naja ik had het zelf niet echt doorgekeken
Volgens mij hadden wij deze laatste, wij zitten in een groot netwerk 4 landen. Om 11 uur kreeg heel frankrijk een svhost error (echt iedereen, 2000 pc) een halfuur later waren wij aan de beurt (600pc) en om 2 uur was engeland aan de beurt. Het vreemde was dat die svhost error echt bij iedereen tegelijk kwam. Wij hebben 8 vestigingen en we hadden ze alle 8 aan de lijn. Big panick. Gelukkig, snel die update gedistrubeerd via loginscript en nu alles veilig. Maar wat ik me nu afvraag was het blast, of was het weilchia. Ik denk die laatste, want ik las op symantec, dat hij een icmp broadcast uitbruld terwijl blast elk ip adres apart aanvalt. Heeft iemand ervaring.
"Is your mother proud of you ?"
Verwijderd
mwah, aan die "sourcecode" heb ik niets omdat daar al staat dat spreadworm() er niet bij staat, en daar ging het mij om 
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?
Ja communicatie van parijs was niet een van de sterkste punten, maar is begrijpelijk, als net heel je netwerk uitvalt. Dan zit je nog in de ontdekkende fase. Maar heeft iemand dit al gehad.
"Is your mother proud of you ?"
Hiero alle verschijnselen. Excel etc werkt(e) niet meer.
Printer monitor doet het (nog steeds) niet meer..
Met de removers niet aangetroffen. Alleen die dllhost.exe..
Ik heb ook gezocht met de 'hand' echter, niets gevonden.
Wat kan ik nog meer doen?
Printer monitor doet het (nog steeds) niet meer..
Met de removers niet aangetroffen. Alleen die dllhost.exe..
Ik heb ook gezocht met de 'hand' echter, niets gevonden.
Wat kan ik nog meer doen?
Boom......Boom......Boom......Boom......Boom......booooooooooom
Had ik ook, excel die klapte. kan niet meer copy paste, en svhost. Die patch tegen de blast worm helpt. Zag later op omgepaste pc's dat ze nog steeds werden aangevallen
"Is your mother proud of you ?"
spider: Dat is correct. De Welchia.worm gaat via ICMP pings op zoek naar nieuwe slachtoffers. Blast/LovSAN doet dat middels poort 135 scans per blokken van 20 IP's.
Reut: de Batchfile al geprobeert in veilige modus? Systeem sowieso patchen en kijken welke taken allemaal draaien (en in je registry onder \run staat)
Reut: de Batchfile al geprobeert in veilige modus? Systeem sowieso patchen en kijken welke taken allemaal draaien (en in je registry onder \run staat)
[ Voor 13% gewijzigd door Verwijderd op 19-08-2003 22:35 ]
Verwijderd
Let op
Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.
Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.
Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Cybarite: Klinkt als Welchia, maar Blaster/LovSAN kan ook veroorzaker zijn van Svchost errors (meestal W2K systemen). Gewoon een fullversion scanner geupdate over je systeem halen (bijv. KAV).
Controleer gelijk welke processen er allemaal in de achtergrond draaien: CTRL-Shift-Esc (WinXP) / CTRL-ALT-Delete
TFTP.EXE mag je wat mij betreft deleten (of jij moet een gegronde reden hebben: tftp wordt gebruikt als mini [tiny!] ftp-servertje en is een geldig Windows bestand)...
Sockspy.dll is sowieso geen Windows Systeemfile - en mag je ook deleten.
Controleer gelijk welke processen er allemaal in de achtergrond draaien: CTRL-Shift-Esc (WinXP) / CTRL-ALT-Delete
TFTP.EXE mag je wat mij betreft deleten (of jij moet een gegronde reden hebben: tftp wordt gebruikt als mini [tiny!] ftp-servertje en is een geldig Windows bestand)...
Sockspy.dll is sowieso geen Windows Systeemfile - en mag je ook deleten.
[ Voor 186% gewijzigd door Verwijderd op 20-08-2003 01:15 ]
Verwijderd
Scan je systeem met Kaspersky, of eventueel McAfee.Verwijderd schreef op 19 August 2003 @ 23:40:
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Deze twee zijn veruit superieur aan de rest als het over de dcom exploit tools gaat..(Kaspersky nog ietsje beter dan McAfee)
(Mocht je er voor kiezen om met Kaspersky te scannen, dan is het nog het allerhandigste om de extended bases te gebruiken, mocht je niet weten hoe dat werkt, jusk ask).
Verwijderd
Hmm ik heb heus zelf wel onderzoek gedaan en geen vreemde processen aangetroffen. Heel vreemd TFTP.EXE draait niet, maar probeert volgens m'n logs wel telkens verbinding te maken. Wat dat sockspy is weet ik ook niet, staat geen microsoft achtige info bij de bestandinformatie. Wie weet is het wel een variant vd worm die gebruik maakt vd SetWindowsHookEx, of SetTimer\varianten exploits om een DLL in een ander proces te injecteren...
Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...
Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...
UPDATE:
clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.
Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...
Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...
UPDATE:
clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.
[ Voor 22% gewijzigd door Verwijderd op 20-08-2003 12:36 . Reden: Update ]
Verwijderd
Dat is volgens mij niet iets dat door lovesan/welchia wordt veranderd..clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open
Ik wil je toch aanraden om je bak met Kaspersky(of McAfee) te scannen.
Verwijderd
clrav.com is toch van Kapersky ? Btw ik heb ook al met Symantec gescand, die vond een lege dir die van de worm zou zijn.
Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen
.
Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen
[ Voor 58% gewijzigd door Verwijderd op 20-08-2003 14:30 ]
Verwijderd
Ja, maar die scant niet voor alle expliots die er zijn, het KAV zelf wel..clrav.com is toch van Kapersky ?
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
Omdat je nog steeds last hebt/had van vage verschijnselen raadde ik aan om je systeem eens volledig te scannen met een complete scanner.
Als alles ok blijft gaan zal het wel goed zijn, heb me niet echt heel goed verdiept in de verschijnselen van welchia, maar als je vanavond ineens weer kuren krijgt kan het dus een 'hacker' zijn..
Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.Verwijderd schreef op 20 August 2003 @ 15:06:
[...]
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
[ Voor 6% gewijzigd door Wildfire op 20-08-2003 16:03 ]
Verwijderd
Er is geen enkele firewall die code injection tegenhoudt..Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
Zoek het maar op, heb het zelf getest, het is veel getest door anderen..
Welchia zet wel een TFTP server op je PC die op afstand bestuurbaar is tot 2004... Dus doe wat Schouw en ik zeggen, en scan met een volledige virusscanner.
Wildfire, er zijn ook zat trojans/exploits die zich speciaal richten op firewalls... Kwestie van de processen van firewall killen, infecteren, en je firewall gaat nooit meer aan... Simpele regel: besmetting binnen, niets vertrouwen...
Wildfire, er zijn ook zat trojans/exploits die zich speciaal richten op firewalls... Kwestie van de processen van firewall killen, infecteren, en je firewall gaat nooit meer aan... Simpele regel: besmetting binnen, niets vertrouwen...
[ Voor 25% gewijzigd door Verwijderd op 20-08-2003 16:46 ]
Verwijderd
Is het toegestaan een linkje van een proof of concept progsel hier neer te gooien?
Het is niet schadelijk..
Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.
Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..
Het is niet schadelijk..
Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.
Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..
Verwijderd
Met code injection bedoel ik het infiltreren van malware in de adress space van een prog wat vertrouwd is en/of veel rechten heeft (denk aan je firewall prog zelf). Schouw heeft gelijk dat in principe geen enkele firewall dat tegen kan houden doordat het mogelijk is dmv een fundamentele zwakheid in windows. Meerdere zelfs, zoek maar eens naar een paper wat "shatter exploits" beschrijft.Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
Echter ik heb Outpost Firewall Pro 2 en die detecteerd het als er een nieuwe module in de adress space van welk proces dan ook verschijnt die nog niet tijdens het laden van die exe was geimporteerd. Het is best slim moet ik zeggen, alleen het kan dan al wel te laat zijn want die dll kan ondertussen allang geinfiltreerd zijn in de code en die dll laten voor wat ie is....
Microsoft zwijgt dit dood en het is maar hopen dat er geen worm komt die ook dit uitbuit, en ook nog eens intelligent is want dan hebben we echt een probleem....
euss: Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat... die mogelijke hacker kon niks uploaden op mn sys aangezien ik alle tftp etc heb geblockt (altijd al).
Verwijderd
Ga eens met bitdefender op zoek naar kazaa virussen...Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat...
Als het 5% vindt, doet het het goed..
Ik zal zo eens even kijken hoeveel dcom exploits het vindt van diegene die ik heb.
Kaspersky kan files detecteren die gemaakt zijn met een generator..
Heb het er met Eugene over gehad en die was blij dat implementatie van dit geintje nogal lastig is en niet al te mainstream.
Ik zal ook eens kijken wat Outpost er van bakt.
Verwijderd
Gelukkig gebruik ik geen kazaa meuk. En volgens onafhankelijke tests van oa C't vond BitDefender alles. Die voordelen van BitDefender waren : zeer goede heuristiek, vind virussen extreem diep in (encrypted) compressed formaten, vind alle ingebedde objecten, ondersteund vrijwel alle exe-packers etc.
Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.
Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.
[ Voor 3% gewijzigd door Verwijderd op 20-08-2003 17:09 ]
Verwijderd
En hoeveel heb je zelf getest?
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..
En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..
En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.
Verwijderd
Bediening: - -
Heuristiek: 0 (matig)
Reddingsmedia: 0 (matig)
De rest was wel goed tot zeer goed
Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail) Bij Oulook Express 6, Netscape 4.7x, Mozilla 1.x werkt het helemaal niet.
Herkenning
Ingebedde OLE-objecten : 28/30
WEbOLE objecten : 3/21
heuristiek:
67,7/55,2 - 3/6 maanden oude signatures
46,7 - knutsel virussen
Geen virusscan/update bij installatie
Maar ik zie idd dat exepackers juist het beste door Kapersky worden gedaan.
BitDefender is gewoon op alles hetzelfde of net iets beter en heel soms iets slechter maar het eindoordeel voor Bitdefender is net iets beter. Maar zoals ik zei is Kapersky best goed.
Voor een duidelijker overzicht verwijs ik naar CT 07/08 (een na laatste) pag. 80-83
Heuristiek: 0 (matig)
Reddingsmedia: 0 (matig)
De rest was wel goed tot zeer goed
Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail) Bij Oulook Express 6, Netscape 4.7x, Mozilla 1.x werkt het helemaal niet.
Herkenning
Ingebedde OLE-objecten : 28/30
WEbOLE objecten : 3/21
heuristiek:
67,7/55,2 - 3/6 maanden oude signatures
46,7 - knutsel virussen
Geen virusscan/update bij installatie
Maar ik zie idd dat exepackers juist het beste door Kapersky worden gedaan.
BitDefender is gewoon op alles hetzelfde of net iets beter en heel soms iets slechter maar het eindoordeel voor Bitdefender is net iets beter. Maar zoals ik zei is Kapersky best goed.
Voor een duidelijker overzicht verwijs ik naar CT 07/08 (een na laatste) pag. 80-83
> Kaperksy negeert gecomprimeerde files
Volgens mij hebben ze KAV in de laagste beveiligingsstand getest. Hij scant nl. wel degelijk op gecomprimeerde bestanden als je dat insteld (tabblad "objects" -> alles aangevinkt + all files geselecteerd en tabblad "options" code analyser + deep search aangevinkt).
Overigens gaan er best nog wel eens virusscanners over hun zeik als je gecompimeerde bestanden in een gecompimeerd archief in een gecompimeerd archief in een gecompimeerd archief hebt (genest dus) - of bij EXE-packed files of archieven die met password versleuteld zijn.
Volgens mij hebben ze KAV in de laagste beveiligingsstand getest. Hij scant nl. wel degelijk op gecomprimeerde bestanden als je dat insteld (tabblad "objects" -> alles aangevinkt + all files geselecteerd en tabblad "options" code analyser + deep search aangevinkt).
Overigens gaan er best nog wel eens virusscanners over hun zeik als je gecompimeerde bestanden in een gecompimeerd archief in een gecompimeerd archief in een gecompimeerd archief hebt (genest dus) - of bij EXE-packed files of archieven die met password versleuteld zijn.
[ Voor 37% gewijzigd door Verwijderd op 20-08-2003 19:14 ]
Verwijderd
afaik is dat onzin, als ik m'n OE folder scan krijg ik 400+ meldingen, of de files nu in archives zitten, runtime packed zijn, of beide.Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail)
Maar het is zo dat Kaspersky zeer regelmatig ondersteuning voor nieuwere soorten archives/packers toevoegd, gewoon via de daily updates.
Mja, over de heuristics, ze wordt door de meeste experts toch als een van de allerbeste beschouwd.. De andere vendors die het misschien beter doen gebruiken trucjes, zoals de naam van de auteur meenemen in de signatures..
Ik heb even de dcom exploits laten scannen door een paar scanners.
We hebben 34 hostile files:
RAV: 8 infected, 10 suspicious
McAfee: 30 infected
CA: IT 16 infected, Vet 15
Bitdefender: 8 infected
Kaspersky: 34 infected
Hiervan zijn 4 files van autooter, die toch wel heel bekend is, die had ik eerst niet toegevoegd, dus als die niet was meegenomen zag het er wel heel erg donker uit voor Bitdefender..
Misschien snap je nu waarom ik me van die tests van die blaadjes niet zoveel aantrek.
Outpost 2 leek het code injecten van copycat gewoon toe te staan..
See for yourself
Verwijderd
Ik krijg een bericht dat iTouch verbinding wil maken met internet, dus als je standaard niets altijd toestaat ben je veilig. Echter ik neem aan dat dit progje bij de browser dient te worden gebruikt, dan heb je gelijk.
Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.
Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).
Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou
)...
Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.
Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).
Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou
Verwijderd
Ik neem aan dat je het over die dcom exploits hebt?Kan je me die 32 infected binaries in compressed formaat sturen
Het is 8,5 mb, ik heb geen mailserver die zulke grote berichten aankan..
Ik kan ze wel splitten, maar ik weet niet hoeveel jouw mailserver aankan, dus wil ik het wel sturen met tussenpozen, zodat niet de helft wordt gebounced.
Edit:
Geen source en ik weet er eigenlijk niet echt meer vanaf dan dat hij z'n code injecteertHeb je de sourcecode of beschrijving van deze exploit
[ Voor 32% gewijzigd door Verwijderd op 20-08-2003 20:09 ]
Verwijderd
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.
Je kan filesplitter gebruiken voor Windows.
Je kan filesplitter gebruiken voor Windows.
Verwijderd
Je mailbox zal wel een max size hebben en ook een max size voor een enkel bericht..Verwijderd schreef op 20 August 2003 @ 20:09:
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.
Je kan filesplitter gebruiken voor Windows.
Mag ik dan aannemen dat u de anonieme mailer was van zojuist?
Verwijderd
Nee ik heb niks gestuurd en ik weet niks van een max size, ik neem aan dat ik al mn mail kan ontvangen op mn pop box.
Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.
Het lijkt me iig genoeg...
Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.
Het lijkt me iig genoeg...
Verwijderd
Ik heb een probleem met het W32.randex.E virus, norton heeft hem er uitgehaald incl. het nstask32 bestandje.
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).
Deze bestanden deleten:
%System%\nstask32.exe
%System%\winlogin.exe
%System%\win32sockdrv.dll
%System%\yuetyutr.dll
En met een virusscanner nog even extra controlleren of hij echt verwijderd is.
Kijk gelijk op http://securityresponse.s...nc/data/w32.randex.e.html voor meer tips/info.
%System%\nstask32.exe
%System%\winlogin.exe
%System%\win32sockdrv.dll
%System%\yuetyutr.dll
En met een virusscanner nog even extra controlleren of hij echt verwijderd is.
Kijk gelijk op http://securityresponse.s...nc/data/w32.randex.e.html voor meer tips/info.
Verwijderd
Win 2000 pc was geinfekteerd met ms blaster.exe
norton virus scanner gebruikt
virus verwijderd
Problemen met o.a knippen en plakken
Harde schijf geformateerd win opnieuw erop gezet probemen niet verholpen
Fixblast gedownload en gerund maar de problemen niet opgelost
Melding de worm has not been found on your computer
Iemand nog een idee hoe ik dit oplos
Bvd Theo
norton virus scanner gebruikt
virus verwijderd
Problemen met o.a knippen en plakken
Harde schijf geformateerd win opnieuw erop gezet probemen niet verholpen
Fixblast gedownload en gerund maar de problemen niet opgelost
Melding de worm has not been found on your computer
Iemand nog een idee hoe ik dit oplos
Bvd Theo
Hier stond iets, echter had niet alles goed genoeg gelezen
[ Voor 75% gewijzigd door Quantor op 21-08-2003 15:34 . Reden: Oops ]
Hoppa, wéér een nieuw virus dat MS03-026 exploit: W32/Gaobot.worm.y, info op http://vil.nai.com/vil/content/v_100566.htm
Alleen verspreid deze zich ook via IRC. En hij maakt niet alleen misbruik van de RPC-bug in MS03-026, maar ook van twee andere bugs (MS03-001 en MS03-007).
Alleen verspreid deze zich ook via IRC. En hij maakt niet alleen misbruik van de RPC-bug in MS03-026, maar ook van twee andere bugs (MS03-001 en MS03-007).
Virussen? Scan ze hier!
Verwijderd
Kennelijk ernstig genoeg volgens Trend om er een officiële update voor uit te brengen..wildhagen schreef op 21 August 2003 @ 16:04:
Hoppa, wéér een nieuw virus dat MS03-026 exploit: W32/Gaobot.worm.y, info op http://vil.nai.com/vil/content/v_100566.htm
Alleen verspreid deze zich ook via IRC. En hij maakt niet alleen misbruik van de RPC-bug in MS03-026, maar ook van twee andere bugs (MS03-001 en MS03-007).
Ben benieuwd of deze veel last gaat veroorzaken
Edit: Symantec heeft hem nu ook gelist, wordt pas gecovered in de LU van volgende week, dus lijkt nog niet echt gevaarlijk te zijn..
Erg tof dat Kaspersky wordt geboycot, as always, ze hadden gisteren al protectie tegen deze maar geen enkele andere vendor list dat, terwijl ze(NAV, NAI etc) het wel van andere vendors listen..
[ Voor 25% gewijzigd door Verwijderd op 21-08-2003 19:59 ]
Ik zit dus met een PC met winXP (HP) waarbij die Chryptographic services niet draaien en de patch dus niet werkt met een vermelding naar die Chryptograhpic service. Ik zie hem ook niet staan bij: (start > uitvoeren > services.msc) en kan de service dus ook niet zelf starten en dus niet patchen.Verwijderd schreef op 13 August 2003 @ 20:56:
Cryptographic Services moet op automatisch staan én gestart zijn bij Services (start > uitvoeren > services.msc)
Eventueel kan 't ook zijn dat Cryptographic-service juist fouten geeft als deze service actief is. Het uitschakelen van deze service kan dán juist een oplossing zijn.
Iemand een idee??
[ Voor 3% gewijzigd door bombadil op 26-08-2003 17:07 ]
"De ouwe Tom Bombadil is een vrolijk kwastje,Zijn laarzen zijn geel en knalblauw is zijn jasje, Want Tom, die de meester is, heeft geen ooit gevangen, Zijn liedjes zijn sterker en zijn benen zijn langer". (LotR)
Verwijderd
probleempje, blaster virus stond op pc, deze is verwijderd door verwijdertooltje, pc is nu schoon (meerdere male gecheckt) maar blijft steeds de foutmelding: "svchost.exe heeft een fout gegenereerd" geven... wie weet wat mij te doen staat...
Verwijderd
Heb je de bak wel gepatched hiertegen?Verwijderd schreef op 27 August 2003 @ 14:32:
probleempje, blaster virus stond op pc, deze is verwijderd door verwijdertooltje, pc is nu schoon (meerdere male gecheckt) maar blijft steeds de foutmelding: "svchost.exe heeft een fout gegenereerd" geven... wie weet wat mij te doen staat...
Je zal nu wel een andere variant van lovesan(blaster) hebben, of er heeft nu iemand complete toegang tot je systeem..
Patchen/firewall erop, kijken naar rare verbindingen die je eventueel hebt.
Scannen met Kaspersky en/of McAfee..
Even een update: de FBI schijnt de terrorist die dit geschreven heeft op het spoor te zijn, volgens Nieuws.nl:
De FBI is een 18-jarige jongen op het spoor die de maker zou zijn van het internetvirus Blaster, dat de afgelopen tijd over de hele wereld meer dan 500.000 computers zou zijn binnengedrongen. De jongen wordt waarschijnlijk vrijdagmorgen aangehouden.
Volgens een bron bij de overheid werd de FBI getipt door iemand die de jongen zijn versie van het virus, dat een aantal varianten kent, had zien testen.
Computers waarin Blaster is binnengedrongen functioneren niet goed meer, onder meer doordat zij zichzelf steeds opnieuw opstarten. Ook openden besmette computers deze maand de aanval op Microsoft door onophoudelijk de webpagina op te vragen waar een programma kan worden gedownload om het virus te verwijderen. Dat had ertoe moeten leiden dat de site van Microsoft bezweek. De aanval mislukte echter, doordat de maker van het virus zich had vergist in de naam van de betreffende webpagina.
Blaster, ook bekend als LovSan of MSBlast, is een zogenoemde worm die gebruikmaakt van een lek in de beveiliging van Windows 2000 en Windows XP, de twee recentste versies van het besturingssysteem van Microsoft. De worm laat op computers een verborgen boodschap achter: I just want to say LOVE YOU SAN. Een andere boodschap die in het virus verborgen zit, is bestemd voor Microsoft-topman Bill Gates: billy gates why do you make this possible? Stop making money and fix your software!
Virussen? Scan ze hier!
Verwijderd
ff een vraagje, ik zit nog op school, en heb 20.000 mensen met het virus, allemaal van die kneuzen die niets van pc afweten, en daarom heb ik ook al bij heel veel mensen dat virus moeten verwijderen, ik heb niet zo veel tijd dus ik ben opzoek naar een makkelijke handleiding om het virus te verwijderen. met makkelijk bedoel ik dat zelfs bejaarden het begrijpen. iemand een ID waar ik dit kan vinden?? Of kan iemand dit soms voor mij maken.
hartelijk dank
hartelijk dank
Wat dacht je van de topicstart?Verwijderd schreef op 09 September 2003 @ 19:49:
iemand een ID waar ik dit kan vinden??
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
Verwijderd
nee voor de meeste mensen bij mij op school te moeilijk
ik zei dat het voor bejaarden ook te begrijpen moet zijn, dus stap voor stap
ik zei dat het voor bejaarden ook te begrijpen moet zijn, dus stap voor stap
Wat dacht je van zelf maken?Verwijderd schreef op 09 september 2003 @ 19:55:
nee voor de meeste mensen bij mij op school te moeilijk
ik zei dat het voor bejaarden ook te begrijpen moet zijn, dus stap voor stap
Dan weet je dat alles te begrijpen is voor je doelgroep
[ Voor 5% gewijzigd door SH007 op 09-09-2003 19:57 ]
Verwijderd
als je goed gelezen hebt, kan je zien dat ik niet zoveel tijd heb, maar was een goed idee
[hier stond iets onaardigs.]
Als je nu nog moet beginnen met preventie en bestrijding voor 20.000 man ben je rijkelijk 2 maanden te laat.
Nou...Verwijderd schreef op 09 september 2003 @ 19:57:
als je goed gelezen hebt, kan je zien dat ik niet zoveel tijd heb, maar was een goed idee
Als je nu nog moet beginnen met preventie en bestrijding voor 20.000 man ben je rijkelijk 2 maanden te laat.
[ Voor 168% gewijzigd door alt-92 op 09-09-2003 20:03 ]
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
En jij hebt in die 20 minuten al een begin gemaakt aan jouw handleiding?Verwijderd schreef op 09 September 2003 @ 20:09:
iemand al iets gevonden??
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
I don't fscking believe it, het is toch godsonmogelijk dat iemand het fscking LEF heeft om een handje-vasthoud manual te vragen met een uitgebreide guide als in de topicstart zeg..
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Verwijderd
tis ook niet voor mij, ik snap die topistart ook wel, maar ik heb klasgenoten die geen kloot van pc's begrijpen en wel het virus weg willen hebben, en ik heb geen tijd om iedereen persoonlijk te gaan helpen
maar als ik dit niet mag vragen laat dan maar
maar als ik dit niet mag vragen laat dan maar
[ Voor 13% gewijzigd door Verwijderd op 09-09-2003 20:24 ]
Als jij de topicstart snapt, waarom bouw je die dan niet even om naar iets wat je klasgenoten ook snappen? Dat zal toch niet zoveel werk zijn denk ik?
Verwijderd
ik ben niet zo goed in uitleggen, en heb niet echt genoeg tijd om een handleiding te maken voor 4 verschillende besturingssystemen, maarja dit soort dingen moet ik maar niet meer vragen
komt trouwens een nieuwe aan.
http://www.microsoft.com/...ity/bulletin/MS03-039.asp
Nieuwe RPC service exploit gevonden in NT4/2000/XP/2003
http://www.microsoft.com/...ity/bulletin/MS03-039.asp
Nieuwe RPC service exploit gevonden in NT4/2000/XP/2003
[ Voor 19% gewijzigd door AwesomE op 11-09-2003 10:58 ]
...
iemand?bombadil schreef op 26 August 2003 @ 17:07:
[...]
Ik zit dus met een PC met winXP (HP) waarbij die Chryptographic services niet draaien en de patch dus niet werkt met een vermelding naar die Chryptograhpic service. Ik zie hem ook niet staan bij: (start > uitvoeren > services.msc) en kan de service dus ook niet zelf starten en dus niet patchen.
Iemand een idee??
Overigens werkt windows update ook niet (met dank aan HP).
"De ouwe Tom Bombadil is een vrolijk kwastje,Zijn laarzen zijn geel en knalblauw is zijn jasje, Want Tom, die de meester is, heeft geen ooit gevangen, Zijn liedjes zijn sterker en zijn benen zijn langer". (LotR)
Werkt scanms.exe voor de nieuwe ms patch KB824146 ? Scanms geeft [vuln] [vuln]
Pc's die met de (oude) KB823980 fix zijn gepatch geven [ptch] [ptch].
Is er mogelijk een nieuwe versie van scanms?
Pc's die met de (oude) KB823980 fix zijn gepatch geven [ptch] [ptch].
Is er mogelijk een nieuwe versie van scanms?
Je hebt waarschijnlijk nog een patch nodig als hij nog [VULN] aan blijft geven...
Doe even een update en scan opnieuw.
Doe even een update en scan opnieuw.
Ik heb beide patchen nogmaals uitgevoerd op mijn pc. Hij blijft [VULN] aangeven.
En omdat we het Nachi virus op het netwerk hebben, zijn we pc's die geïnfecteerd waren manueel gaan patchen. Het virus is nu zo goed als onder controle, maar nu willen we (snel) controleren welke pc's nog niet gepatcht zijn.
En omdat we het Nachi virus op het netwerk hebben, zijn we pc's die geïnfecteerd waren manueel gaan patchen. Het virus is nu zo goed als onder controle, maar nu willen we (snel) controleren welke pc's nog niet gepatcht zijn.
Verwijderd
Hmm alles geprbeerd
- Fix (werkt niet)
- windoos map (staat niks in)
- register (staat niks in)
Tog blijft hij me cputer opnieuwe opstarten met schermpje (zie 1st post)
Iemand een idee wat nu te doen ?
- Fix (werkt niet)
- windoos map (staat niks in)
- register (staat niks in)
Tog blijft hij me cputer opnieuwe opstarten met schermpje (zie 1st post)
Iemand een idee wat nu te doen ?
De scanner van de ISS site was zo gedownload. Vond niks.
Wat is het geval:
Er wAs een blaster virus op de pc. Deze werd zo in het geheugen zichtbaar met ctrl-alt-del
Na een installatie van norton 2004 pro werd de pc gecleaned. Blaster weg en 2 backdoors.
De PC voorzien van XP sp1 en updates die volgden (ja eindelijk iemand die AV en update van MS gebruikt! :-)
Toch gebeurt hetvolgende, en alleen als internet actief is:
na 2 minuten een virus rtf####, direct na die melding door norton: verwijdert(door norton) maar gelijktijdig met de aftelling door win XP zelf... Die kan je niet onderbreken of ik weet niet hoe.
Nu was er wel een patch te vinden die MOGELIJK deze nieuwe kon patchen, maar deze werkte nog niet bij alle pc's
Er stond wat van op de site van kaspersky, maar ben inmiddels op kantoor en die pc was van een vriend. (Dus geen url ff hier te plakken)
resident is er op zijn haast maagdelijke pc niks aparts, allemaal windows stuff, een scan detector(flatbedscanner) norton av, messnenger.
De meest recente removal utils die ik bij mij had vonden niks.
Norton vind alleen op het moment dat het te laat en delete, aldus het scherm.
Maar ja, updates, scannen, er wordt niets gevonden.
Tot je weer op internet gaat, dan is het in 3 minuten error, delete virus, aftellen van win XP en pc start opnieuw.
Wat is het geval:
Er wAs een blaster virus op de pc. Deze werd zo in het geheugen zichtbaar met ctrl-alt-del
Na een installatie van norton 2004 pro werd de pc gecleaned. Blaster weg en 2 backdoors.
De PC voorzien van XP sp1 en updates die volgden (ja eindelijk iemand die AV en update van MS gebruikt! :-)
Toch gebeurt hetvolgende, en alleen als internet actief is:
na 2 minuten een virus rtf####, direct na die melding door norton: verwijdert(door norton) maar gelijktijdig met de aftelling door win XP zelf... Die kan je niet onderbreken of ik weet niet hoe.
Nu was er wel een patch te vinden die MOGELIJK deze nieuwe kon patchen, maar deze werkte nog niet bij alle pc's
Er stond wat van op de site van kaspersky, maar ben inmiddels op kantoor en die pc was van een vriend. (Dus geen url ff hier te plakken)
resident is er op zijn haast maagdelijke pc niks aparts, allemaal windows stuff, een scan detector(flatbedscanner) norton av, messnenger.
De meest recente removal utils die ik bij mij had vonden niks.
Norton vind alleen op het moment dat het te laat en delete, aldus het scherm.
Maar ja, updates, scannen, er wordt niets gevonden.
Tot je weer op internet gaat, dan is het in 3 minuten error, delete virus, aftellen van win XP en pc start opnieuw.
http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)
Verwijderd
Wat voor virus is het volgens NAV?
Als het een 'apart'(lees: niet blaster) virus is, stuur me dan aub een sample.
Verder beetje apart verhaal en ga bijna denken aan een nieuwe flash-worm.
Als het een 'apart'(lees: niet blaster) virus is, stuur me dan aub een sample.
Verder beetje apart verhaal en ga bijna denken aan een nieuwe flash-worm.
Een sample van iets dat ik niet kan fixeren? Of je doelt vast op een screencapture?Verwijderd schreef op 26 november 2003 @ 14:10:
Wat voor virus is het volgens NAV?
Als het een 'apart'(lees: niet blaster) virus is, stuur me dan aub een sample.
Verder beetje apart verhaal en ga bijna denken aan een nieuwe flash-worm.
Anyway, norton melde volgens mij rtf1234 (4 getallen) elke restart andere getallen)
De bekende (m)blaster is het in elk geval zeker niet.
Terwijl ik er gaande weg,
in acht nemende de bestaande 'oplossingen' die dus niks uithaalden,
wat opgewonden van raakte dat hij zeer mogelijk deel uitmaakt van een NLse nieuwe virus primeur
Terecht, internetten zit er ff niet in voor hem.
http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)
Verwijderd
NAV automatisch verwijderen, dat houdt meestal in dat het ding evengoed in de quarantine wordt gezet. Ik zou echt ontzettend graag een sample willen hebben.
Of check de NAV logs wat daar instaat van 'blabla' virus detected etc.
Dat rtf1234 zal wel de bestandsnaam zijn.
Een sample zou echt ontzettend tof zijn.
(Grappig dat je vriend steeds triester werd en ik nu steeds meer opleef
)
Of check de NAV logs wat daar instaat van 'blabla' virus detected etc.
Dat rtf1234 zal wel de bestandsnaam zijn.
Een sample zou echt ontzettend tof zijn.
(Grappig dat je vriend steeds triester werd en ik nu steeds meer opleef
Ze zeggen ook wel eens: de een zn dood, de ander zn brood.
Maar jij analyseert virussen of zo?
Maar jij analyseert virussen of zo?
edit:
Laat maar...
Ik zie het al aan je signature

Laat maar...
Ik zie het al aan je signature
[ Voor 27% gewijzigd door Joen op 26-11-2003 20:54 ]
Huh!? ik zie zijn hele signature niet, ligt dat aan (mijn?) settings alhier op tweakersnet?JeroenM_tbs schreef op 26 november 2003 @ 20:53:
Ze zeggen ook wel eens: de een zn dood, de ander zn brood.
Maar jij analyseert virussen of zo?
edit:
Laat maar...
Ik zie het al aan je signature![]()
http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)
Verwijderd
Dat kan, moet je even je prefs doornemen. /offtopicnotsonewbie schreef op 28 november 2003 @ 16:24:
[...]
Huh!? ik zie zijn hele signature niet, ligt dat aan (mijn?) settings alhier op tweakersnet?
Verwijderd
Dat irritante virus gaat hier ook over het netwerk. Heb al aardig wat pc's gepatchst. (te laat natuurlijk) We hebben ook nog een zooi nt machines dus heb ik op een stel die patch gezet.
Nu is er bij in iedergeval 1 van die pc's wat aan de hand, zijn processor gebruik staat op 100%. Eerst dacht ik dat het McAfee was, maar deze heb ik nu verwijderd en nog steeds blijft alles op 100% staan.
Ook komt er een melding dat er een service niet opgestart is.
Die patch heb ik er ook al af gemieterd maar helpt ook al niet.
Met windows 2000 clients heb ik ook al wat problemen gehad.
Nu is er bij in iedergeval 1 van die pc's wat aan de hand, zijn processor gebruik staat op 100%. Eerst dacht ik dat het McAfee was, maar deze heb ik nu verwijderd en nog steeds blijft alles op 100% staan.
Ook komt er een melding dat er een service niet opgestart is.
Die patch heb ik er ook al af gemieterd maar helpt ook al niet.
Met windows 2000 clients heb ik ook al wat problemen gehad.
Welk proces gebruikt dan 100%?
Bij verre kennis (je weet wel die kennis die je krijgt.. als ze een probleem hebben met de pc) van mij laatst wmplayer rpc virus gevonden.. tjonge jonge..in de taskmanager stonden alle varianten van rpc virii op .. teekids, mslaugh .. en dus wmplayer. Die laatste kende ik echter nog niet. Nadat ik verwijzingen en de bekende shit had verwijderd had, zag ik dat de hele tijd wmplayer.exe opstartte.. Kon het verder niet terug vinden in de registry (behalve van die 1000 andere verwijzingen naar de bestaande windows executable, niet onder run keys maar ook niet onder services)... Dacht ook dat het hier in eerste instantie niet aan kon liggen.
Voordat ik die wmplayer.exe virus had achterhaald.. was ik dus in totaal 2 uur verder (omdat die om de minuut dus de boel opnieuw opstartte).. ooh wat was dat toch weer een leuk tijdverdrijf.. NOT!
Nu een kerio personal firewall geïnstalleerd.
Bij verre kennis (je weet wel die kennis die je krijgt.. als ze een probleem hebben met de pc) van mij laatst wmplayer rpc virus gevonden.. tjonge jonge..in de taskmanager stonden alle varianten van rpc virii op .. teekids, mslaugh .. en dus wmplayer. Die laatste kende ik echter nog niet. Nadat ik verwijzingen en de bekende shit had verwijderd had, zag ik dat de hele tijd wmplayer.exe opstartte.. Kon het verder niet terug vinden in de registry (behalve van die 1000 andere verwijzingen naar de bestaande windows executable, niet onder run keys maar ook niet onder services)... Dacht ook dat het hier in eerste instantie niet aan kon liggen.
Voordat ik die wmplayer.exe virus had achterhaald.. was ik dus in totaal 2 uur verder (omdat die om de minuut dus de boel opnieuw opstartte).. ooh wat was dat toch weer een leuk tijdverdrijf.. NOT!
Nu een kerio personal firewall geïnstalleerd.
[ Voor 7% gewijzigd door henkleerssen op 03-12-2003 16:49 ]
Verwijderd
Zelf dacht ik dat het het antivirus programma was, want die had ook kuren na de tijd.
Deze heb ik gedeinstalleerd maar nog steeds problemen. Het is echt dat grafiekje van je cpu wat op 100% staat, bij processen staat niet echt iets bij zonders.
Deze pc had waarschijnlijk dat virus nog niet, maar ik wou uit voorzorg die patch installeren.
Momenteel zit ik uit, maar morgen is die gebruiker weg en kan ik als ik wil er 2 dagen aan besteden om het op te lossen.
Die patch heeft iets vern**kt maar de vraag is wat.
Maar zoals ik zei, morgen post ik wel wat meer info als ik ff aan het stoeien ben geweest met die pc.
Deze heb ik gedeinstalleerd maar nog steeds problemen. Het is echt dat grafiekje van je cpu wat op 100% staat, bij processen staat niet echt iets bij zonders.
Deze pc had waarschijnlijk dat virus nog niet, maar ik wou uit voorzorg die patch installeren.
Momenteel zit ik uit, maar morgen is die gebruiker weg en kan ik als ik wil er 2 dagen aan besteden om het op te lossen.
Die patch heeft iets vern**kt maar de vraag is wat.
Maar zoals ik zei, morgen post ik wel wat meer info als ik ff aan het stoeien ben geweest met die pc.
Verwijderd
Wanneer je de patch gaat installeren voor nt / 2000 / xp let er dan op dat je dit doet onder een account met rechten van administrator anders kun je problemen verwachten, hier kwamen er problemen met mcafee virusscan.
Verwijderd
Een goede middag medetweakers. Ik zit nu al een tijdje (uren/dagen) te zoeken naar een oplossing. Mijn vriendin heeft een leuk pctje die ik niet zo goed beveiligd had,.. jaja ik weet het... 
maar goed, die bak die heeft nu last van blaster, eehh nou eigenlijk de sympthomen. internet -> een minuutje en reboot en zo...
Virusscanner vindt nix, blasterfix vindt geen blaster. geen msblast.exe bestand, geen regeltje in mijn registry, geen blaster bij processes,...
Sympthoms, but NO virus...
Ik hoop dat misschien iemand nog een goed ideetje heeft anders wordt het toch helaas een format c:...
maar goed, die bak die heeft nu last van blaster, eehh nou eigenlijk de sympthomen. internet -> een minuutje en reboot en zo...
Virusscanner vindt nix, blasterfix vindt geen blaster. geen msblast.exe bestand, geen regeltje in mijn registry, geen blaster bij processes,...
Sympthoms, but NO virus...
Ik hoop dat misschien iemand nog een goed ideetje heeft anders wordt het toch helaas een format c:...
Als je de FAQ hierover doorleest (Windows Operated Systems - FAQ) zie je ook dit staan:
Oftewel - het probleem van een crashende RPC Service is niet MS Blaster, maar is een vulnerability. Vlak onder bovenstaande tekst, staat dan ook:Deze vulnerability is eigenlijk bekend geraakt onder de naam "MS Blaster" - het virus wat in Augustus 2003 veel overlast veroorzaakte over heel de wereld. MS Blaster is echter de naam van een van de virussen die gebruik maakten van dit lek, en niet het probleem zelf.
Oftewel - draai Windows updateOm niet meer kwetsbaar te zijn voor dit probleem is een virus scanner dan ook niet geschikt - je zal de fout in Windows zelf moeten oplossen. Je doet dit door bovenstaande patch te installeren op je systeem, zie dit lijstje om te zien welke patch je nodig hebt:
Verwijderd
Ga ik doen, heb net ook mail van iemand gehad die mij op hetzelfde RPC probleem wees. Dank medetweakers
Verwijderd
als je besmet bent zal je dat eerst moeten fixen natuurlijk... het continu rebooten kan je waarschijnlijk oplossen door shutdown -a in commandline te tikken, zodat je wat tijd hebt om het virus te vinden (goede virusscanner dus...)
[ Voor 6% gewijzigd door Verwijderd op 15-12-2003 13:38 ]
Ik heb hier een Windows XP (build 2600) met een soort van Blaster virus denk ik. Ik heb de fixblast van symantec al gedraaid, die heeft het virus ook gevonden en weggehaald (zegt ie dan). Maar nog steeds wil WinXP opnieuw opstarten door die RPC fout.
Ik heb ook de windows update voor die blaster gedownload "WindowsXP-KB823980-x86-ITA.exe" en gedraaid. Ik ben niet helemaal zeker of die het nou doet, aangezien na het verify-en en het extracten niks meer gebeurd. Ik zie de patch ook niet in het "installed programs" lijstje.
Wat kan ik er aan doen om het op te lossen?
p.s. in windows explorer kan ik ook niet slepen, maar dat ligt aan het virus denk ik. In safe mode werkt het wel.
- RPC op 'herstarten service' gezet
- Systeem herstel uitgezet
[update]
Die patch wil kennelijk niet installeren ofzo op die pc, dus maar met '-x' uitgepakt. Dan heb ik 1 exe bestand, een of andere 'xp......exe'. Maar als ik die draai doet ie ook niks. Ik kan de patch niet installeren
[/update]
Ik heb ook de windows update voor die blaster gedownload "WindowsXP-KB823980-x86-ITA.exe" en gedraaid. Ik ben niet helemaal zeker of die het nou doet, aangezien na het verify-en en het extracten niks meer gebeurd. Ik zie de patch ook niet in het "installed programs" lijstje.
Wat kan ik er aan doen om het op te lossen?
p.s. in windows explorer kan ik ook niet slepen, maar dat ligt aan het virus denk ik. In safe mode werkt het wel.
- RPC op 'herstarten service' gezet
- Systeem herstel uitgezet
[update]
Die patch wil kennelijk niet installeren ofzo op die pc, dus maar met '-x' uitgepakt. Dan heb ik 1 exe bestand, een of andere 'xp......exe'. Maar als ik die draai doet ie ook niks. Ik kan de patch niet installeren
[/update]
[ Voor 23% gewijzigd door Darkvater op 05-01-2004 16:21 ]
Windows Vista? *NEVER* Het waarom - Opera forever!!!
I've seen chickens that were more menacing. Chickens in a coma. On ice. In my fridge
Je moet de update wel voor de juiste taalversie downloaden, het bestand wat jij noemt is namelijk voor een Italiaanse Windows versie (.....ITA.exe). 
ServicePack 1 moet geínstalleerd zijn alvorens de RPC patch te installeren!Windows XP 32-Bit Edition SP1 of Gold (Nederlands) [mirror]
[ Voor 62% gewijzigd door Verwijderd op 06-01-2004 01:42 ]
Misschien gewoon even een firewalletje (ICF) aanzetten tot je gepatched bent, of nog beter de bak offline halen.
En uiteraard file&printersharing en client voor ms netwerken uitzetten op je internetverbinding.
(maar dat is allemaal zo uitgekauwd)
En uiteraard file&printersharing en client voor ms netwerken uitzetten op je internetverbinding.
(maar dat is allemaal zo uitgekauwd)
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
Verwijderd
Het is al weer een paar dagen geleden dat wij het blaster/lovsan virus hier op het netwerk hebben gehad. Krijg geen klachten meer van gebruikers die problemen hebben.
Via de ePo van network associates kan ik zien dat het virus nog steeds over het netwerk gaat. En dan vooral de lovsan.e
Ik heb bijna alle clients gepatchst, maar schijnbaar heb ik toch 1 gemist of meerdere.
Ik wil het nu anders aanpakken, ik wil namelijk de bron hebben. Er zijn namelijk ook een aantal clients die ik niet kan patchen dit in verband met programma's die dan niet werken.
Ik wil graag van dit virus af want we hebben ook te maken met pc's van klanten.
Ik heb ook al zo'n scantool gebruik om te zien waar de poorten openstaan maar deze is ook niet helemaal waterdicht.
Wie heeft een id hoe ik dit beter kan aanpakken, en het liefst hoe ik de bron vind.
Via de ePo van network associates kan ik zien dat het virus nog steeds over het netwerk gaat. En dan vooral de lovsan.e
Ik heb bijna alle clients gepatchst, maar schijnbaar heb ik toch 1 gemist of meerdere.
Ik wil het nu anders aanpakken, ik wil namelijk de bron hebben. Er zijn namelijk ook een aantal clients die ik niet kan patchen dit in verband met programma's die dan niet werken.
Ik wil graag van dit virus af want we hebben ook te maken met pc's van klanten.
Ik heb ook al zo'n scantool gebruik om te zien waar de poorten openstaan maar deze is ook niet helemaal waterdicht.
Wie heeft een id hoe ik dit beter kan aanpakken, en het liefst hoe ik de bron vind.
Het is dus de Italiaanse Windows XP (vraag me niet waarom), dus ik denk dat dat wel goed zitVerwijderd schreef op 06 januari 2004 @ 01:39:
Je moet de update wel voor de juiste taalversie downloaden, het bestand wat jij noemt is namelijk voor een Italiaanse Windows versie (.....ITA.exe).
[...]
ServicePack 1 moet geínstalleerd zijn alvorens de RPC patch te installeren!
Maar het vreemdste is, dat die update niet eens draait, dus je niet eens het wizard schermpje ofzo krijgt met next. Hij moet toch wat laten zien, ook zonder SP1??? (Zelfs op me win2k bakje draaide die; natuurlijk error omdat het geen XP was, maar toch draaide die).
[update]
Nou, dat ging lekker

Naja, probleem is dus ongeveer opgelost, alles eraf, en alles opnieuw d'erop....maar dat doen dan zij wel
[/update]
[ Voor 18% gewijzigd door Darkvater op 06-01-2004 12:22 ]
Windows Vista? *NEVER* Het waarom - Opera forever!!!
I've seen chickens that were more menacing. Chickens in a coma. On ice. In my fridge
Verwijderd
Ik heb hier dus nu een systeem staan waar wel t blaster virus op zat. deze had ik netjes verwijderd maar nu enige weekjes later komt de pc steeds met het standaard afsluit scherm en blijft die ook mee komen.
Ook gaat de machine automatisch aan.
ik heb al diverse virus scanners en ook fixtools laten scannen maar die vinden allemaal niks
.....
wat kan dit zijn?
Ook gaat de machine automatisch aan.
ik heb al diverse virus scanners en ook fixtools laten scannen maar die vinden allemaal niks
wat kan dit zijn?
Is de PC al gepatched met de hotfix van Microsoft?
[ Voor 45% gewijzigd door Verwijderd op 01-02-2004 21:12 ]
Verwijderd
ja heb de update al geinstalleerd ja, er draait ook Norton Antivirus 2004 op en Black ice firewall.
Hallo, waarschijnlijk heeft mijn mams beneden zojuist het Blaster virus binnen gehad.
Zij heeft Windows 2000 en niet alle updates geinstalleerd, ik heb hierboven XP en wél alles op dit moment - dwz. we zitten beide op hetzelfde IP adres en zij kreeg hem wel, ik niet - ik spreek dus van geluk en heb mezelf snel meteen ff gepatched. Maar:
Mijn moeder zegt 'een schermpje te hebben gekregen' ... wat een paar seconden bleef staan en toen flitste de computer uit. Uitgaande van hoe snel zij leest zal dat best 40 seconden zijn geweest.
Daarmee komt ze boven, ik zeg tegen dr: goed, ik ga meteen naar beneden, zet hem NIET aan en ik kom hem patchen. Bij wat diepere navraag stamelde ze toch dat de pc zichzelf gereboot had, dat ze euh, ja toch wel Windows had zien laden maar dat ie toen weer uit was gegaan. Ik kan nu heel hard gaan vloeken omdat ze dat niet meteen zegt - want we zijn nu al te laat - maargoed, vooruit met de geit.
Ik wil dat ding opstarten, maar ik krijg nu zelfs al geen bootscherm meer. Ik heb op advies de netwerkkabel eruit getrokken maar nog steeds geen bootscherm, niks.
Dreeke raadde me nu aan om even de biosbatterij eruit te plukken en na vijf seconden er weer in te proppen... idee?
Probleem erbij komend is dat mijn ouders beneden lopen te freaken, ik zou ze graag ff in de gangkast opsluiten want ze lopen de hele tijd te gillen en nu ook al tegen elkaar
... wat zo'n virus al niet kan uithalen... *gosh*
Zij heeft Windows 2000 en niet alle updates geinstalleerd, ik heb hierboven XP en wél alles op dit moment - dwz. we zitten beide op hetzelfde IP adres en zij kreeg hem wel, ik niet - ik spreek dus van geluk en heb mezelf snel meteen ff gepatched. Maar:
Mijn moeder zegt 'een schermpje te hebben gekregen' ... wat een paar seconden bleef staan en toen flitste de computer uit. Uitgaande van hoe snel zij leest zal dat best 40 seconden zijn geweest.
Daarmee komt ze boven, ik zeg tegen dr: goed, ik ga meteen naar beneden, zet hem NIET aan en ik kom hem patchen. Bij wat diepere navraag stamelde ze toch dat de pc zichzelf gereboot had, dat ze euh, ja toch wel Windows had zien laden maar dat ie toen weer uit was gegaan. Ik kan nu heel hard gaan vloeken omdat ze dat niet meteen zegt - want we zijn nu al te laat - maargoed, vooruit met de geit.
Ik wil dat ding opstarten, maar ik krijg nu zelfs al geen bootscherm meer. Ik heb op advies de netwerkkabel eruit getrokken maar nog steeds geen bootscherm, niks.
Dreeke raadde me nu aan om even de biosbatterij eruit te plukken en na vijf seconden er weer in te proppen... idee?
Probleem erbij komend is dat mijn ouders beneden lopen te freaken, ik zou ze graag ff in de gangkast opsluiten want ze lopen de hele tijd te gillen en nu ook al tegen elkaar

heidiulrich.nl | adventura.nl : rugzakavonturen | pathwise.nl : prepping geeks to get jobs
Verwijderd
Dat doet lovesan niet hoor..
Hetzelfde IP adres, dmv. router of dmv. client/server uitvoering?
Hetzelfde IP adres, dmv. router of dmv. client/server uitvoering?
Maakt op zich niks uit toch? Zodra je pc internet heeft, niet gepatched is tegen de Blaster worm en het niet wordt tegengehouden door een router/firewall/etc. ben je de lulVerwijderd schreef op 03 februari 2004 @ 00:01:
Dat doet lovesan niet hoor..
Hetzelfde IP adres, dmv. router of dmv. client/server uitvoering?
Maar het zou er niet voor moeten zorgen dat de complete pc niet meer boot...
Bij gebrek aan uw reclame staat hier mijn handtekening.
Verwijderd
Die poorten zijn standaard niet geforward op een router hoor en ik neem niet aan dat ze die heeft geforward naar de comp van haar ma.
Die router weet echt niet naar welke comp hij de packets moet sturen, dus wordt er niets mee gedaan.
Die router weet echt niet naar welke comp hij de packets moet sturen, dus wordt er niets mee gedaan.
Dat hoop ik niet nee
Maar sommige routers kun je ook zo instellen dat ze de hele zooi forwarden naar 1 IP (met mijne kan het iig). Dan ben je de complete firewall kwijt en eigenlijk ook elke andere vorm van beveiliging van de router... voordeel is dat dan wel alles werkt (MSN, Emule,etc.)
Bij gebrek aan uw reclame staat hier mijn handtekening.
ah, nou goed we zitten hier dus achter een router die ik niet bijzonder zelf nog heb ingesteld om bepaalde poorten wel of niet open te zetten - standaard instellingen dus.
Update:
Mijn moeder zegt dat ze gewoon zat te internetten en dat ze een schermpje kreeg - grijs met zwarte tekst. Het schermpje was ongeveer vierkant, de zwarte tekst stond overal behalve in het midden, waar nog een grijs vlakje te zien was.
Het ging te snel - 2 seconden oid om de tekst te lezen.
- het was dus ws. geen Blaster schermpje
- het was geen schermpje van Kerio Personal Firewall
- het was geen schermpje van AVG Antivirus
Mijn moeder zegt dat het hierop leek:

(maar dan windows 2k look) maar ze kan zich het rode kruisje niet herinneren, volgens haar stond er geen plaatje / icoontje op.
De PC heeft zich na het vertonen van dit ding in een ruk afgesloten en wilde rebooten, maar kwam niet verder dan Windows - erna kwam hij niet verder dan een zwart scherm.
• Ik heb de pc kast even losgehad, eerst UTP eraf: geen bootscreen, geen opstartprocedure
• Kast opengemaakt, en geboot zonder videokaart: geen gepiep
(ja wel van mijn moeder die vrolijk riep 'ja er staat een melding check sign cable op de monitor!'
)
• videokaart teruggezet, geboot zonder reepje memory: geen gepiep
• Harddisk spint in beide gevallen op, maar meer ook niet
• mobo geeft totaal geen piepjes, wel gaat er één groen LEDje branden en gaat de cpu fan spinnen.
Het is een Asus CUV4X-ME.
Update:
Mijn moeder zegt dat ze gewoon zat te internetten en dat ze een schermpje kreeg - grijs met zwarte tekst. Het schermpje was ongeveer vierkant, de zwarte tekst stond overal behalve in het midden, waar nog een grijs vlakje te zien was.
Het ging te snel - 2 seconden oid om de tekst te lezen.
- het was dus ws. geen Blaster schermpje
- het was geen schermpje van Kerio Personal Firewall
- het was geen schermpje van AVG Antivirus
Mijn moeder zegt dat het hierop leek:

(maar dan windows 2k look) maar ze kan zich het rode kruisje niet herinneren, volgens haar stond er geen plaatje / icoontje op.
De PC heeft zich na het vertonen van dit ding in een ruk afgesloten en wilde rebooten, maar kwam niet verder dan Windows - erna kwam hij niet verder dan een zwart scherm.
• Ik heb de pc kast even losgehad, eerst UTP eraf: geen bootscreen, geen opstartprocedure
• Kast opengemaakt, en geboot zonder videokaart: geen gepiep
(ja wel van mijn moeder die vrolijk riep 'ja er staat een melding check sign cable op de monitor!'

• videokaart teruggezet, geboot zonder reepje memory: geen gepiep
• Harddisk spint in beide gevallen op, maar meer ook niet
• mobo geeft totaal geen piepjes, wel gaat er één groen LEDje branden en gaat de cpu fan spinnen.
Het is een Asus CUV4X-ME.
heidiulrich.nl | adventura.nl : rugzakavonturen | pathwise.nl : prepping geeks to get jobs
Jezuss, ik heb net WinXP geinstalleerd zelf thuis, de legale, en had gelijk het blaster virus binnen. Ik zat wel rechtstreeks op het internet, maar het is toch van de gekke dat de virus je zo gelijk vindt? 
Naja, nog een keer maar installatie dan, zonder netwerkkabel
Naja, nog een keer maar installatie dan, zonder netwerkkabel
Windows Vista? *NEVER* Het waarom - Opera forever!!!
I've seen chickens that were more menacing. Chickens in a coma. On ice. In my fridge
Dark Blue - dat je PC niet meer opstart lijkt me een raar iets - misschien dat het gemakkelijker is daar een apart topic over te openene, aangezien ik dat verschijnsel nog niet eerder ben tegengekomen na een blaster infectie. Geef wel eventjes aan dat je dit topic al gezien enzo hebt
Verwijderd
tja, pech. maar om die dingen te voorkomen zorg ik dat ik het laatste sp heb en pas verbinding maak zodra het servicepack erop zit. vervolgens gelijk windowsupdate. (zou overigens in dit geval niet uitgemaakt hebben)Darkvater schreef op 03 februari 2004 @ 10:52:
Jezuss, ik heb net WinXP geinstalleerd zelf thuis, de legale, en had gelijk het blaster virus binnen. Ik zat wel rechtstreeks op het internet, maar het is toch van de gekke dat de virus je zo gelijk vindt?
Naja, nog een keer maar installatie dan, zonder netwerkkabel
[ Voor 5% gewijzigd door Verwijderd op 03-02-2004 16:20 ]
* sanfranjake heeft de KB823980 hotfix voor 2000, XP en 2003 op usbstick
[ Voor 3% gewijzigd door sanfranjake op 03-02-2004 16:23 ]
Verwijderd
lolsanfranjake schreef op 03 februari 2004 @ 16:23:
* sanfranjake heeft de KB823980 hotfix voor 2000, XP en 2003 op usbstick
/me heeft slipstreamt xpsp1, win2ksp4 en een paar hotfixes op 15GB mp3speler met usb 2.0 aansluiting
[ Voor 7% gewijzigd door Verwijderd op 03-02-2004 16:33 ]
Verwijderd
ik heb geen tijd om alles door te lezen maar ik snap het echt niet meer
zo gauw ik een patch wil openen, of ik via uitvoeren regedit uitvoer
wordt dat nou zon seconde of 10 afgesloten
dus hoe moet ik het programma nou kwijtraken als ik mn patch niet kan installeren
zo gauw ik een patch wil openen, of ik via uitvoeren regedit uitvoer
wordt dat nou zon seconde of 10 afgesloten
dus hoe moet ik het programma nou kwijtraken als ik mn patch niet kan installeren
Lees de topicstart nog eens erg goed door, als je inderdaad last hebt van deze RPC-exploit.Verwijderd schreef op 30 maart 2004 @ 18:28:
ik heb geen tijd om alles door te lezen maar ik snap het echt niet meer
zo gauw ik een patch wil openen, of ik via uitvoeren regedit uitvoer
wordt dat nou zon seconde of 10 afgesloten
dus hoe moet ik het programma nou kwijtraken als ik mn patch niet kan installeren
Neem je whisky mee, is het te weinig... *zucht*