Archief - De topics van lang geleden

http://www.trader-course.com/emoticon.php?email=email.com

31-10-2007, 19:50 door Anoniem, 53 reacties
http://www.trader-course.com/emoticon.php?email=joeyvanhummel@hotmail.com

dat kreeg ik door iemand

samen met de text

"omg. jij naakt?"

natuurlijk heb ik geen naaktfoto's en omdat ik erop klikte
(ik verwchtte al een virus, natuurlijk open ik verder geen
files die hij downloadt.)

nja ik zag dus dat de bestands filenaam "msn.com" was (virus
dus)

nja kijk dus uit als je dit krijgt!
Reacties (53)
31-10-2007, 20:39 door Anoniem
nja bedankt denk ik, je bedoelt het vast goed maar als
iedereen die zoiets krijgt het hier gaat plaatsen dan wordt
het vrij druk hier.
01-11-2007, 01:41 door ctrlaltdelete
Het *.com dat je krijgt zet het bestand msnmsgs.exe in een
temp map op je pc en past een registersleutel aan waardoor
deze msnmsgs.exe elke keer start wanneer je PC start.

Deze msnmsgs.exe is een Backdoor.Win32.IRCBot
01-11-2007, 12:36 door Anoniem
Door ctrlaltdelete
Het *.com dat je krijgt zet het bestand msnmsgs.exe in een
temp map op je pc en past een registersleutel aan waardoor
deze msnmsgs.exe elke keer start wanneer je PC start.

Deze msnmsgs.exe is een Backdoor.Win32.IRCBot
Hoe kan je situatie weer in de oude staat terug brengen?
01-11-2007, 15:17 door ctrlaltdelete
Door Anoniem
Door ctrlaltdelete
Het *.com dat je krijgt zet het bestand msnmsgs.exe in een
temp map op je pc en past een registersleutel aan waardoor
deze msnmsgs.exe elke keer start wanneer je PC start.

Deze msnmsgs.exe is een Backdoor.Win32.IRCBot
Hoe kan je situatie weer in de oude staat terug brengen?


Scan je systeem eens met Prevx CSI om te zien of het bestand
actief is.
Scannen met Prevx CSI gaat zeer snel, kost niets en je hoeft 't ook
niet eens te installeren.


Als het goed is zie je dan ook de juiste locatie van het bestand.

Zoek registersleutel;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVers
ionRun

Verwijder daar: Graphic Update = %Temp%msnmsgs.exe


Zoek registersleutel: HKEY_LOCAL_MACHINESOFTWAREClasses.htc

Dubbelklik op Content Type (aan de rechterkant)
Daar moet zijn ingevuld: text/x-component

Wanneer je deze foute msnmsgs.exe hebt gestart is dat gewijzigd in: 0x00

Verander dat dan weer in: text/x-component

Opnieuw opstarten en het stoute bestand "msnmsgs.exe" waarvan
je de juiste locatie zeer waarschijnlijk met Prevx CSI hebt
gevonden verwijderen.
01-11-2007, 15:45 door Anoniem
Ik heb de link ook gekregen maar McAfee gaf meteen aan dat het een
trojaans paard was toen ik op de link drukte.
01-11-2007, 15:53 door Anoniem
Ik ben zo'n sukkel die het bestand heeft opgeslagen, maar
met Prevx CSI kan ie niets vinden. Wat kan ik dan het beste
doen?
01-11-2007, 16:06 door Anoniem
bij mij geeft prevx CSI geen locatie aan van dat verkeerde bestand (k
had gister dat geopend nie egt goed op gelet wat het was) en vond dit
forum er over maar ik krijg dus geen locatie van dat msnmsgs.exe
weet iemand misschien waar dat aan kan liggen? (of misschien een
andere manier om het te verwijderen?)
01-11-2007, 16:14 door Anoniem
M'n broertje was even op mijn msn en ja hoor, ik heb deze crap op m'n pc.

Ik heb gescand met Prevx CSI maar deze kon niets vinden, als ik msn
opstart wordt dit bericht automatisch een voor een naar al mijn
contactpersonen gestuurd.

Dit is erg vervelend, heeft nog iemand oplossingen?
01-11-2007, 16:44 door Anoniem
Door ctrlaltdelete
Door Anoniem
Door ctrlaltdelete
Het *.com dat je krijgt zet het bestand msnmsgs.exe in een
temp map op je pc en past een registersleutel aan waardoor
deze msnmsgs.exe elke keer start wanneer je PC start.

Deze msnmsgs.exe is een Backdoor.Win32.IRCBot
Hoe kan je situatie weer in de oude staat terug brengen?


Scan je systeem eens met Prevx CSI om te zien of het bestand
actief is.
Scannen met Prevx CSI gaat zeer snel, kost niets en je hoeft 't ook
niet eens te installeren.


Als het goed is zie je dan ook de juiste locatie van het bestand.

Zoek registersleutel;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVers
ionRun

Verwijder daar: Graphic Update = %Temp%msnmsgs.exe


Zoek registersleutel: HKEY_LOCAL_MACHINESOFTWAREClasses.htc

Dubbelklik op Content Type (aan de rechterkant)
Daar moet zijn ingevuld: text/x-component

Wanneer je deze foute msnmsgs.exe hebt gestart is dat gewijzigd in:
0x00

Verander dat dan weer in: text/x-component

Opnieuw opstarten en het stoute bestand "msnmsgs.exe"
waarvan
je de juiste locatie zeer waarschijnlijk met Prevx CSI hebt
gevonden verwijderen.

En als die Prevx CSI het bestand niet vindt?
Hoe kun je hem dan verwijderen??
01-11-2007, 17:05 door ctrlaltdelete
Dan is het bestand msnmsgs.exe waarschijnlijk niet actief.

Had je de PC opnieuw opgestart nadat je de trojan had geïnstalleerd?
01-11-2007, 19:00 door [Account Verwijderd]
[Verwijderd]
01-11-2007, 20:24 door DJdiedie
hej ik heb dat virus ook, ik kan hem alleen nog maar in
veilige modus opstarten met netwerkmogelijkheden, ik kreeg
hem gisteren ook maar toen ik hem opnieuw opstarte kreeg ik
foutmeldingen en is er een wachtwoord op mijn computer gezet
wat normaal niet zo was:S

Ik heb die msntest gedaan dit geeft die file weer:
---------- BENDEBOYS MSNFIX RAPORT ----------
- Version: 3.6.0.0 - Last Update: 31/10/07
- Scan performed on: do 01-11-2007 - 19:59:06,92 By Diederik
- Bootmode: Safe Mode

((((((((((((((( CREATED FILES LAST MONTH )))))))))))))))

2007-10-29 -19:12:06 - ..... "C:WINDOWSSetup1.exe"
2007-10-29 -19:12:04 - A.... "C:WINDOWSST6UNST.EXE"
2007-10-10 -15:53:30 - A.... "C:WINDOWSsyschecks.dll"
2007-10-02 -17:01:20 - A.... "C:WINDOWSsystem32BASSMOD.dll"
2007-10-31 -19:36:26 - A....
"C:WINDOWSsystem32PnkBstrB.exe"
2007-10-10 -15:53:28 - A.... "C:WINDOWSsystem32spmipc.dll"
2007-10-30 -18:23:58 - A....
"C:WINDOWSsystem32winjjq32.dll"

((((((((((((((( FOUND FILES )))))))))))))))

!! BEFORE FIX !!

C:DOCUME~1DiederikLOCALS~1Tempmsnmsgs.exe

!! AFTER FIX !!

C:DOCUME~1DiederikLOCALS~1Tempmsnmsgs.exe

((((((((((((((( ShellServiceObjectDelayLoad )))))))))))))))

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

---------- END OF LOG ----------


WEET IEMAND WAT IK MOET DOEN?
01-11-2007, 20:36 door [Account Verwijderd]
[Verwijderd]
01-11-2007, 21:03 door DJdiedie
Dit komt uit het logje: ik heb het trouwens ook al op
hijackthis forum geplaatst

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:46, on 1-11-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Safe mode with network support

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesLimeWireLimeWire.exe
C:PROGRA~1MOZILL~1FIREFOX.EXE
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start
Page = http://www.superdudes.nl/(*diedje*)
R1 - HKLMSoftwareMicrosoftInternet
ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search
Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: Yahoo! Toolbar -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class -
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program
FilesJavajre1.6.0_03binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
- (no file)
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3}
- C:WINDOWSWebAssist.dll
O2 - BHO: Web Replay BHO -
{8B57DF7C-9BF9-4D52-B94E-37ACE3893F7D} - C:Program
FilesDeskperienceWeb Replayinetie.dll
O2 - BHO: Windows Live Sign-in Helper -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program
FilesCommon FilesMicrosoft SharedWindows
LiveWindowsLiveLogin.dll
O3 - Toolbar: Web Replay Toolbar -
{756727E5-1E5C-4284-B2DA-C21D3A283A38} - C:Program
FilesDeskperienceWeb Replayinetieui.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog
DevicesSoundMAXSMax4PNP.exe
O4 - HKLM..Run: [SoundMAX] "C:Program FilesAnalog
DevicesSoundMAXSmax4.exe" /tray
O4 - HKLM..Run: [Easy-PrintToolBox] C:Program
FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE /logon
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
O4 - HKLM..Run: [LogitechVideoRepair] C:Program
FilesLogitechVideoISStart.exe
O4 - HKLM..Run: [LogitechVideoTray] C:Program
FilesLogitechVideoLogiTray.exe
O4 - HKLM..Run: [Norman ZANDA] C:NormanNpmbinZLH.EXE
/LOAD /SPLASH
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program
FilesJavajre1.6.0_03binjusched.exe"
O4 - HKLM..Run: [BluetoothAuthenticationAgent]
rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32\NeroCheck.exe
O4 - HKLM..Run: [WinampAgent] C:Program
FilesWinampwinampa.exe
O4 - HKLM..Run: [ZangoOE] C:Program
FilesZangobin10.0.341.0OEAddOn.exe
O4 - HKLM..Run: [ZangoSA] "C:Program
FilesZangobin10.0.341.0ZangoSA.exe"
O4 - HKCU..Run: [LogitechSoftwareUpdate] "C:Program
FilesLogitechVideoManifestEngine.exe" boot
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN
MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [BitTorrent] "C:Program
FilesBitTorrentbittorrent.exe" --force_start_minimized
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE]
C:WINDOWSsystem32CTFMON.EXE (User 'Lokale service')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE]
C:WINDOWSsystem32CTFMON.EXE (User 'Netwerkservice')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE]
C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE]
C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:Program FilesXfirexfire.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk =
C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:Program FilesIVT
CorporationBlueSoleilBlueSoleil.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk =
C:Program FilesLogitechDesktop
Messenger8876480ProgramLDMConf.exe
O4 - Global Startup: Wireless Client Manager.lnk = ?
O8 - Extra context menu item: &WebReplay Fill Login -
res://C:Program FilesDeskperienceWeb Replayinetieui.dll/292
O8 - Extra context menu item: E&xporteren naar Microsoft
Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_03binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_03binssv.dll
O9 - Extra button: Web Replay -
{3401B8CC-95A4-4dbe-B73F-00E2D23F2B73} - C:Program
FilesDeskperienceWeb ReplayShowToolbar.dll
O9 - Extra button: Onderzoek -
{92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork
Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork
Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers
Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl
Class) -
http://messenger.zone.msn.com/NL-NL/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A}
(ijjiPlugin2 Class) -
http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48}
(Minesweeper Flags Class) -
http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: winjjq32 -
C:WINDOWSSYSTEM32winjjq32.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) -
ASUSTeK COMPUTER INC. - C:WINDOWSATKKBService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner -
C:Program FilesIVT CorporationBlueSoleilBTNtService.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) -
Norman ASA - C:NormanNpmbinELOGSVC.EXE
O23 - Service: Norman NJeeves - Unknown owner -
C:NormanNpmbinNJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA -
C:NormanNpmBinZanda.exe
O23 - Service: Norman Virus Control on-access component
(nvcoas) - Norman ASA - C:NormanNvcbinnvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler)
- Norman ASA - C:NormanNvcBINNVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) -
NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner -
C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner -
C:WINDOWSsystem32PnkBstrB.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent
Service (default)) - Analog Devices, Inc. - C:Program
FilesAnalog DevicesSoundMAXSMAgent.exe

--
End of file - 7584 bytes
01-11-2007, 21:09 door [Account Verwijderd]
[Verwijderd]
01-11-2007, 21:20 door DJdiedie
ik kan nu wel weer op mijn eigen maar er staat nog steeds
een wachtwoord op.. maar ik hoef geen wachtwoord in te
voeren en er zijn volgensmij veel bestanden verwijderd..
Wacht :D ik doe systeemherstel!
01-11-2007, 21:31 door [Account Verwijderd]
[Verwijderd]
01-11-2007, 21:54 door Anoniem
de manier van 'ctrlaltdelete' werkt perfect!

Alleen als echte computerleek duurde het eindeloos voordat ik wist dat je
registerkeys kunt vinden via

start - uitvoeren en dan regedit in te typen....

Dus hoe logisch iets ook lijkt voor al u computerexperts...Niets spreekt
voor zich!

Maar al met al...ik ben er uit
THX ctrlaltdelete!!!
01-11-2007, 22:14 door Anoniem
Door DJdiedie
O4 - HKLM..Run: [ZangoOE] C:Program
FilesZangoin.0.341.0OEAddOn.exe
O4 - HKLM..Run: [ZangoSA] "C:Program
FilesZangoin.0.341.0ZangoSA.exe"
zou daar ook meteen maar wat aan doen.
01-11-2007, 23:06 door Anoniem
euh geld dit alleen als je hem hebt geinstalleerd of juist niet
ik heb de link ook binnen gehad maar ik heb hem niet geinstalleerd
namelijk
01-11-2007, 23:44 door BendeBoy
Eventjes tijdelijke internet bestanden wissen en het is weg
DJdiedie ;)
02-11-2007, 07:57 door Timmm
Hallo,
Ook ik heb (of hopelijk had) dit virus.
Heb het programma : "msn fix" (bedankt moppentappers) een controle
laten uitvoeren.
Nu kreeg ik deze log :
---------- BENDEBOYS MSNFIX RAPORT ----------
- Version: 3.6.0.0 - Last Update: 31/10/07
- Scan performed on: vr 02-11-2007 - 7:48:02,46 By Tim
- Bootmode: Normal Mode

((((((((((((((( CREATED FILES LAST MONTH )))))))))))))))


((((((((((((((( FOUND FILES )))))))))))))))

!! BEFORE FIX !!

C:DOCUME~1TimLOCALS~1Tempmsnmsgs.exe

!! AFTER FIX !!


((((((((((((((( ShellServiceObjectDelayLoad )))))))))))))))

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

---------- END OF LOG ----------

Wil het zeggen dat, als er na : "AFTER FIX" niks meer staat, het virus
verwijderd is?.

M.v.g.
Timmm
02-11-2007, 08:31 door Anoniem
is dat wel veilig om een programmatje te gebrijken van de maker van dit
virus???
02-11-2007, 15:17 door [Account Verwijderd]
[Verwijderd]
03-11-2007, 00:23 door K800i
Het virus is te verwijderen met Kaspersky Anti-Virus Kaspersky is hier te
downloaden http://www.kaspersky.nl/kaspersky-anti-virus.html

p.s dit topic gaat over hetzelfde virus : http://www.security.nl/forum/i/178703/
03-11-2007, 11:19 door Anoniem
Mensen simpele oplossing download tune up uttilities 2007 demo versie
http://www.tuneup-software.nl/products/tuneup-utilities/

installeer het ga dan naar tune up startup manager

daar staat dan een lijst met alle actieve programma die op je pc draaien
daar staat nu ook een rood tekentje ergens bij waar Gevaar! op staat het
virus dus, klik het vinkje voor dat vakje weg, en het virus word
uitgeschakeld, je pc draait dus weer normaal, scan nu met virus scanners
enderglijke om hem totaal van je pc weg tehalen,

als je dit doet heb je nergens meer last van

Greets (RGN) Killzone
03-11-2007, 11:34 door [Account Verwijderd]
[Verwijderd]
03-11-2007, 14:00 door K800i
Door moppentappers
Klopt, kaspersky kan het virus ook verwijderen
samples door mij aangeleverd overigens

Heel grappig dat jij zegt dat de sample door jou is aangeleverd ik heb het
sample naar Kaspersky gestuurd en kreeg deze mail terug:

Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.
03-11-2007, 14:41 door [Account Verwijderd]
[Verwijderd]
03-11-2007, 15:31 door K800i
Door moppentappers
Hallo,

Detectie is inmiddels toegevoegd als Backdoor.Win32.IRCBot.aob.
Bedankt voor de sample.

Kind regards,
Roel Schouwenberg
Senior Anti-Virus Researcher
Incident Response & Research Team
Kaspersky Lab

email: [email]virus@kaspersky.nl[/email]

http://www.kaspersky.com
http://www.viruslist.com

dan zit hij nu dus 2 keer in de database :P
03-11-2007, 16:43 door [Account Verwijderd]
[Verwijderd]
03-11-2007, 17:13 door Anoniem
hoe krijg ik het dan zover dat mijn kaspersky internet
security 7.0 het weghaald? de hele pc scannen?
of een bepaald gebied?
03-11-2007, 20:32 door [Account Verwijderd]
[Verwijderd]
03-11-2007, 21:48 door Anoniem
Ik heb met Norton Antivirus 4 dingen gevonden, is het hiermee opgelost ?
04-11-2007, 01:14 door ctrlaltdelete
K800i en Moppentappers,

Over welk bestand hebben jullie het nu?

Het *.com bestand of msnmsgs.exe ?


Ik zal wel een variant hebben hier, wat ik hier heb is een bestand van 1
november.

Het *.com bestand dat ik hier heb wordt gedetecteerd door Kaspersky als
IM-Worm.Win32.Agent.ac

File size: 29592 bytes
MD5: 5ce8f31074a1b64fc7cac85b4201aaf4
SHA1: e4b10f3d8064c85a312450c70a72df632f9179e7
packers: UPX
packers: PE_Patch.UPX, UPX


Het msnmsgs.exe bestand dat ik hier heb wordt op Virustotal niet herkend
door Kaspersky? En nog 22 andere AV's die er ook geen kwaad in zien...
Slechts 9 zien er wel kwaad in en eentje vindt 't erg verdacht.

File size: 55000 bytes
MD5: 20f898936a0db92c0a8a6167fcb97da0
SHA1: b9d549ca5f4465d34143612f9ffaec3092cf29f5


Wat zijn de resultaten van het bestand (liefst beide bestanden) als jullie
die scannen op VT ?

Als de MD5 hashes gelijk zijn klopt er gewoon op Virustotal.com iets niet,
dat kan natuurlijk ook nog....
05-11-2007, 13:13 door Anoniem
Ik krijg het ook steeds, en verstuur het ook zonder dat ik iets merk.
05-11-2007, 13:49 door Anoniem
Door ctrlaltdelete
K800i en Moppentappers,

Over welk bestand hebben jullie het nu?

Het *.com bestand of msnmsgs.exe ?


Ik zal wel een variant hebben hier, wat ik hier heb is een bestand van 1
november.

Het *.com bestand dat ik hier heb wordt gedetecteerd door Kaspersky als
IM-Worm.Win32.Agent.ac

File size: 29592 bytes
MD5: 5ce8f31074a1b64fc7cac85b4201aaf4
SHA1: e4b10f3d8064c85a312450c70a72df632f9179e7
packers: UPX
packers: PE_Patch.UPX, UPX


Het msnmsgs.exe bestand dat ik hier heb wordt op Virustotal niet herkend
door Kaspersky? En nog 22 andere AV's die er ook geen kwaad in zien...
Slechts 9 zien er wel kwaad in en eentje vindt 't erg verdacht.

File size: 55000 bytes
MD5: 20f898936a0db92c0a8a6167fcb97da0
SHA1: b9d549ca5f4465d34143612f9ffaec3092cf29f5


Wat zijn de resultaten van het bestand (liefst beide bestanden) als jullie
die scannen op VT ?

Als de MD5 hashes gelijk zijn klopt er gewoon op Virustotal.com iets niet,
dat kan natuurlijk ook nog....



Ik heb het bestand zelf ook even onder handen genomen en zie dat
het .com bestand een loader is die daarna het definitiefe virus wegschrijft
naar %temp% en de meeste a/v scanners hebben alleen de signature van
de loader in de database en dus niet van msnmsgr.exe

Ook heb ik gemerkt dat er meerdere varianten met dezelfde messages
rondgaan, dus kan het zijn dat de ene persoon hem wel vindt en de andere
niet ook al is zijn/haar virus database up-to-date.

Groeten
05-11-2007, 14:43 door Anoniem
Door moppentappers
nee, hij zit absoluut niet 2 keer in de database, het is
waarschijnlijk doorgegeven aan kaspersky rusland waar de
defenities vandaan verpsreid worden oid.
het zit in elk geval niet 2 keer in de DB

zie de :P aan het eind van het bericht van K800i. sowieso is de kans groot
dat andere mensen 'm ook aan kaspersky en soortgenoten gemeld
hebben.
13-11-2007, 16:55 door Anoniem
Door Anoniem
http://www.trader-course.com/emoticon.php?
email=joeyvanhummel@hotmail.com

dat kreeg ik door iemand

samen met de text

"omg. jij naakt?"

natuurlijk heb ik geen naaktfoto's en omdat ik erop klikte
(ik verwchtte al een virus, natuurlijk open ik verder geen
files die hij downloadt.)

nja ik zag dus dat de bestands filenaam "msn.com" was (virus
dus)

nja kijk dus uit als je dit krijgt!

hoe kan je dat verwijderen??
13-11-2007, 17:38 door [Account Verwijderd]
[Verwijderd]
20-11-2007, 16:14 door Anoniem
Hey,

Ik kreeg vandaag ook dat ***bericht opeens in een
msn-venster. Miss aapige vraag: ik drukte wel op de link,
maar daarna heb ik niks meer ge-saved of geopend.. Dan is er
toch niks aan de hand?

Laat ff weten svp.
Thanks
20-11-2007, 17:27 door Anoniem
------------- BENDEBOYS MSNFIX RAPORT -------------
- Version: 3.6.0.8 - Last Update: 09/11/07
- Scan performed on: di 20-11-2007 - 17:24:18,29 By Eigenaar
- Bootmode: Normal Mode

It is possible to complain about messenger virusses.
Visit MalwareComplaints.com for more information!

Het is mogelijk om uw beklag te doen tegen messenger virussen.
Bezoek MalwareComplaints.com voor meer informatie.


((((((((((((((( CREATED FILES LAST MONTH )))))))))))))))

2007-11-20 -16:35:24 - A.S.. "C:WINDOWSbootstat.dat"
2007-09-25 -17:33:56 - A.... "C:WINDOWSiun6002.exe"
2007-11-06 -17:36:02 - A.... "C:WINDOWSpopcinfo.dat"
2007-11-02 - 8:12:58 - A.... "C:WINDOWSsystem32MRT.exe"
2007-10-28 -15:01:26 - A.... "C:WINDOWSsystem32perfc009.dat"
2007-10-28 -15:01:26 - A.... "C:WINDOWSsystem32perfc013.dat"
2007-10-28 -15:01:26 - A.... "C:WINDOWSsystem32perfh009.dat"
2007-10-28 -15:01:26 - A.... "C:WINDOWSsystem32perfh013.dat"
2007-10-25 -17:44:50 - A.... "C:WINDOWSsystem32shell32.dll"
2007-10-18 -11:31:46 - A.... "C:WINDOWSsystem32sirenacm.dll"
2007-10-29 -16:07:26 - A.... "C:WINDOWSsystem32xpsp3res.dll"
2007-11-20 -16:34:54 - A..H. "C:Documents and
SettingsEigenaarNTUSER.DAT"

((((((((((((((( FOUND FILES )))))))))))))))

!! BEFORE FIX !!

C:WINDOWSSystem32javaws.exe

!! AFTER FIX !!


((((((((((((((( ShellServiceObjectDelayLoad )))))))))))))))

"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

---------- END OF LOG ----------

Dat krijg ik!! HELP ik weet echt niet wat ik moet doen als iemand erachter
komt dat ik een virus op mijn com heb krijg ik heeel erg op mijn kop!! is dit
virus trouwens ook nog schadelijk als ik msn verwijder??
20-11-2007, 19:10 door [Account Verwijderd]
[Verwijderd]
20-11-2007, 23:01 door Anoniem
Heb t virus ook... mn laptop start nu alleen nog wel op maar zodra ik mn
scanner aan wil zetten slaat ie vast en doet ie totaal niks meer... start m
dan steeds opnieuw op maar kan simpelweg geen programma opstarte of
afsluiten. Hoe kan ik mijn bestanden behouden en mn laptop weer
werkende krijge????
Wie heeft de oplossing voor me??
Bij voorbaat dank!!
22-11-2007, 16:18 door Anoniem
Look at me naked hihihi

[press button to download virus]
23-11-2007, 23:24 door Anoniem
[color=green]MSNFixby BendeBoy[/color] blijkt zelf een geinfecteerd bestand met een
Intrusion Tool te zijn.

Graag zouden wij inzenders willen adviseren om gevonden executables op het internet
vooraf te controleren op bonafide gedrag. Anders wordt het dweilen met de kraan open.

Niet zo'n handige tool dus.
24-11-2007, 21:20 door Anoniem
Door X-2
[color=green]MSNFixby BendeBoy[/color] blijkt zelf
een geinfecteerd bestand met een
Intrusion Tool te zijn.

Graag zouden wij inzenders willen adviseren om gevonden
executables op het internet
vooraf te controleren op bonafide gedrag. Anders wordt het
dweilen met de kraan open.

Niet zo'n handige tool dus.

beetje bewijs zou leuk zijn, gewoon zomaar wat beweren
schiet niet echt op.
27-11-2007, 00:09 door BendeBoy
X-2,

Zal ik mogen weten waarmee je gescand hebt?
Alvast bedankt.
27-11-2007, 00:51 door [Account Verwijderd]
[Verwijderd]
27-11-2007, 11:40 door Anoniem
Door moppentappers
tool is helemaal niet malafide en is volkomen veilig, buiten
dat veel hijackthis helpers het gebruiken zijn mij (en andere experts) delen
van
de source bekend.
Kun je moppentappers serieus nemen?
27-11-2007, 13:06 door Anoniem
misschien hem niet, maar de andere hijackthis helpers wel
(smeenk bijvoorbeeld?)
ook ik kan bevestigen dat dit toottje een veilige werking heeft
ook verscheidene anti virus vendors melden dit (symantec,
kaspersky, nod32)
28-11-2007, 15:23 door Anoniem
Door Anoniem
Door moppentappers
tool is helemaal niet malafide en is volkomen veilig, buiten
dat veel hijackthis helpers het gebruiken zijn mij (en andere experts) delen
van
de source bekend.
Kun je moppentappers serieus nemen?
kun je X-2 serieus nemen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.