idd, probleem is dat ik zo'n ding niet meer heb liggen, m'n laptop heeft er wel een maar daar staat gentoo opDJSmiley schreef op 15 augustus 2003 @ 23:36:
[...]
ff een telefoonmodempje erin, en met een paar min ben je de lul
gewoon ff inbellen bij een andere provider
If it ain't broken it doesn't have enough features
Wat jij doet in je vrije tijd op je eigen PC is natuurlijk jouw zaak (zelfeducatie is altijd een goed iets), maar dit forum is geen worm/virus/trojan of anderszins bestandenuitwisselbord. Als jij zo graag die worm wilt hebben kun je ook je PC als honingpot ongepatcht 2 minuten aan internet hangen (zolang deed ik er over om een testPC met 2 wormen [Blaster en Cirebot] besmet te krijgen).
[ Voor 80% gewijzigd door Verwijderd op 16-08-2003 00:15 ]
Zeg niet reïnstall, want die gozer moet nog een backup maken van al zijn bestanden eerst...
Owjah, er is inmiddels weer een andere versie uit aangezien geen van de tot nog toe genoemde bestandsnamen te vinden waren op zijn PC (in de korte tijd die ik kreeg)
[ Voor 15% gewijzigd door Fludizz op 16-08-2003 03:22 ]
Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P
En zodra je alles binnenhebt wat je nodig hebt, de bak van internet aftrekken en de gehele patch/clean en check cyclus aflopen uit de startpost van dit topic...Tijdelijke RPC-crashworkrounds
Mocht je moeite hebben om de RPC patch te downloaden (omdat RPC elke keer crasht): Start > Instellingen > Configuratiescherm > SysteemBeheer > Services (of start > uitvoeren en "services.msc" intoetsen). Daar Remote Procedure Call (RPC) opzoeken en eigenschappen opvragen. Bij het tabblad SysteemHerstel zitten 3 selectievakken voor 1e, 2e en volgende fouten: "Computer opnieuw opstarten". Zet deze alle 3 op "Service opnieuw starten". Op die manier kun je iig de update binnenhalen. Vergeet niet deze instellingen terug te zetten, het is namelijk geen goed idee om door te werken met een RPC-service die op zijn gat ligt.
Andere manier: Start > Uitvoeren: "shutdown /a" om tijdelijk het afsluiten tegen te gaan.
Overigens kan de PC ook crashen zónder besmetting (RPC-bufferoverflow zonder worm of hardware, driver, software en operatingsysteem fouten -> Windows XP en 2000 BSOD guide)...
[ Voor 30% gewijzigd door Verwijderd op 16-08-2003 05:34 ]
Huh? Als jij Outlook kan gebruiken over de Windows poorten via het Internet dan vraag ik me af wat voor zooitje het op de Exchange server moet zijn waarnaar je connect.Verwijderd schreef op 13 August 2003 @ 23:29:
paella: Niet allemaal onder de 1024 hoop ik voor je. Ik ben al blij als ze 135-139, 445 en 593 zouden blocken op ISP nivo. Die hebben wat mij betreft niks op internet te zoeken. Zie ook: http://www.securityfocus....5/2003-08-11/2003-08-17/0
quote]
Is juist heel irritant al die providers die 135 nu blokkeren enzo, probeer dan maar eens met Outlook Exchange te werken
Je bent als sys/netwerk admin toch wel een beetje van de pot gerukt als je dergelijk inkomend verkeer via het internet toestaat.
Nooit gehoord van IMAP zeker?
Waarschijnlijk zal Windows Update dus niet platgaan.Windowsupdate.com goes AWOL
Microsoft takes precautions against Blaster, we suppose
By INQUIRER staff: vrijdag 15 augustus 2003, 15:53
A CLICK ON www.windowsupdate.com gives an invalid URL message when you click on it today, but that doesn't mean it's gone forever.
Microsoft said that the site had been subjected to a denial of service attack, according to Network World Fusion, but it wasn't anything to do with the Blaster worm or the power down in the US.
We thought initially that Microsoft had removed the page, which was accessible earlier this week, to avoid it being deluged by attacks launched courtesy of the Blaster worm that's made waves all week.
Apparently not.
If you click on the "Windows Update" button on the menu in Windows 2000 or Windows XP, the update page still comes up, but with a slightly different address.
Telkens als ik updates aanklik en wil downloaden gebeurd er niks en geeft hij een fout melding aan (vervelend
[ pctje te zien hier ] - Miauw
Verwijderd
Hij loopt niet vast met een melding het is gewoon zo dat mijn pc ineens blijft hangen, verder geen melding. Ik heb die patch van me pc gehaald, k neem aan dat m'n firewall hem wel tegenhoudt en hoop dat ik nu geen last meer heb van vastlopers.Verwijderd schreef op 15 August 2003 @ 23:40:
Neelis: Met welke foutmelding loopt hij vast? Heb je al in de logfiles gekeken? Ook hier al gekeken: Windows XP en 2000 BSOD guide
Zijn er meer mensen die problemen hebben met de patch?
- niet kunnen deïnstalleren van de patch (schijnt samen te hangen met problemen van logging van geïnstalleerde hotfixes/SP's [%systemroot%\system32\catroot2] door de eerdere infectie / scandisk-errors ivm reboots)
- opstart of afsluitproblemen (schijnt samen te hangen met netwerk-timeouts door de veranderde RPC DLL's)
http://windowsupdate.microsoft.com/ werkt hier gewoon hoor...
(a822.cd.akamai.net -> 62.4.69.1-255)
[ Voor 34% gewijzigd door Verwijderd op 16-08-2003 14:04 ]
Maar mijn firewall staat uit.We have determined that you have a firewall blocking UDP ports!
Dus ik ben veilig denk ik dan maar weer, bij alle andere tests stond ook overal blocked.
[ Voor 8% gewijzigd door Max|Burn op 16-08-2003 14:12 ]
Verwijderd
PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ?
[ Voor 20% gewijzigd door Verwijderd op 16-08-2003 14:28 ]
Verwijderd
PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ? Het betreft overigens poort 5000.
[ Voor 8% gewijzigd door Verwijderd op 16-08-2003 14:34 ]
Nu wil ik natuurlijk ook nog de nieuwste patches draaien, dus naar http://windowsupdate.microsoft.com/
Ik selecteer maar liefst 27 critical patches druk op OK en dan laadt ie zo genaamd alle onderdelen heel snel na elkaar. Dan zie ik alle onderdelen in het rood met de foutmelding dat alle updates zijn mislukt...
iemand hier ook ervaring mee?
Verwijderd
Tnx man ! Nu kom ik wel 100 % door die scans.Verwijderd schreef op 16 August 2003 @ 16:02:
bones2: start > uitvoeren > services.msc en dan in je lijst van services: "Universele Plug en Play-apparaathost" op uitschakelen zetten. Dit is alleen voor als je een koelkast oid hebt die via internet wil kijken of de melk in de aanbieding is en bestellen etc (uPNP is NIET hetzelfde als PnP voor hardwareaansturing en stuurprogramma's). - Dit zorgt er oa voor dat je poort 1900/5000 niet meer luisterd(en dus gesloten is).
Verwijderd
DNS 53 OPEN
Hoe kan ik deze dicht krijgen?
Als ik dat doe kan ik dan niet meer het inet op met adressen ipv nummers??
Greetz
Overigens heb ik gisteren onbedoeld het experiment van euss herhaald. Ik was namelijk Win XP op een Pentium II 350Mhz (overgeklokt naar 400MHz
Gelukkig wist ik inmiddels precies wat te doen, dus MSBLAST was er snel weer af. Maar toch.... best irritant
[ Voor 3% gewijzigd door Tweeke op 17-08-2003 12:19 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Virusscanner wordt auto gekilled en wormscanproggie vind niks?
updaten hij niet?
ohoh!
Gister was ik wormpie vrij en gepatched. Nu start ik op en heb ik dit!!!
edit:
FP zegt shutdown /a maar het is toch shutdown -a
Mmm nu gerestart en krijg ik een PAGE_FAULT_IN_NONPAGE_AREA bluescreen
Weer gerestart serious error gezeur, daarna nog een keer gepatched en is goed gegaan. Stinger en Kaspersky ClearAV geven schoon systeem. Norton runt weer. Housecall ben ik nu aan het runnen/testen.
Security log router/firewall
08/17/2003 14:15:34 **SYN Flood to Host** 192.168.2.102, 1167->> 213.239.154.35, 80
Van mijn lokale naar iemands anders?????
Snap er niks van hoe mijn geupdate/gepatchde systeem in een keer besmet kan zijn en blijkbaar gelijk ook al verzend?
Iemand?
edit2:
WTF 213.239.154.35 = tweakers.net
[ Voor 44% gewijzigd door Verwijderd op 17-08-2003 14:37 ]
Over die update-error: je zou de catalogus kunnen renamen zodat hij opnieuw gestructureerd wordt aangemaakt. -> Verwijderd in "RPC crash/shutdown 'vraag bak' - deel 2"
*SYN Flood to host* - kán ook een te strak afgestelde firewall zijn - bijvoorbeeld >50 Syn pakketjes en je firewall zegt dat het een flood is (en omdat de firewall té dicht staat komen de Ack pakketjes niet aan waardoor er nóg meer Syn's verzonden worden).. [IP is inderdaad: acidalia.tweakers.net en is geen Windowsbak die jouw PC van LoveSAN kan voorzien] Mijn advies is om eens goed naar de firewallregels te kijken of die niet té strak staan (en de onnodige services uit te zetten, zoals FTP, LDAP etc die je niet gebruikt) - én even die bak offline te trekken en te scannen met een fullversion virusscanner.
[ Voor 36% gewijzigd door Verwijderd op 17-08-2003 16:43 ]
(als ik nu niet via Knoppix zat zou ik Virtual PC starten en ff windows bakje ervoor openen, maarja HDD naar de RMA)
Ik ga in ieder geval proberen of ik morgenavond de pc van die vriend van me kan desinfecteren op een of andere manier..
[ Voor 15% gewijzigd door Fludizz op 17-08-2003 22:10 ]
ik heb t virus verwijdert door middel van die fixblast tool, van symantec, dus ik neem aan dat t weg is??Tweeke schreef op 17 August 2003 @ 12:16:
Kurvers: nadat het virus is verwijderd zou je pc niet langzamer mogen zijn dan vóór het virus. Is dat wel het geval, dan ligt het dus aan iets anders. Maar heb je al goed gecheckt of het virus wel écht weg is?
Greetz
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
| @echo off rem DCOM RPC service vulnerabilty Worm/Trojan Removal Tool rem made in a hurry by euss @ GoT rem currently removes: rem - W32.LoveSAN/Blaster Worm A/B/C/D rem - W32.Randex.E Trojan rem - Exploit.Win32.DCom rem - Worm.Win32.Autorooter/Backdoor.IRC.Cirebot rem - W32.Welchia.Worm @TASKKILL /S systeem /F /IM MSBLAST.EXE /T > NUL @TASKKILL /S systeem /F /IM TEEKIDS.EXE /T > NUL @TASKKILL /S systeem /F /IM ROOT32.EXE /T > NUL @TASKKILL /S systeem /F /IM PENIS32.EXE /T > NUL @TASKKILL /S systeem /F /IM NSTASK32.EXE /T > NUL @TASKKILL /S systeem /F /IM WINLOGIN.EXE /T > NUL @TASKKILL /S systeem /F /IM RPC.EXE /T > NUL @TASKKILL /S systeem /F /IM TFTPD.EXE /T > NUL @TASKKILL /S systeem /F /IM RPCTEST.EXE /T > NUL @TASKKILL /S systeem /F /IM LOLX.EXE /T > NUL @TASKKILL /S systeem /F /IM DCOMX.EXE /T > NUL @TASKKILL /S systeem /F /IM MSPATCH.EXE /T > NUL @TASKKILL /S systeem /F /IM Dllhost.exe /T > NUL @attrib %WINDIR%\System32\MSBLAST.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\TEEKIDS.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\ROOT32.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\PENIS32.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\RPC.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\TFTPD.EXEE -r -s -h -a > NUL @attrib %WINDIR%\System32\RPCTEST.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\LOLX.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\DCOMX.EXE -r -s -h -a > NUL @attrib C:\RPC.EXE -r -s -h -a > NUL @attrib C:\TFTPD.EXEE -r -s -h -a > NUL @attrib C:\RPCTEST.EXE -r -s -h -a > NUL @attrib C:\LOLX.EXE -r -s -h -a > NUL @attrib C:\DCOMX.EXE -r -s -h -a > NUL @attrib %System%\nstask32.exe -r -s -h -a > NUL @attrib %System%\winlogin.exe -r -s -h -a > NUL @attrib %System%\win32sockdrv.dll -r -s -h -a > NUL @attrib %System%\yuetyutr.dll -r -s -h -a > NUL @attrib %System%\MSPATCH.EXE -r -s -h -a > NUL @attrib %System%\Wins\Dllhost.exe -r -s -h -a > NUL @attrib %System%\Wins\Svchost.exe -r -s -h -a > NUL @del %WINDIR%\System32\MSBLAST.EXE > NUL @del %WINDIR%\System32\TEEKIDS.EXE > NUL @del %WINDIR%\System32\ROOT32.EXE > NUL @del %WINDIR%\System32\PENIS32.EXE > NUL @del %WINDIR%\System32\RPC.EXE > NUL @del %WINDIR%\System32\TFTPD.EXE > NUL @del %WINDIR%\System32\RPCTEST.EXE > NUL @del %WINDIR%\System32\LOLX.EXE > NUL @del %WINDIR%\System32\DCOMX.EXE > NUL @del C:\RPC.EXE > NUL @del C:\TFTPD.EXE > NUL @del C:\RPCTEST.EXE > NUL @del C:\LOLX.EXE > NUL @del C:\DCOMX.EXE > NUL @del %System%\nstask32.exe > NUL @del %System%\winlogin.exe > NUL @del %System%\win32sockdrv.dll > NUL @del %System%\yuetyutr.dll > NUL @del %System%\MSPATCH.EXE > NUL @del %System%\Wins\Dllhost.exe > NUL @del %System%\Wins\Svchost.exe > NUL |
Kurvers: anders test je het met de andere removaltools of met een volledige virusscanner.
[ Voor 20% gewijzigd door Verwijderd op 18-08-2003 20:53 ]
Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...Verwijderd schreef op 18 August 2003 @ 00:42:
Fludizz: je kan het ook doen door een batchfile in je Geplande taken te zetten:
code:
1 [..batchfile..]
[..]
zullen we het er maar op houden dat het laat is... winlogin... niet winlogon
[ Voor 14% gewijzigd door Fludizz op 18-08-2003 02:43 . Reden: thnx poster onder mij ]
Verwijderd
winlogin != winlogonFludizz schreef op 18 augustus 2003 @ 02:27:
[...]
Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...
Heb trouwens vanavond een paar AVs getest op detectie van de exploit tools..
Niet echt iets om heel vrolijk van te worden, maar moet morgen nog eens kijken dat ik ze even alle tools verzamel die betrekking hebben op deze exploit en dan nog eens testen.
RAV/CA/F-Prot/Trend kunnen het theoretisch al niet meer goedmaken zo 'goed' deden ze het.
(verwachte) testresultaten: Kaspersky een kleine voorsprong op McAfee, een gat met niets, nog meer niets, RAV/CA, F-Prot/Trend.
(De laatste: 519.168 bytes / v5.1.2600.1106 / Toepassing Windows NT-aanmelding)
dezelfde leesfout waar jij voor valt is de truuk die de trojan gebruikt om ongestoord in je systeemmap te "nestelen".
Maar dat is het voordeel van een batchfile boven een door 3e geschreven gecompileerd programma: je kan zelf controleren wat het doet/de bedoeling is.
[ Voor 26% gewijzigd door Verwijderd op 18-08-2003 07:41 ]
kheb net nog us gescant met het programmatje van mcafee (stinger)
en dit is wat mijn report filetje zegt:
C:\WINDOWS\System32\win32sockdrv.dll
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\System32\win32sockdrv.dll could not be repaired.
C:\WINDOWS\system32\nstask32.exe\nstask32.exe\00003460.EXE
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\system32\win32sockdrv.dll
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\system32\win32sockdrv.dll could not be repaired.
Number of clean files: 73537
Number of Trojans: 3
Enig id wat deze files doen???
en ik neem aan dat hij die ntask wel heeft kunnen repareren??
Greetz
Ook je virusscanner en firewall up to date houden en geen gebruik maken van Windows services als virtual desktop enzo.
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Meer info: http://vil.nai.com/vil/content/v_100557.htm
Virussen? Scan ze hier!
De varianten op Blaster die we tot nu toe gezien hebben waren niet gevaarlijker dan het origineel.
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Moth7, demon, en ik hebben een eigen removal tool gemaakt, wat behoorlijk wat sneller is dan die van bijvoorbeeld symantec.
Het gaat mij hier eigenlijk vooral om de feedback op het programma.
Het is open source, maar we betwijfelen of we een plekje krijgen op sourceforge.
Hier is de sourecode.
En hier is het programma met de readme.
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof
Van mijn kant krijg je (opbouwende) kritiek. Mensen gedwongen een patch opdringen, die nota bene hetzelfde lek benut als de worm zelf is ronduit ongepast. Mijns inziens is het niet goed te praten -ook al is het vanuit het oogpunt mensen te helpen- dat je op zo'n manier inbreuk maakt op de privacy. In feite zou het namelijk net zo goed spyware kunnen zijn, die je gebruik laat maken van de RPC-exploit.Verwijderd schreef op 18 August 2003 @ 14:29:
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof
Ik heb ook zo het vermoeden dat zowel de mensen die jij met het progje probeert te helpen als Microsoft, niet blij zijn met een removal tool die van het lek gebruikt maakt. Dus is het misschien maar goed ook dat je het niet op die manier hebt verspreid.
Overigens vind ik het initiatief om een removal-tool te maken zeker bewonderswaardig
Hmm....ik moet wat wat meer tekst in 1 post stoppen, excusez moi.
Ik zou eerder een bekende removal tool aanraden omdat de eventuele bugs daar sneller ontdekt en verholpen worden. Maar belangrijker nog, verplaats je eens in de positie van een n00b die besmet is met Blaster: Het laatste wat je dan nog wil is malafide progjes op je pc, men wordt nu eenmaal heel huiverig na besmetting met een virus. Het gaat mij niet lukken om dan iemand een 'heel goed' progje van een 'mede-tweaker' te laten gebruiken.
Ik gruw er net als jij ook enorm van als het alleen maar gaat om het feit dat Norton en Mcafee groot en bekend zijn: Een n00b weet helaas niet anders en ik heb het opgegeven om eerst een half uur te besteden aan het 'omlullen' van mensen.
Daarentegen, als ik zelf de worm moet verwijderen in de toekomst zal ik zeker aan jouw removal tool denken. Ik ga hem vandaag of morgen ook even testen op een vulnerable systeem :)'
EDIT: just tested. Werkt perfect en snel. Mijn complimenten. Overigens komt een deel van mijn kritiek meteen te vervallen, want het progje en de readme file zien er vertrouwenswekkend uit!
Een tip: rename het zipje ook even naar blastshield.zip i.p.v. blast.zip. Nu lijkt het namelijk net alsof je msblast in zip-verpakking krijgt aangeboden
[ Voor 37% gewijzigd door Tweeke op 18-08-2003 15:23 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf".
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg?
ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter
edit= kijk, ik hoor andere dingen als je eenmaal het progie hebt uitgeprobeerd
Ik zal het zo renamen, zat er al over na te denken na 10 keer de vraag "is dat een shield of het virus.."
Ik heb eigenlijk qua n00bs meer het gevoel dat ze alles van je aannemen zolang het maar snel en makkelijk verwijderd word, vandaar de simpele en snelle opzet van het programma.
[ Voor 52% gewijzigd door Verwijderd op 18-08-2003 17:16 ]
wildhagen: info toegevoegd aan topicstart en Batchfile aangepast. Bedankt voor het melden
[ Voor 54% gewijzigd door Verwijderd op 18-08-2003 19:34 ]
Verwijderd schreef op 18 augustus 2003 @ 14:58:
Zoals je zelf al zegt, gelukkig hebben we dit niet gedaan.
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf".
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg?
ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter
Zeeeeeeeeeeer snel!
Verwijderd
Lijkt erop dat je niet door een lovesan variant bent besmet maar met wat anders.
Dat betekent dus hoogstwaarschijnlijk dat iemand op je pc heeft lopen snuffelen, daarom raad ik je aan een full scan te doen met Kaspersky en McAfee.
Bescherming tegen de rpc exploit doet niet echt veel tegen een (injected) backdoor..
Verwijderd
Hebben r3mc0 en co zich bedacht?
Symantec:W32.Welchia.WormInitial analysis has determined that the worm looks for the existence of Msblast.exe, dropped by the W32.Blaster.Worm, and deletes it if present.
The worm also attempts to download the DCOM RPC vulnerability patch from Microsoft's update site. If the update has been successful, the worm will reboot the computer so the update takes effect.
Trend:WORM_MSBLAST.D
Ben ik ook wel benieuwd naar ja. Maar goed, zij zullen vast niet de enigen zijn die bedacht hebben om blaster te bestrijden via de RPC-exploit...Verwijderd schreef op 18 August 2003 @ 17:51:
Hmm, Trend en Symantec hebben nu ook een lovsan.d, maar met andere filename, zij hebben het over dllhost.exe...
Hebben r3mc0 en co zich bedacht?
Het zou natuurlijk goed kunnen dat er 'per ongeluk' een kopietje van de worm van r3mc0 over het internet is gevlogen. Of niet helemaal per ongeluk, maar 'for testing purposes'. Maar laten we daarvoor even de reactie van r3mc0 afwachten
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Het probleem bij het verspreiden lag bij ons bij de spreader, die konden wij niet programmeren en daarom hebben we dat dus ook niet gedaan.
Daarnaast zit er in ons programmaatje geen automatische update functie, wel een functie die de update link aan de favorieten toevoegd.
Het zou natuurlijk zeer goed kunnen dat iemand anders het wel is gelukt om de spreader te coden, er een update funtie bij heeft gezet, en heeft verstuurd.
Maar hiervoor wil ik eerst naar de code kijken, om te zien of het overeenkomt (en om te zien wat ons niet is gelukt om te coden
Maar toch nog even een vraagje aan allen: als je de nieuwe variant op je pc hebt (de anti-MSblast worm dus), zou je dan even naar de source code kunnen kijken? Wellicht is de source code van r3mc0 en co wel gebruikt
EDIT: sorry voor het herhalen wat r3mc0 eigenlijk ook al typte
[ Voor 12% gewijzigd door Tweeke op 18-08-2003 20:39 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
De worm die pc's wil fixen blijft tot 1 januari 2004 op de pc staan, dat houdt dus in dat tot die tijd, er constant wordt gescand naar andere pc's, of dat nou zo handig is..
Verwijderd
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen
edit= godzijdank is die ander dicht, vond het al oneerlijk worden
[ Voor 16% gewijzigd door Verwijderd op 18-08-2003 21:05 ]
Verwijderd
Dus jouw "virus" blijft voor altijd op je pc en blijft maar scannen? Over bandbreedte verspillen gesprokenVerwijderd schreef op 18 August 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ?
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen
edit= godzijdank is die ander dicht, vond het al oneerlijk worden
[ Voor 4% gewijzigd door Verwijderd op 18-08-2003 21:06 ]
Maar wie zegt dat het jouw sourcecode is (maar dan aangepast)? Wie weet is er iemand die hetzelfde idee had?Verwijderd schreef op 18 augustus 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ?
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen
edit= godzijdank is die ander dicht, vond het al oneerlijk worden
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Ik zeg niet dat het mijn sourcecode MOET zijn, maar het zou kunnen, daarom wil ik ook de source zien, want je weet maar nooit
Check deze dan: http://securityresponse.s...ata/w32.welchia.worm.html
Oftewel de blaster-cleaner-worm
Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Verwijderd
Dus hoe krijgen we dit eruit??
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Verwijderd
Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?k-oz schreef op 19 augustus 2003 @ 12:24:
je kunt het bestand niet verwijderen?
[ Voor 17% gewijzigd door Verwijderd op 19-08-2003 12:44 ]
lijkt me eerder dat er via tftp geprobeerd is een file te downloaden. Mogelijk zelfs via een andere bug, je zag die meldingen ook bij de IIS Unicode exploit.Verwijderd schreef op 19 August 2003 @ 12:39:
[...]
Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?
Update je bak volledig, gooi de besmette files weg, en kijk dan nog eens.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Overigens is het niet de eerste keer dat er wormen zijn die andere wormen/exploits bestrijden:
- AntiADM (5/1998) [Max Vision]
- Millenium (8/1999) [Mixter]
- Cheese (5/2001) [onbekend]
- Code Green (9/2001) [Der HexXer]
- CRClean (9/2001) [Markus Kem]
- ...etc...
[ Voor 54% gewijzigd door Verwijderd op 19-08-2003 19:46 ]
http://www.rtlz.nl/(/fina...obig_zeer_zwaar_virus.xml
EDIT de gehele link selecteren ander werkt het niet. www.rtlz.nl kan ook en dan staat er in het beging al iets over het virus
[ Voor 20% gewijzigd door Robthebest op 19-08-2003 19:10 ]
Verwijderd
Daarnaast beweert rtlz dat lovesan e-mails verstuurt...
maw: haal je info van security sites, dan weet je bijna zeker dat het klopt.
/me die zelfs de vendors er af en toe op betrapt foutjes te maken in hun write-ups..
Verderop hebben ze het eigenlijk alleen maar over sobig: welchia wordt niet meer genoemd na de gewraakte kwoot.Sinds vandaag razen twee zeer agressieve email-virussen rond de wereld. De virussen, W32.Sobig.F en W32.Welchia.Worm, stelen vertrouwelijke informatie van computers.
Overigens is het paniek-verhaaltje te verklaren uit het volgende:
Tja, als het dicht bij huis komt, dan wordt het wel heel eng....Om een voorbeeld te geven van de impact van het virus: alle 800 medewerkers van HMG/RTL konden dinsdagmiddag enige tijd niet mailen, omdat het gehele mailsysteem uit de lucht moest worden gehaald.
[ Voor 10% gewijzigd door Tweeke op 19-08-2003 19:31 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
De W32.Welchia.Worm steelt imo geen vertrouwelijke informatie en zet geen trojans op het systeem. Het is een zogezegde "white worm" die als nadelen heeft dat hij illegale acces neemt, hogere load en bandwidth gebruikt en zichzelf niet gelijk verwijderd na patching pas in 2004). Bovendien is het een beetje lastig om automatisch gepatcht te worden zonder dat er een backup is gemaakt...De virussen, W32.Sobig.F en W32.Welchia.Worm, stelen vertrouwelijke informatie van computers.
Wat betreft W32.Sobig.F, die heeft zijn eigen topic: [rml][ VIRUS/WORM] Sobig.F[/rml]
Tweeke: een Tweaker is niet noodzakelijkerwijs overal expert in
over je edit: dat is ook weer zo
[ Voor 50% gewijzigd door Verwijderd op 19-08-2003 19:58 ]
Ik kwoot rtlz alleen om te laten zien hóe fout de info is die ze geven....ze lullen maar wat raak. De tweakers hier hoef je daar echt niet van te overtuigen hoorVerwijderd schreef op 19 August 2003 @ 19:31:
[...]
De W32.Welchia.Worm steelt imo geen vertrouwelijke informatie en zet geen trojans op het systeem. Het is een zogezegde "white worm" die als nadelen heeft dat hij illegale acces neemt, hogere load en bandwidth gebruikt en zichzelf niet gelijk verwijderd na patching pas in 2004). Bovendien is het een beetje lastig om automatisch gepatcht te worden zonder dat er een backup is gemaakt...
Wat betreft W32.Sobig.F, die heeft zijn eigen topic: [rml][ VIRUS/WORM] Sobig.F[/rml]
Euss: Ja, maar ze kunnen wel heel makkelijk even naar trendmicro/f-secure/symantec surfen voor betrouwbare informatie om te verifieren of het geblaat van RTLZ enige waarheidszin heeft Een gemiddelde tweaker heeft ook een grotere interesse in het wel en wee van het internet
[ Voor 19% gewijzigd door Tweeke op 19-08-2003 19:56 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
naja ik had het zelf niet echt doorgekeken
"Is your mother proud of you ?"
Verwijderd
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?
"Is your mother proud of you ?"
Printer monitor doet het (nog steeds) niet meer..
Met de removers niet aangetroffen. Alleen die dllhost.exe..
Ik heb ook gezocht met de 'hand' echter, niets gevonden.
Wat kan ik nog meer doen?
Boom......Boom......Boom......Boom......Boom......booooooooooom
"Is your mother proud of you ?"
Reut: de Batchfile al geprobeert in veilige modus? Systeem sowieso patchen en kijken welke taken allemaal draaien (en in je registry onder \run staat)
[ Voor 13% gewijzigd door Verwijderd op 19-08-2003 22:35 ]
Verwijderd
Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.
Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Controleer gelijk welke processen er allemaal in de achtergrond draaien: CTRL-Shift-Esc (WinXP) / CTRL-ALT-Delete
TFTP.EXE mag je wat mij betreft deleten (of jij moet een gegronde reden hebben: tftp wordt gebruikt als mini [tiny!] ftp-servertje en is een geldig Windows bestand)...
Sockspy.dll is sowieso geen Windows Systeemfile - en mag je ook deleten.
[ Voor 186% gewijzigd door Verwijderd op 20-08-2003 01:15 ]
Verwijderd
Scan je systeem met Kaspersky, of eventueel McAfee.Verwijderd schreef op 19 August 2003 @ 23:40:
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Deze twee zijn veruit superieur aan de rest als het over de dcom exploit tools gaat..(Kaspersky nog ietsje beter dan McAfee)
(Mocht je er voor kiezen om met Kaspersky te scannen, dan is het nog het allerhandigste om de extended bases te gebruiken, mocht je niet weten hoe dat werkt, jusk ask).
Verwijderd
Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...
Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...
UPDATE:
clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.
[ Voor 22% gewijzigd door Verwijderd op 20-08-2003 12:36 . Reden: Update ]
Verwijderd
Dat is volgens mij niet iets dat door lovesan/welchia wordt veranderd..clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open
Ik wil je toch aanraden om je bak met Kaspersky(of McAfee) te scannen.
Verwijderd
Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen
[ Voor 58% gewijzigd door Verwijderd op 20-08-2003 14:30 ]
Verwijderd
Ja, maar die scant niet voor alle expliots die er zijn, het KAV zelf wel..clrav.com is toch van Kapersky ?
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
Omdat je nog steeds last hebt/had van vage verschijnselen raadde ik aan om je systeem eens volledig te scannen met een complete scanner.
Als alles ok blijft gaan zal het wel goed zijn, heb me niet echt heel goed verdiept in de verschijnselen van welchia, maar als je vanavond ineens weer kuren krijgt kan het dus een 'hacker' zijn..
Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.Verwijderd schreef op 20 August 2003 @ 15:06:
[...]
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
[ Voor 6% gewijzigd door Wildfire op 20-08-2003 16:03 ]
Verwijderd
Er is geen enkele firewall die code injection tegenhoudt..Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
Zoek het maar op, heb het zelf getest, het is veel getest door anderen..
Wildfire, er zijn ook zat trojans/exploits die zich speciaal richten op firewalls... Kwestie van de processen van firewall killen, infecteren, en je firewall gaat nooit meer aan... Simpele regel: besmetting binnen, niets vertrouwen...
[ Voor 25% gewijzigd door Verwijderd op 20-08-2003 16:46 ]
Verwijderd
Het is niet schadelijk..
Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.
Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..
Verwijderd
Met code injection bedoel ik het infiltreren van malware in de adress space van een prog wat vertrouwd is en/of veel rechten heeft (denk aan je firewall prog zelf). Schouw heeft gelijk dat in principe geen enkele firewall dat tegen kan houden doordat het mogelijk is dmv een fundamentele zwakheid in windows. Meerdere zelfs, zoek maar eens naar een paper wat "shatter exploits" beschrijft.Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
Echter ik heb Outpost Firewall Pro 2 en die detecteerd het als er een nieuwe module in de adress space van welk proces dan ook verschijnt die nog niet tijdens het laden van die exe was geimporteerd. Het is best slim moet ik zeggen, alleen het kan dan al wel te laat zijn want die dll kan ondertussen allang geinfiltreerd zijn in de code en die dll laten voor wat ie is....
Microsoft zwijgt dit dood en het is maar hopen dat er geen worm komt die ook dit uitbuit, en ook nog eens intelligent is want dan hebben we echt een probleem....
euss: Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat... die mogelijke hacker kon niks uploaden op mn sys aangezien ik alle tftp etc heb geblockt (altijd al).
Verwijderd
Ga eens met bitdefender op zoek naar kazaa virussen...Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat...
Als het 5% vindt, doet het het goed..
Ik zal zo eens even kijken hoeveel dcom exploits het vindt van diegene die ik heb.
Kaspersky kan files detecteren die gemaakt zijn met een generator..
Heb het er met Eugene over gehad en die was blij dat implementatie van dit geintje nogal lastig is en niet al te mainstream.
Ik zal ook eens kijken wat Outpost er van bakt.
Verwijderd
Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.
[ Voor 3% gewijzigd door Verwijderd op 20-08-2003 17:09 ]
Verwijderd
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..
En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.
Verwijderd
Heuristiek: 0 (matig)
Reddingsmedia: 0 (matig)
De rest was wel goed tot zeer goed
Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail) Bij Oulook Express 6, Netscape 4.7x, Mozilla 1.x werkt het helemaal niet.
Herkenning
Ingebedde OLE-objecten : 28/30
WEbOLE objecten : 3/21
heuristiek:
67,7/55,2 - 3/6 maanden oude signatures
46,7 - knutsel virussen
Geen virusscan/update bij installatie
Maar ik zie idd dat exepackers juist het beste door Kapersky worden gedaan.
BitDefender is gewoon op alles hetzelfde of net iets beter en heel soms iets slechter maar het eindoordeel voor Bitdefender is net iets beter. Maar zoals ik zei is Kapersky best goed.
Voor een duidelijker overzicht verwijs ik naar CT 07/08 (een na laatste) pag. 80-83
Volgens mij hebben ze KAV in de laagste beveiligingsstand getest. Hij scant nl. wel degelijk op gecomprimeerde bestanden als je dat insteld (tabblad "objects" -> alles aangevinkt + all files geselecteerd en tabblad "options" code analyser + deep search aangevinkt).
Overigens gaan er best nog wel eens virusscanners over hun zeik als je gecompimeerde bestanden in een gecompimeerd archief in een gecompimeerd archief in een gecompimeerd archief hebt (genest dus) - of bij EXE-packed files of archieven die met password versleuteld zijn.
[ Voor 37% gewijzigd door Verwijderd op 20-08-2003 19:14 ]
Verwijderd
afaik is dat onzin, als ik m'n OE folder scan krijg ik 400+ meldingen, of de files nu in archives zitten, runtime packed zijn, of beide.Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail)
Maar het is zo dat Kaspersky zeer regelmatig ondersteuning voor nieuwere soorten archives/packers toevoegd, gewoon via de daily updates.
Mja, over de heuristics, ze wordt door de meeste experts toch als een van de allerbeste beschouwd.. De andere vendors die het misschien beter doen gebruiken trucjes, zoals de naam van de auteur meenemen in de signatures..
Ik heb even de dcom exploits laten scannen door een paar scanners.
We hebben 34 hostile files:
RAV: 8 infected, 10 suspicious
McAfee: 30 infected
CA: IT 16 infected, Vet 15
Bitdefender: 8 infected
Kaspersky: 34 infected
Hiervan zijn 4 files van autooter, die toch wel heel bekend is, die had ik eerst niet toegevoegd, dus als die niet was meegenomen zag het er wel heel erg donker uit voor Bitdefender..
Misschien snap je nu waarom ik me van die tests van die blaadjes niet zoveel aantrek.
Outpost 2 leek het code injecten van copycat gewoon toe te staan..
See for yourself
Verwijderd
Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.
Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).
Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou
Verwijderd
Ik neem aan dat je het over die dcom exploits hebt?Kan je me die 32 infected binaries in compressed formaat sturen
Het is 8,5 mb, ik heb geen mailserver die zulke grote berichten aankan..
Ik kan ze wel splitten, maar ik weet niet hoeveel jouw mailserver aankan, dus wil ik het wel sturen met tussenpozen, zodat niet de helft wordt gebounced.
Edit:
Geen source en ik weet er eigenlijk niet echt meer vanaf dan dat hij z'n code injecteertHeb je de sourcecode of beschrijving van deze exploit
[ Voor 32% gewijzigd door Verwijderd op 20-08-2003 20:09 ]
Verwijderd
Je kan filesplitter gebruiken voor Windows.
Verwijderd
Je mailbox zal wel een max size hebben en ook een max size voor een enkel bericht..Verwijderd schreef op 20 August 2003 @ 20:09:
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.
Je kan filesplitter gebruiken voor Windows.
Mag ik dan aannemen dat u de anonieme mailer was van zojuist?
Verwijderd
Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.
Het lijkt me iig genoeg...
Verwijderd
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).