"Is your mother proud of you ?"
Verwijderd
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?
"Is your mother proud of you ?"
Printer monitor doet het (nog steeds) niet meer..
Met de removers niet aangetroffen. Alleen die dllhost.exe..
Ik heb ook gezocht met de 'hand' echter, niets gevonden.
Wat kan ik nog meer doen?
Boom......Boom......Boom......Boom......Boom......booooooooooom
"Is your mother proud of you ?"
Reut: de Batchfile al geprobeert in veilige modus? Systeem sowieso patchen en kijken welke taken allemaal draaien (en in je registry onder \run staat)
[ Voor 13% gewijzigd door Verwijderd op 19-08-2003 22:35 ]
Verwijderd
Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.
Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Controleer gelijk welke processen er allemaal in de achtergrond draaien: CTRL-Shift-Esc (WinXP) / CTRL-ALT-Delete
TFTP.EXE mag je wat mij betreft deleten (of jij moet een gegronde reden hebben: tftp wordt gebruikt als mini [tiny!] ftp-servertje en is een geldig Windows bestand)...
Sockspy.dll is sowieso geen Windows Systeemfile - en mag je ook deleten.
[ Voor 186% gewijzigd door Verwijderd op 20-08-2003 01:15 ]
Verwijderd
Scan je systeem met Kaspersky, of eventueel McAfee.Verwijderd schreef op 19 August 2003 @ 23:40:
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Deze twee zijn veruit superieur aan de rest als het over de dcom exploit tools gaat..(Kaspersky nog ietsje beter dan McAfee)
(Mocht je er voor kiezen om met Kaspersky te scannen, dan is het nog het allerhandigste om de extended bases te gebruiken, mocht je niet weten hoe dat werkt, jusk ask).
Verwijderd
Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...
Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...
UPDATE:
clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.
[ Voor 22% gewijzigd door Verwijderd op 20-08-2003 12:36 . Reden: Update ]
Verwijderd
Dat is volgens mij niet iets dat door lovesan/welchia wordt veranderd..clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open
Ik wil je toch aanraden om je bak met Kaspersky(of McAfee) te scannen.
Verwijderd
Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen
[ Voor 58% gewijzigd door Verwijderd op 20-08-2003 14:30 ]
Verwijderd
Ja, maar die scant niet voor alle expliots die er zijn, het KAV zelf wel..clrav.com is toch van Kapersky ?
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
Omdat je nog steeds last hebt/had van vage verschijnselen raadde ik aan om je systeem eens volledig te scannen met een complete scanner.
Als alles ok blijft gaan zal het wel goed zijn, heb me niet echt heel goed verdiept in de verschijnselen van welchia, maar als je vanavond ineens weer kuren krijgt kan het dus een 'hacker' zijn..
Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.Verwijderd schreef op 20 August 2003 @ 15:06:
[...]
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
[ Voor 6% gewijzigd door Wildfire op 20-08-2003 16:03 ]
Verwijderd
Er is geen enkele firewall die code injection tegenhoudt..Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
Zoek het maar op, heb het zelf getest, het is veel getest door anderen..
Wildfire, er zijn ook zat trojans/exploits die zich speciaal richten op firewalls... Kwestie van de processen van firewall killen, infecteren, en je firewall gaat nooit meer aan... Simpele regel: besmetting binnen, niets vertrouwen...
[ Voor 25% gewijzigd door Verwijderd op 20-08-2003 16:46 ]
Verwijderd
Het is niet schadelijk..
Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.
Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..
Verwijderd
Met code injection bedoel ik het infiltreren van malware in de adress space van een prog wat vertrouwd is en/of veel rechten heeft (denk aan je firewall prog zelf). Schouw heeft gelijk dat in principe geen enkele firewall dat tegen kan houden doordat het mogelijk is dmv een fundamentele zwakheid in windows. Meerdere zelfs, zoek maar eens naar een paper wat "shatter exploits" beschrijft.Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
Echter ik heb Outpost Firewall Pro 2 en die detecteerd het als er een nieuwe module in de adress space van welk proces dan ook verschijnt die nog niet tijdens het laden van die exe was geimporteerd. Het is best slim moet ik zeggen, alleen het kan dan al wel te laat zijn want die dll kan ondertussen allang geinfiltreerd zijn in de code en die dll laten voor wat ie is....
Microsoft zwijgt dit dood en het is maar hopen dat er geen worm komt die ook dit uitbuit, en ook nog eens intelligent is want dan hebben we echt een probleem....
euss: Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat... die mogelijke hacker kon niks uploaden op mn sys aangezien ik alle tftp etc heb geblockt (altijd al).
Verwijderd
Ga eens met bitdefender op zoek naar kazaa virussen...Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat...
Als het 5% vindt, doet het het goed..
Ik zal zo eens even kijken hoeveel dcom exploits het vindt van diegene die ik heb.
Kaspersky kan files detecteren die gemaakt zijn met een generator..
Heb het er met Eugene over gehad en die was blij dat implementatie van dit geintje nogal lastig is en niet al te mainstream.
Ik zal ook eens kijken wat Outpost er van bakt.
Verwijderd
Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.
[ Voor 3% gewijzigd door Verwijderd op 20-08-2003 17:09 ]
Verwijderd
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..
En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.
Verwijderd
Heuristiek: 0 (matig)
Reddingsmedia: 0 (matig)
De rest was wel goed tot zeer goed
Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail) Bij Oulook Express 6, Netscape 4.7x, Mozilla 1.x werkt het helemaal niet.
Herkenning
Ingebedde OLE-objecten : 28/30
WEbOLE objecten : 3/21
heuristiek:
67,7/55,2 - 3/6 maanden oude signatures
46,7 - knutsel virussen
Geen virusscan/update bij installatie
Maar ik zie idd dat exepackers juist het beste door Kapersky worden gedaan.
BitDefender is gewoon op alles hetzelfde of net iets beter en heel soms iets slechter maar het eindoordeel voor Bitdefender is net iets beter. Maar zoals ik zei is Kapersky best goed.
Voor een duidelijker overzicht verwijs ik naar CT 07/08 (een na laatste) pag. 80-83
Volgens mij hebben ze KAV in de laagste beveiligingsstand getest. Hij scant nl. wel degelijk op gecomprimeerde bestanden als je dat insteld (tabblad "objects" -> alles aangevinkt + all files geselecteerd en tabblad "options" code analyser + deep search aangevinkt).
Overigens gaan er best nog wel eens virusscanners over hun zeik als je gecompimeerde bestanden in een gecompimeerd archief in een gecompimeerd archief in een gecompimeerd archief hebt (genest dus) - of bij EXE-packed files of archieven die met password versleuteld zijn.
[ Voor 37% gewijzigd door Verwijderd op 20-08-2003 19:14 ]
Verwijderd
afaik is dat onzin, als ik m'n OE folder scan krijg ik 400+ meldingen, of de files nu in archives zitten, runtime packed zijn, of beide.Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail)
Maar het is zo dat Kaspersky zeer regelmatig ondersteuning voor nieuwere soorten archives/packers toevoegd, gewoon via de daily updates.
Mja, over de heuristics, ze wordt door de meeste experts toch als een van de allerbeste beschouwd.. De andere vendors die het misschien beter doen gebruiken trucjes, zoals de naam van de auteur meenemen in de signatures..
Ik heb even de dcom exploits laten scannen door een paar scanners.
We hebben 34 hostile files:
RAV: 8 infected, 10 suspicious
McAfee: 30 infected
CA: IT 16 infected, Vet 15
Bitdefender: 8 infected
Kaspersky: 34 infected
Hiervan zijn 4 files van autooter, die toch wel heel bekend is, die had ik eerst niet toegevoegd, dus als die niet was meegenomen zag het er wel heel erg donker uit voor Bitdefender..
Misschien snap je nu waarom ik me van die tests van die blaadjes niet zoveel aantrek.
Outpost 2 leek het code injecten van copycat gewoon toe te staan..
See for yourself
Verwijderd
Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.
Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).
Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou
Verwijderd
Ik neem aan dat je het over die dcom exploits hebt?Kan je me die 32 infected binaries in compressed formaat sturen
Het is 8,5 mb, ik heb geen mailserver die zulke grote berichten aankan..
Ik kan ze wel splitten, maar ik weet niet hoeveel jouw mailserver aankan, dus wil ik het wel sturen met tussenpozen, zodat niet de helft wordt gebounced.
Edit:
Geen source en ik weet er eigenlijk niet echt meer vanaf dan dat hij z'n code injecteertHeb je de sourcecode of beschrijving van deze exploit
[ Voor 32% gewijzigd door Verwijderd op 20-08-2003 20:09 ]
Verwijderd
Je kan filesplitter gebruiken voor Windows.
Verwijderd
Je mailbox zal wel een max size hebben en ook een max size voor een enkel bericht..Verwijderd schreef op 20 August 2003 @ 20:09:
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.
Je kan filesplitter gebruiken voor Windows.
Mag ik dan aannemen dat u de anonieme mailer was van zojuist?
Verwijderd
Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.
Het lijkt me iig genoeg...
Verwijderd
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).
%System%\nstask32.exe
%System%\winlogin.exe
%System%\win32sockdrv.dll
%System%\yuetyutr.dll
En met een virusscanner nog even extra controlleren of hij echt verwijderd is.
Kijk gelijk op http://securityresponse.s...nc/data/w32.randex.e.html voor meer tips/info.
Verwijderd
norton virus scanner gebruikt
virus verwijderd
Problemen met o.a knippen en plakken
Harde schijf geformateerd win opnieuw erop gezet probemen niet verholpen
Fixblast gedownload en gerund maar de problemen niet opgelost
Melding de worm has not been found on your computer
Iemand nog een idee hoe ik dit oplos
Bvd Theo
[ Voor 75% gewijzigd door Quantor op 21-08-2003 15:34 . Reden: Oops ]
Alleen verspreid deze zich ook via IRC. En hij maakt niet alleen misbruik van de RPC-bug in MS03-026, maar ook van twee andere bugs (MS03-001 en MS03-007).
Virussen? Scan ze hier!
Verwijderd
Kennelijk ernstig genoeg volgens Trend om er een officiële update voor uit te brengen..wildhagen schreef op 21 August 2003 @ 16:04:
Hoppa, wéér een nieuw virus dat MS03-026 exploit: W32/Gaobot.worm.y, info op http://vil.nai.com/vil/content/v_100566.htm
Alleen verspreid deze zich ook via IRC. En hij maakt niet alleen misbruik van de RPC-bug in MS03-026, maar ook van twee andere bugs (MS03-001 en MS03-007).
Ben benieuwd of deze veel last gaat veroorzaken
Edit: Symantec heeft hem nu ook gelist, wordt pas gecovered in de LU van volgende week, dus lijkt nog niet echt gevaarlijk te zijn..
Erg tof dat Kaspersky wordt geboycot, as always, ze hadden gisteren al protectie tegen deze maar geen enkele andere vendor list dat, terwijl ze(NAV, NAI etc) het wel van andere vendors listen..
[ Voor 25% gewijzigd door Verwijderd op 21-08-2003 19:59 ]
Ik zit dus met een PC met winXP (HP) waarbij die Chryptographic services niet draaien en de patch dus niet werkt met een vermelding naar die Chryptograhpic service. Ik zie hem ook niet staan bij: (start > uitvoeren > services.msc) en kan de service dus ook niet zelf starten en dus niet patchen.Verwijderd schreef op 13 August 2003 @ 20:56:
Cryptographic Services moet op automatisch staan én gestart zijn bij Services (start > uitvoeren > services.msc)
Eventueel kan 't ook zijn dat Cryptographic-service juist fouten geeft als deze service actief is. Het uitschakelen van deze service kan dán juist een oplossing zijn.
Iemand een idee??
[ Voor 3% gewijzigd door bombadil op 26-08-2003 17:07 ]
"De ouwe Tom Bombadil is een vrolijk kwastje,Zijn laarzen zijn geel en knalblauw is zijn jasje, Want Tom, die de meester is, heeft geen ooit gevangen, Zijn liedjes zijn sterker en zijn benen zijn langer". (LotR)
Verwijderd
Verwijderd
Heb je de bak wel gepatched hiertegen?Verwijderd schreef op 27 August 2003 @ 14:32:
probleempje, blaster virus stond op pc, deze is verwijderd door verwijdertooltje, pc is nu schoon (meerdere male gecheckt) maar blijft steeds de foutmelding: "svchost.exe heeft een fout gegenereerd" geven... wie weet wat mij te doen staat...
Je zal nu wel een andere variant van lovesan(blaster) hebben, of er heeft nu iemand complete toegang tot je systeem..
Patchen/firewall erop, kijken naar rare verbindingen die je eventueel hebt.
Scannen met Kaspersky en/of McAfee..
De FBI is een 18-jarige jongen op het spoor die de maker zou zijn van het internetvirus Blaster, dat de afgelopen tijd over de hele wereld meer dan 500.000 computers zou zijn binnengedrongen. De jongen wordt waarschijnlijk vrijdagmorgen aangehouden.
Volgens een bron bij de overheid werd de FBI getipt door iemand die de jongen zijn versie van het virus, dat een aantal varianten kent, had zien testen.
Computers waarin Blaster is binnengedrongen functioneren niet goed meer, onder meer doordat zij zichzelf steeds opnieuw opstarten. Ook openden besmette computers deze maand de aanval op Microsoft door onophoudelijk de webpagina op te vragen waar een programma kan worden gedownload om het virus te verwijderen. Dat had ertoe moeten leiden dat de site van Microsoft bezweek. De aanval mislukte echter, doordat de maker van het virus zich had vergist in de naam van de betreffende webpagina.
Blaster, ook bekend als LovSan of MSBlast, is een zogenoemde worm die gebruikmaakt van een lek in de beveiliging van Windows 2000 en Windows XP, de twee recentste versies van het besturingssysteem van Microsoft. De worm laat op computers een verborgen boodschap achter: I just want to say LOVE YOU SAN. Een andere boodschap die in het virus verborgen zit, is bestemd voor Microsoft-topman Bill Gates: billy gates why do you make this possible? Stop making money and fix your software!
Virussen? Scan ze hier!
Verwijderd
hartelijk dank
Wat dacht je van de topicstart?Verwijderd schreef op 09 September 2003 @ 19:49:
iemand een ID waar ik dit kan vinden??
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
Verwijderd
ik zei dat het voor bejaarden ook te begrijpen moet zijn, dus stap voor stap
Wat dacht je van zelf maken?Verwijderd schreef op 09 september 2003 @ 19:55:
nee voor de meeste mensen bij mij op school te moeilijk
ik zei dat het voor bejaarden ook te begrijpen moet zijn, dus stap voor stap
Dan weet je dat alles te begrijpen is voor je doelgroep
[ Voor 5% gewijzigd door SH007 op 09-09-2003 19:57 ]
Verwijderd
Nou...Verwijderd schreef op 09 september 2003 @ 19:57:
als je goed gelezen hebt, kan je zien dat ik niet zoveel tijd heb, maar was een goed idee
Als je nu nog moet beginnen met preventie en bestrijding voor 20.000 man ben je rijkelijk 2 maanden te laat.
[ Voor 168% gewijzigd door alt-92 op 09-09-2003 20:03 ]
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
En jij hebt in die 20 minuten al een begin gemaakt aan jouw handleiding?Verwijderd schreef op 09 September 2003 @ 20:09:
iemand al iets gevonden??
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Verwijderd
maar als ik dit niet mag vragen laat dan maar
[ Voor 13% gewijzigd door Verwijderd op 09-09-2003 20:24 ]
Verwijderd
http://www.microsoft.com/...ity/bulletin/MS03-039.asp
Nieuwe RPC service exploit gevonden in NT4/2000/XP/2003
[ Voor 19% gewijzigd door AwesomE op 11-09-2003 10:58 ]
...
iemand?bombadil schreef op 26 August 2003 @ 17:07:
[...]
Ik zit dus met een PC met winXP (HP) waarbij die Chryptographic services niet draaien en de patch dus niet werkt met een vermelding naar die Chryptograhpic service. Ik zie hem ook niet staan bij: (start > uitvoeren > services.msc) en kan de service dus ook niet zelf starten en dus niet patchen.
Iemand een idee??
Overigens werkt windows update ook niet (met dank aan HP).
"De ouwe Tom Bombadil is een vrolijk kwastje,Zijn laarzen zijn geel en knalblauw is zijn jasje, Want Tom, die de meester is, heeft geen ooit gevangen, Zijn liedjes zijn sterker en zijn benen zijn langer". (LotR)
Pc's die met de (oude) KB823980 fix zijn gepatch geven [ptch] [ptch].
Is er mogelijk een nieuwe versie van scanms?
Doe even een update en scan opnieuw.
En omdat we het Nachi virus op het netwerk hebben, zijn we pc's die geïnfecteerd waren manueel gaan patchen. Het virus is nu zo goed als onder controle, maar nu willen we (snel) controleren welke pc's nog niet gepatcht zijn.
Verwijderd
- Fix (werkt niet)
- windoos map (staat niks in)
- register (staat niks in)
Tog blijft hij me cputer opnieuwe opstarten met schermpje (zie 1st post)
Iemand een idee wat nu te doen ?
Wat is het geval:
Er wAs een blaster virus op de pc. Deze werd zo in het geheugen zichtbaar met ctrl-alt-del
Na een installatie van norton 2004 pro werd de pc gecleaned. Blaster weg en 2 backdoors.
De PC voorzien van XP sp1 en updates die volgden (ja eindelijk iemand die AV en update van MS gebruikt! :-)
Toch gebeurt hetvolgende, en alleen als internet actief is:
na 2 minuten een virus rtf####, direct na die melding door norton: verwijdert(door norton) maar gelijktijdig met de aftelling door win XP zelf... Die kan je niet onderbreken of ik weet niet hoe.
Nu was er wel een patch te vinden die MOGELIJK deze nieuwe kon patchen, maar deze werkte nog niet bij alle pc's
Er stond wat van op de site van kaspersky, maar ben inmiddels op kantoor en die pc was van een vriend. (Dus geen url ff hier te plakken)
resident is er op zijn haast maagdelijke pc niks aparts, allemaal windows stuff, een scan detector(flatbedscanner) norton av, messnenger.
De meest recente removal utils die ik bij mij had vonden niks.
Norton vind alleen op het moment dat het te laat en delete, aldus het scherm.
Maar ja, updates, scannen, er wordt niets gevonden.
Tot je weer op internet gaat, dan is het in 3 minuten error, delete virus, aftellen van win XP en pc start opnieuw.
http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)
Verwijderd
Als het een 'apart'(lees: niet blaster) virus is, stuur me dan aub een sample.
Verder beetje apart verhaal en ga bijna denken aan een nieuwe flash-worm.
Een sample van iets dat ik niet kan fixeren? Of je doelt vast op een screencapture?Verwijderd schreef op 26 november 2003 @ 14:10:
Wat voor virus is het volgens NAV?
Als het een 'apart'(lees: niet blaster) virus is, stuur me dan aub een sample.
Verder beetje apart verhaal en ga bijna denken aan een nieuwe flash-worm.
Anyway, norton melde volgens mij rtf1234 (4 getallen) elke restart andere getallen)
De bekende (m)blaster is het in elk geval zeker niet.
Terwijl ik er gaande weg,
in acht nemende de bestaande 'oplossingen' die dus niks uithaalden,
wat opgewonden van raakte dat hij zeer mogelijk deel uitmaakt van een NLse nieuwe virus primeur
Terecht, internetten zit er ff niet in voor hem.
http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)
Verwijderd
Of check de NAV logs wat daar instaat van 'blabla' virus detected etc.
Dat rtf1234 zal wel de bestandsnaam zijn.
Een sample zou echt ontzettend tof zijn.
(Grappig dat je vriend steeds triester werd en ik nu steeds meer opleef
Maar jij analyseert virussen of zo?
Laat maar...
Ik zie het al aan je signature
[ Voor 27% gewijzigd door Joen op 26-11-2003 20:54 ]
Huh!? ik zie zijn hele signature niet, ligt dat aan (mijn?) settings alhier op tweakersnet?JeroenM_tbs schreef op 26 november 2003 @ 20:53:
Ze zeggen ook wel eens: de een zn dood, de ander zn brood.
Maar jij analyseert virussen of zo?
edit:
Laat maar...
Ik zie het al aan je signature![]()
http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)
Verwijderd
Dat kan, moet je even je prefs doornemen. /offtopicnotsonewbie schreef op 28 november 2003 @ 16:24:
[...]
Huh!? ik zie zijn hele signature niet, ligt dat aan (mijn?) settings alhier op tweakersnet?
Verwijderd
Nu is er bij in iedergeval 1 van die pc's wat aan de hand, zijn processor gebruik staat op 100%. Eerst dacht ik dat het McAfee was, maar deze heb ik nu verwijderd en nog steeds blijft alles op 100% staan.
Ook komt er een melding dat er een service niet opgestart is.
Die patch heb ik er ook al af gemieterd maar helpt ook al niet.
Met windows 2000 clients heb ik ook al wat problemen gehad.
Bij verre kennis (je weet wel die kennis die je krijgt.. als ze een probleem hebben met de pc) van mij laatst wmplayer rpc virus gevonden.. tjonge jonge..in de taskmanager stonden alle varianten van rpc virii op .. teekids, mslaugh .. en dus wmplayer. Die laatste kende ik echter nog niet. Nadat ik verwijzingen en de bekende shit had verwijderd had, zag ik dat de hele tijd wmplayer.exe opstartte.. Kon het verder niet terug vinden in de registry (behalve van die 1000 andere verwijzingen naar de bestaande windows executable, niet onder run keys maar ook niet onder services)... Dacht ook dat het hier in eerste instantie niet aan kon liggen.
Voordat ik die wmplayer.exe virus had achterhaald.. was ik dus in totaal 2 uur verder (omdat die om de minuut dus de boel opnieuw opstartte).. ooh wat was dat toch weer een leuk tijdverdrijf.. NOT!
Nu een kerio personal firewall geïnstalleerd.
[ Voor 7% gewijzigd door henkleerssen op 03-12-2003 16:49 ]
Verwijderd
Deze heb ik gedeinstalleerd maar nog steeds problemen. Het is echt dat grafiekje van je cpu wat op 100% staat, bij processen staat niet echt iets bij zonders.
Deze pc had waarschijnlijk dat virus nog niet, maar ik wou uit voorzorg die patch installeren.
Momenteel zit ik uit, maar morgen is die gebruiker weg en kan ik als ik wil er 2 dagen aan besteden om het op te lossen.
Die patch heeft iets vern**kt maar de vraag is wat.
Maar zoals ik zei, morgen post ik wel wat meer info als ik ff aan het stoeien ben geweest met die pc.
Verwijderd
Verwijderd
maar goed, die bak die heeft nu last van blaster, eehh nou eigenlijk de sympthomen. internet -> een minuutje en reboot en zo...
Virusscanner vindt nix, blasterfix vindt geen blaster. geen msblast.exe bestand, geen regeltje in mijn registry, geen blaster bij processes,...
Sympthoms, but NO virus...
Ik hoop dat misschien iemand nog een goed ideetje heeft anders wordt het toch helaas een format c:...
Oftewel - het probleem van een crashende RPC Service is niet MS Blaster, maar is een vulnerability. Vlak onder bovenstaande tekst, staat dan ook:Deze vulnerability is eigenlijk bekend geraakt onder de naam "MS Blaster" - het virus wat in Augustus 2003 veel overlast veroorzaakte over heel de wereld. MS Blaster is echter de naam van een van de virussen die gebruik maakten van dit lek, en niet het probleem zelf.
Oftewel - draai Windows updateOm niet meer kwetsbaar te zijn voor dit probleem is een virus scanner dan ook niet geschikt - je zal de fout in Windows zelf moeten oplossen. Je doet dit door bovenstaande patch te installeren op je systeem, zie dit lijstje om te zien welke patch je nodig hebt:
Verwijderd
Verwijderd
[ Voor 6% gewijzigd door Verwijderd op 15-12-2003 13:38 ]
Ik heb ook de windows update voor die blaster gedownload "WindowsXP-KB823980-x86-ITA.exe" en gedraaid. Ik ben niet helemaal zeker of die het nou doet, aangezien na het verify-en en het extracten niks meer gebeurd. Ik zie de patch ook niet in het "installed programs" lijstje.
Wat kan ik er aan doen om het op te lossen?
p.s. in windows explorer kan ik ook niet slepen, maar dat ligt aan het virus denk ik. In safe mode werkt het wel.
- RPC op 'herstarten service' gezet
- Systeem herstel uitgezet
[update]
Die patch wil kennelijk niet installeren ofzo op die pc, dus maar met '-x' uitgepakt. Dan heb ik 1 exe bestand, een of andere 'xp......exe'. Maar als ik die draai doet ie ook niks. Ik kan de patch niet installeren
[/update]
[ Voor 23% gewijzigd door Darkvater op 05-01-2004 16:21 ]
Windows Vista? *NEVER* Het waarom - Opera forever!!!
I've seen chickens that were more menacing. Chickens in a coma. On ice. In my fridge
ServicePack 1 moet geínstalleerd zijn alvorens de RPC patch te installeren!Windows XP 32-Bit Edition SP1 of Gold (Nederlands) [mirror]
[ Voor 62% gewijzigd door Verwijderd op 06-01-2004 01:42 ]
En uiteraard file&printersharing en client voor ms netwerken uitzetten op je internetverbinding.
(maar dat is allemaal zo uitgekauwd)
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
Verwijderd
Via de ePo van network associates kan ik zien dat het virus nog steeds over het netwerk gaat. En dan vooral de lovsan.e
Ik heb bijna alle clients gepatchst, maar schijnbaar heb ik toch 1 gemist of meerdere.
Ik wil het nu anders aanpakken, ik wil namelijk de bron hebben. Er zijn namelijk ook een aantal clients die ik niet kan patchen dit in verband met programma's die dan niet werken.
Ik wil graag van dit virus af want we hebben ook te maken met pc's van klanten.
Ik heb ook al zo'n scantool gebruik om te zien waar de poorten openstaan maar deze is ook niet helemaal waterdicht.
Wie heeft een id hoe ik dit beter kan aanpakken, en het liefst hoe ik de bron vind.
Het is dus de Italiaanse Windows XP (vraag me niet waarom), dus ik denk dat dat wel goed zitVerwijderd schreef op 06 januari 2004 @ 01:39:
Je moet de update wel voor de juiste taalversie downloaden, het bestand wat jij noemt is namelijk voor een Italiaanse Windows versie (.....ITA.exe).
[...]
ServicePack 1 moet geínstalleerd zijn alvorens de RPC patch te installeren!
Maar het vreemdste is, dat die update niet eens draait, dus je niet eens het wizard schermpje ofzo krijgt met next. Hij moet toch wat laten zien, ook zonder SP1??? (Zelfs op me win2k bakje draaide die; natuurlijk error omdat het geen XP was, maar toch draaide die).
[update]
Nou, dat ging lekker
Naja, probleem is dus ongeveer opgelost, alles eraf, en alles opnieuw d'erop....maar dat doen dan zij wel
[/update]
[ Voor 18% gewijzigd door Darkvater op 06-01-2004 12:22 ]
Windows Vista? *NEVER* Het waarom - Opera forever!!!
I've seen chickens that were more menacing. Chickens in a coma. On ice. In my fridge
Verwijderd
Ook gaat de machine automatisch aan.
ik heb al diverse virus scanners en ook fixtools laten scannen maar die vinden allemaal niks
wat kan dit zijn?
[ Voor 45% gewijzigd door Verwijderd op 01-02-2004 21:12 ]
Verwijderd
Zij heeft Windows 2000 en niet alle updates geinstalleerd, ik heb hierboven XP en wél alles op dit moment - dwz. we zitten beide op hetzelfde IP adres en zij kreeg hem wel, ik niet - ik spreek dus van geluk en heb mezelf snel meteen ff gepatched. Maar:
Mijn moeder zegt 'een schermpje te hebben gekregen' ... wat een paar seconden bleef staan en toen flitste de computer uit. Uitgaande van hoe snel zij leest zal dat best 40 seconden zijn geweest.
Daarmee komt ze boven, ik zeg tegen dr: goed, ik ga meteen naar beneden, zet hem NIET aan en ik kom hem patchen. Bij wat diepere navraag stamelde ze toch dat de pc zichzelf gereboot had, dat ze euh, ja toch wel Windows had zien laden maar dat ie toen weer uit was gegaan. Ik kan nu heel hard gaan vloeken omdat ze dat niet meteen zegt - want we zijn nu al te laat - maargoed, vooruit met de geit.
Ik wil dat ding opstarten, maar ik krijg nu zelfs al geen bootscherm meer. Ik heb op advies de netwerkkabel eruit getrokken maar nog steeds geen bootscherm, niks.
Dreeke raadde me nu aan om even de biosbatterij eruit te plukken en na vijf seconden er weer in te proppen... idee?
Probleem erbij komend is dat mijn ouders beneden lopen te freaken, ik zou ze graag ff in de gangkast opsluiten want ze lopen de hele tijd te gillen en nu ook al tegen elkaar
heidiulrich.nl | adventura.nl : rugzakavonturen | pathwise.nl : prepping geeks to get jobs
Verwijderd
Hetzelfde IP adres, dmv. router of dmv. client/server uitvoering?
Maakt op zich niks uit toch? Zodra je pc internet heeft, niet gepatched is tegen de Blaster worm en het niet wordt tegengehouden door een router/firewall/etc. ben je de lulVerwijderd schreef op 03 februari 2004 @ 00:01:
Dat doet lovesan niet hoor..
Hetzelfde IP adres, dmv. router of dmv. client/server uitvoering?
Maar het zou er niet voor moeten zorgen dat de complete pc niet meer boot...
Bij gebrek aan uw reclame staat hier mijn handtekening.
Verwijderd
Die router weet echt niet naar welke comp hij de packets moet sturen, dus wordt er niets mee gedaan.
Bij gebrek aan uw reclame staat hier mijn handtekening.
Update:
Mijn moeder zegt dat ze gewoon zat te internetten en dat ze een schermpje kreeg - grijs met zwarte tekst. Het schermpje was ongeveer vierkant, de zwarte tekst stond overal behalve in het midden, waar nog een grijs vlakje te zien was.
Het ging te snel - 2 seconden oid om de tekst te lezen.
- het was dus ws. geen Blaster schermpje
- het was geen schermpje van Kerio Personal Firewall
- het was geen schermpje van AVG Antivirus
Mijn moeder zegt dat het hierop leek:

(maar dan windows 2k look) maar ze kan zich het rode kruisje niet herinneren, volgens haar stond er geen plaatje / icoontje op.
De PC heeft zich na het vertonen van dit ding in een ruk afgesloten en wilde rebooten, maar kwam niet verder dan Windows - erna kwam hij niet verder dan een zwart scherm.
• Ik heb de pc kast even losgehad, eerst UTP eraf: geen bootscreen, geen opstartprocedure
• Kast opengemaakt, en geboot zonder videokaart: geen gepiep
(ja wel van mijn moeder die vrolijk riep 'ja er staat een melding check sign cable op de monitor!'
• videokaart teruggezet, geboot zonder reepje memory: geen gepiep
• Harddisk spint in beide gevallen op, maar meer ook niet
• mobo geeft totaal geen piepjes, wel gaat er één groen LEDje branden en gaat de cpu fan spinnen.
Het is een Asus CUV4X-ME.
heidiulrich.nl | adventura.nl : rugzakavonturen | pathwise.nl : prepping geeks to get jobs
Naja, nog een keer maar installatie dan, zonder netwerkkabel
Windows Vista? *NEVER* Het waarom - Opera forever!!!
I've seen chickens that were more menacing. Chickens in a coma. On ice. In my fridge
Verwijderd
tja, pech. maar om die dingen te voorkomen zorg ik dat ik het laatste sp heb en pas verbinding maak zodra het servicepack erop zit. vervolgens gelijk windowsupdate. (zou overigens in dit geval niet uitgemaakt hebben)Darkvater schreef op 03 februari 2004 @ 10:52:
Jezuss, ik heb net WinXP geinstalleerd zelf thuis, de legale, en had gelijk het blaster virus binnen. Ik zat wel rechtstreeks op het internet, maar het is toch van de gekke dat de virus je zo gelijk vindt?
Naja, nog een keer maar installatie dan, zonder netwerkkabel
[ Voor 5% gewijzigd door Verwijderd op 03-02-2004 16:20 ]
[ Voor 3% gewijzigd door sanfranjake op 03-02-2004 16:23 ]
Verwijderd
lolsanfranjake schreef op 03 februari 2004 @ 16:23:
* sanfranjake heeft de KB823980 hotfix voor 2000, XP en 2003 op usbstick
/me heeft slipstreamt xpsp1, win2ksp4 en een paar hotfixes op 15GB mp3speler met usb 2.0 aansluiting
[ Voor 7% gewijzigd door Verwijderd op 03-02-2004 16:33 ]
Verwijderd
zo gauw ik een patch wil openen, of ik via uitvoeren regedit uitvoer
wordt dat nou zon seconde of 10 afgesloten
dus hoe moet ik het programma nou kwijtraken als ik mn patch niet kan installeren
Lees de topicstart nog eens erg goed door, als je inderdaad last hebt van deze RPC-exploit.Verwijderd schreef op 30 maart 2004 @ 18:28:
ik heb geen tijd om alles door te lezen maar ik snap het echt niet meer
zo gauw ik een patch wil openen, of ik via uitvoeren regedit uitvoer
wordt dat nou zon seconde of 10 afgesloten
dus hoe moet ik het programma nou kwijtraken als ik mn patch niet kan installeren
Neem je whisky mee, is het te weinig... *zucht*