[VIRUS] W32.Kwbot.Worm en W32.Klez.H@mm (kazaa virussen)

Hermanator · 31-05-2003, 05:19

Het verwijderen van W32.Klez.H@mm was niet echt een probleem, dat con norton wel goed aan. W32.Kwbot.Worm krijg ik er echter steeds niet vanaf. Dit zijn trouwens de virussen die worden doorgegeven via kazaa, dus als je binnenkort last hebt van programma´s die zomaar worden afgesloten weet je waar het vandaan komt.

Die worm iig... deze maakt een folder aan in je windows dir genaamd User32 met allemaal fake bestanden die vervolgens weer door kazaa gezien worden en doordat mensen deze files gaan downen verspreid de hele boel zich.

Ok, die map die verwijderen en een full system scan. Daarna nog in het registry diverse dingen verwijderen (Per ongeluk ook nog de hele HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run key eruit gegooit ipv van 1 regeltje eruit

)

http://securityresponse.symantec.com...ot.c.worm.html

Citaat:

a. Click Start, and then click Run. (The Run dialog box appears.)
b. Type regedit

Then click OK. (The Registry Editor opens.)

c. Navigate to each of the keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce

NOTE: All of these keys may not be found on all the systems.

d. From each key, in the right pane, delete the values if you find them:

SystemSAS system32.exe
CMD cmd32.exe

e. Navigate to and delete the key:

HKEY_Local_Machine\Software\Krypton,

f. Navigate to the key:

HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

NOTE: This key does not exist on all the systems. If you do not find it, proceed to step i.

g. In the right pane, double-click: Shell

h. Change the text in the Value data box so that it reads only:

Explorer.exe

i. Navigate to each of the keys:

HKEY_Current_User\Software\Kazaa\LocalContent
HKEY_Current_User\Software\iMesh\Client\LocalConte nt

j. In the right pane, delete any values that refer to the C:\%Windir%\UserTemp or C:\%Windir%\User32 folders. For example:

Dir? 012345:C:\%Windir%\UserTemp

NOTE: "?" in this value represents a number that the worm has chosen.

k. Exit the Registry Editor.

Dat allemaal dus gedaan, maar nu krijg ik de worm maar steeds niet weg uit me C:\windows\system32\cmd.exe Als ik em delete popt er na 8 seconden weer een nieuwe tevoorschijn en die is uiteraard met virus. Als ik van een schone WINXP pc de cmd.exe replace dan popt ie ook weer terug naar de virus-versie. Hoe krijg ik dit nou gefixed? Norton antivirus ziet ook de infectie in cmd.exe en delete em. Maarja als ie er na 8 seconden weer staat.... dat gaat lekker[/quote]

Hermanator · 31-05-2003, 05:21

Wow sweet hijs pleite

weet ook niet waar het opeens door kwam

maar nu de

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices

keys per ongeluk helemaal verwijderd zijn is het wel lekker rustig als je windows boot, niet meer 50.000 kloterige hulpproggies

Tis wel een beetje een bastard virus, dus kijk een beetje uit met je kazaa of imesh

Raven · 31-05-2003, 08:14

Okidokie

FireWurX · 31-05-2003, 09:44

en daarom draai ik dus ten allen tijde Sophos Anti-Virus.
zit lekker on-the-fly scanning in, en je merkt bijna niet dat het draait!
als een virus ergens vandaan binnenkomt (I-net, CD, floppy, enz enz), dan wordt het virushoudende bestand meteen geisoleerd, en kan je er niet meer aan komen.
het virus kan dus niet meer uitgevoerd worden of zichzelf uitvoeren.
dan draai je een systemscan, desnoods over een bepaalde map op schijf, en laat je het bestand vernietigen.

geen virusscanner draaien is tegenwoordig gewoon het stomste wat je maar kan doen.

Eergassie · 31-05-2003, 15:50

Deze krijgt zolang even een pin

Voor de virus geinfecteerde mensjuhs

FiXeL · 8-06-2003, 14:40

ik snap nog steeds niet waarom mensen nou juist op Kazaa hun rommel moeten leechen... het staat stijf van de virussen, en wat er allemaal staat is meestal ouwe zooi. met direct connect heb ik nooit problemen gehad met virussen, maar daar zijn ze er ook wel. eigenlijk is het belangrijkste dat je niet zomaar alles binnentrekt zonder het te checken. en je scannertje updaten!!! ik draai Norton AV2003 en die update zich automatisch, maar ik kan me voorstellen dat andere smaken virusscanner dat niet doen.

blackgoth · 8-06-2003, 14:54

ik heb geen virus scanner :P leech alles wel van ftp servers af

sOlAr · 8-06-2003, 15:15

Ik draai norton av autoprotect en ik heb een wormscanner die ik ook af en toe eens laat checken of mijn systeempje nog safe is. Die wormscanner is standaard in het ace mega codec pack, een echte aanrader.

31-05-2003, 05:21	#2 (permalink)
Hermanator Geregistreerd: 13 december 2002 Locatie: Amsterdam Berichten: 1.006	Wow sweet hijs pleite weet ook niet waar het opeens door kwam maar nu de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices keys per ongeluk helemaal verwijderd zijn is het wel lekker rustig als je windows boot, niet meer 50.000 kloterige hulpproggies Tis wel een beetje een bastard virus, dus kijk een beetje uit met je kazaa of imesh __________________ 31173-1

31-05-2003, 08:14	#3 (permalink)
Raven Geregistreerd: 1 januari 2003 Locatie: Masterdam Berichten: 1.153	Okidokie __________________ Hier mijn homepage Join het CaseJunkies Whatpulse Team en help ons naar de top 100 !!!

8-06-2003, 14:40	#6 (permalink)
FiXeL Geregistreerd: 8 januari 2003 Locatie: Dokkum City \o/ Berichten: 660	ik snap nog steeds niet waarom mensen nou juist op Kazaa hun rommel moeten leechen... het staat stijf van de virussen, en wat er allemaal staat is meestal ouwe zooi. met direct connect heb ik nooit problemen gehad met virussen, maar daar zijn ze er ook wel. eigenlijk is het belangrijkste dat je niet zomaar alles binnentrekt zonder het te checken. en je scannertje updaten!!! ik draai Norton AV2003 en die update zich automatisch, maar ik kan me voorstellen dat andere smaken virusscanner dat niet doen. __________________ ---= Homepage =--- ---= Current Project: General-Li =---

8-06-2003, 15:15	#8 (permalink)
sOlAr Geregistreerd: 1 juni 2003 Locatie: Nijlen Berichten: 513	Ik draai norton av autoprotect en ik heb een wormscanner die ik ook af en toe eens laat checken of mijn systeempje nog safe is. Die wormscanner is standaard in het ace mega codec pack, een echte aanrader. __________________ You know where it ends, It usually depends on where you start. See ya

Soortgelijke discussies
Discussie	Auteur	Forum	Reacties	Laatste bericht
kazaa lite problemen	darkking	Software Junkies	16	4-05-2004 20:42
Virussen....	Redox	Area 1337	25	12-04-2004 11:10
Kazaa Lite ++	defecto	Software Junkies	17	3-04-2004 23:15
[Warning] New Worm Virus	Freakazoid	Software Junkies	12	23-09-2003 09:12
Kazaa	Mr. Neo	Software Junkies	5	22-05-2003 22:18

31-05-2003, 09:44	#4 (permalink)
FireWurX Geregistreerd: 12 maart 2003 Locatie: Zwolle Berichten: 2.151	en daarom draai ik dus ten allen tijde Sophos Anti-Virus. zit lekker on-the-fly scanning in, en je merkt bijna niet dat het draait! als een virus ergens vandaan binnenkomt (I-net, CD, floppy, enz enz), dan wordt het virushoudende bestand meteen geisoleerd, en kan je er niet meer aan komen. het virus kan dus niet meer uitgevoerd worden of zichzelf uitvoeren. dan draai je een systemscan, desnoods over een bepaalde map op schijf, en laat je het bestand vernietigen. geen virusscanner draaien is tegenwoordig gewoon het stomste wat je maar kan doen.

31-05-2003, 15:50	#5 (permalink)
Eergassie Geregistreerd: 1 januari 2003 Locatie: Oegstgeest Berichten: 2.895	Deze krijgt zolang even een pin Voor de virus geinfecteerde mensjuhs

8-06-2003, 14:54	#7 (permalink)
blackgoth Geregistreerd: 23 januari 2003 Locatie: bankje in het park in bussum/hilversum Berichten: 2.696	ik heb geen virus scanner :P leech alles wel van ftp servers af