[virus] NetSky.q * - Privacy en beveiliging

zondag 21 maart 2004 22:37

Acties:

Verwijderd

Topicstarter

Ik kreeg vanavond een e-mailtje van iemand, hier zat een attachment in. Voor het openen heb ik eerst gescand met Norton Antivirus, zat geen virus op. Het bestand, genaamd document09.scr, heeft na openen voor een hoop problemen gezorgd. Ik weet niet wat het heeft gedaan, maar na het opstarten van WinXP zie ik na een aantal seconden de envelopjes van Norton in de system tray verschijnen, met tientallen tegelijk!! (alsof ik heel veel mailtjes binnen krijg en verstuur die allemaal worden gescand). Onder taakbeheer schijnt het proces FVProtect.exe hier verantwoordelijk voor te zijn, als ik dit uitschakel houdt het allemaal op, ofwel geen envelopjes meer! In mijn registry kan ik niets vinden onder FVProtect of document09.scr. Komt dit iemand bekend voor, en heeft iemand tips wat ik kan doen? Onder google heb ik al gezocht onder FVProtect en document09.scr, maar geen succes!

Ik weet het mensen: STOM STOM STOM natuurlijk, normaal open ik ook dit soort berichtjes nooit. maar goed, eens moest eens de eerste keer zijn!!!

[ Voor 8% gewijzigd door Verwijderd op 21-03-2004 22:40 ]

zondag 21 maart 2004 22:38

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Probeer eens Spybot, Adaware, HijackThis, enz enz.

PS: waarom open je in hemelsnaam een extensie die je niet kent?

[ Voor 12% gewijzigd door Microkid op 21-03-2004 22:41 ]

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

zondag 21 maart 2004 22:39

Acties:

Jur

Dus....

Als Norton geen melding heeft gegeven is het waarschijnlijk een vrij nieuw virus, maar waarom open je in godsnaam bestanden met de .scr extensie?

zondag 21 maart 2004 22:39

Acties:

WFvN

Gosens Koeling en Warmte

scr is nou niet echt een onbekende extensie lijkt me zo

Mja, vreemde attachements en dan met name de trojan/virusgevoelige gevallen..... niet openen inderdaad.

Overigens hoort dit in BV. Ik heb al een PM geplaatst

zondag 21 maart 2004 22:42

Acties:

The_Greater

Een tip coor allen :
Maak nooit een mailtje open waar je niet zeker van bent waar die vandaan komt
En maak ook zeker nooit een atachment open van een vreemde en vooral vreemde bestands namen.
Want het zorg altijd voor dit soort problemen.
Jij moet eens kijken met taskmgr of er een vreemd proces draaid!
En deze killen. Daarna zal jet het bestandje moeten opsporen en in het registere moeten verwijderen.

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

zondag 21 maart 2004 22:44

Acties:

Verwijderd

Stuur de file eens naar de mail in m'n sig.

Dan kijk ik wat voor malware het is.

Edit: Ziet eruit als de nieuwe NetSky variant.

[ Voor 23% gewijzigd door Verwijderd op 21-03-2004 22:44 ]

zondag 21 maart 2004 22:47

Acties:

Verwijderd

Topicstarter

Ok Schouw, is al gebeurd. Bedankt trouwens allemaal mensen. Ik weet het STOM STOM STOOOOOOOOOMMMMMMM!!! Maar geloof mij, dit is echt de eeerste virus die er bij mij door isgekomen de laatste 4 jaar!

zondag 21 maart 2004 22:48

Acties:

GlowMouse

Jur schreef op 21 maart 2004 @ 22:39:
Als Norton geen melding heeft gegeven is het waarschijnlijk een vrij nieuw virus, maar waarom open je in godsnaam bestanden met de .scr extensie?

Of de virusscanner was niet geupdate...

zondag 21 maart 2004 22:49

Acties:

Verwijderd

Topicstarter

Nee hoor, mijn virusscanner is ALTIJD up-to-date

zondag 21 maart 2004 22:50

Acties:

Verwijderd

NAV detecteert deze nieuwe variant nog niet, deze is nog niet zo oud.
Mijn vermoedens zijn bevestigd: I-Worm.Netsky.q

zondag 21 maart 2004 22:50

Acties:

elevator

Officieel moto fan :)

Ik verplaats je topic nog even naar ons fijne Beveiliging & Virussen waar dit meer op z'n plek is

Windows Operated Systems >> Beveiliging & Virussen

zondag 21 maart 2004 22:55

Acties:

Verwijderd

Topicstarter

Enig idee wat ik dan zou kunnen doen Schouw? (Trouwens, hoe ben jij hierachter gekomen, zelfs google geeft hier niets over)

zondag 21 maart 2004 22:58

Acties:

Verwijderd

[rml]Schouw in "[ VirusAlert] Moodown / NetSky varianten"[/rml]

Gewoon je sample met KAV gescand en die gaf dus aan dat het om Netsky.q gaat.

Ik gooi er een titeledit tegenaan, hoewel ik meer pro"alles in het NetSky topic dumpen"ben, laat ik deze zo maar staan gezien het aantal replies en alles..

Ik ben nu aan het kijken hoe je hem het makkelijkste kan verwijderen.

zondag 21 maart 2004 23:00

Acties:

GlowMouse

Zie hier. Gevonden via http://securityresponse.symantec.com/.

De nieuwste update hoort hem eraf te kunnen gooien op 24 maart.

edit: oh stond ook in het topic van shouw.

Zie hier wat het virus doet. Ik zou proberen op te starten in de veilige modus, die registrykey weg te halen, en de files te verwijderen.

edit2: blech, die URLs verwijzen naar de Q variant.

[ Voor 47% gewijzigd door GlowMouse op 21-03-2004 23:04 ]

zondag 21 maart 2004 23:05

Acties:

Miki

GlowMouse schreef op 21 maart 2004 @ 23:00:
Zie hier. Gevonden via http://securityresponse.symantec.com/.

De nieuwste update hoort hem eraf te kunnen gooien op 24 maart.

Gebruik alsjeblieft de intelligent updater. Liefst iedere dag, zo ben je in iedergeval zeker dat je sneller beschermt bent tegen die Netsky wormen.

24 maart is gewoon veelste laat, bijna een schande!

zondag 21 maart 2004 23:08

Acties:

Verwijderd

Waarom scan je niet online

www.bitdefender.com

zondag 21 maart 2004 23:12

Acties:

Verwijderd

Kill process

code:

1	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Norton Antivirus AV="%windowsdir%\FVProtect.exe"

Deze moet je deleten.

code:

%windowsdir%\FVProtect.exe
%windowsdir%\userconfig9x.dll
%windowsdir%\zip1.tmp
%windowsdir%\zip2.tmp
%windowsdir%\zip3.tmp
%windowsdir%\zipped.tmp
%windowsdir%\base64.tmp

Die moeten sowieso weg.

Verder worden er flink wat copies gedropt van de sample in directories die de naam "share" en/of "download" bevatten.
Dit zijn van die typische p2p malware namen, dingen mbt. warez en dergelijke dus.
Belangrijkste is iig om die files in je windowsdir te deleten, die andere, mits je ze niet opent/shared, hebben minder prioriteit.

zondag 21 maart 2004 23:23

Acties:

Verwijderd

Topicstarter

OK Schouw, die files die je aangaf heb ik gedeleet, en het probleem schijnt nu inderdaad weg te zijn. Iedereen bij deze bedankt dus. Wel raar dat ik met de zoekfunctie bij de registry editor niets vond onder FVprotect.exe, terwijl deze waarde er wel degelijk in bleek te staan.

zondag 21 maart 2004 23:27

Acties:

Verwijderd

Bedenk wel dat je wel nog een _hoop_ kopieën van dit ding op je bak hebt staan..
Gebruik of de beta defs, of scan morgen nadat je geupdate hebt met laatste IU.

En in het vervolg niet meer zomaar vage dingen openen...laat ze desnoods eerst door een analyst controleren.

maandag 22 maart 2004 15:20

Acties:

Verwijderd

Ik heb dezelfde stommiteit begaan, even snel voor tentamen spul binnengehaald...
Ik had m overigens gekregen van support@symantec.com met als file naam dat.files.zip en in die zip was het een rtf file (Ik dacht text file, kan geen kwaad)
Thnx voor de tip, ga het proberen.
edit: Heb net gewoon de applicatie gedelete en probleem lijkt over te zijn.
De attachment wordt overigens nog steeds ok gevonden door hotmail... en gezien het feit dat bijna iedereen wel eens even dom is verwacht ik nog wat meer problemen...

[ Voor 31% gewijzigd door Verwijderd op 22-03-2004 15:26 ]