Totaal onbekend &quot;Kuole Jehova&quot; virus

zaterdag 4 september 2004 15:41

dat die plaatjes in je browser etc veranderen is niet zo gek hoor.
Dat zijn namelijk ook animated gifjes. Dus er is nog steeds niets aan je programmaas geknoeid. Alleen het gifje wat ergens in die map staat.

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

Miki

Ga hier is mee aan de slag: http://www.hijackthis.de/...873d8a6d06f680cd62f7.html

Voor andere tweakers hier: http://www.hijackthis.de/index.php?langselect=english
Op deze site kun je je hijack this log kwijt en krijg je advies wat wel en niet verdacht is. Interesant hulpmiddel wat veel werk uit handen neemt.

[ Voor 54% gewijzigd door Miki op 04-09-2004 15:43 ]

zaterdag 4 september 2004 15:47

Acties:

Verwijderd

Topicstarter

Miki schreef op 04 september 2004 @ 15:41:
Ga hier is mee aan de slag: http://www.hijackthis.de/...873d8a6d06f680cd62f7.html

Voor andere tweakers hier: http://www.hijackthis.de/index.php?langselect=english
Op deze site kun je je hijack this log kwijt en krijg je advies wat wel en niet verdacht is. Interesant hulpmiddel wat veel werk uit handen neemt.

Alle unknown objecten die gevonden worden zijn gewoon veilige programma's die ze daar (nog) niet kennen.
Verder werd er niks gevonden, dus hier heb ik ook niets aan gehad

zaterdag 4 september 2004 15:52

Acties:

Miki

Eh... volgens mij zijn er een aantal O16 objecten die niet helemaal pluis zijn.

zaterdag 4 september 2004 16:11

Acties:

Verwijderd

Topicstarter

Miki schreef op 04 september 2004 @ 15:52:
Eh... volgens mij zijn er een aantal O16 objecten die niet helemaal pluis zijn.

Er zijn een paar objecten "unknown" maar ja, daar zitten ook een aantal gewone "java plugins" tussen en zelfs oracle wordt al als gevaarlijk gezien, dus daar schiet ik op zich ook weinig mee op...

zaterdag 4 september 2004 16:13

Acties:

Miki

Verwijderd schreef op 04 september 2004 @ 16:11:
[...]

Er zijn een paar objecten "unknown" maar ja, daar zitten ook een aantal gewone "java plugins" tussen en zelfs oracle wordt al als gevaarlijk gezien, dus daar schiet ik op zich ook weinig mee op...

Ja ik zou het denk ik dan ook niet meer weten... Misschien een trial van Kaspersky pakken en daarmee je bak scannen. Voor de rest zou ik het ook niet weten...

zaterdag 4 september 2004 17:39

Acties:

zaterdag 4 september 2004 17:51

Inderdaad weinig info over. Je zou es kunnen proberen:
- opstarten vanaf een schoon medium (bv. CD) en dan een virusscan draaien
- in veilige modus, regedit, en daarin opstartlocaties bekijken op verdachte inhoud
- misschien staat er gewoon wat onbekend in je configuratiescherm/software

je noemt verder nog dat je in je registry wel een verwijzing vond naar mssys.exe.. waar stond/staat die? Hij staat nl. niet (meer) in de processenoverzicht zo te zien.

Programmers don't die. They GOSUB without RETURN

Acties:

Verwijderd

Topicstarter

BoGhi schreef op 04 september 2004 @ 17:39:
Inderdaad weinig info over. Je zou es kunnen proberen:
- opstarten vanaf een schoon medium (bv. CD) en dan een virusscan draaien
- in veilige modus, regedit, en daarin opstartlocaties bekijken op verdachte inhoud
- misschien staat er gewoon wat onbekend in je configuratiescherm/software

je noemt verder nog dat je in je registry wel een verwijzing vond naar mssys.exe.. waar stond/staat die? Hij staat nl. niet (meer) in de processenoverzicht zo te zien.

Heb alle tips geprobeerd, maar wederom, geen succes

Als ik het goed herinner stond in de registry "mssys.exe -d" maar kan me verder niet meer herinneren waar hij exact stond...
Ik kan de vermelding nu in ieder geval niet weer vinden...

zondag 5 september 2004 00:05

Acties:

zondag 5 september 2004 10:18

Kijk es in je windows installatiefolder (bij jou op de D: zo te zien). Staat daar een Wini.ini? Zo ja, bekijk de inhoud even.

- En je kunt nog even bekijken welke services er draaien: services.msc /a
- Nog even terugkomend op de regedit autostarts: kun je de entries onder 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run' ook even posten?
- verder even kijken of er poorten open staan die je niet verwacht (netstat -an)

[ Voor 67% gewijzigd door BoGhi op 05-09-2004 00:17 . Reden: 'voortschrijdend inzicht' ]

Programmers don't die. They GOSUB without RETURN

Acties:

Notoxic

Ik heb ook Kuole Jehova op mijn PC

zondag 5 september 2004 16:59

Acties:

Verwijderd

Topicstarter

BoGhi schreef op 05 september 2004 @ 00:05:
Kijk es in je windows installatiefolder (bij jou op de D: zo te zien). Staat daar een Wini.ini? Zo ja, bekijk de inhoud even.

- En je kunt nog even bekijken welke services er draaien: services.msc /a
- Nog even terugkomend op de regedit autostarts: kun je de entries onder 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run' ook even posten?
- verder even kijken of er poorten open staan die je niet verwacht (netstat -an)

Win.ini:

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
CMCDLLNAME=mapi.dll
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
ivf=MPEGVideo2
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmp=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
[WS_FTP]
DIR=D:\Program Files\WS_FTP Pro
GROUP=WS_FTP Pro
[CloneCD]
[Direct3D]
debug=0
[DirectDraw]
nohwblt=0
nohwtrans=0
nohwfill=0
[DirectPlay]
BreakOnAssert=0
Debug=0
[DirectPlay8]
BreakOnAssert=0
MemoryLeakOutput=0
Debug=0
log=0
[Debug]
DMBAND=0
DMCOMPOS=0
DMIME=0
DMLOADER=0
DMUSIC=0
DMUSIC16=0
DMUSIC32=0
DMSTYLE=0
DMSYNTH=0
DMSCRIPT=0
DSWAVE=0
DSDMO=0
DInput.06=0x00
DInput.04=0x00
DInput.08=0x00
DInput.17=0x00
dinput=0x00
[WinZip]
ZipFlags=2042641820
ZipOptions=364920220

'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run' entries:

Sleutelnaam: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 5-9-2004 - 1:52
Waarde 0
Naam: SunJavaUpdateSched
Type: REG_SZ
Gegevens: D:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

Waarde 1
Naam: NetLimiter
Type: REG_SZ
Gegevens: D:\Program Files\NetLimiter\NetLimiter.exe /s

Waarde 2
Naam: zBrowser Launcher
Type: REG_SZ
Gegevens: D:\Program Files\Logitech\iTouch\iTouch.exe

Waarde 3
Naam: NvCplDaemon
Type: REG_SZ
Gegevens: RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

Waarde 4
Naam: nwiz
Type: REG_SZ
Gegevens: nwiz.exe /install

Waarde 5
Naam: NvMediaCenter
Type: REG_SZ
Gegevens: RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

Waarde 6
Naam: NeroFilterCheck
Type: REG_SZ
Gegevens: D:\WINDOWS\system32\NeroCheck.exe

Waarde 7
Naam: SoundMax
Type: REG_SZ
Gegevens: "D:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

Waarde 8
Naam: SoundMAXPnP
Type: REG_SZ
Gegevens: D:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

Waarde 9
Naam: WinampAgent
Type: REG_SZ
Gegevens: D:\Program Files\Winamp\winampa.exe

Waarde 10
Naam: KAVPersonal50
Type: REG_SZ
Gegevens: D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

Sleutelnaam: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 12-4-2004 - 23:50

Sleutelnaam: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 12-4-2004 - 23:50
Waarde 0
Naam: Installed
Type: REG_SZ
Gegevens: 1

Sleutelnaam: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 12-4-2004 - 23:50
Waarde 0
Naam: Installed
Type: REG_SZ
Gegevens: 1

Waarde 1
Naam: NoChange
Type: REG_SZ
Gegevens: 1

Sleutelnaam: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 12-4-2004 - 23:50
Waarde 0
Naam: Installed
Type: REG_SZ
Gegevens: 1

Qua poorten staat er niets verrassends open

zondag 5 september 2004 18:42

Acties:

zondag 5 september 2004 18:48

hehe, dat had ik al een beetje verwacht: ik schreef wini.ini, geen win.ini.. nog even checken dus.
En je services?

Verder heb ik nog een andere optie: filemon (SysInternals) laten meedraaien op je PC, mogelijk even wat filtering aanbrengen zodat je niet te veel info ziet, en dan hopen dat er na een tijdje een gifje aangepast wordt. Dat zou fileaccess zijn, dus zichtbaar in filemon..

Ik zie nog niks bijzonders, hoewel die OptionalComponents mij niets zeggen..

Programmers don't die. They GOSUB without RETURN

Acties:

dreeke

outdated icon

omfg wat een rotzooi op je pc... Als ik dit onder ogen krijg op me werk raad ik de klant een nieuwe install aan, dat is minder werk dan dit opruimen.

Spyware FAQ al eens doorgenomen? Dan heb je iig een beter begin met een wat schonere pc, anders kan je aan de gang blijven.

Bij gebrek aan uw reclame staat hier mijn handtekening.

zondag 5 september 2004 19:09

Acties:

zondag 5 september 2004 20:23

dreeke schreef op 05 september 2004 @ 18:48:
omfg wat een rotzooi op je pc... Als ik dit onder ogen krijg op me werk raad ik de klant een nieuwe install aan, dat is minder werk dan dit opruimen.

Zit wel wat in misschien, maar dan komen we er niet achter hoe dit stukje malware werkt..

Programmers don't die. They GOSUB without RETURN

Acties:

Verwijderd

Topicstarter

dreeke schreef op 05 september 2004 @ 18:48:
omfg wat een rotzooi op je pc... Als ik dit onder ogen krijg op me werk raad ik de klant een nieuwe install aan, dat is minder werk dan dit opruimen.

Spyware FAQ al eens doorgenomen? Dan heb je iig een beter begin met een wat schonere pc, anders kan je aan de gang blijven.

Rotzooi

Waar heb je het over?

Zowel adware incl. alle plugins en S&D (beiden geupdate) vinden niets

zondag 5 september 2004 20:33

Acties:

Verwijderd

Topicstarter

BoGhi schreef op 05 september 2004 @ 18:42:
hehe, dat had ik al een beetje verwacht: ik schreef wini.ini, geen win.ini.. nog even checken dus.
En je services?

Verder heb ik nog een andere optie: filemon (SysInternals) laten meedraaien op je PC, mogelijk even wat filtering aanbrengen zodat je niet te veel info ziet, en dan hopen dat er na een tijdje een gifje aangepast wordt. Dat zou fileaccess zijn, dus zichtbaar in filemon..

Ik zie nog niks bijzonders, hoewel die OptionalComponents mij niets zeggen..

filemon heb ik geprobeerd, maar die begint na een paar filters al te miepen: "filter size exceeded"

zondag 5 september 2004 20:46

Acties:

silentsnow

« '-_-' »

Verwijderd schreef op 05 september 2004 @ 20:23:
[...]

Rotzooi Waar heb je het over?

Meer dan 50 apps in Task Manager een absurd grote HijackThis log

Ik kan je nog een tip geven: Start >> Uitvoeren >> "msconfig" >> Opstarten
Hier vind je een lijst van alle programma's die met Windows opstarten. Ter vergelijking: Bij mij staat hier twee programma's

The trade of the tools
[ me | specs ] Klipsch Promedia Ultra 5.1 + Sennheiser HD-590

zondag 5 september 2004 21:08

Acties:

zondag 5 september 2004 21:27

Verwijderd schreef op 05 september 2004 @ 20:33:
[...]

filemon heb ik geprobeerd, maar die begint na een paar filters al te miepen: "filter size exceeded" .

Okay, maar je kunt hem wel laten draaien. Je zult alleen even moeten zoeken naar de actie die een gif-bestand benadert.

Verder die wini.ini nog gevonden?
En je services bekeken?

Programmers don't die. They GOSUB without RETURN

Acties:

Verwijderd

Topicstarter

silentsnow schreef op 05 september 2004 @ 20:46:
[...]

Meer dan 50 apps in Task Manager een absurd grote HijackThis log

Ik kan je nog een tip geven: Start >> Uitvoeren >> "msconfig" >> Opstarten
Hier vind je een lijst van alle programma's die met Windows opstarten. Ter vergelijking: Bij mij staat hier twee programma's

Tja, ik ben niet iemand die iedere 2 weken een clean windows install doet...
En de opstartonderdelen die niet nodig zijn, zijn uitgeschakeld...

zondag 5 september 2004 21:33

Acties:

Verwijderd

Topicstarter

BoGhi schreef op 05 september 2004 @ 21:08:
[...]

Okay, maar je kunt hem wel laten draaien. Je zult alleen even moeten zoeken naar de actie die een gif-bestand benadert.

Verder die wini.ini nog gevonden?
En je services bekeken?

Naja, filmon geef ik op als ik niet meer filters toe kan passen, ik zie door de bomen het bos niet meer, laat staan dat ik er een aangepast gifje tussen zal vinden...
wini.ini kan op de harde schijven nergens gevonden worden, maar zag er bij msconfig niets bijzonders tussen staan.
Services heb ik bekeken en er staat op de normale services (kapersky, nvidia en oracle) niets bijzonders tussen....

zondag 5 september 2004 22:56

Acties:

[Jules]

Confusion in confusion

Draai je een webserver, telnet, ssh oid.. ?
Dit moet toch v****mme ergens vandaan komen... is het niet een hack ipv een virus?
als je een webserver draait heb je je logfiles van zo'n 3 maanden geleden nog?

Wat is je OS? alles up to date gepatched (3 maanden geleden)?
Hangt je systeem 24/7 aan internet?
Wat is toegankelijk van buitenaf?

[ Voor 26% gewijzigd door [Jules] op 05-09-2004 23:02 ]

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

zondag 5 september 2004 23:32

Acties:

Verwijderd

Topicstarter

[Jules] schreef op 05 september 2004 @ 22:56:
Draai je een webserver, telnet, ssh oid.. ?
Dit moet toch v****mme ergens vandaan komen... is het niet een hack ipv een virus?
als je een webserver draait heb je je logfiles van zo'n 3 maanden geleden nog?

Wat is je OS? alles up to date gepatched (3 maanden geleden)?
Hangt je systeem 24/7 aan internet?
Wat is toegankelijk van buitenaf?

Nope, draai helemaal niks qua servers...
Heb hier Windows XP prof. incl. alle updates en heb in het verleden ook alle updates binnen een week binnengehaald.
Wel heb ik m'n systeem 24 per dag online, maar het is netjes beschermd door de panda firewall, dus een hack lijkt me onwaarschijnlijk...

zondag 5 september 2004 23:47

Acties:

[Jules]

Confusion in confusion

Echt raar... als het een virus is vind ik het vreemd dat dit nog niet is opgemerkt door de antivirus-boeren (of het is een customized virus en zoeken we op de verkeerde trefwoorden).

Vooral ook omdat dit niet vaak schijnt voor te komen (zie google resultaten) doet het mij meer denken richting een hack of een zeer customized virus...

Maar hoe komt het binnen?
Je installeert iets, je bekijkt wat sites (met IE neem ik aan?), met een firewall is het aardig afgeschermd maar wat staat er wel open?

Stel, je maakt nu een gifje... wordt dat gifje dan direct aangepast naar dit "kuole jehova" of draait dat proces al niet meer?
en als het niet meer draait, waarom dan niet meer?

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

maandag 6 september 2004 00:14

Acties:

Verwijderd

Topicstarter

[Jules] schreef op 05 september 2004 @ 23:47:
Echt raar... als het een virus is vind ik het vreemd dat dit nog niet is opgemerkt door de antivirus-boeren (of het is een customized virus en zoeken we op de verkeerde trefwoorden).

Vooral ook omdat dit niet vaak schijnt voor te komen (zie google resultaten) doet het mij meer denken richting een hack of een zeer customized virus...

Maar hoe komt het binnen?
Je installeert iets, je bekijkt wat sites (met IE neem ik aan?), met een firewall is het aardig afgeschermd maar wat staat er wel open?

Stel, je maakt nu een gifje... wordt dat gifje dan direct aangepast naar dit "kuole jehova" of draait dat proces al niet meer?
en als het niet meer draait, waarom dan niet meer?

Ik gebruik zowel IE als mozilla, dus daar kan ik verder ook weinig over vertellen...
En op de poorten voor de p2p programma's na staat er niets open, dus dan moet het al via die proggies of via de mail binnenkomen.
Maar ik open vrijwel geen bestanden die ik via mail binnenkrijg, zelfs al zijn ze al door de virusscan gegaan...
Maar ik zal de proef eens op de som nemen, ik maak even een mapje aan en plaats daar een vers gedownload gifje in.
Eens kijken wat er mee gebeurt

maandag 6 september 2004 00:34

Acties:

maandag 6 september 2004 00:39

Zet dan gelijk filemon even aan. Gewoon laten lopen zonder filters dan, en na een tijdje de resultaten saven, en daarna die log doorzoeken op .gif. Ook al staat er veel shit in, dat maakt niet uit.

Overigens zijn er toch wel treffers in Google, in Finland, Duitsland, Frankrijk. Zo custom is dit niet, maar volgens mij wel nieuw(e variant).

Programmers don't die. They GOSUB without RETURN

Acties:

maandag 6 september 2004 00:45

Mo Chuisneoir

BoGhi schreef op 06 september 2004 @ 00:34:
Zet dan gelijk filemon even aan. Gewoon laten lopen zonder filters dan, en na een tijdje de resultaten saven, en daarna die log doorzoeken op .gif. Ook al staat er veel shit in, dat maakt niet uit.

Overigens zijn er toch wel treffers in Google, in Finland, Duitsland, Frankrijk. Zo custom is dit niet, maar volgens mij wel nieuw(e variant).

Een collega belde vanmiddag ook met dezelfde problemen. Heb hem maar even geadviceerd morgen niet op het werk te komen (het is z'n laptop).

Wat ik ervan gelezen heb is het een Finse virus ("Kuole Jehove" betekent "Dood aan de Jehova"), maar nog niemand heeft een oplossing gevonden.

Ik zal morgen eens met Symantec and Sophos bellen en kijken wat ze me kunnen vertellen hierover.

Acties:

maandag 6 september 2004 00:58

JoetjeF schreef op 06 september 2004 @ 00:39:
[...]

Ik zal morgen eens met Symantec ... bellen ...

offtopic: Support van Symantec

... Kost zo'n telefoontje niet meer dan 20,- euro?

Programmers don't die. They GOSUB without RETURN

Acties:

Verwijderd

Topicstarter

BoGhi schreef op 06 september 2004 @ 00:34:
Zet dan gelijk filemon even aan. Gewoon laten lopen zonder filters dan, en na een tijdje de resultaten saven, en daarna die log doorzoeken op .gif. Ook al staat er veel shit in, dat maakt niet uit.

Overigens zijn er toch wel treffers in Google, in Finland, Duitsland, Frankrijk. Zo custom is dit niet, maar volgens mij wel nieuw(e variant).

Heb filemon nu aanstaan en een dir aangemaakt met 3 gif's er in, 1 animated en 2 gewone... Nu nog even afwachten tot ze "besmet" worden...

*edit*

Filemon heb ik maar uitgezet, na anderhalf uur nam het al 239mb van m'n geheugen in beslag

[ Voor 10% gewijzigd door Verwijderd op 06-09-2004 02:36 ]

maandag 6 september 2004 01:15

Acties:

maandag 6 september 2004 10:58

Mo Chuisneoir

BoGhi schreef op 06 september 2004 @ 00:45:
[...]

offtopic: Support van Symantec ... Kost zo'n telefoontje niet meer dan 20,- euro?

Wij hebben een groot support contract bij ze. Ik heb ook een vast aanspreek persoon die dit soort dingen kan uitzoeken.

Acties:

maandag 6 september 2004 11:52

Mo Chuisneoir

Ik kon niet echt veel informatie krijgen, maar het schijnt een Word Macro virus te zijn. Je zou eens moeten zoeken op wordinfo.doc.

Ik hoop dat ik wel wat meer informatie krijg. Heb je ook al geprobeerd te scannen met de Heuristic module aan? Dat helpt soms nog wel eens tegen Word macro's.

edit:
edit or quote what's the difference

[ Voor 10% gewijzigd door JoetjeF op 06-09-2004 10:59 ]

Acties:

[Jules]

Confusion in confusion

JoetjeF schreef op 06 september 2004 @ 10:58:
Ik kon niet echt veel informatie krijgen, maar het schijnt een Word Macro virus te zijn. Je zou eens moeten zoeken op wordinfo.doc.

Ik hoop dat ik wel wat meer informatie krijg. Heb je ook al geprobeerd te scannen met de Heuristic module aan? Dat helpt soms nog wel eens tegen Word macro's.

edit:
edit or quote what's the difference

Zou best eens kunnen kloppen: zie hier

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

maandag 6 september 2004 11:57

Acties:

Verwijderd

Topicstarter

JoetjeF schreef op 06 september 2004 @ 10:58:
Ik kon niet echt veel informatie krijgen, maar het schijnt een Word Macro virus te zijn. Je zou eens moeten zoeken op wordinfo.doc.

Ik hoop dat ik wel wat meer informatie krijg. Heb je ook al geprobeerd te scannen met de Heuristic module aan? Dat helpt soms nog wel eens tegen Word macro's.

edit:
edit or quote what's the difference

Wordinfo.doc wordt niet gevonden en ook in de hoogste scanmode van de nieuwste kaspersky wordt niets gevonden...

maandag 6 september 2004 12:32

Acties:

Hmail

Doet ook maar wat.

Mogelijk dat jullie dit allang gezien hebben, maar ik kwam het nog niet tegen in dit topic:

Well either this is a hoax, or it hasn't reached the US yet. Did
more searching this AM and found some French, German and Polish message
boards talking about it, all with no solutions. Did see a reference
to try and restoring the original shimgvw.dll, but no idea if that
worked.

Heeft de TS swimgvw.dll op z'n pc?

It might sound as if I have no clue what I'm doing, but I actually have a vague idea.

maandag 6 september 2004 12:34

Acties:

maandag 6 september 2004 12:45

Verwijderd schreef op 06 september 2004 @ 00:58:
[...]
Filemon heb ik maar uitgezet, na anderhalf uur nam het al 239mb van m'n geheugen in beslag .

Dat maakt toch niet uit? Windows gebruikt evt. wel virtueel geheugen..
Anders komen we er niet achter vrees ik.
Maar na anderhalf uur nog niks gebeurd dus.. Misschien even wat acties doen die je normaliter ook doet, bv. je browser even gebruiken.

Programmers don't die. They GOSUB without RETURN

Acties:

Verwijderd

silentsnow schreef op 05 september 2004 @ 20:46:
[...]

Meer dan 50 apps in Task Manager een absurd grote HijackThis log

Ik kan je nog een tip geven: Start >> Uitvoeren >> "msconfig" >> Opstarten
Hier vind je een lijst van alle programma's die met Windows opstarten. Ter vergelijking: Bij mij staat hier twee programma's

Dat zegt dus echt niets he, als je al een hp scanner of printer installeerd komt hier al een programma bij die op je background draait. Als je een server als Jrun installeerd komt deze er bij, zelfde geldt voor Daemon tools, Ati tool, Photoshop Gamma, etc.

maandag 6 september 2004 12:58

Acties:

Verwijderd

Aannemende dat je wat webspace hebt: Gooi je log hiervan eens online.
ftp://ftp.kaspersky.ru/utils/trojans/Trojan_Find.rar

maandag 6 september 2004 18:04

Acties:

Verwijderd

Topicstarter

Hmail schreef op 06 september 2004 @ 12:32:
Mogelijk dat jullie dit allang gezien hebben, maar ik kwam het nog niet tegen in dit topic:

[...]

Heeft de TS swimgvw.dll op z'n pc?

Het bestand zelf wordt nergens gevonden, dus heb ook maar even in de register gezocht.
Daar kwam ik hem op deze 2 plekken tegen:

Sleutelnaam: HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 6-9-2004 - 17:54

Waarde 24
Naam: 000
Type: REG_SZ
Gegevens: swimgvw.dll

Sleutelnaam: HKEY_USERS\S-1-5-21-725345543-1580436667-2147208981-1003\Software\Microsoft\Search Assistant\ACMru\5603
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 6-9-2004 - 17:54

Waarde 24
Naam: 000
Type: REG_SZ
Gegevens: swimgvw.dll

We komen ergens

maandag 6 september 2004 18:07

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 06 september 2004 @ 12:58:
Aannemende dat je wat webspace hebt: Gooi je log hiervan eens online.
ftp://ftp.kaspersky.ru/utils/trojans/Trojan_Find.rar

De "Who's locking dll?" log

En de

Gewone log

maandag 6 september 2004 18:49

Acties:

PowerSp00n

There is no spoon

Verwijderd schreef op 06 september 2004 @ 18:04:
[...]

Het bestand zelf wordt nergens gevonden, dus heb ook maar even in de register gezocht.
Daar kwam ik hem op deze 2 plekken tegen:

[...]

We komen ergens

Kijk eens goed naar de info van die register zut. Dat komt alleen omdat je erop hebt gezocht

...

maandag 6 september 2004 18:59

Acties:

Verwijderd

Topicstarter

PowerSp00n schreef op 06 september 2004 @ 18:49:
[...]

Kijk eens goed naar de info van die register zut. Dat komt alleen omdat je erop hebt gezocht ...

Whehehehe

Mijn fout... Naja, zijn we nog niks verder

maandag 6 september 2004 23:29

Acties:

maandag 6 september 2004 23:46

http://support.microsoft.com/?kbid=272969

die dll is volgens mij van ME

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

dinsdag 7 september 2004 18:54

MisTraller schreef op 06 september 2004 @ 23:29:
http://support.microsoft.com/?kbid=272969

die dll is volgens mij van ME

Ik quote mezelf even want het brengt me op een idee....Misschien is de dll in xp die jouw gifjes zichtbaar maakt gewoon niet in orde/gevirussed?
Als je een gifje upload, en dan ergens anders bekijkt, is ie dan nog corrupt? -na edit- > zal wel want ik las net nog eens je verhaal over de server...

Op die duitse site hebben ze het echter ook nog hierover:

auch wieder viele, nicht alle, TXT-Dateien werden auf den Status versteckt gesetzt und es wird eine EXE-Datei mit dem gleichem Namen erzeugt. Diese Datei ist 348 KB groß und trägt das Erstellungsdatum 20.08.2000 15:30. Ich gehe davon aus, dass diese Dateien Kopien der mssys.exe darstellen.

(Maw, de bestaande txt files worden hidden gezet, en er wordt een gelijknamige executable neergezet. ....blabla.....hij gaat er vanuit dat dit kopieën zijn van het mssys.exe bestand. ) En dat is natuurlijk zo gechecked.
Ik neem aan dat je naar mssys.exe hebt gezocht? Je tikte het namelijk zo: msys.exe.
Maar gebeurt er misschien bij jou ook iets met de txt files?
Op een russische pagina had ook iemand een tijdelijke activiteit, en daar gebeurde later ook niets meer met een bijgeplaatst gifje. iemand opperde dat adaware dat ding er wellicht af had gegooid, zonder dat je dat in de gaten had. Dit geloof ik echter niet zo, maar ik ben wel benieuwd of het gifje inmiddels al veranderd is. Start eens wat veelgebruikte proggies op? Misschien zit het wel in een gehackte softwareversie die je ergens op een rare plaats (bv in polen, gezien de meldingen die daar veel vandaan komen) gedownload hebt. En dat zal een virusscanbouwer dan ook nooit opnemen in z'n virusfiles.

[ Voor 69% gewijzigd door Mistraller op 07-09-2004 00:25 . Reden: nóg wat ideetjes ]

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

frickY

Verwijderd schreef op 06 september 2004 @ 12:45:
[...]

Dat zegt dus echt niets he, als je al een hp scanner of printer installeerd komt hier al een programma bij die op je background draait. Als je een server als Jrun installeerd komt deze er bij, zelfde geldt voor Daemon tools, Ati tool, Photoshop Gamma, etc.

Noem me 1 goede reden om je HP-scanner software continue op de background te hebben draaien.. als je misschien 1x per maand scant?
Ik weet niet wat jij doet, maar ik zet alles uit wat ik niet nodig heb (zoals al jouw voorbeelden). Enige wat naar mijns inziens hoeft te booten zijn eventuele virusscanner, firewall, en DPC koetje

Maar wat een bizar virus is dit zeg

Heb je wel de "Show hidden files and folders"-optie aan, en de "Hide protected operating system files"-optie uit? Anders kan je lang blijven zoeken

[ Voor 3% gewijzigd door frickY op 07-09-2004 18:55 ]

dinsdag 7 september 2004 22:14

Acties:

Verwijderd

Topicstarter

MisTraller schreef op 06 september 2004 @ 23:46:
[...]

Ik quote mezelf even want het brengt me op een idee....Misschien is de dll in xp die jouw gifjes zichtbaar maakt gewoon niet in orde/gevirussed?
Als je een gifje upload, en dan ergens anders bekijkt, is ie dan nog corrupt? -na edit- > zal wel want ik las net nog eens je verhaal over de server...

Op die duitse site hebben ze het echter ook nog hierover:

[...]

(Maw, de bestaande txt files worden hidden gezet, en er wordt een gelijknamige executable neergezet. ....blabla.....hij gaat er vanuit dat dit kopieën zijn van het mssys.exe bestand. ) En dat is natuurlijk zo gechecked.
Ik neem aan dat je naar mssys.exe hebt gezocht? Je tikte het namelijk zo: msys.exe.
Maar gebeurt er misschien bij jou ook iets met de txt files?
Op een russische pagina had ook iemand een tijdelijke activiteit, en daar gebeurde later ook niets meer met een bijgeplaatst gifje. iemand opperde dat adaware dat ding er wellicht af had gegooid, zonder dat je dat in de gaten had. Dit geloof ik echter niet zo, maar ik ben wel benieuwd of het gifje inmiddels al veranderd is. Start eens wat veelgebruikte proggies op? Misschien zit het wel in een gehackte softwareversie die je ergens op een rare plaats (bv in polen, gezien de meldingen die daar veel vandaan komen) gedownload hebt. En dat zal een virusscanbouwer dan ook nooit opnemen in z'n virusfiles.

Heb alle programma's nog maar eens aangeslingerd, maar er is nog steeds niet met de gifjes gebeurd...
mssys.exe kon ik inderdaad niet vinden, was een typo...
En ja, ik heb de hidden files uiteraard zichtbaar staan...
Vandaag direct weer even gescanned met Adaware SE 1.04, maar die vond alleen maar een paar cookies...

dinsdag 7 september 2004 22:38

Acties:

dinsdag 7 september 2004 22:38

We kunnen denk ik nu wel concluderen dat het 'virus' niet echt in brede kring verspreid is. Dat er lokaal niets gevonden wordt op je PC zou er ook op kunnen duiden dat er 'op afstand' besturing plaatsvindt op je computer, als je on-line bent. Een firewall zou dat mogelijk kunnen tegenhouden, of loggen. Misschien staat er iets aparts in de log, of in bv. een programmaoverzicht van 'trusted programs' oid?

Het blijven draaien van FileMon is misschien wat vervelend op den duur, mogelijk is er een progje te vinden waarmee je een specifieke (gif)file zijn kunnen 'beschermen/scannen'? (bij iemand bekend

) Die kun je dan gewoon draaien, en hopen dat het gifje een keer aangevallen wordt. Of afwachten tot iemand anders iets ontdekt.

Misschien is dit wel een kleinschalige test geweest om het concept aan te tonen oid, en kunnen we dit in de nabije toekomst in een andere verschijningsvorm aanschouwen..

[ Voor 5% gewijzigd door BoGhi op 07-09-2004 22:38 ]

Programmers don't die. They GOSUB without RETURN

Acties:

dinsdag 7 september 2004 23:49

Verwijderd schreef op 07 september 2004 @ 22:14:
[...]

Heb alle programma's nog maar eens aangeslingerd, maar er is nog steeds niet met de gifjes gebeurd....

Hoe lang is het geleden dat je de laatste gif zag veranderen? En post ook eens even de URL waar we de verminkte plaatjes van je server kunnen zien?

Heb je nog naar de txt files gekeken?
En bedenk nogmaals eens goed de herkomst van je software. Check alle folders in de program files directory op datum, en bekijk welke er omstreeks het beginnen van die ellende is bijgekomen. Bekijk desnoods alle data van je bestanden eens. (Tipje zoeken naar * -> sorteren)
Op dat Russische forum zaten ze ook te wachten, terwijl er niets meer gebeurde.

Wellicht een malicious activeX ding of javascript? Zou niet moeten kunnen eigenlijk, want volgens mij heeft de TS daar voldoende bescherming tegen.

BoGhi schreef op 07 september 2004 @ 22:38:
bla en ook nog...
Het blijven draaien van FileMon is misschien wat vervelend op den duur, mogelijk is er een progje te vinden waarmee je een specifieke (gif)file zijn kunnen 'beschermen/scannen'?
Misschien is dit wel een kleinschalige test geweest om het concept aan te tonen oid, en kunnen we dit in de nabije toekomst in een andere verschijningsvorm aanschouwen..

Je kan gewoon een filter op "plaatje.gif" zetten, dan monitort ie alleen dingen die deze file accessen. We gebruiken het op het werk zeer vaak.

Een test...raar dat ie in verschillende landen opduikt, en voornamelijk in oostblok. (Meeste info is russisch of pools, en in mindere mate fins, maar dat ligt wel tegen rusland.) Misschien een virus dat zich verspreidt met cd/dvd/floppy? Wellicht heeft de TS tijdens zijn vakantie iets gekocht?
Het is in elk geval wel heeeeel raar, zo raar dat je juist niet je pc wil herinstalleren, omdat je toch wel iets "aparts" hebt....

[ Voor 53% gewijzigd door Mistraller op 07-09-2004 22:45 ]

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

Vdub

Wie anders?

Dat bestand mssys is een overblijfsel van een Trojan, kijk hier maar eens;

http://www.kephyr.com/spy...trojan.myss.b/index.phtml

woensdag 8 september 2004 01:04

Acties:

Verwijderd

Topicstarter

Heb ook nog maar eens gezocht op de al eerder genoemde datum (20.08.2000) maar wederom niets gevonden.
Verder gooi ik nooit datadragers van anderen in mijn computer, laat staan spul dat ik in het buitenland koop, ik heb dan ook geen flauw idee hoe het op mijn computer gekomen is.
Een hack lijkt me ook onwaarschijnlijk want tot nu toe heeft geen enkele firewall ongeoorloofd netwerkverkeer geconstateerd.
Ik weet echt niet meer waar ik nu nog kan zoeken

De verneukte site is trouwens www.zohej.tk

woensdag 8 september 2004 18:32

Acties:

woensdag 8 september 2004 19:29

MisTraller schreef op 07 september 2004 @ 22:38:
[...]
Je kan gewoon een filter op "plaatje.gif" zetten, dan monitort ie alleen dingen die deze file accessen. We gebruiken het op het werk zeer vaak.
....

De TS had een memoryprobleem met langdurig (nou ja) draaien van FileMon. Je bedoelt dat het filter niet selectief genoeg ingesteld zou kunnen zijn (Twente?).. Vooralsnog lijkt me dit namelijk wel de meest hoopvolle poging om het virus te betrappen..

Programmers don't die. They GOSUB without RETURN

Acties:

woensdag 8 september 2004 22:30

ik zie nu helemaal geen gifje, maar een rood kruis. Dat mssys overigens een restant van een trojan is, dat kan kloppen ja. Maar omdat er op die duitse site ook over gepraat wordt, kan het uiteraard geen kwaad er ff op te checken.

Hoe zit het nu met de txt-files?

PS: "Spul dat ik in het buitenland koop" zie ik als een aanknopingspunt....heb je ergens in de betreffende landen software oid gekocht dan???

(frankrijk/finland/polen/rusland)

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

donderdag 9 september 2004 14:56

is dit nog wat?:

I think I was able to get rid of it, at least those texts doesn't appear
anymore with my Opera.
Someone mentioned replacing Shimgvw.ll so I did that - but I _also_
deleted my cookies in Opera and updated to latest version, so I cannot be
sure if just the following will do the trick.

- First I removed registry key HKEY_CLASSES_ROOT\Applications\Shimgvw.dll
- Reboot
- Then I replaced Shimgvw.dll with SP1 file (I think there was some 200kb
difference with files)
- Added registry keys in command prompt with command "regsvr32 shimgvw.dll"

Programmers don't die. They GOSUB without RETURN

Acties:

donderdag 9 september 2004 19:19

Mo Chuisneoir

Symantec is ook niet echt in staat te helpen. Zonder 'rare' bestanden kunnen ze weinig. Ik heb in ieder geval onderstaande tips gekregen, misschien dat je er iets aan hebt

Unfortunately without any suspicious files to submit it may be pretty
hard to determine what is happening.

I would first suggest that you insure you are patched with all the
latest patches from MS for your operating system.

I also suggest you check the following document for information on
securing the shares:

Title:'How to configure shared Windows folders for maximum network
protection'
Document ID: 2000091415173339
> Web URL: http://service1.symantec....sf/docid/2000091415173339

And to insure that everything is configured correctly to help avoid a
missed detection please have a look at the following Knowledge Base
Document. It contains information on possible causes of a non
detection:

'What to do when you suspect that a Symantec antivirus product is not
detecting viruses'
Document ID: 2001031909215448
> Web URL: http://service1.symantec....01031909215448?Open&src=w

If nothing changes after the above checks/changes I would suggest you
see if you find anything suspicious using the appropriate Knowledge
Base Document below:

Title: 'Common loading points of infections in Windows NT/2000/XP'
Document ID: 2001060517115206
>Web URL: http://service1.symantec....1060517115206?Open&src=w'

Title: 'Common loading points for Trojan horse programs in Windows
95/98/Me'
Document ID: 1999052415383906
> Web URL: http://service1.symantec....99052415383906?Open&src=w

You will also want to look at your startup components to see if
anything there looks suspicious and if so in the startup tab of
msconfig, you should uncheck them, and then restart your machine to
see if this solution works for you.

If the issue continues in internet explorer click on tools > internet
options.
Then click on advanced and see if there is a check next to the box
"enable third-party browser extensions. If there is uncheck it and
test this again.

Naturally if you find any suspicious files you will want to submit a
sample.

Please have a look at the following Knowledge Base Document for
information on using scan and deliver:

Title: 'How to submit a file to Symantec Security Response using Scan
and Deliver'
Document ID: 2000031615501348
> Web URL: http://service1.symantec....00031615501348?Open&src=w

Acties:

vrijdag 10 september 2004 00:16

BoGhi schreef op 08 september 2004 @ 22:30:
is dit nog wat?:
techbla

Nee, want dat is al eerder in de topic gemeld, deze dll zit niet in XP, en is ook op het betreffende systeem niet gevonden.

TS: Je moet echt even dat verhaal van die txt files nagaan!
Als dat verhaal van die exe files waar is, en je hebt dus hidden txt files, met daarvoor in de plaats een "tekstbestandsnaam".exe dan heb je misschien je "virus" te pakken! En dan heb je misschien een file die je naar symantec kan mailen, of aan een tweaker om te testen of er dan ook gifjes veranderen.

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

vrijdag 10 september 2004 00:54

MisTraller schreef op 09 september 2004 @ 19:19:
[...]

Nee, want dat is al eerder in de topic gemeld, deze dll zit niet in XP, en is ook op het betreffende systeem niet gevonden.

bla bla bla
..

Beter lezen, want:
- deze dll zit wel in XP
- hierboven wordt (ook al) verkeerd gelezen/gekopieerd, en hebben ze het over swimgvw.dll

Misschien kan de TS dit ook beter beoordelen..

Programmers don't die. They GOSUB without RETURN

Acties:

vrijdag 10 september 2004 03:05

BoGhi schreef op 10 september 2004 @ 00:16:
[...]

Beter lezen, want:
- deze dll zit wel in XP
- hierboven wordt (ook al) verkeerd gelezen/gekopieerd, en hebben ze het over swimgvw.dll

Misschien kan de TS dit ook beter beoordelen..

swimgvw.dll bestaat ook niet, dat wist ik al wel.
Ik ontdek net echter wel iets raars, misschien dat het aan SP2 ligt...maar als ik zoek op shimgvw.dll vind ik niets. Klap ik het advanced menu open, ZONDER de vinkjes verder aan te raken, (ze staan immers al goed) dan vind ie de DLL wel?!
Dus ik neem even terug dat ie niet op XP staat. Overigens bedacht ik al wel dat het probleem niet in het viewen kan zitten, de gifjes worden ook 1k groot, en andere mensen klaagden over het feit dat z'n webserver die plaatjes liet zien.

*MisTral gaat even een bugreport aan microsoft sturen over de zoekfunctie in SP2...

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

zondag 12 september 2004 17:13

Mo Chuisneoir

Zou iemand misschien zo'n .GIF bestandje en de shimgvw.dll kunnen mailen naar joetjef[at]zonnet.nl? Het schijnt dat er nog wel eens wat 'verborgen' informatie staat. Ik kan het in ieder geval weer doorsturen, misschien dat ze er bij Symantec iets mee kunnen doen.

Het is in ieder geval bekend bij ze, maar ze zoeken naar meer informatie.

[ Voor 20% gewijzigd door JoetjeF op 10-09-2004 03:10 ]

Acties:

Verwijderd

Topicstarter

JoetjeF schreef op 10 september 2004 @ 03:05:
Zou iemand misschien zo'n .GIF bestandje en de shimgvw.dll kunnen mailen naar joetjef[at]zonnet.nl? Het schijnt dat er nog wel eens wat 'verborgen' informatie staat. Ik kan het in ieder geval weer doorsturen, misschien dat ze er bij Symantec iets mee kunnen doen.

Het is in ieder geval bekend bij ze, maar ze zoeken naar meer informatie.

Mail is onderweg

Heb er 1 "besmet" gifje bijgedaan en 4 shimgvw.dll bestanden, 2 van voor de sp2 en 2 van na de update.

*edit*

Mailserver wilde niet meewerken, dus heb alles maar ff op m'n server gegooid.

Linkjes:

shimgvw.dll[1]
shimgvw.dll[2]
shimgvw.dll[3]
shimgvw.dll[4]

Besmet Gifje

[ Voor 34% gewijzigd door Verwijderd op 12-09-2004 18:16 ]

zondag 12 september 2004 20:21

Acties:

maandag 13 september 2004 16:31

Dit zijn inderdaad de originele dll's van XP SP1 resp. SP2. Niets bijzonders mee dus.

Programmers don't die. They GOSUB without RETURN

Acties:

The-Source

Als je windows dll is geinfecteerd dan kun je die laten checken en direct replacen door sfc /scannow in je prompt uit te voeren.

PS gebruik je tijdens het zoeken wel de mogelijkheid om in verborgen/ system dirs te zoeken (staat standaard uit)

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

maandag 13 september 2004 16:40

Acties:

The-Source

Sorry alvast voor de 2 post na elkaar maar op deze pc laat ik liever geen inlog gegevens na,

(05-09-2004) Er is (waarschijnlijk) een nieuwe variant (Duitstalig forum) van het MYSS (Symantec) virus uit, welke op dit moment nog niet herkend wordt door de AV en spyware vendors. Tevens is nog niet duidelijk hoe deze nieuwe plaag bestreden kan worden, er wordt onderzoek naar gepleegd.

Symptomen van besmetting zijn duidelijk waarneembaar: allerlei plaatjes op uw PC wordt vervangen door een plaatje van de tekst "Kuole Jehova", hetgeen Fins blijkt te zijn en betekent "Die Jehova" (engels). Er zijn ook rapporten van besmettingen die zover zijn gegaan dat programmatuur is aangetast, en het systeem in zijn geheel dreigt op te houden te functioneren. We houden u op de hoogte van de ontwikkelingen..

08-09-2004: Vooralsnog is het aantal meldingen van deze verschijnselen zeer beperkt, maar geografisch wel breed verspreid. Dit maakt dit issue tot een interessant onderwerp: het is nog steeds onduidelijk of de meldingen echt zijn (mogelijk is dit slechts een hoax, een melding van een niet-bestaand virus dus), en indien toch daadwerkelijk een stuk malware wat de werking, herkomst e.d. zijn. Mocht u deze besmetting op uw PC aantreffen dan vragen wij u het bestand shimgvw.dll op te zoeken op uw harde schijf met uw windows installatie (in de folder Windows\System32 staat dit bestand), en als deze een grootte heeft van meer 600Kb dan deze naar ons te emailen

bron: http://www.psafe.nl/Act_20040905.htm

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

maandag 13 september 2004 22:35

Acties:

Verwijderd

Topicstarter

Naja, ik kan in ieder geval aantonen dat het geen hoax is, maar groter dan 600 is m'n dll niet

maandag 13 september 2004 22:41

Acties:

dinsdag 14 september 2004 20:27

Het schijnt dan toch te gaan leven..?

Wellicht is de dll wel teruggezet door windows zelf of zo. (Windows File Protection)

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

Verwijderd

Is er alweer wat nieuws over dit verschijsel??

Omdat ik nu overal op mijn pc ook allemaal Kuole Jehova plaatjes tegen kom namelijk!!!!
En een kameraad zaterdag al!!!

dinsdag 14 september 2004 21:36

Acties:

dinsdag 14 september 2004 22:24

Nou, info genoeg in deze draad dacht ik zo

Er zijn, samengevat, meerdere opties genoemd hier, die je hierboven kunt lezen en checken:

* mssys.exe
* shimgvw.dll
* wordinfo.doc

Laat maar weten wat je vindt!

Programmers don't die. They GOSUB without RETURN

Acties:

Verwijderd

Nou, het blijkt bij mij zo het geval te zijn dat al mijn gif plaatjes zijn vervangen op 01-09-2004 hier en na deze datum vind ik geen aangepaste gif plaatjes meer.

Door een virus scan van avg blijkt de virus "Trojan horse PSW.Banker.2.BD" in mijn "mssys.exe" te zitten, maar of deze hiermee te maken heeft betwijfel ik zeer.

Het vreemde is dat ik altijd deze virus scanner actief heb in het geheugen met de nieuwste updates

dinsdag 14 september 2004 23:34

Acties:

woensdag 15 september 2004 09:14

* Mistraller kijkt verbaast naar zijn gsm...
Waarschuwingsdienst.nl
Kwetsbaarheid gevonden in de weergave van plaatjes onder Microsoft-programma's
.....
http://www.microsoft.com/...ty/bulletin/MS04-028.mspx

Kunnen we hier misschien iets mee? Ik kan echter geen directe link leggen met veranderende plaatjes...tenzij een hacker dat gedaan heeft.

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

Acties:

donderdag 14 oktober 2004 15:43

Verwijderd schreef op 14 september 2004 @ 22:24:
Nou, het blijkt bij mij zo het geval te zijn dat al mijn gif plaatjes zijn vervangen op 01-09-2004 hier en na deze datum vind ik geen aangepaste gif plaatjes meer.

Door een virus scan van avg blijkt de virus "Trojan horse PSW.Banker.2.BD" in mijn "mssys.exe" te zitten, maar of deze hiermee te maken heeft betwijfel ik zeer.

..

mssys.exe staat hierboven meermalen genoemd, het lijkt mij zeer waarschijnlijk dat dit bij jou de boosdoener is (geweest).

* MisTraller kijkt verbaast naar zijn gsm...
Waarschuwingsdienst.nl
Kwetsbaarheid gevonden in de weergave van plaatjes onder Microsoft-programma's
.....
http://www.microsoft.com/...ty/bulletin/MS04-028.mspx

Kunnen we hier misschien iets mee? Ik kan echter geen directe link leggen met veranderende plaatjes...tenzij een hacker dat gedaan heeft.

ik was ook even verrast.. Het gaat weliswaar ook over afbeeldingen, maar zoals je al zegt is er geen link met gewijzigde gifjes. Het is 'gewoon' een beveiligingsgat, dat inderdaad wel misbruikt kan worden voor het e.e.a, maar het is speculatief om deze items aan elkaar te linken.

Programmers don't die. They GOSUB without RETURN

Acties:

Verwijderd

*kick*

Toch nog maar even de dader posten dan.

http://www.f-secure.com/weblog/
http://www.f-secure.com/v-descs/bacros_a.shtml

So, it's weird finding a virus which replicates by using floppy disks and CD-ROMs. This is exacly how the Bacros virus replicates. Bacros was already found a month ago but we've started receiving more questions on it lately. This virus will copy itself to all floppies it sees. It also attempts to burn itself to CD-R discs (complete with an AUTORUN file, which will run the virus when the CD-R is inserted to another machine).

donderdag 14 oktober 2004 19:20

Acties: