Joey, je kunt om het te testen VirtualBox gebruiken. Daar Windows op bakken, en eventueel met WireShark in de gaten houden wat het qua pakketjes doet.

Mijn zusje had er ook zo een gekregen, met zo'n berichtje erbij van je staat hier op de foto o.i.d. Bij haar staat er Kaspersky IS 2009 op, en die heeft het virus geblocked.

Allereerst iets over de redirects

Je hebt drie vormen

meta-refresh
javascript
.htaccess

Je wordt dus naar een andere pagina (folder) gestuurd, daar komt het op neer !!

----

magehost.net/img/imgxa.jpg geeft een error 404 en geen redirection

lmageshack.biz/img/picsiv.jpg stuurt je naar www.imageshack.us/img/picsiv.jpg 404 not found

verders niks bijzonders

deze "virussen" laten je pc meedoen aan clickfraude.

niets bijzonders ?!?

en de links werken wel degelijk !!

alles zojuist nog getest.

CdM

Ter aanvulling;
er wordt bij deze code een stukje van de FAKE (2009/10) antivirus malware gebruikt; msa.exe

CdM

Het is een vrij nieuwe, nog maar weinig scanners herkennen deze (variant)

a-squared 4.5.0.43 2009.12.18 -
AhnLab-V3 5.0.0.2 2009.12.18 -
AntiVir 7.9.1.114 2009.12.18 -
Antiy-AVL 2.0.3.7 2009.12.18 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.18 -
AVG 8.5.0.427 2009.12.18 -
BitDefender 7.2 2009.12.18 -
CAT-QuickHeal 10.00 2009.12.18 -
ClamAV 0.94.1 2009.12.18 -
Comodo 3289 2009.12.18 -
DrWeb 5.0.0.12182 2009.12.18 Trojan.Packed.706
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7182 2009.12.18 -
F-Prot 4.5.1.85 2009.12.18 -
F-Secure 9.0.15370.0 2009.12.18 Trojan-Downloader:W32/Renos.gen!Q
Fortinet 4.0.14.0 2009.12.18 -
GData 19 2009.12.18 -
Ikarus T3.1.1.79.0 2009.12.18 -
Jiangmin 13.0.900 2009.12.18 -
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.18 -
McAfee 5836 2009.12.18 -
McAfee+Artemis 5836 2009.12.18 -
McAfee-GW-Edition 6.8.5 2009.12.18 -
Microsoft 1.5302 2009.12.18 -
NOD32 4700 2009.12.18 -
Norman 6.04.03 2009.12.18 -
nProtect 2009.1.8.0 2009.12.18 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.18 -
Prevx 3.0 2009.12.18 -
Rising 22.26.04.02 2009.12.18 -
[b[Sophos 4.49.0 2009.12.18 Mal/FakeAV-BZ[/b]
Sunbelt 3.2.1858.2 2009.12.18 -
Symantec 1.4.4.12 2009.12.18 -
TheHacker 6.5.0.2.098 2009.12.18 -
TrendMicro 9.100.0.1001 2009.12.18 -
VBA32 3.12.12.0 2009.12.18 -
ViRobot 2009.12.18.2097 2009.12.18 -
VirusBuster 5.0.21.0 2009.12.18 -

genoeg geknutseld voor vandaag...

hahah dit heeft niks met redirects te maken of .htaccess... je moet het simpeler zoeken. Dit is gewoon een map met de naam "picsiv.jpg" waarin een index.php staat die automatisch de pif bestand opent (via headers). Omdat er automatisch index.php wordt geopend als je naar die map gaat lijkt het alsof het een .jpg extensie heeft terwijl dat de naam van de map is.

Haha H.King, nu je het zegt.. -:)

Voor de duidelijkheid, en de mensen die nu in de knoop raken.

hxxp://lmagehost.net/img/imgxa.jpg/
hxxp://lmageshack.biz/img/picsiv.jpg/

De forward slash aan het eind van de url (.jpg/) zou al een weggevertje moeten zijn idd :-)

Ik denk dat het toch een soort trojan, Dat is ook bekend bij Microsoft volgens bepaalde websites. Trouwens je hoef geen omgeving te maken om dat bestand te analysieren. Je zou een hex editor, IDA pro kunnen gebuiken voor statische analyse of dat je het bestand upload naar online Sandbox die doet het analyse voor je automatisch.

er is weer een nieuwe link bij gekomen : http://lmagehost.net/img/imgmz.jpg deze is waarschijnlijk zeer kwaadaardig

deze opent msa.exe , a.exe , b.exe , c.exe en dat zijn trojans

norting internet security kent deze virus ook nog niet

Mannen luister

Ik heb weer even deze HEEL GEVAARLIJKE URL in mijn browser gezet (in de geheel gecontroleerde omgeving hier, dus kinderen doe dit niet op mamma's of pappa's computer zonder dat je iemand ander de schuld er van kan geven)

Wederom een dead end

Geen besmetting.
Geen toeters
Geen bellen
Geen dataverkeer
Geen registry entries



Ook dit is weer zo'n een opmerking van een nitwit


Afijn


Pappie laat jullie verder alleen

Niet met lucifers spelen, hè

http://lmagehost.net/img/imgbz.jpg dit is de link die ik opeen stuur via msn volgens de meeste. hoe krijg je het eruit :S?

Pappie ? wat een ego zeg !!!

Luister eens oudje...

de reactie die je plaatste met redirects slaat/sloeg helemaal nergens op. (maar dan ook echt nergens op!!)
DAAROM heb ik dezelfde avond nog e.e.a getest en mijn bevindingen geplaatst.

dat het bij jouw niet "werkt" zal meer zeggen over de persoon/omgeving dan over de malware.
je hebt niet eens een poging gedaan om het bestand ZELF te analyseren.

De malware werkt bij iedereen, behalve bij jou, OF je hebt niet eens in de gaten dat de "pc" besmet bent...
ik vraag me dan ook af welke "tools" Syzygy gebruikt bij zijn analyze...

ik heb zelfs de command server al "bekeken" en er komen per dag ongeveer 120 nodes bij die allemaal clickfraude plegen.
(o.a big-dennis.nl, vele google en yahoo ads.)

ennuhhh....

als er iemand op dit forum een nitwit is ben jij het wel, Syzygy
als je op ieder bericht dat hier verschijnt (als eerste) kunt antwoorden dan zal het wel niet erg druk zijn op de 1ste lijns helpdesk waar je zit. tevens raken je antwoorden regelmatig kant nog wal.

mvg
de F500 prutser

Wat er niet is, kan ik niet analyseren.

Of zou ik toch besmet zijn, nee dat zal toch niet, even de helpdesk bellen maar, O nee dat ben ik zelf hahahaha

Als jij 1% van mijn ervaring en kennis had dan was je verder dan je over 10 jaar wellicht zult zijn !

Succes met je Malware jacht, doe je helm op zou ik zeggen.

Fijne dagen !!

Ik erger me kapot aan hoe goed jij je denkt te voelen. Wat heb je te verbergen?

Doe er eens iets aan, want je komt nu over als een 16 jarig kereltje wat denk ook wat kennis te hebben. - Irritant.

Luister broeder.

Als je nu eens het onderwerp leest en de reacties dan loopt iedereen te mekkeren over MSN Malware.
Een stukje onderzoek wordt er niet gepleegd.
Ik probeer aan de hand van de informatie die websites en files op te zoeken en te kijken wat ze doen.
Met verschillende browsers onder verschillende OS-en krijg ik geen melding van Malware of iets van die strekking.
Het kan dus niet door mij onderzocht worden, hetgeen waartoe de rest dus kennelijk niet in staat is gezien de opmerkingen en de reacties .
De omgeving hier is geheel gecontroleerd en ik heb voldoende kennis en ervaring en tooling om dit soort zaken aan te pakken dus biedt hier mijn hulp aan want ik lees alleen maar de woorden "waarschijnlijk" en daar kun je weinig mee..
De mensen die zeggen dat ze het getest hebben hebben dus de url ingetypt en meer niet.
Enig onderzoek daarna is er niet bij.
Als je de Malware download kun je zien waaruit het bestaat en wat het doet (desnoods decompileren in geval van een exe)

Als ik dan reacties krijg van het niveau van een puber dan krijgt hij ook antwoord op het niveau van een puber.

pff jij bent ook zo lomp he

niet alle virus scanners etc kennen die virus nog jij hebt computer verstand van NUL

ja ik ben een puber en ik heb ook genoeg scholing wat jij allemaal te kort komt

maar gelukkig hebben we jou nog om dat tekort aan te vullen.


maar met Nederlandse les spijbel je wel eens zo te lezen ;-)

Syzygy en Kyentei jullie hebben erg veel verstand samen merk ik. Zouden jullie mijn vraag kunnen beantwoorden?
Ik gebruik osx 1.6 en vandaag heb ik het "virus" gedownload.

Link: http://lmagehost.net/img/imgyb.jpg

Hij download een bestandje met een extensie die ik niet ken.
Heb niet echt het idee dat het schade kan toe brengen op een mac. Het is even afwachten of ik de links nu automatisch ga versturen. Maar iig. uit dit topic haal ik nog niets wat voor mij van belang is.

kunnen jullie helpen?

Anoniem

Ik ken de ins en out van osx niet dus kan je wat dat betreft geen zinnig antwoord geven.

Zoals je hebt kunnen lezen heb ik zelf de links(Malware) niet kunnen benaderen en ik vraag me ook af of dit wel de echte links zijn
Als ik een URL als link opschrijf kan ik onderhuids de link naar een andere site toe laten wijzen.
Dus de link www.startpagina.nl kan ik als tekst zo noemen maar bij een klik erop kom je dan bijvoorbeeld op de site www.malware.com (o.i.d.)
Ik vraag me dus af of die links (URL's) wel het juiste adres aan geven ?? (Kan iemand dat checken )

In jouw geval krijg ik een pagina van Imagehost.net; links een menuutje bovenin een header-plaatje en in het midden de tekst oops - sorry ! well, just go back tot the beginning here
here is dan een link die weer naar www.ramtech.com gaat en ook niets speciaals oplevert
Er is verder geen dataverkeer , veranderingen aan de registry of iets noemenswaardig aan de hand .
Source code van de pagina is ook niet echt interessant.

Kun je beschrijven wat jij kreeg toen je de link aanklikte en kun je nog verifiëren of die link niet ergens anders naar toe verwees.

Blont???? Hij schrijft toch duidelijk data hij GEEN windows heeft!

Uuhhm OSX 10.6

Anyways, wees blij dat je een Mac hebt......de kans dat het virus daarop schade aanricht is mini- mini- minimaal (da's toch wel een hele kleine kans ;-)

Wat is de extensie overigens?

Syzygy en Kyentei: svp even prive mail adressen uit en daar verder gaan gooien met modder en wie wel niet de beste hier is.....opbokken....

opbokken ?? hahaha

Ik moest het even opzoeken want ik kende het woord niet.

Hier voorbeeldje van hetgeen er gebeurt, omdat er zoveel onduidelijkheid is of het nu wel of niet iets vreemds gebeurt.
Ik heb me overigens niet beziggehouden met wat die file doet omdat ik momenteel een deel van WINE op de machine heb staan.
http://img706.imageshack.us/i/screenshot2t.png/
(trailing "/" is nodig om bij het plaatje te komen - zonder "/" zie je mijn screenshot niet - geen virus of wat dan ook voor truck.)

Hij redirect naar: rs112cg2 [dot] rapidshare [dot] com
Alwaar hij de file 'pic884.pif' naar je toegooit.

Thanks for the info en de link naar de Screenshot

Ik krijg het hier niet voor elkaar maar ik gebruik geen FF.
Zal deze wel even installeren een dezer dagen.

Je zegt:: waar hij ie file naar je toegooit, je bedoelt waarschijnlijk "ter download aanbiedt" ?

Heeft iemad die pif ook toevallig want de file is onder die link bij rapidshare alweer verdwenen ??
Print even de inhoud van de Pif anders (als iemand hem heeft

Correct.

Screenshot van de inhoud van de aangeboden download:
http://img403.imageshack.us/i/screenshot3y.png/

Materie is allemaal binair & verblijft nog immer op Rapidshare zoals eerder aangegeven.
Geef maar een adres waar ik het heen kan duwen dan staat hij er zo op Syzygy.

ik heb dit virus en weet niet hoe ik hem eruit moet krijgen. zou msn opnieuw installeren iets uithalen?? of weten jullie een scanner die dit virus eruit kan halen??

Ik zie een plaatje met

.data
.rdata
.reloc
.rsrs
.text

Even een stapje of wat terug
Als je op die site komt dan krijg je die pif ter download (moet dan een gif lijken voor de onbevangen eindgebruiker
De bovenstaande items zijn dan onderdeel van dat pifje ??

Als je de beschreven link in de adresbalk intypt, kom je uit op het rapidshare adres.
Waar je meteen de download voor geschoteld krijgt - de browser begint meteen met downloaden en je hoeft enkel nog maar op "Opslaan" of "Openen" te drukken.

Als ik met Nautilus (GNOME filemanager, Linux) het bestand vervolgens aanklik krijg ik de optie om het uit te pakken.
Nadat alles uitgepakt is heb je een mapje met de bovenstaande bestanden erin.

De download is overigens verandert van naam, momenteel heet het: pic774.pif
(deze heeft maar 3 files - .data, .rsrc & .text)

Resultaten oude files virustotal.com:

.data = niets gevonden
.rdata = niets gevonden
.reloc = niets gevonden
.rsrs = niets gevonden
.text = http://www.virustotal.com/nl/analisis/6f599f61713b1cf37498b7e9449d95d310fa8ae8f5e89158410cbba0ce3bdf47-1261753674

Resultaten pic774.pif virustotal.com:

.data = 0 byte file - kan niet gescand worden
.rsrc = niets gevonden
.text = niets gevonden

Als ik het hele nieuwe bestand (piv774.pif) upload, blijkt dat er iemand ons voor is geweest en blijkt het vol ongein te zitten:
http://www.virustotal.com/nl/analisis/f87b222ee81016e6d2d0aba3eb5f9914444e566253d8853dc712a8dfb218b155-1261678835

Wat deze gast al zegt, Syzygy herkende niet eens een simpel malware truukje maar kan ook komen omdat hij te moeilijk dacht. En dat de malware niks doet in een virtualbox komt wss omdat malware deze dagen dat detect en vervolgens niks doet dan.

ps : kan iemand de bestanden misschien uploaden om de researchen ?

En ja H.King, de moderne Malware maakt gebruik van Anti's. Simpele snippets die Virtual Machines detecteerd, en daardoor geen actie onderneemt of aanpassingen aan het systeem brengt.

Hier een stukje code om http://wepawet.iseclab.org tegen te gaan(voorbeeld):
function IsTheSectorClear()
{
var slachtoffer = document;
var isabadplacetorunascriptin = "c"+"s"+"."+"u"+"c"+"s"+"b"+"."+"e"+"d"+"u";
var timetocheckifthis = slachtoffer.location.href;
var amirunninginwepawetorwhat = timetocheckifthis.search(isabadplacetorunascriptin);
if(amirunninginwepawetorwhat != -1)
{
return 0;
}
return 1;
}
if(IsTheSectorClear())
{
Een_of_ander_exploit();
}

Althans, dit word beweerd. Ik heb het zelf nog niet getest.
Zo heb ik er nog tig liggen, waarvan er veel sowieso werken.

Hier een linkje met wat info voor de geïnteresseerde: http://www.cs.ucsb.edu/~marco/blog/wepawet/

Vreemde vraag, kan je hem zelf niet even van de rapidshare link downloaden?
Wil je echt dat iemand anders hem upload zodat jou niks te verwijten valt.(verspreiding van malware)
Het bestand staat immers al online en is voor een ieder bereikbaar mits je de firewall of andere beveiliging aanpast.

PS. 'k Wil het met alle liefde uploaden naar een FTP-server of vergelijkbaar iets - maar weiger een link te plaatsen, want daarmee verspreid je wel degelijk malware over het internet.

Heren bedankt voor de bijdrage.

Interessante materie, ik weet graag hoe bepaalde aanvallen werken vandaar dat ik door blijf vragen.
Normaal als ik zelf die files had pushed gekregen had ik het wel uitgezocht.
Ik denk echter NIETdat DEZE SPECIFIEKE Malware aanval al zo intelligent is dat ze reeds kan zien dat het om en VM gaat maar dat zoeken we nog uit. Ben nog even bezig met wat andere mogelijkheden.
Laten we scherp blijven en alle verdere info is natuurlijk welkom.

(Bai de wee) Persoonlijk vind ik dit interessanter dat te lezen hoe hoog Symantec scoorde met zijn Anti Virus Software in 2009

Ik kreeg deze over msn; http://lmageshack.biz/img/imgdl.jpg
Ik heb het virus gedownload per ongeluk omdat ik dacht dat het gewoon een bestand was.
Ik klikte op de link en mijn pc vroeg uitvoeren ja/nee? ik heb het dus laten uitvoeren en hij heeft hem dus gedownload. Daarna verdween de popup en zag ik er niks van terug. Vervolgens heb ik (ja zo dom ben ik) het nóg eens gedaan.
Ik heb mijn pc al laten scannen, mijn scanner (norman) vindt het niet.
Het enige wat ik er nog van merk is dat anderen me nu telkens op msn vragen wat die link is. Alleen mensen met wie ik praat, zelf zie ik de link niet dus ik kan ze ook niet waarschuwen als ze mij er niet naar vragen. (Ja dus dat doe ik nu al van tevoren xD)

Weten jullie hoe ik er vanaf kan komen?
Ik wil het namelijk niet aan nog meer mensen doorgeven.
Degene van wie ik het heb schijnt er vanaf gekomen te zijn door het bestand te zoeken in de file waar het terecht gekomen zou zijn (tussen zijn downloads) en het te verwijderen & prullebak te legen. Maar ik kan het bestand niet vinden, dus mij lukt dat niet.

@ anoniem

Bedankt voor je verslag

Wat je kan proberen is even een restore te doen naar een datum VOOR je besmet bent geraakt voor de zekerheid !!
Ik weet nog niet wat de code is en wat ie doet.
MAAR VOOR DAT JE DAT DOET..... kun je aan iemand vragen waar ze die link precies zien in MSN of hoe ze hem krijgen ??

Groet Syzygy

Mijn verslag zou identiek zijn aan die van anoniem: Gisteren,21:30 doorAnoniem:
Mijn link die ik verstuur is: http://lmagehost.net/img/imgwxt.jpg
Ga nu ff een restore doen:)

Waarom doe je niet een evaluatie / proef exemplaar van een van de op deze pagina genoemde anti-virus programma's installeren.
Deze programma's kennen de materie immers en mogelijk kunnen ze hem ook verwijderen.:

http://www.virustotal.com/analisis/dd6838048204647f02f503465d16da969f6a8b8aa9cb761bfddcc25cdda5b44a-1261923566

Is maar tip

@ anoniem

Je stuurt dus links naar andere MSN gebruikers.

Nog even wat.
Voordat je dus terug gaat met een RESTORE doe even een dump van je REGISTRY (export naar een map) die noem je bijvoorbeeld "besmet"
Als je de restore hebt gedaan en je bent weer zonder Malware doe dan ook even een dump (export) van je Registry die noem je dan bijvoorbeeld "veilig"

Als je dan een programmaatje hebt zoals Ultra Compare (maar misschien kan MS Word het ook) dan kan je zien welke verschillen er zijn (bij Ultra Compare kan je ze in het Rood laten zien en de rest bijvoorbeeld weglaten)
Zo kun je zien wat er in je registry eventueel toegevoegd wordt door de Malware

( Ultra Compare krijg je bij Ultra Edit )

Voor de liefhebbers.

Hier is z'n link die op MSN verstuurd wordt.

http://lmagehost.net/img/imgdj.jpg

Ik zie wel relevantie met bovenstaande Malware maar of ze precies hetzelfde zijn weet ik niet:


Degene die jij beschrijft kan je ook manuaal verwijderen :
(alles kan je manuaal verwijderen maar je begrijpt wel wat ik bedoel ;-))


To remove Fast Browser Search, you must first stop any Fast Browser Search processes that are running in your computer's memory. To stop all Fast Browser Search processes, press CTRL+ALT+DELETE to open the Windows Task Manager. Click on the "Processes" tab, search for Fast Browser Search, then right-click it and select "End Process" key.

To delete Fast Browser Search registry keys, open the Windows Registry Editor by clicking on the Windows "Start" button and selecting "Run." Type "regedit" into the box and click "OK." Once the Registry Editor is open, search for the registry key "HKEY_LOCAL_MACHINE\Software\Fast Browser Search." Right-click this registry key and select "Delete."

Finally, to completely get rid of Fast Browser Search, you must manually remove other Fast Browser Search files. These Fast Browser Search files can be in the form of EXE, DLL, LSP, TOOLBAR, BROWSER HIJACK, and/or BROWSER PLUGIN. For example, Fast Browser Search might create a file like
%PROGRAM_FILES%\Fast Browser Search\Fast Browser Search.exe. Locate and remove these files.

Nee inderdaad Syzygy het gaat hier niet over fast browser search maar een ander virus. Want ik heb het virus op mijn pc en hij vond dus niks vna fast browser search.

En knight Of The Post ik heb een van de antivirus programma's gedownload die volgens jouw lijst het virus zou moeten kunne detecteren maar tevergeefs.

Iemand al een oplossing tegen gekomen?

@ Sygzygy; die link zie je gewoon zoals je in msn tegen elkaar praat. Hij komt op n willekeurig moment. Gewoon enkel die link.
Net zoals wanneer ik zelf een link zou sturen van iets (een site, image, youtube filmpje, wat dan ook)... Er staat verder niks bij en er komt verder ook niks. Het lijkt alsof ik de link zelf verstuurd heb, maar zelf zie ik er dus niks van. Je ziet m alleen als je het krijgt van iemand met het virus. Maar van iedereen aan wie ik het virus dus stuur krijg ik te horen dat ze naar n site gaan die zegt dat het niet weergeven kan worden ofzo, maar dat had ik zelf dus helemaal niet.
& Bedankt voor de suggesties.. is voor mij alleen maar abracadabra maar ik zal het aan mijn vader vragen xD

Zit hier ook met het virus

links die ik blijkbaar doorstuur:

hxxp://lmagehost.net/img/imgqbd.jpg
hxxp://Imageshack.biz/img/picroy.jpg

Heb Symantec antivirus maar die vindt niets.

En nog iets: Ik ben het virus beginnen doorsturen toen ik op "hxxp://lmagehost.net/img/imgcx.jpg" klikte van iemand anders.

Geweldig, bedankt voor de info
Ik heb zelf niet zoveel MSN mensen en die zijn over het algemeen niet zo snel het slachtoffer omdat ik ze redelijk heb geïnstrueerd
om uit te kijken met links van wie dan ook. (heeft een tijdje gekost maar ala)
Succes met het weghalen van de Malware.
Als je nog vragen hebt er zijn genoeg heldere geesten hier die je wel kunnen helpen.

Hebben jullie al gescand met HitmanPro of een online scanner van Panda, ESET Nod32 of Kaspersky?
Dit zijn toch wel de eerste zaken die ik zelf in ieder geval doe als ik vermoed dat ik besmet ben.

Mocht er dan nog niks gevonden worden, neem dan een kijkje op onderstaande pagina en probeer eens wat uit.

http://www.jacoro.nl/virusscanners/virusscanners.html

Scan je suf zou ik zeggen en mocht het allemaal niet helpen hoop ik dat jullie een schone backup hebben.
Anders wordt het re-installen vermoed ik, om helemaal zeker te zijn dat de shit er af gaat.

Grtz, Knight Of The Post

Dus? Werkt VirtualBox alleen op windows dan? Pak je fiets en rij van een berg af.

Omdat er naar gevraagd wordt even een paar meldingen die ik in mijn msn vond van een besmette contactpersoon:

heeej! ik zie volgens mij net op http://show.msnfriendlinker.com/ je fotos :D!
Wil je ook een Play Station 3 winnen net als ik? Kijk maar is op deze site http://smallr.com/o30 is helemaal gratis!


Spybot S&D lijkt dus de oplossing.

Groet

(en svp elkaar niet zo neersabelen. We moeten elkaar helpen en ieder doet dat op zijn eigen niveau en manier...)

Dank u.

We zitten al op reactie 51, worden hier geen records gebroken onderhand ?? ;-)

Vraag dit even voor de zekerheid, je moet dus het bestandje gedownload hebben wil het virus gaan werken.
Alleen op de link klikken doet dus in principe niets?

Klikte per ongeluk op zo'n link van iemand maar toen de pagina nie gelijk verscheen klikte ik het snel weg omdat ik de shit toch nie vertrouwde.

Gister even rondgezocht op internet voor een oplossing van degene die dat kreng heeft op MSN....nog geen oplossingen tegen gekomen.

Nieuwe variant:
'*********@hotmail.com zei (18:11):
*Wow heb net de nieuwste iPhone helemaal gratis gewonnen op http://slnk.me/28lb moet je ook is proberen!?'

//

@Anoniem 11:10,

Behalve al word er gebruikt gemaakt van Drive by downloads, ook al uit te spreken als Exploits. Maar in 90% van de gevallen maken de malware schrijvers van msn virusjes hier geen gebruik van. Zoals hierboven.. Daar word RapidShare gebruikt :/

Doe even een simpele scan om er achter te komen. Succes.

Kortom; Dit topic kan tot 2011 duren, aangezien de msn virussen blijven komen en bestaan.

@Anoniem hieronder, gebruik MalwareBytes(.org)

ik heb ook sowiets.
maar dan een andere site.

http://lmagehost.net/img/imgsau.jpg

die en dat is ook een virus, iemand enig idee hoe ik die eraf krijg?
ik vind hem namelijk niet met een scan van de computer.

Ik heb dit topic even door gelezen.
heb de balle verstand van computers maar ben op .pif gaan zoeken
Blijkt dat op de dag van besmetting 29-12

dit bestand op me PC is gekomen:

IMG788[1].PIF-13BCBD63.pf


Ik heb het bestand ook binnen gekregen op een knullige manier.
Ik praten met iemand over flyers en in eens krijg ik een imagehost bestand.. stuur vaak plaatjes door via deze site dus ik drukte er op. Ik kreeg een melding dat hij iets ging downloaden en daarna gaf hij aan dat ik toestemming moest geven dit deed ik er toen verscheen er niks..

Nu hoor ik van mensen dat ik deze link door stuur naar verschillende.
Ik heb vandaag het bestandje van mijn pc verwijderd en ben bnwd ok ik het nog doorstuur.

Het bestand wat ik gevonden heb plaats hij in de map

C:\WINDOWS\Prefetch

Voor mensen die een analyse willen van het bestand, ga je gang: http://www.megaupload.com/?d=ADV32M2F

RAR Wachtwoord: security.nl

Al wil je je eigen analyses toevoegen, be my guest. Hoe meer informatie hoe beter toch?

Lekker hoor MrBil, lekker meehelpen met het verspreiden van de malware...

Misschien moet je eerst kijken wat er in de .rar zit, voordat je nonsense gaat verspreiden? :/
Er zit enkel een OpenOffice Tekst document in. incl. wat afbeeldingen

Jo, als ik tijd heb
Excuus

BTW had je er ook bij kunnen vermelden.

Okeee
snap er nie veel van.
Ma ik heb er ook last van. Als ik een antwrood geven of gewoon iets wil zegge op msn. stuurt hij die link.
http://Imagehost.net/img/imgmsm.jpg
ik heb mijn computer 3 helemaal laten scannen met NOD32. En die heb ik altijd al op de computer gehad. Het was een paar dagen weg. ma laatst zei iemand dat die een weer een link had gekrege.
Het opend zich ook vanzelf en sluit ook vanzelf, weg klikken kun je het nie.

DUS!! iemand enig idee hoe ik het weg krijg?
Alvast bedankt!

groete E.

imagehost.net

daar kreeg ik een virus van,
dom dom dom, maar mn virus scan vind niets..

HIJ STUURD ALLEEN DE LINK VERDER VIA MSN, is hij dan wel schadelijk?
want kan hier prima mee leven als het zo blijft..

Kaspersky heeft inmiddels geen probleem met het herkennen van boven genoemde virii.

MalwareBytes heeft het gevonden en verwijderd bij me. Dank aan al de goede zielen hier.

Kaspersky kon hem bij mij niet vinden ondanks een meer dan 2 uur durende zoekactie. maar toen ik echter malwarebytes probeerde stond ik versteld....... binnen 10 minuten pats boem weg. geweldig programma, zeker proberen

Hallo graag zou ik weten wat ik moet doen aan dit verhaal ,
ik heb nu net zitten kijken op mijn email en heb daar een msn berichtje van mijn vriendin .
Het vreemde is dat ik voor ik mijn msn opende ik die van haar heb afgemeld .
Dus was/is ze niet online, maar komt vervolgens online en stuurd mij een berichtje (tewijl ze naast me zit en dus niet online is )???????
Kan iemand me vertellen wat ik hier aan kan doen of moet doen .


BVD D.

Geen dank, ik raadt MalwareBytes altijd aan -:) Doet het goed bij de msn virussen trouwens.

Systeemherstel werkt ook prima.

slim om te testen xD

Systeemherstel zet dus alleen windows betanden terug, virussen etc malware laat die staan. Echt een afrader

Hallo mensen,

Ik heb vandaag in een haastig gesprek ook de link gekregen, uit dezelfde stomme fout gemaakt.. Ik kreeg een melding van mijn os (vista business sp1) dat er een registermutatie dreigde plaats te vinden. Uiteraard heb ik hier geen toestemming voor gegeven en een goede schrikreactie van gekregen. Ik kreeg vanmiddag te horen van een gesprekspartner op msn dat ik een link verstuurde: http img88.lmageshack.mn 865968 imguj.jpg in mijn gesprekken. Door op google naar deze link te zoeken kwam ik hier terecht. Ik heb spybot S&D geinstalleerd en laat deze nu een scan uitvoeren. Ook het C:\Windows\Prefetch\IMG76.PIF-7BC1B2D2.pf staat op mijn systeem. Dit bestand heb ik nog niet weten te decompilen, maar aan ruwe text zie ik paden staan naar windows sytem mappen.

[\ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ L O C A L E . N L S \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ U S E R 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ G D I 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ A D V A P I 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ R P C R T 4 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ I M M 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ M S C T F . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ M S V C R T . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ L P K . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ U S P 1 0 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ P R O G R A M F I L E S \ G O O G L E \ G O O G L E D E S K T O P S E A R C H \ G O O G L E D E S K T O P N E T W O R K 3 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ W S 2 _ 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ N S I . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ N T M A R T A . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ W L D A P 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ P S A P I . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ S A M L I B . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ O L E 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ M S V B V M 6 0 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ O L E A U T 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ U S E R S \ V I N C E N T \ D O W N L O A D S \ I M G 7 6 . P I F \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ R P C S S . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ U X T H E M E . D L L \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 \ S X S . D L L 9A h *í=ʽ`>˜ Ø p \ D E V I C E \ H A R D D I S K V O L U M E 2 % \ D E V I C E \ H A R D D I S K V O L U M E 2 \ P R O G R A M F I L E S , \ D E V I C E \ H A R D D I S K V O L U M E 2 \ P R O G R A M F I L E S \ G O O G L E B \ D E V I C E \ H A R D D I S K V O L U M E 2 \ P R O G R A M F I L E S \ G O O G L E \ G O O G L E D E S K T O P S E A R C H \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S ( \ D E V I C E \ H A R D D I S K V O L U M E 2 \ W I N D O W S \ S Y S T E M 3 2 V I C E \
]

Is er al iemand in geslaagd dit virus verder te ontleden, en te verwijderen?

Alvast bedankt voor jullie input!

gr vince

ik ben er dus nog steeds niet vanaf... ik ga echt geen restore doen -nu zeker niet meer.
En laatst kreeg n vriendin door mij het virus (ze was vergeten dat ik m had) en zij kon net als degene waar ik het van heb het gewoon van haar pc verwijderen... Gewoon het bestand verwijderen uit de downloads map. En dan uit je prullebak verwijderen... allemaal leuk en aardig maar bij mij werkt het niet aangezien mijn ene downloadsmap leeg is en mijn andere downloads map staan alleen vage mappen in waarvan ik niet weet wat het zijn (maar ook niet het virus) en verder heb ik al mn héle pc handmatig doorzocht maar ik vind niks en ik weet ook niet wat ik eigenlijk zoek.. dusja...

Maargoed.. voor degene bij wie dat wel werkt veel plezier ermee.

infected JPG's of wat dan ook, worden vaak met de build in image viewer van windows bekeken, handig toch.
helaas, kan je met dat ding ook dingen uitspoken die niet fris zijn.

genoeg alternatieven, irfranview is er een, en nog een leuk img tooltje ook.