rocks ! | PC-specs

donderdag 10 juli 2003 21:44

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
blackd schreef op 10 July 2003 @ 20:03:
Waar komen die virussen vandaan: in welke map of bestand zitten ze, volgens je virusscanner?
[...]

Yeah right, alsof w2k ingebouwde virussen heeft ofzo.
Het zijn besmette bestanden die compleet in de windows/system32 komen.
Dus bv inst.exe is niet een gewoon bestand dat besmet is geworden,het is een extra bestand dat blijkbaar aangemaakt wordt,in de system directory wordt geplaatst en dan wordt herkend door de virusscanner.

En nee natuurlijk zitten er geen ingebouwde virusjes in win2k maar blijkbaar zit er in win2k wel een systeem dat het mogelijk maakt om van buitenaf een systeem te besmetten.

Ik gebruikte hiervoor windows98 SE waar ik een image bestand van heb gemaakt.
Als ik dat bestand terug zet is er niets aan de hand.
Als ik het systeem scan (met het terug gezette image) is het schoon.
Ik heb voor ik een upgrade deed naar win2k de installatie cd van win2k gescand.
Dit was ook schoon.
Er is dus een schoon windows98SE systeem waar ik al jaren mee draaide van een upgrade voorzien vanaf een schone cd.
Windows 98 gescand met norton en pc chillin, clean.
Upgrade cd, idem dito,met 2 verschillende programma's voorzien van de allerlaatste definities gescand.
Clean.
Ik heb een extra pc genomen uit de logeerkamer, daar de backup van win98 SE op terug gezet, dus exact de backup die hier ook op draaide voor ik overging naar win2k.
Geen enkel alarm sinds vanmiddag 2 uur.
Maar op deze pc zijn er nu al 42 besmette files op gezet, batch files,files die lijken op files die er opstaan zoals kernel32_.dll ipv kernel32.dll.
Extra files dus.
Wow.. geloof niet dat ik duidelijker kon zijn ;)

donderdag 10 juli 2003 21:52

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Predator schreef op 10 July 2003 @ 20:36:
[...]


[...]

euhm :?
Je had iets te vragen aan mij @ ICQ maar dat heb je nooit gedaan.
Althans, ik heb nooit een vraag gezien, enkel dat je allemaal virus meldingen kreeg.
Waar jij vandaan haalt dat ik zou toestemming gegeven voor een topic waar dan ook weet ik niet, maar dat klopt iig van geen kanten.
Ik heb wel degelijk de vraag gesteld alleen geen antwoord gekregen.
Uiteindelijk heb ik ingetikt, okay je geeft geen antwoord dus ik plaats het wel.
Ik heb ook niet gezegd dat je toestemming hebt gegeven,enkel dat ik het heb gevraagd omdat je een ander topic dichtgooide omdat ik eerst dacht dat het aan de IIS server lag.
Dat is ook het probleem,topics gaan zo snel dicht dat je de kans niet krijgt om er een andere wending aan te geven.
Na een kwartier wachten na de opmerkingen van de vliegenmepper heb ik het maar opgegeven.
Begrijp best dat je het druk hebt, ik heb netjes gevraagd mag ik je storen,denk dat er weinig mensen zijn die eerst gaan vragen aan een mod of ze een topic wel mogen openen.
Dat je vervolgens geen antwoord geeft is net effe anders dan zeggen dat ik niks gevraagd heb.
Maar sorry, gooi ook maar weer dicht dan 8)7

Maar ikvoeg geen mod toe aan icq,neem natuurlijk geen kontakt met een mod op, vraag of ik iets mag vragen,ga het dan over vliegenmeppers hebben en vervolgens het ICQ gesprek weer stoppen.
Heb het wel degelijk gevraagd,de vraag stond alleen onder aan het stuk dat jij in je log laat zien.
Maar er ontbreken meer stukken,want op je olifantshuid opmerking zei ik nog dat dat knap warm zou worden en dat zie ik ook niet in je log staan..er is dus iets mis gegaan.

[ Voor 9% gewijzigd door Nick39 op 10-07-2003 23:26 ]

donderdag 10 juli 2003 21:57

Acties:
  • blobber
  • Registratie: Juli 2000
  • Niet online

blobber

Sol Lucet Omnibus

die hllp shit krijg je vaak binnen via kazaa, heb ik ook een keer gehad toen mijn norton service niet gestart was, na rebooten zat er een .dat file in "my shared folder" die besmet was met het hllp.handy virus.Erg lastig te verwijderen.Op de symantec site gekeken of er iets in het registry gezet wordt, daarna heb ik heb alles uit "my shared folder" verwijderd en daarna een system sweep gedaan en dit meerdere malen herhaald net zolang tot ik geen melding meer kreeg.(natuurlijk eerst even live update gedaan (Norton Corporate edition)

[ Voor 3% gewijzigd door blobber op 10-07-2003 21:58 ]

To See A World In A Grain Of Sand, And A Heaven In A Wild Flower, Hold Infinity In The Palm Of Your Hand, And Eternity In An Hour

donderdag 10 juli 2003 22:07

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
blobber schreef op 10 July 2003 @ 21:57:
die hllp shit krijg je vaak binnen via kazaa...., heb ik ook een keer gehad toen mijn norton service niet gestart was, na rebooten zat er een .dat file in "my shared folder" die besmet was met het hllp.handy virus.Erg lastig te verwijderen.Op de symantec site gekeken of er iets in het registry gezet wordt, daarna heb ik heb alles uit "my shared folder" verwijderd en daarna een system sweep gedaan en dit meerdere malen herhaald net zolang tot ik geen melding meer kreeg.(natuurlijk eerst even live update gedaan (Norton Corporate edition)
Kazaa heb ik al maanden niet gebruikt,maar er zit geen enkel besmet file verder op de pc, er duikt alleen steeds een nieuw besmet extra bestand op in de system dir, die wordt onderschept en gewist en ik krijg de melding.
Rebooten, veilige modus en zo noem maar op geeft na scannen geen enkele melding van infectie tot opeens,terwijl de pc volledig in rust is er een virusmelding komt dat er opeens een besmet file in de system dir is bijgekomen.
Als ik dan het desbetreffende virus opzoek staat er ook bij bv virus alerts dat er dan zus en zo'n registrysleutel is bijgemaakt die je moet verwijderen.
Maar die maakt ie dus niet aan !

Ik heb nu een verdacht file gevonden dat tester.exe heet en zoekt naar een bepaald dll file dat gewist is.
Dat komt elke 20 minuten op.
Denk ook dat dat de boosdoener is,alleen de scanners vinden er niets in.

donderdag 10 juli 2003 22:10

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 12:55

Predator

Suffers from split brain

Nick39 schreef op 10 July 2003 @ 21:52:
[...]

Ik heb wel degelijk de vraag gesteld alleen geen antwoord gekregen.
Uiteindelijk heb ik ingetikt, okay je geeft geen antwoord dus ik plaats het wel.
Ik heb ook niet gezegd dat je toestemming hebt gegeven,enkel dat ik het heb gevraagd omdat je een ander topic dichtgooide omdat ik eerst dacht dat het aan de IIS server lag.

Na een kwartier wachten na de opmerkingen van de vliegenmepper heb ik het maar opgegeven.
Begrijp best dat je het druk hebt, ik heb netjes gevraagd mag ik je storen,denk dat er weinig mensen zijn die eerst gaan vragen aan een mod of ze een topic wel mogen openen.
Dat je vervolgens geen antwoord geeft is net effe anders dan zeggen dat ik niks gevraagd heb.
Logfile: http://crew.tweakers.net/~crew/Predator/log.jpg
Zoals je ziet heb ik helemaal geen vraag gezien van jou.
Dat is ook het probleem,topics gaan zo snel dicht dat je de kans niet krijgt om er een andere wending aan te geven.
http://gathering.tweakers.net/forum/faq/forumgedrag#topicstart
Als jij er voor zorgt dat jouw topic meteen de goeie wending heeft is er toch geen probleem ? Het is jouw plicht om jouw topicstart te verzorgen.

Ik zou ook niet weten welke wending jij aan de vraag hoe je IIS verwijderd wil geven.
/einde offtopic

Als je hierover doorwilt gaan mail je me maar.

[ Voor 6% gewijzigd door Predator op 10-07-2003 22:12 ]

Everybody lies | BFD rocks ! | PC-specs

donderdag 10 juli 2003 22:28

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Predator schreef op 10 July 2003 @ 22:10:
[...]

Logfile: http://crew.tweakers.net/~crew/Predator/log.jpg
Zoals je ziet heb ik helemaal geen vraag gezien van jou.

[...]

http://gathering.tweakers.net/forum/faq/forumgedrag#topicstart
Als jij er voor zorgt dat jouw topic meteen de goeie wending heeft is er toch geen probleem ? Het is jouw plicht om jouw topicstart te verzorgen.

Ik zou ook niet weten welke wending jij aan de vraag hoe je IIS verwijderd wil geven.
/einde offtopic

Als je hierover doorwilt gaan mail je me maar.
Wil ik ook best doen,ik wil ook best het log van mij opzoeken waaruit blijkt dat ik het echt WEL gevraagd heb.
Ik ga al die moeite niet doen om het vervolgens dan niet te vragen,lijkt je dat niet erg onlogisch ?
Denk je dat iemand van 40 daar over gaat liegen ?
Het enige dat ik kan verzinnen is dat trillian (icq cloon) mijn vragen niet aan jouw icq heeft verstuurd.

Nu terug on topic zoals jullie graag hebben, terwijl ik dit bekijk komt er weer een melding binnen, in de temp internet folder een virus aangetroffen,terwijl ik alleen maar GOT aan heb staan..
zie http://home.wanadoo.nl/nse/temp1/virus.jpg

Dat het mijn plicht is om een topic goed te beginnen is waar.. ik had hier goed gezocht op de virussen zoals deloder en gelezen, je IIS server zal wel aan staan.
Dus vandaar dat mijn eerste vraag was hoe dat uit te krijgen.
Toen las ik, ook weer hier, dat je een shutdown programma had voor je IIS server.
Die heb ik gedownload, en toen gaf die de melding dat de IIS server niet geinstalleerd was.
Toen ik dat wilde melden en vragen wat er dan mis was,was het topic al weer op slot.

[ Voor 17% gewijzigd door Nick39 op 10-07-2003 22:35 ]

donderdag 10 juli 2003 22:33

Acties:
  • momania
  • Registratie: Mei 2000
  • Laatst online: 21-05 06:42

momania

iPhone 30! Bam!

Zullen we vanaf hier weer ontopic verder gaan en deze discussie via mail/icq/msn/helemaal_niet/etc voortzetten zoals Predator al aangaf? :)

Neem je whisky mee, is het te weinig... *zucht*

donderdag 10 juli 2003 22:34

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
momania schreef op 10 July 2003 @ 22:33:
<font color=blue>Zullen we vanaf hier weer ontopic verder gaan en deze discussie via mail/icq/msn/helemaal_niet/etc voortzetten zoals Predator al aangaf? :)</font>
Ik kies voor helemaal niet,ik weet wat ik gezegd heb,heb mijn voorgaande bericht iets veranderd om uit te leggen waarom ik eerst het IIS bericht plaatste.

donderdag 10 juli 2003 22:51

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 00:16

Jimbolino

troep.com

temporary internet files worden gebruikt door: internet explorer / outlook (express)

ik denk dat je gewoon via je mail een virus binnenkrijgt
of via een website

edit: oja, ik zie dat je geupgrade hebt vanaf windows 98, misschien tijd voor een clean-install ? een schone start is meestal de oplossing voor je problemen

[ Voor 33% gewijzigd door Jimbolino op 10-07-2003 22:53 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

donderdag 10 juli 2003 22:59

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Jimbolino schreef op 10 juli 2003 @ 22:51:
temporary internet files worden gebruikt door: internet explorer / outlook (express)

ik denk dat je gewoon via je mail een virus binnenkrijgt
of via een website

edit: oja, ik zie dat je geupgrade hebt vanaf windows 98, misschien tijd voor een clean-install ? een schone start is meestal de oplossing voor je problemen
Outlook staat niet op de pc en het enige dat ik via internet explorer bekeek was GOT en ik neem aan dat hier geen code in de pages staat dat een besmetting veroorzaakt ;)

Clean install is inderdaad dan het enige dat kan.

donderdag 10 juli 2003 23:27

Acties:

Verwijderd

Kan me nog herinneren dat het ook iets met een service te maken had die nu draait op jouw computer.
Probeer die eens even uit te zetten. Daarna 'm bij systeembeheer ook meteen uit schakelen en daarna te verwijderen.
Het heet geloof PSEXEC.EXE of iets dergelijks. Staat verder ook geen beschrijving. Als ik het goed herinner laad die iedere keer dat virus, maar weet 't niet meer zeker want zoals ik al zei heb ik format C: gedaan.

donderdag 10 juli 2003 23:43

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Verwijderd schreef op 10 July 2003 @ 23:27:
Kan me nog herinneren dat het ook iets met een service te maken had die nu draait op jouw computer.
Probeer die eens even uit te zetten. Daarna 'm bij systeembeheer ook meteen uit schakelen en daarna te verwijderen.
Het heet geloof PSEXEC.EXE of iets dergelijks. Staat verder ook geen beschrijving. Als ik het goed herinner laad die iedere keer dat virus, maar weet 't niet meer zeker want zoals ik al zei heb ik format C: gedaan.
ben effe verder gegaan op de laptop,de main pc scant nu maar bedankt voor je tip
staat er helaas niet bij :(
Via: http://www.answersthatwork.com/Tasklist_pages/tasklist.htm ben ik wel wat andere dingen te weten gekomen.
Veel van de dingen in je tasklist staan hier verklaard.
Degenen die er niet bij staan zijn dus verdacht.
Zo vond ik dus 4 files met verschillende namen, dezelfde datum,dezelfde grootte en een payload.dat ook zelfde datum en tijd.
Payload.dat was een van de besmette files die opdook maar nu schoon bleek te zijn//toch maar ff gewist.

[ Voor 31% gewijzigd door Nick39 op 11-07-2003 00:24 ]

vrijdag 11 juli 2003 08:52

Acties:
  • garage
  • Registratie: December 2002
  • Laatst online: 06-04-2023

garage

Nick39 schreef op 10 juli 2003 @ 22:59:
[...]Clean install is inderdaad dan het enige dat kan.
Volgens mij is het belangrijk dat je je afvraagt hoe dit binnenkomt. Als ik mijn eigen firewall logs bekijk zie ik regelmatig pogingen om op poort 445 iets te prutsen. Een klein onderzoekje leverde mij op dat dat het Deloder virus is.

Misschien moet je ook dit eens lezen:
http://www.webwereld.nl/nieuws/14409.phtml
Hier staat (volgens mij) uitgelegd dat er wachtwoorden 'geraden' worden.....

Op http://www.lbl.gov/ICSD/Security/guidelines/password.html staat redelijk uitgelegd wat goede passwords zijn.

Er zijn vast wel betere sites, waar dat wordt uitgelegd, die kon ik echter zo snel niet vinden. :(

Pas nadat je kunt voorkomen dat je besmet raakt kun je gaan oplossen. Anders is het dweilen met de kraan open 8)7

[ Voor 48% gewijzigd door garage op 11-07-2003 08:59 ]

Koop een taart en ga het vieren!

vrijdag 11 juli 2003 08:55

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Nick39 schreef op 10 July 2003 @ 21:44:
Het zijn besmette bestanden die compleet in de windows/system32 komen.
Dus bv inst.exe is niet een gewoon bestand dat besmet is geworden,het is een extra bestand dat blijkbaar aangemaakt wordt,in de system directory wordt geplaatst en dan wordt herkend door de virusscanner.

En nee natuurlijk zitten er geen ingebouwde virusjes in win2k maar blijkbaar zit er in win2k wel een systeem dat het mogelijk maakt om van buitenaf een systeem te besmetten.
*buzz* wrong.
In Windows 2000 zit een fantastisch systeem om virussen tegen te gaan. Wat heb jij als user in windows/system32 te zoeken?
Men neme een NTFS bestandssysteem en een gebruikersaccount met de nodige beperkingen. Geen schrijfrechten meer in system32. Dat scheelt al een hoop, en wat nog veel leuker is: win98 kan dat niet.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

vrijdag 11 juli 2003 08:56

Acties:
  • Domino
  • Registratie: Juli 1999
  • Laatst online: 09:50

Domino

Ik heb het hele verhaal eens door zitten lezen en ik vindt het maar een wazig verhaal.

Je zult echt uit moeten vissen wanneer wat plaatsvind. Komen de meldingen enkel en alleen bij browsen (maw is IE actief?). Wat wordt er allemaal met de PC opgestart? Kijk hiervoor in je opstartmap en in het register (onder 'hk local machine' en 'hk current user'!).

Plaats anders eens een screenshot van hk_local_machine\software\microsoft\windows\current version\run
hk_local_machine\software\microsoft\windows\current version\runonce
hk_local_machine\software\microsoft\windows\current version\runonceex

Zo ook voor je current user.

vrijdag 11 juli 2003 09:04

Acties:
  • Jeroen 98675432
  • Registratie: Januari 2000
  • Laatst online: 15-09-2021

Jeroen 98675432

Quarantaine opschonen, en NAV instellen dat er niets in quarantaine gezet moet worden, maar meteen verwijderd moet worden.
Beetje drastisch, maar als het werkt, en je bent van het virus af, dan zet je je oude quarantaine instellingen weer terug.

Ik heb het al vaker meegemaakt dat sommige virussen uit de quarantaine ontsnappen.

vrijdag 11 juli 2003 09:14

Acties:
  • Nulnulnix
  • Registratie: Januari 2001
  • Laatst online: 09-09-2025

Nulnulnix

BOFH

Tja, lastig en uitdagend ... :)

Heb je je lopende services al gecontroleerd (via taakbeheer/taskmanager)?

Log eens als administrator in en verwijder vervolgens je gebruikers profiel. Kopieer zonodig het profiel van de beheerder (conf scherm - systeem - geavanceerd - gebruikers profielen - etc). Ik hoop dat ik de nl benamingen goed heb, ik werk nl alleen met de Engelse versie...

Je kunt nog proberen je server een clean install te geven... Maak daarna ff een image, gaat sneller bij een volgende installatie.

We have just one world, but we live in different ones...

vrijdag 11 juli 2003 09:15

Acties:
  • JF_
  • Registratie: Juni 2001
  • Laatst online: 19-05 23:25

JF_

Als je achter een NAT-router zit die geen porten doormapt dan *moet* de infectie een gevolg zijn van iets wat je zelf doet, of gedaan hebt. Waarschijnlijk heb je toch ergens een backdoor die zelf allerlei rotzooi op wil halen, slim genoeg is om zelf niet gepakt te worden door de virusscanner, maar te stom om z'n downloads te verbergen.
Temporary internet files helemaal leegflikkeren (preferably vanuit plain dos), alle patches voor IE installeren, ad-aware draaien, virusscanner draaien, daarna nog eens bekijken.

vrijdag 11 juli 2003 09:26

Acties:
  • mlevd
  • Registratie: Januari 2002
  • Laatst online: 25-04 12:24

mlevd

Heb je eventueel de moegelijkhied om een andere installatie cd van win 2k (en dan niet een andere cd van hetzelfde iso bestand oid) of een andere viruscanner installatie te gebruiken. Ik weet niet of je een officiele cd 2k hebt, maar het is in mijn ogen zeker het proberen waard als je de verhalen zo lees.

vrijdag 11 juli 2003 09:58

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Garage schreef op 11 July 2003 @ 08:52:
[...]

Volgens mij is het belangrijk dat je je afvraagt hoe dit binnenkomt. Als ik mijn eigen firewall logs bekijk zie ik regelmatig pogingen om op poort 445 iets te prutsen. Een klein onderzoekje leverde mij op dat dat het Deloder virus is.
Officieel zou er niets aan poort 445 mogen snuffelen..ik bedoel..ik zit achter nat.
Nat zou moeten zeggen, oh okay er is geen applicatie die iets verwacht op 445 dus ik drop het pakketje.
Ik heb 445 dicht gezet in de filtering firewall van de Draytek router.
Dat ze passworden kunnen raden heb ik inderdaad gelezen, nou ja niet echt raden maar veel mensen gebruiken iets van administrator, de eigen machine naam of blank als password.

vrijdag 11 juli 2003 10:02

Acties:
  • Jeroen 98675432
  • Registratie: Januari 2000
  • Laatst online: 15-09-2021

Jeroen 98675432

Quarantaine al uitgeschakeld? Heb net ff alle berichten teruggelezen, maar ik zie herhaaldelijk dat de virussen in quarantaine worden gezet, en als ze daar eenmaal staan, "weet" je antivirussoftware dat, en worden deze bij een scan niet gemeldt. (ze zijn immers al ontdekt, en staan in quarantaine, maar kunnen mogelijk nog aktief zijn)

[typo's removed]

[ Voor 8% gewijzigd door Jeroen 98675432 op 11-07-2003 10:03 ]

vrijdag 11 juli 2003 10:09

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
JF_ schreef op 11 July 2003 @ 09:15:
Als je achter een NAT-router zit die geen porten doormapt dan *moet* de infectie een gevolg zijn van iets wat je zelf doet, of gedaan hebt. Waarschijnlijk heb je toch ergens een backdoor die zelf allerlei rotzooi op wil halen, slim genoeg is om zelf niet gepakt te worden door de virusscanner, maar te stom om z'n downloads te verbergen.
Temporary internet files helemaal leegflikkeren (preferably vanuit plain dos), alle patches voor IE installeren, ad-aware draaien, virusscanner draaien, daarna nog eens bekijken.
Ik heb dit dus gedaan gisteravond.
De logica van achter nat zitten had ik dus ook al gevolgd.
Gisteravond heb ik de hele lijst nagelopen en vond een aantal identieke programma's in grootte,een van de programma's had iets van monkey in de naam.
Een van de steeds opduikende besmette namen was payload.dat, iets van 77 K.
Laten we zeggen 77.100, bmonkey.exe was ook 77.100 het andere exe file was ook 77.100 en alle 3 hadden ze dezelfde datum en dezelfde tijd.
Dankzij http://www.answersthatwork.com/Tasklist_pages/tasklist.htm kon ik de reguliere er uit halen en bleven er een paar verdachte over.
Die heb ik gewoon gewist,ik heb immers toch een image.
Sinds gisterenavond heb ik geen alarm meer gekregen,het kan nog komen als ik opstart en daarom durf ik dat nog niet te doen, sinds gisteren staat de machine dus aan.
Ik zal die screenshots eens gaan maken.

vrijdag 11 juli 2003 10:11

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Jeroen98675432 schreef op 11 July 2003 @ 10:02:
Quarantaine al uitgeschakeld? Heb net ff alle berichten teruggelezen, maar ik zie herhaaldelijk dat de virussen in quarantaine worden gezet, en als ze daar eenmaal staan, "weet" je antivirussoftware dat, en worden deze bij een scan niet gemeldt. (ze zijn immers al ontdekt, en staan in quarantaine, maar kunnen mogelijk nog aktief zijn)

[typo's removed]
De volgende opties heb ik "when virus found"
1. automatic repair (recommended)
2. Try to repair, then quarantine
3. Deny acces to file

Onmiddelijk wissen zie ik er niet bij staan.

vrijdag 11 juli 2003 10:26

Acties:
  • Jeroen 98675432
  • Registratie: Januari 2000
  • Laatst online: 15-09-2021

Jeroen 98675432

Nick39 schreef op 11 juli 2003 @ 10:11:
[...]

De volgende opties heb ik "when virus found"
1. automatic repair (recommended)
2. Try to repair, then quarantine
3. Deny acces to file

Onmiddelijk wissen zie ik er niet bij staan.
Hmm, je zou het eens met de Client van Norton Antivirus Corporate Edition kunnen proberen, deze heeft die optie namelijk wel:

1. Action: Clean virus from file
2. If action fails: Delete infected file (hier staat default idd "quarantine infected file")

Ik heb het tot nu toe twee keer op een bedrijfsnetwerk meegemaakt, zowel de servers als de clients hadden de virussen naar de quarantine geschoven, en werden daar niet meer gemeld bij het scannen, maar toch telkens weer nieuwe infecties.
Na het wissen van de quarantines, en het instellen dat de geïnfecteerde files verwijderd moeten worden als herstellen mislukt, was alles opgelost. (tot op heden, knock on wood! :) )

vrijdag 11 juli 2003 10:38

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Screenshots:

http://home.wanadoo.nl/nse/temp1/1.jpg
http://home.wanadoo.nl/nse/temp1/2.jpg
http://home.wanadoo.nl/nse/temp1/3.jpg
http://home.wanadoo.nl/nse/temp1/4.jpg
http://home.wanadoo.nl/nse/temp1/5.jpg
http://home.wanadoo.nl/nse/temp1/6.jpg

en een virusmelding (sinds gisteravond dus niet meer gehad)
http://home.wanadoo.nl/nse/temp1/7.jpg

wordt wel een lang topic..bedankt admods
(ps..Met Predator gemaild en we zijn er uit samen)

[ Voor 12% gewijzigd door Nick39 op 11-07-2003 10:39 ]

vrijdag 11 juli 2003 10:38

Acties:
  • bakkerl
  • Registratie: Augustus 2001
  • Laatst online: 19-05 23:41

bakkerl

Let there be light.

In je draytek heb je geen port forwarding staan.
Hoe staat de optie van DMZ machine. Er is een instelling waar je verteld dat alle niet gespecificeerde poorten naar een bepaald ip adres moeten. Staat deze optie aan en wat zijn de instellingen daarvan.

Ik kan nu even niet kijken waar die instelling zit omdat ik niet thuis zit.

vrijdag 11 juli 2003 10:39

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
bakkerl schreef op 11 July 2003 @ 10:38:
In je draytek heb je geen port forwarding staan.
Hoe staat de optie van DMZ machine. Er is een instelling waar je verteld dat alle niet gespecificeerde poorten naar een bepaald ip adres moeten. Staat deze optie aan en wat zijn de instellingen daarvan.

Ik kan nu even niet kijken waar die instelling zit omdat ik niet thuis zit.
Weet wat je bedoeld maar DMZ staat dicht..ik ga niet zo maar even alle poorten open zetten voor elke applicatie ;)
Heb het toch voor alle zekerheid ff nagezocht..safety for all.

[ Voor 6% gewijzigd door Nick39 op 11-07-2003 11:09 ]

vrijdag 11 juli 2003 10:45

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
mlevd schreef op 11 July 2003 @ 09:26:
Heb je eventueel de moegelijkhied om een andere installatie cd van win 2k (en dan niet een andere cd van hetzelfde iso bestand oid) of een andere viruscanner installatie te gebruiken. Ik weet niet of je een officiele cd 2k hebt, maar het is in mijn ogen zeker het proberen waard als je de verhalen zo lees.
Nee helaas.. ik heb alleen de officiele versie en geen kopie of zo ergens liggen.
Deze werd ooit geleverd bij een pc en bleef achter ;)

vrijdag 11 juli 2003 11:41

Acties:

Verwijderd

kijk als je denkt dat je van buiten af besmet wordt, trek je toch gewoon je netwerkkabel eruit, scan/delete/opschoon actie etc >> als je na enige tijd dan nog geen virusmeldingen hebt gehad wordt je ongetwijfeld via een netwerkschijf ofzo besmet en waarschijnlijk vanaf een andere machine in je eigen netwerk... (disable guest account)

verder ga je proceslist af door elke exe in google in te tikken en te kijken wat het is... en staan er wel een paar tussen die me niks zeggen (bv " wowexec.exe"; maar dat kan ook een of ander proggie zijn wat je gebruikt)

[ Voor 4% gewijzigd door Verwijderd op 11-07-2003 11:41 ]

vrijdag 11 juli 2003 11:42

Acties:
  • bakkerl
  • Registratie: Augustus 2001
  • Laatst online: 19-05 23:41

bakkerl

Let there be light.

Ik bedoel dan de settings bij:
NAT setup -> DMZ Host setup

Wat zijn de instellingen daarvan?

vrijdag 11 juli 2003 12:08

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Verwijderd schreef op 11 July 2003 @ 11:41:
kijk als je denkt dat je van buiten af besmet wordt, trek je toch gewoon je netwerkkabel eruit, scan/delete/opschoon actie etc >> als je na enige tijd dan nog geen virusmeldingen hebt gehad wordt je ongetwijfeld via een netwerkschijf ofzo besmet en waarschijnlijk vanaf een andere machine in je eigen netwerk... (disable guest account)

verder ga je proceslist af door elke exe in google in te tikken en te kijken wat het is... en staan er wel een paar tussen die me niks zeggen (bv " wowexec.exe"; maar dat kan ook een of ander proggie zijn wat je gebruikt)
ehm :)
[rml]Nick39 in "[ Win2K] Virussen blijven terugkomen"[/rml]

De tasklist was ik al af gegaan en zoals je kan lezen is de link die daar staat stukken handiger dan google ;)

[ Voor 3% gewijzigd door Nick39 op 11-07-2003 12:11 ]

vrijdag 11 juli 2003 12:12

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
bakkerl schreef op 11 July 2003 @ 11:42:
Ik bedoel dan de settings bij:
NAT setup -> DMZ Host setup

Wat zijn de instellingen daarvan?
Dat bedoelde ik ook.

http://home.wanadoo.nl/nse/temp1/7.jpg

vrijdag 11 juli 2003 12:14

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Nick39 schreef op 11 July 2003 @ 12:12:
[...]


Dat bedoelde ik ook.

http://home.wanadoo.nl/nse/temp1/7.jpg
Ik ga dat vinkje echt niet aanzetten... dan is het welkom iedereen ;)
Overigens..sinds mijn cleanup actie van gisteravond half 12 is er geen melding meer geweest tot nu toe.

Oops..in plaats van edit op reply gedrukt..pffffff sorry

[ Voor 8% gewijzigd door Nick39 op 11-07-2003 12:14 ]

vrijdag 11 juli 2003 13:16

Acties:
  • Domino
  • Registratie: Juli 1999
  • Laatst online: 09:50

Domino

jpg1 :
- QD FastAndSafe, zonder koppeling naar een executable. Kan in principe eruit.
- Microsoft NetView, koppeling gesfm32.exe, mogelijk virus! : link naar mcafee

Dit zou ook gelijk verklaren waarom je last van het virus blijft houden, het komt van binnenuit het netwerk, zie ok mijn eerdere reactie.

jpg5 :
Beide entries zijn vrijwel nutteloos, mogen eruit, hoef echter niet.

jpg6 :
ISDNiD, zit je via dailup aan het inet?
stisvc, digitale camera?
ccApp, norton AV 2003?
connmngmntbox, kon hier geen info over vinden.
elogerr, PDA? waarschijnlijk palm based?
broadc~1.exe is moeilijk te zeggen, kan van de firewall blackice zijn.

rest is helemaal niets over te vinden.

Rest van de screenshots ziet er normaal uit.

[ Voor 10% gewijzigd door Domino op 11-07-2003 13:18 ]

vrijdag 11 juli 2003 13:33

Acties:

Verwijderd

Nick39 schreef op 11 July 2003 @ 12:08:
[...]

ehm :)
[rml]Nick39 in "[ Win2K] Virussen blijven terugkomen"[/rml]

De tasklist was ik al af gegaan en zoals je kan lezen is de link die daar staat stukken handiger dan google ;)
als het een virus is, staat er met google over het algemeen wel een linkje naar de mcafee site op de eerste pagina... en welke processen er van ms en een aantal bekende apps zijn weet ik toch wel... (try gesfm32.exe :))

vrijdag 11 juli 2003 16:07

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Domino schreef op 11 July 2003 @ 13:16:
jpg1 :
- QD FastAndSafe, zonder koppeling naar een executable. Kan in principe eruit.
Is Norton anti virus applicatie
- Microsoft NetView, koppeling gesfm32.exe, mogelijk virus! : link naar mcafee

Dit zou ook gelijk verklaren waarom je last van het virus blijft houden, het komt van binnenuit het netwerk, zie ok mijn eerdere reactie.
Deze had ik al verwijderd,niet de opstart maar het file zelf is weg
jpg5 :
Beide entries zijn vrijwel nutteloos, mogen eruit, hoef echter niet.

jpg6 :
ISDNiD, zit je via dailup aan het inet?
stisvc, digitale camera?
ccApp, norton AV 2003?
connmngmntbox, kon hier geen info over vinden.
elogerr, PDA? waarschijnlijk palm based?
broadc~1.exe is moeilijk te zeggen, kan van de firewall blackice zijn.

rest is helemaal niets over te vinden.

Rest van de screenshots ziet er normaal uit.
ISDNID is zo'n popup nummer melder.
connmngmntbox en broadc~1.exe zijn van het programma Nokia pc suite voor mijn 3650 telefoon.
Tot nu toe is de boel rustig.. ik juich nog niet maar met die deletes die ik gisteren gedaan heb ziet het er gunstig uit,nog geen alerts gevonden.
Bedankt voor je moeite alvast.

vrijdag 11 juli 2003 16:10

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Verwijderd schreef op 11 July 2003 @ 13:33:
[...]


als het een virus is, staat er met google over het algemeen wel een linkje naar de mcafee site op de eerste pagina... en welke processen er van ms en een aantal bekende apps zijn weet ik toch wel... (try gesfm32.exe :))
Die had ik gisteren al weg gegooid,reden was dat de datum en tijd steeds veranderde,op het momet dat ik een virus alarm kreeg was de tijd waarop het programma er op was gezet veranderd in die datum.
Het "mooie" is alleen dat dus geen enkel programma dat gesfm32.exe verdacht vond.

vrijdag 11 juli 2003 17:54

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
Okay, de bron van besmetting is ook duidelijk nu, mijn zoon had een soort van tunnel met server programma geinstalleerd op zijn eigen pc zodat hij vanuit school,via zijn pc toch op sites en msn kon komen.
Helaas had hij een probleem dat hij niet wist welk intern ip nummer hij moest gebruiken en dus had hij beide ip nummers maar doorgemapt.
Omdat hij op windows 98 draait zijn de wormen zelf aan hem voorbij gegaan.
De beperkte rechten die zijn pc op de mijne heeft waren blijkbaar toch voldoende om besmetting te veroorzaken.

De afgelopen 20 uur zijn er geen virus meldingen meer opgedoken,misschien ook omdat ik gisterenmiddag het master wachtwoord heb veranderd waardoor via de tunnel mijn pc niet meer bereikt kon worden en omdat zijn pc uit stond.
Ik denk dat ik het probleem nu beheersbaar heb.
Omdat de tunnel "uit" is konden de virussen (of hacker) niet meer via zijn pc in de mijne terecht komen.
Een echte infectie heb ik ook niet gehad omdat de payloads steeds werden opgemerkt en gewist voor de eigenlijke besmetting plaats kon vinden (gelukkig).

Ik wil iedereen hartelijk danken voor het meedenken en helpen.
Zonder de support in dit topic had ik denk ik nooit aan het denken gegaan en gaan zoeken naar een manier waarop men van buitenaf de pc binnen kon komen en had ik ook nooit de "tunnel" ontdekt.
Bedankt iedereen,nogmaals.

vrijdag 11 juli 2003 18:01

Acties:
  • Han
  • Registratie: Juli 2001
  • Niet online

Han

Nick39... ik zeg het nu voor de laatste keer, maak gebruik van de editknop (Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/edit.gif)

Lees nog eens goed onze huisregels door. Als je je nu niet aan die policy houdt dan volgen er andere maatregelen. Ik blijf niet bezig. Dus: wanneer je als laatste hebt gereageerd en je wilt nog iets toevoegen of reageren op een andere post dan doe je dat in je laatste post d.m.v. de editknop. Niet achter elkaar posten :(

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

vrijdag 11 juli 2003 18:43

Acties:
  • Nick39
  • Registratie: Mei 2003
  • Niet online

Nick39

Topicstarter
XceeD schreef op 11 July 2003 @ 18:01:
Nick39... ik zeg het nu voor de laatste keer, maak gebruik van de editknop ([afbeelding])

Lees nog eens goed onze huisregels door. Als je je nu niet aan die policy houdt dan volgen er andere maatregelen. Ik blijf niet bezig. Dus: wanneer je als laatste hebt gereageerd en je wilt nog iets toevoegen of reageren op een andere post dan doe je dat in je laatste post d.m.v. de editknop. Niet achter elkaar posten :(
Ik wilde vriendelijk zijn en iedereen bedanken.
Neem je maatregelen maar,ik post hier verder niet meer als vriendelijkheid zo beloond wordt en er een regime heerst van aan alle kanten vragen en smeken of iets misschien maar gepost mag worden.Bedenk maar eens goed of je je regeltjes niet te streng hebt gemaakt,dit soort opmerkingen vind ik in elk geval niet normaal.
Schrap mijn account maar en block mijn ip nummer maar en neem al die andere maatregelen maar.
Ik heb zoveel mogelijk mijn best gedaan om me aan de regeltjes te houden.
Het merendeel van de mensen hier post niet eens een bedankje als er iets is opgelost.

[ Voor 33% gewijzigd door Nick39 op 11-07-2003 18:47 ]

vrijdag 11 juli 2003 18:54

Acties:
  • Han
  • Registratie: Juli 2001
  • Niet online

Han

Nick39 schreef op 11 July 2003 @ 18:43:
Ik wilde vriendelijk zijn en iedereen bedanken.
Geen dank :)
Neem je maatregelen maar,ik post hier verder niet meer als vriendelijkheid zo beloond wordt en er een regime heerst van aan alle kanten vragen en smeken of iets misschien maar gepost mag worden.Bedenk maar eens goed of je je regeltjes niet te streng hebt gemaakt,dit soort opmerkingen vind ik in elk geval niet normaal.
Je verdraait iets :)

Jij hebt een probleem, jij bent te gast hier. Op dit forum hebben we huisregels om alles in goede banen te leiden, die zijn er niet om gebruikers te pesten ;)
Wanneer ik jou vriendelijk verzoek om 1 simpele regel in acht te nemen dan doe je dat gewoonweg niet. Dat terwijl je te gast bent. En ja, dan krijg ik het gevoel dat je de regels niet serieus neemt.
Schrap mijn account maar en block mijn ip nummer maar en neem al die andere maatregelen maar. Ik heb zoveel mogelijk mijn best gedaan om me aan de regeltjes te houden.
Het account hoeft niet te worden geschrapt, sterker nog, je hoeft niet weg :) De policy waarvan ik jou verzocht om je er aan te houden negeer je stelselmatig. Niet erg netjes :)
Het merendeel van de mensen hier post niet eens een bedankje als er iets is opgelost.
Omdat het een forum is weet iedereen dat elkaar helpen gewaardeerd wordt en dat is al een bevrediging op zich, geven en nemen. Maar als je iets verder kijkt zie je aan het einde van een topic heeeel vaak een bedankje ;)

Maar goed, dit topic heeft geen zin meer aangezien je hier niet weerkomt :)

[ Voor 3% gewijzigd door Han op 11-07-2003 19:02 ]

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

Pagina: 1

Dit topic is gesloten.