[Virus/worm] W32/Sobig.F@mm *

Pagina: 1 2 Laatste
Acties:
  • 847 views sinds 30-01-2008
  • Reageer

Acties:
  • 0 Henk 'm!

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Zijn er al mensen bezig geweest met analyse van de worm; en zijn er eventueel sourcecodes beschikbaar?

Ik heb hier en hier nog niets kunnen vinden.

ik vindt toch dat wel dit wel even kunnen oplossen:
But the machines infected with SoBig.F will try to connect to port 8998 on one of the hijacked machines. They will transmit a secret 8-byte code, which will cause the hijacked machines to return a web link to a site from which the malicious code can be downloaded.

Attempts to discover this target link have so far been foiled, as the worm's writer used a bogus URL. Experts believe that this link would be changed to the real one a few seconds before the deadline, too late for companies to block.
:)

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Spider.007 schreef op 25 August 2003 @ 10:40:
Zijn er al mensen bezig geweest met analyse van de worm; en zijn er eventueel sourcecodes beschikbaar?
Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toe :+ ) en er is op het net veel te vinden over virussen bakken. Maar laten we het script kiddies die twee regels aanpassen en een nieuw virus de wereld insturen, het niet te makkelijk maken :P
ik vindt toch dat wel dit wel even kunnen oplossen
Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-worm
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.

Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

F_J_K schreef op 25 augustus 2003 @ 10:56:
[...]

Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toe :+ ) en er is op het net veel te vinden over virussen bakken. Maar laten we het script kiddies die twee regels aanpassen en een nieuw virus de wereld insturen, het niet te makkelijk maken :P
Uiteraardt vraag ik hier niet om broncode te posten die misbruikt kan worden voor nieuwe virussen maar eerlijkgezegd denk ik dat een virus wat zich op deze manier verspreid (de welbekende attachment en p2p distributiekanalen) toch niet moeilijk door scanners opgepakt moet kunnen worden (dus ook afgeleiden hiervan).
[...]

Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-worm
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.

Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?
Dat intrigeerd mij ook; het lijkt erop dat er 20 machines zijn die een URL kunnen gaan doorsturen. Deze machines zijn door de providers al afgeschermd en dus onbereikbaar op 1 na die als honeypot functioneerd. Deze 20 machines geven een URL terug na een geheime 8-bit code. Momenteel geven deze machines nog niet bestaande URL's door; er wordt verwacht dat dit op het allerlaatste moment wordt aangepast door de virus schrijver. Verder kan de lijst met 20 machines die in de worm zit geprogrammeerd nog worden aangepast; al is mij niet duidelijk hoe dit moet gebeuren. Eventueel kan hier een nieuwe worm voor worden losgelaten.

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


Acties:
  • 0 Henk 'm!

  • k-oz
  • Registratie: Oktober 1999
  • Laatst online: 29-12-2021

k-oz

do not feed the trolls

de maker is bezig om zijn virus te perfectioneren. kijkend naar de history is het aannemelijk dat er 11 september weer een nieuwe (verbeterde) versie gaat rondwaren.

klaarblijkelijk willen we niets leren van wat er in het verleden is gebeurd, waardoor de maker steeds verder komt met het bereiken van zijn doel.

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""


Acties:
  • 0 Henk 'm!

  • k-oz
  • Registratie: Oktober 1999
  • Laatst online: 29-12-2021

k-oz

do not feed the trolls

Verwijderd schreef op 21 August 2003 @ 13:42:
Wat ik trouwens nog steeds niet begrijp is dat mensen nog steeds niet hebben geleerd om NIET te dubbelklikken op een attachment. Is dat nu nog niet doorgedrongen tot al die eindgebruikers?

Het is wel leuk om een forum als dit erover te praten, maar degene die dit steeds weer voor elkaar krijgen bereik je er kennelijk niet mee.

Mijns inziens is het tijd voor hardere acties bij zowel mail-programma's als providers, laat standaard al die stomme attachments blokkeren dan zijn we van de meeste problemen af.
idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""


Acties:
  • 0 Henk 'm!

Verwijderd

de maker is bezig om zijn virus te perfectioneren. kijkend naar de history is het aannemelijk dat er 11 september weer een nieuwe (verbeterde) versie gaat rondwaren.
Er zat toch wel wat tijd tussen sobig.c en sobig.e, er zat toch flink wat tijd tussen sobig.e en sobig.f

Acties:
  • 0 Henk 'm!

  • k-oz
  • Registratie: Oktober 1999
  • Laatst online: 29-12-2021

k-oz

do not feed the trolls

c volgde direct na beeindiging van b , daarnaast lijkt 11/9 een voor de hand liggende datum voor mogelijk een zeer 'hardnekkige' versie

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""


Acties:
  • 0 Henk 'm!

  • jj85
  • Registratie: Januari 2002
  • Laatst online: 22:05
Raar, begin dit jaar gingen er ook een aantal virussen rond. Deze kreeg ik dan ook zeer veel en mijn mailboxen. Maar nu heb ik er nog geen één ontvangen, terwijl je de laatste tijd wel heel veel leest over virussen die zich razendsnel verspreiden. :?

Acties:
  • 0 Henk 'm!

  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024
k-oz schreef op 25 August 2003 @ 16:28:
[...]


idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.
Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.

Acties:
  • 0 Henk 'm!

Verwijderd

k-oz schreef op 25 augustus 2003 @ 18:51:
c volgde direct na beeindiging van b , daarnaast lijkt 11/9 een voor de hand liggende datum voor mogelijk een zeer 'hardnekkige' versie
Ik heb het over de andere, tenzij je de coder zelf bent kun je er echt niet veel zinnigs over zeggen..

Acties:
  • 0 Henk 'm!

  • k-oz
  • Registratie: Oktober 1999
  • Laatst online: 29-12-2021

k-oz

do not feed the trolls

WimB schreef op 25 August 2003 @ 19:04:
[...]

Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.
alle executables zou je dan moeten blokkeren. Het versturen van een exe of welke executable dan ook zou je kunnen doen door de extensie te hernoemen (._xe)

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""


Acties:
  • 0 Henk 'm!

  • BaRF
  • Registratie: Augustus 2001
  • Laatst online: 01-10 14:30

BaRF

bijna kerst

klopt het trouwens nou dat het virus zichzelf vernietigd op de 10e? ik hoop het, want mn zeelandnet account zit elke dag vol met 2399 mails... ik krijg nu dammit zon 20 mails per minuut die mij er op wijzen dat ik het virus rondstuur, terwijl dat uiteraard niet zo is. Maar het blijft erg vervelend...

The space between is where you'll find me hiding, waiting for you


Acties:
  • 0 Henk 'm!

Verwijderd

Het vernietigt zich niet, het stopt met verspreiden..
Het virus blijft wel actief op de pc's waar het op gerund wordt.

Acties:
  • 0 Henk 'm!

  • memphis
  • Registratie: Oktober 2000
  • Laatst online: 22:35

memphis

48k was toen meer dan genoeg.

BaRF schreef op 03 September 2003 @ 22:06:
klopt het trouwens nou dat het virus zichzelf vernietigd op de 10e? ik hoop het, want mn zeelandnet account zit elke dag vol met 2399 mails... ik krijg nu dammit zon 20 mails per minuut die mij er op wijzen dat ik het virus rondstuur, terwijl dat uiteraard niet zo is. Maar het blijft erg vervelend...
Kijk in de headers van de mail via welke server ze gestuurd worden. Stuur dan 1 complete mail met header naar abuse@gevondenserver.xx met de vraag als ze die gebruiker aan kunnen pakken.

Ik heb een week terug een dezelfde situatie gehad en het kwam bij WXS vandaan, na 15 min kreeg ik een bevestiging en aan het einde van de dag was het over.

Er zijn mensen die mij een GOD vinden


Acties:
  • 0 Henk 'm!

  • jagermeister
  • Registratie: Februari 2002
  • Laatst online: 23:04

jagermeister

Artillerie magneet :-(

Ik wordt er ook echt stront ziek van. Elke keer als ik Outlook start heb ik weer een stuk of 5 van die krengen. Virusscanner gelijk blaten als een gek natuurlijk. Wat kan ik er nou wezenlijk tegen doen. De afzender is iedere keer dit:

Return-path: <admin@duma.gov.ru>

ff dat adres door google halen levert niet veel op behalve dan hoe je de worm moet verwijderen, maar niet hoe ik die mailtjes stop.

Wat kan ik nu nog doen?

- specs - Download mijn custom BF2 map HIER NIET MEER


Acties:
  • 0 Henk 'm!

Verwijderd

Kijken naar het ip adres, opzoeken welke isp daar bij hoort.
Mail sturen naar abuse afdeling.

Acties:
  • 0 Henk 'm!

  • jagermeister
  • Registratie: Februari 2002
  • Laatst online: 23:04

jagermeister

Artillerie magneet :-(

Ok, maar wat is dan het IP adres?

Return-path: <admin@duma.gov.ru>
Received: from smtp09.wxs.nl ([195.121.5.24])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HKN0054R4GW7B@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
03 Sep 2003 14:36:32 +0100 (WEST)
Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])
by smtp09.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HKN00BNL4FUSC@smtp09.wxs.nl> for xxxxxxxxxxxxx@planet.nl
(ORCPT xxxxxxxx@planet.nl); Wed, 03 Sep 2003 15:35:56 +0200 (MEST)
Date: Wed, 03 Sep 2003 15:35:54 +0200 (MEST)
Date-warning: Date header was inserted by smtp09.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxxxxx@planet.nl
Message-id: <0HKN00BNM4FUSC@smtp09.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc822;xxxxxxx@planet.nl

Ik neem uit bovenstaande headers aan dat het van WXS afkomt. Klopt dit? Sorry als dit een beetje een stomme vraag is.

Ik haal die headers zo wel weer weg. ;)

- specs - Download mijn custom BF2 map HIER NIET MEER


Acties:
  • 0 Henk 'm!

Verwijderd

Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])
Dat is 'm..maar als ik heb trace dan krijg ik:
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]

Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..

Iig, dit is trouwens geen sobig, maar dumaru..

Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank

Acties:
  • 0 Henk 'm!

  • jagermeister
  • Registratie: Februari 2002
  • Laatst online: 23:04

jagermeister

Artillerie magneet :-(

Verwijderd schreef op 03 september 2003 @ 23:45:
[...]

Dat is 'm..maar als ik heb trace dan krijg ik:
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]

Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..

Iig, dit is trouwens geen sobig, maar dumaru..

Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank
Tuurlijk wil ik zo lief zijn... ;) ik mail hem zodra ik er weer 1 heb, want ik heb ze net verwijderd ( Ook uit de quarantined-items ). Ik krijg er ongetwijfeld nog een berg binnen. Dat zal morgenmiddag wel weer zijn. Meestal duurt het ff, maar dan krijg ik er meteen een stuk of 5.

Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?

Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.

[ Voor 6% gewijzigd door jagermeister op 03-09-2003 23:56 ]

- specs - Download mijn custom BF2 map HIER NIET MEER


Verwijderd

Heb de trace nu eens laten doorlopen, eerst alleen gekeken naar dns naam en het lijkt dus een wxs user te zijn..(het zou vooral niet handig zijn dat ook gewoon in de dns naam te gooien..)

Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..

  • jagermeister
  • Registratie: Februari 2002
  • Laatst online: 23:04

jagermeister

Artillerie magneet :-(

Verwijderd schreef op 04 September 2003 @ 00:05:
Heb de trace nu eens laten doorlopen, eerst alleen gekeken naar dns naam en het lijkt dus een wxs user te zijn..(het zou vooral niet handig zijn dat ook gewoon in de dns naam te gooien..)

Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..
Idd vaag ja. In iedergeval heb ik een mailtje naar WXS en naar Planet gestuurd, maar volgens mij is het beide de Planet Media groep aangezien ik dezelfde autoreply terug krijg.

- specs - Download mijn custom BF2 map HIER NIET MEER


Acties:
  • 0 Henk 'm!

Verwijderd

jagermeister1 schreef op 03 September 2003 @ 23:55:
[...]

Tuurlijk wil ik zo lief zijn... ;) ik mail hem zodra ik er weer 1 heb, want ik heb ze net verwijderd ( Ook uit de quarantined-items ). Ik krijg er ongetwijfeld nog een berg binnen. Dat zal morgenmiddag wel weer zijn. Meestal duurt het ff, maar dan krijg ik er meteen een stuk of 5.

Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?

Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.
Bedankt dat was een goede tip. Ik heb gedaan:

jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....

Acties:
  • 0 Henk 'm!

  • memphis
  • Registratie: Oktober 2000
  • Laatst online: 22:35

memphis

48k was toen meer dan genoeg.

Verwijderd schreef op 05 September 2003 @ 08:39:
[...]


Bedankt dat was een goede tip. Ik heb gedaan:

jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....
Dat betekent denk ik dat er een spammer besmet is, veel spam loopt via de servers van pacbell

Er zijn mensen die mij een GOD vinden


Acties:
  • 0 Henk 'm!

Verwijderd

Ik heb hem al gemaild, maar krijg die mail terug met de boodschap dat zijn mailbox vol is.
Kennelijk heeft hij zelf ook overlast.

Ik heb Wanadoo ook al gemaild abuse@wanadoo.nl over mijn probleem.

Wat zou ik er verder nog aan kunnen doen...ik wordt er doodmoe van...ben net 3 uur wegeweest van me PC...en weer heb ik 150 berichten in me mailbox...12,3 MB...
:-(

  • jagermeister
  • Registratie: Februari 2002
  • Laatst online: 23:04

jagermeister

Artillerie magneet :-(

Sorry voor het schoppen van dit topic, maar ik wordt nog steeds gespammed met die virusmailtjes. Zij het dat ik er zo'n 5 a 6 per dag in mijn mailbox aantref. Ik heb die honden van de abuse afdeling @ planet al een stuk of 5 x gemaild. 1x (1,5 weken geleden) kreeg ik dit antwoord:
Planet Abuse Medewerker schreef:

Geachte heer/mevrouw,

Bedankt voor uw bericht. In onze auto-reply heeft u kunnen lezen dat wij nooit een terugkoppeling geven op zaken die u ons mailt. Naar aanleiding van onderstaande informatie nemen wij gepaste maatregelen tegen onze gebruiker.

Met vriendelijke groeten,


Abuse - Planet Media Group
abuse@planet.nl / abuse@hetnet.nl
Ik heb ze, voor deze reactie, meerdere malen een mailtje inclusief headers en uitleg van het probleem gemaild. Nu zijn we weer een tijd verder , dus ik dacht een paar dagen geleden.."Kom laat ik Planet nog eens mailen aangezien ik g1 verandering heb gemerkt en laat ik ze dan meteen ff weten dat ik het vreemd vind dat ze me geen verdere terugkoppeling over het probleem geven" Wat denk je .... géén reactie, maar de stroom mailtjes gaat onverhinderd door. :(

Toch vaag dat deze geïnfecteerde berichten gewoon vrolijk door de SMTP servers heen wandelen. Ik las ergens dat deze worm een SMTP server op het besmette systeem aanmaakt, maar dat betekend dan toch niet dat de provider er niets aan kan doen? Ik zal nogmaals een header posten, misschien dat 1 van jullie nog iets ontdekt.
Header van de besmette mailtjes:

Return-path: <admin@duma.gov.ru>
Received: from smtp02.wxs.nl ([195.121.5.16])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HLD00EZQB2FNS@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
17 Sep 2003 17:56:39 +0100 (WEST)
Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HLD00KD7BBTNI@smtp02.wxs.nl> for xxxxxxxxxx@planet.nl
(ORCPT xxxxxxxxx@planet.nl); Wed, 17 Sep 2003 19:02:20 +0200 (MEST)
Date: Wed, 17 Sep 2003 19:02:18 +0200 (MEST)
Date-warning: Date header was inserted by smtp02.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxx@planet.nl
Message-id: <0HLD00KDABBUNI@smtp02.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc8232;xxxxxxx@planet.nl
Ik heb vorige week ook een n00b-proof mailtje gestuurd naar iedereen in mijn adresboek (BCC om anderen deze ellende te besparen) met het volgende verhaal:
Beste mensen,

Ik wordt de laatste tijd continu bestookt met e-mailtjes waaraan een bestand Patch.exe is bijgevoegd. Dit bestand bevat een zeer vervelende worm, de zogenaamde W32.dumaru worm. Uit de headers van het bericht valt niet precies te herlijden van wie dit afkomstig is, maar het vermoeden bestaat dat het afkomstig is van iemand die mij in zijn/haar adresboek heeft staan en zelf is geinfecteerd met het virus. Zelf ben ik gelukkig niet geinfecteerd, omdat ik mijn virusscanner up 2 date houdt en windows regelmatig update. Om te voorkomen dat na dit mailtje andere mensen uit mijn adresboek geinfecteerd worden doordat de besmette computer adressen uit dit bericht toevoegt heb ik alle mensen uit mijn adresboek in het BCC vak gezet, zodat dit geen problemen zal geven. Ik heb al tig mailtjes richting de Abuse afdeling van Planet en WXS gestuurd, maar ze hebben er tot nog toe niks aan gedaan.

Op de volgende site vindt je info over deze worm: http://www.symantec.com/a...c/data/w32.dumaru@mm.html
Hier vindt je uiteraard ook hoe je het virus zou moeten verwijderen. Er is ook een removaltool te vinden op die pagina (voor de wat luiere personen onder ons... :-) )

(Voor de mensen die minder bekend zijn met computers)
Als je vermoedt dat je besmet bent, maar je hebt geen (of geen up 2 date) virusscanner
klik dan even op deze link: http://security.symantec....3&pkj=ZVOKPRSFLJMVHNMITLP
Als je op de Rode Start knop drukt, dan wordt je computer gescanned op eventueel aanwezige virussen/trojans/wormen. Maak je gebruik van een Firewall op je computer, zet die dan even uit anders werkt de scan niet.


Om sneller te zien of je besmet bent:

In de windows directory kijken of je het bestand winload.log -------------- dllreg.exe of windrv.exe kunt vinden. Dus bijvoorbeeld: C:\Windows of C:\Winnt (hangt van de versie van Windows af)
Je kan ook je computer laten zoeken naar 1 van deze bestanden door bovenstaande bestandsnamen in te voeren in de search van windows, te vinden via Start>Zoeken of Start>Search.

Heb je 1 van bovenstaande bestanden, ga er dan maar vanuit dat je PC is besmet en dan adviseer ik je om even die Removal Tool te downloaden. Hieronder staat een link naar die Tool.
http://www.symantec.com/avcenter/FxDumaru.exe

Windows ME en XP gebruikers: Het is belangrijk dat je de Systeem Herstel functie even uitzet als je de tool gaat gebruiken!
Klik op 1 van onderstaande links om stap voor stap te lezen hoe dat moet:

ME gebruikers klik hier:
http://service1.symantec....sf/docid/2001012513122239

XP gebruikers klik hier:
http://service1.symantec....sf/docid/2001111912274039

Ik hoop dat jullie bereid zijn even te kijken of jullie besmet zijn. Ik wordt namelijk knettergek van die mailtjes.


Alvast bedankt.
Ik heb volgens mij nu zowat alles gedaan wat binnen mijn kunnen ligt. Iemand nog andere tips...

Excuses voor de lap text ;)

- specs - Download mijn custom BF2 map HIER NIET MEER


  • blackd
  • Registratie: Februari 2001
  • Niet online
Tja, het lijkt erop dat die mails inderdaad van een Planet klant af komen:
Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.

Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.

Als ik dit mag geloven, komt het uit veldhoven?

[ Voor 11% gewijzigd door blackd op 18-09-2003 06:35 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023


  • niwreG
  • Registratie: Augustus 2003
  • Laatst online: 17-10-2024

niwreG

^heeft dat geschreven->

mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen :D

^^eventueele typfouten zijn als vermaak bedoeld


  • SH007
  • Registratie: November 2001
  • Niet online
niwreG schreef op 18 September 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen :D
Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokken ;)

Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren

  • jagermeister
  • Registratie: Februari 2002
  • Laatst online: 23:04

jagermeister

Artillerie magneet :-(

blackd schreef op 18 September 2003 @ 06:33:
Tja, het lijkt erop dat die mails inderdaad van een Planet klant af komen:

[...]

en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.

Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.

Als ik dit mag geloven, komt het uit veldhoven?
Thanks. Op Planet reken ik iig niet meer. Tja...als ik mijn IP trace op die whois site, dan zou ik uit Amsterdam moeten komen. Dat is dus niet zo. Ik ga idd eens opzoek naar headers met dat IP in mijn mail geschiedenis. Je hoort het nog ;)

EDIT: Gespit en niks gevonden helaas. Ook geen IP's die met 145 beginnen.

[ Voor 5% gewijzigd door jagermeister op 18-09-2003 08:13 ]

- specs - Download mijn custom BF2 map HIER NIET MEER


  • memphis
  • Registratie: Oktober 2000
  • Laatst online: 22:35

memphis

48k was toen meer dan genoeg.

niwreG schreef op 18 september 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen :D
Alleen outlook geheel van je harde schijf gooien en iets anders gebruiken doet al heel veel :) Ik raad altijd Eudora aan, die doet niets met scriptjes en gooit attachements direct in een map waar de virusscanner ze wel weer opvangt. Ook zonder scanner zal het virus (zonder aankliken) niet actief worden.

Er zijn mensen die mij een GOD vinden


  • niwreG
  • Registratie: Augustus 2003
  • Laatst online: 17-10-2024

niwreG

^heeft dat geschreven->

SH007 schreef op 18 September 2003 @ 07:47:
[...]

Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokken ;)

Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren
sorry 8)7 ff vergeten maar wij kregen gisteren zo'n mailtje dat als titel beveiligings patch voor windows droeg een een bijlage had: patch.txt en en er stond bij de waarschuwing bij openen patch.exe kan uw systeem worden beschadigd. dat mailtje heb ik dus verwijderd. ik vertrouw geen enkele bijlage de laaste tijd en dat is volgens mij het beste.

^^eventueele typfouten zijn als vermaak bedoeld

Pagina: 1 2 Laatste