Nieuw virus: ylyf.exe? *

SA-FAQ - HELP ik heb een virus!
Probeer eens een online scan?

probeer eens in het register te zoeken naar die file naam en verwijder deze.

Waarschijnlijk is dat Yaha, of een variant. Google even op yaha, en update je virus scanner.

Start dan eens op in dos modes (dus geen command prompt en kieper het bestand met del weg.

Als jij hem afvinkt, vinkt het virus zichzelf weer na een aantal seconden aan. Omdat het actief is in je geheugen. Druk eens op CTRL+ALT+DEL, en kill de processen/taken die je niet vertrouwd. Vink dan die melding uit, en verwijder het bestand.

Heb je nu al gegoogled op 'yaha'?

Verwijderd schreef op 24 July 2003 @ 22:39:
juist het probleem ik krijg geen virusscan aan de praat (Mcafee Norton AVG...) !!

http://www.bitdefender.com/html/free_tools.php

Daar staan erg goede removal tools tussen

Kun je de file naar kav@home.nl sturen, of je krijgt direct een e-mail met welk virus het is, of ik zal het zo snel mogelijk (laten) analyseren.

Edit:

@ Sir_Killalot, moet hij 40+ tools uit gaan proberen?

Just remembered.
Draai dit proggie eens om te kijken of het een bekender virus is. klik hier

[ Voor 43% gewijzigd door Verwijderd op 24-07-2003 22:45 ]

Verwijderd schreef op 24 July 2003 @ 22:47:
Aan Schouw ....Zaterdag heb ik die pc zal die file doorsturen naar jullie...maar let toch op dat je hem ook niet aan je been hebt!!!

Het zal wel een bekende zijn en dan laat @home de file sowieso niet door, daarnaast maakt 1 extra virus erbij niet zoveel uit.

Check mijn proggie, das een (geloof ik) 38 in een, dat is een stukje sneller dan al die tools afzonderlijk proberen.

Edit: Je hebt ook een edit knop(net zoals ik ), gebruik die ipv. meerdere posts achter elkaar te maken.

[ Voor 11% gewijzigd door Verwijderd op 24-07-2003 22:51 ]

Verwijderd schreef op 24 juli 2003 @ 22:53:
thx aan iedereen zal dit allemaal uittesten zaterdag als het ziek beesje in mijn bezit is... thx..

Mooi, succes .

Zou je voortaan als je iets wilt toevoegen aan je vorige bericht, gebruik kunnen maken van de Edit-knop (). Dat houdt het topic overzichtelijk .

De naam van het exe bestand is willekeurig, en bestaat uit 4 letters. Vandaar dat ik meteen dacht aan Yaha-E.
De tekenreeks "%1" %* kwam me ook bekend voor, eveneens van Yaha-E.
Ik weet het vrij zeker, dus met een Yaha removal tool kun je het waarschijnlijk wel oplossen.

heb ik eerder gezien
staat n verwijzing naar dat exe bestand in de autoexec.bat.
kijk voor n online scan bij www.housecall.nl

Het werd je al eens gevraagd Croco0077, maar ik geloof niet dat het doordringt, dus nog een laatste maal: in plaats van meerdere keren onder elkaar te reageren, kun je je bericht wijzigen met de editknop ()... doe dat svp ook, in plaats van steeds onder jezelf te reageren

[ Voor 8% gewijzigd door Roelant op 24-07-2003 23:04 ]

Verwijderd schreef op 24 July 2003 @ 22:42:
aan ge-flopt....
zal ik eens proberen maar in ik heb ze weggeveegd in veilige modus. Ik dacht dat er dan niks gestart werd...of denk je dat de virus toch zou kunnen gestart worden?

Da's niet het zelfde. Als het virus een "normaal" windows bestand heeft geinfecteerd en je start in veilige modus is het virus ook actief. Gewoon opstarten in dos modus.

ge-flopt schreef op 24 July 2003 @ 23:32:
[...]

Da's niet het zelfde. Als het virus een "normaal" windows bestand heeft geinfecteerd en je start in veilige modus is het virus ook actief. Gewoon opstarten in dos modus.

Eerst maar eens afwachten wat voor virus het is, lastig doen kan nog wel als blijkt dat het een onbekend virus is.

Lijkt hetzelfde als toen ik eens met Sub7 was besmet.
Die has 2 instanties.
Als je de ene afsloot, starte de 2de deze weer op, visa versa hetzelfde
Zodra deze ontdekte niet meer in het register te staan, voegte hij zichzelf weer toe. Erg frustrerend, maar heb hem er toch uitgekregen

Ik meen dat ik iets heb gedaan als;
- Boot in veilige modes
- Verander het explorer pad naar het correcte. Dit voorkomt dat het virus wordt geladen elke keer dat er een EXE wordt gestart.
- Loop alle boot-files na (register, autoexec, win.ini, etc) na en verwijder alle vage dingen
- Boot opnieuw naar veilige modes.
- Controleer of al je wijzigingen nog kloppen. Zo niet, dan heb je iets over het hoofd gezien. Zo wel, kan je naar windows booten
- Heb je in windows weer het virus aan je reet, heb je stiekem toch wel iets over het hoofd gezien

Ik weet dat het mij toen een aantal uurtjes zoet heeft gehouden, dus veel plezier..

Ik denk dat dit de boosdoener is:

It copies itself in C:\Recycled (or C:\recycler) with a 4 character random generated file name and it will add a key in registry so it will be executed every time user starts an exe file:
HKCR\exefiles\shell\open\command\ Default
With value C:\Recycled\xxxx.exe %1 %* where xxxx is the random generated file name

Hier de info:
http://www.bullguard.com/antivirus/vit_yahaa_d.aspx

En hier de oplossing:
http://www.dossier.net/scan/RTVR/tools.php

Succes (en post nog even of het allemaal gelukt is)