DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Ik begin ook te denken dat het virus niet (meer) op deze pc staat.quote:Op dinsdag 11 augustus 2009 @ 17:01 schreef An24 het volgende:
Hier dus ook zelfde probleem. Zit ook bij pc extreme. Ik had ook een trojan op mijn pc zitten, maar nu is pc helemaal schoon. Het virus staat dan ook niet lokaal, maar komt alleen van de server vandaan> Dizer helpt ook mij door het probleem heen.
(En natuurlijk zegt pc extreme dat ze het niet snappen, zou ik ook zeggen
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
hij lijkt niet in mn register voor te komen, ook ;
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Nou goed eerste stap is gezet, als het virus niet meer op de pc's staat moet het alleen nog van al je eigen gemaakte websites gehaald worden.
[ Bericht 0% gewijzigd door Mr.Noodle op 11-08-2009 17:22:12 ]
quote:How to remove the infection from a website
If you manage websites using an FTP program, there is a chance that your sites have become infected. The first thing you must do is change the ftp passwords after your machine has been cleaned.
As yet, I am unaware of any automated script which removes the infection from a website, so I wrote my own and applied it to 5 of the websites that I manage that were infected.
I started off using the script by rad-one at http://blog.unmaskparasit(...)page-1/#comment-896.
I modified it heavily to use PHP regular expressions, to remove the gumblar modifications in html, php, and js files (it scans files with all extensions except .bak). Unlike rad-one’s detection script, this one yielded zero false positives for me, and eradicated the infection completely, as far as I can tell.
Here is what my script does:
1. Recurses through the whole website, excluding files and/or directories of your choosing.
2. Applies regular expressions to remove the infection from all the files (except those with the .bak extension) in each directory.
3. All modified files are backed up using the .bak extension.
4. Removes all files with paths ending in /images/image.php or /images/gifimg.php.
5. Runs in report mode by default, so you can see which files would be modified.
6. Has a “verbose” option, so you can see how each file will be modified.
It does not change directory permissions. I haven’t got around to investigating that area yet.
You may download it here. (Use at your own risk.)
Instructions for use
1. Place the file scan_files.php at your web document root.
2. Invoke it with no parameters to run it in report mode, where no modifications will be made.
3. Use scan_files.php?v=1 to run it in verbose mode.
4. Use scan_files.php?u=1 to run it in update mode, where the modifications will actually be made.
5. Use scan_files.php?u=1&v=1 to run it in both update and verbose modes.
Bron
[ Bericht 0% gewijzigd door Mr.Noodle op 11-08-2009 17:22:12 ]
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
ik draai geen ftp prog hierquote:Op dinsdag 11 augustus 2009 17:16 schreef Mr.Noodle het volgende:
Nou goed eerste stap is gezet, als het virus niet meer op de pc's staat moet het alleen nog van alle websites gehaald worden.
[..]
dus mijn computer kan niks hebben besmet.Vraag me alleen af of hij ECHT weg is
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Check nog even voor referenties naar Gumblar, zou even goed ook nog op andere locaties in het register kunnen staan.quote:Op dinsdag 11 augustus 2009 17:08 schreef Qwea het volgende:
hij lijkt niet in mn register voor te komen, ook ;
[ afbeelding ]
[ afbeelding ]
Verder nog even MSConfig starten, kijken naar wat er bij "opstarten" en "services" en de opstart referenties daarin..
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
Is er een makkelijke manier om in dat register te kijken dan?
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Nou nee niet echt, het blijft vaak abracadabra.. MalwareBytes bij jou ook niks gevonden?quote:Op dinsdag 11 augustus 2009 17:22 schreef MissBliss het volgende:
Is er een makkelijke manier om in dat register te kijken dan?
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
voor die referenties.. moet ik dan alles handmatig nalopen?quote:Op dinsdag 11 augustus 2009 17:21 schreef Mr.Noodle het volgende:
[..]
Check nog even voor referenties naar Gumblar, zou even goed ook nog op andere locaties in het register kunnen staan.
Verder nog even MSConfig starten, kijken naar wat er bij "opstarten" en "services" en de opstart referenties daarin..
ik kan in services geen gumblar vinden
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Die is nog bezigquote:Op dinsdag 11 augustus 2009 @ 17:23 schreef Mr.Noodle het volgende:
[..]
Nou nee niet echt, het blijft vaak abracadabra.. MalwareBytes bij jou ook niks gevonden?
Maar hoe weet ik nou ooit of het echt weg is?
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Gewoon zoeken aanklikken.. CTRL-F en daar gumblar intypen. In Services staat het vaak niet onder eigen naam, maar vaak een verwijzing naar een vaag bestand zoals bijvoorbeeld: "C:\WINDOWS\ukvvq.qnx", dat zou bij jezelf ook een belletje dan moeten rinkelen. Overigens is het backup bestand vaak random een naam gegeven, wat het nog moeilijker maakt om het te detecteren..quote:Op dinsdag 11 augustus 2009 17:25 schreef Qwea het volgende:
[..]
voor die referenties.. moet ik dan alles handmatig nalopen?
[ afbeelding ]
ik kan in services geen gumblar vinden
Overigens als je IE zoekpad ook aangepast is, moet je in het register bij de Internet Explorer, Search items kijken. Wellicht dat daar nog een gewijzigd pad staat..
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
Bij een format, weet je zeker dat het echt weg is..quote:Op dinsdag 11 augustus 2009 17:27 schreef MissBliss het volgende:
[..]
Maar hoe weet ik nou ooit of het echt weg is?
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
Stomme vraag, maar waar vind ik die? Bij current user en dan software oid?quote:Op dinsdag 11 augustus 2009 17:28 schreef Mr.Noodle het volgende:
[..]
Gewoon zoeken aanklikken.. CTRL-F en daar gumblar intypen. In Services staat het vaak niet onder eigen naam, maar vaak een verwijzing naar een vaag bestand zoals bijvoorbeeld: "C:\WINDOWS\ukvvq.qnx", dat zou bij jezelf ook een belletje dan moeten rinkelen. Overigens is het backup bestand vaak random een naam gegeven, wat het nog moeilijker maakt om het te detecteren..
Overigens als je IE zoekpad ook aangepast is, moet je in het register bij de Internet Explorer, Search items kijken. Wellicht dat daar nog een gewijzigd pad staat..
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Current user en Local Machinequote:Op dinsdag 11 augustus 2009 17:31 schreef Qwea het volgende:
[..]
Stomme vraag, maar waar vind ik die? Bij current user en dan software oid?
en check je hosts-file en je lmhosts.sam
[ Bericht 2% gewijzigd door Mr.Noodle op 11-08-2009 17:41:04 ]
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
quote:Op dinsdag 11 augustus 2009 @ 17:28 schreef Mr.Noodle het volgende:
[..]
Bij een format, weet je zeker dat het echt weg is..
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Sorry, maar dit is echt eerlijk geantwoord. Ik weet ook niet alles, virussen van tegenwoordig volgen geen vast patroon meer, als in niet altijd dezelfde bestandsnamen, andere verwijzingen, verschillende locaties en programma's die ze infecteren. Ligt maar net aan wat er allemaal op de PC aan software staat. Ik kan er niet op kijken..quote:
Format is tenminste wel alles schoon...
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
Ja, ik snap het wel, maar formatteren is echt een laatste redmiddel hoor, imho. Ik ga eerst wel aan de slag met al die programma's enzo.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
en die host files staan daar ook?quote:Op dinsdag 11 augustus 2009 17:32 schreef Mr.Noodle het volgende:
[..]
Current user en Local Machine
en check je hosts-file en je hosts.sam
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
geen gumblar in mijn register met crtl +f
superantispyware vindt 4 cookies
superantispyware vindt 4 cookies
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Nee, die staan in je Windows Map. Gewoon even zoeken in Windows aanklikken en zoeken op "hosts". Dat zijn als het goed is tekstbestandjes die gebruikt worden door je browsers om te linken naar bepaalde sites. Soms staan daar ook dingen in die niet helemaal te vertrouwen zijn, bijvoorbeeld een link naar een IP-adres van een website met dezelfde spyware/malware.quote:
Dat zou dus betekenen dat google.com indirect weer naar die vage link leidt.
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
Ja, oké. Je bent nu toch bezig. Maar kijk nu even hoeveel tijd, hoeveel beveiligingsprogramma's later en hoeveel andere personen je hebt moeten op trommelen om het probleem te verhelpen.. Eigenlijk is het toch gewoon te gek voor woorden?quote:Op dinsdag 11 augustus 2009 17:38 schreef MissBliss het volgende:
Ja, ik snap het wel, maar formatteren is echt een laatste redmiddel hoor, imho. Ik ga eerst wel aan de slag met al die programma's enzo.
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
ik kan geen search files vinden van IE.
Wat is dit eigk?
Wat is dit eigk?
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Overigens ben ik er vandoor, ik lees het vannacht wel allemaal wel weer.. suc-6 iig.. 
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
*gaat zoeken in C : windowsquote:Op dinsdag 11 augustus 2009 17:44 schreef Mr.Noodle het volgende:
[..]
Nee, die staan in je Windows Map. Gewoon even zoeken in Windows aanklikken en zoeken op "hosts". Dat zijn als het goed is tekstbestandjes die gebruikt worden door je browsers om te linken naar bepaalde sites. Soms staan daar ook dingen in die niet helemaal te vertrouwen zijn, bijvoorbeeld een link naar een IP-adres van een website met dezelfde spyware/malware.
Dat zou dus betekenen dat google.com indirect weer naar die vage link leidt.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Dat is je profiel van Firefox waar al je history, settings in wordt opgeslagen. Het kan geïnfecteerd zijn, maar vaak is het een standaardonderdeel van Firefox. Dat die map zo raar heet is niet erg in dit geval. Is bij mijn Windows machine ook.quote:Op dinsdag 11 augustus 2009 17:48 schreef Qwea het volgende:
ik kan geen search files vinden van IE.
Wat is dit eigk?
[ afbeelding ]
"SearchUrl" is overigens wel handig om die nog even te controleren in het register, net een paar keys erboven. Daar staan volgens mij alle urls van je zoekmachine van je browser in.
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
zoeken in de windows search op hosts levert geen bestanden op 
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
aahquote:Op dinsdag 11 augustus 2009 17:52 schreef Mr.Noodle het volgende:
[..]
Dat is je profiel van Firefox waar al je history, settings in wordt opgeslagen. Het kan geïnfecteerd zijn, maar vaak is het een standaardonderdeel van Firefox. Dat die map zo raar heet is niet erg in dit geval. Is bij mijn Windows machine ook.
wel tof trouwens, je hulp
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Ja oke, maar een format C kost ook een berg tijd en moeite hoor! Eerst het backuppen en daarna weer alles terugzetten en programma's opnieuw installeren enzo.quote:Op dinsdag 11 augustus 2009 @ 17:46 schreef Mr.Noodle het volgende:
[..]
Ja, oké. Je bent nu toch bezig. Maar kijk nu even hoeveel tijd, hoeveel beveiligingsprogramma's later en hoeveel andere personen je hebt moeten op trommelen om het probleem te verhelpen.. Eigenlijk is het toch gewoon te gek voor woorden?
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Dinges is klaar!
Hier de log:
Hier de log:
quote:Malwarebytes' Anti-Malware 1.40
Database versie: 2601
Windows 5.1.2600 Service Pack 3
11-8-2009 18:06:36
mbam-log-2009-08-11 (18-06-36).txt
Scan type: Volledige Scan (C:\|J:\|)
Objecten gescand: 261566
Verstreken tijd: 1 hour(s), 19 minute(s), 38 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 4
Registerwaarden geïnfecteerd: 6
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 1
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\wvfsrqab.bbwl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
C:\WINDOWS1\system32\LocalService32 (Worm.Archive) -> Quarantined and deleted successfully.
Bestanden geïnfecteerd:
C:\Documents and Settings\user.USER-70FB3322FA\Local Settings\Temp\~TM69.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\user.USER-70FB3322FA\Menu Start\Programma's\Opstarten\ikowin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS1\system32\LocalService32\29.tmp (Worm.Archive) -> Quarantined and deleted successfully.
C:\Documents and Settings\user.USER-70FB3322FA\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS1\Temp\wpv441249365049.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
belangrijke vraag ; ik heb een recovery van samsung terug gezet vanaf het moment (6aug) dat ik hem kreeg. Hij heeft alle bestanden op C gewist, en de gegevens die op 6aug gemaakt zijn terug gezet. Ik hoefde alleen geen windows te installeren... kan ik er nu wel of niet vanuit gaan dattie weg is?
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Qwea, zie jij nog iets interessants in het log hierboven? Als in: gefeliciteerd MB, het virus is nu weg! 
IE doet overigens niks raars hier
IE doet overigens niks raars hier
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
alles wat ie gevonden heeft, is gedelete. Ik zou hem voor de zekerheid opnieuw opstarten en nog eens runnen.
Mijn windows is al 7 minuten bezig met aflsuiten
Mijn windows is al 7 minuten bezig met aflsuiten
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
PC extreme gebeld. Ze zijn dus al langer bekend met het virus, maar komen er maar niet achter waar hij bij hun psies vandaan komt. De collega die dit behandeld belt mij morgenochtend om 9 uur terug
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
quote:Op dinsdag 11 augustus 2009 @ 18:47 schreef An24 het volgende:
PC extreme gebeld. Ze zijn dus al langer belend met het virus, maar komen er maar niet achter waar hij bij hun psies vandaan komt. De collega die dit behandeld belt mij morgenochtend om 9 uur terug
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
Nou, lekker dan
Ik ben benieuwd naar wat ie je morgen te zeggen heeft!
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Heb je de helpdesk a 45ct per minuut gebeld? Want nu wil ik ze ook bellen.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Het is ook best triest van PCExtreme... Zocht even snel online, en er zijn veel mensen met klachten. Lokaal bij An24 geen virussen (gescand met meerdere scanners), en alleen de bestanden aan de kant van PCE zijn veranderd. Zeer slecht dat ze uberhaupt geinfecteerd zijn, en nog triester dat ze blijkbaar wintel servers hebben (en geen *UX).
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
Ik nuf je seuk!
Ik hier?
If it's free, you're the product!
Ik hier?
If it's free, you're the product!
in mijn samsung recovery solution staat dus als je volledig herstel doet ;
Overschrijft station C: volledig met een backup image om de computer volledige in de eerdere toestand terug te brengen.
Dan is dat toch goed genoeg? Want 6aug was er niks aan de hand
Nog ff in safe mode alles draaien voor de zekerheid
Overschrijft station C: volledig met een backup image om de computer volledige in de eerdere toestand terug te brengen.
Dan is dat toch goed genoeg? Want 6aug was er niks aan de hand
Nog ff in safe mode alles draaien voor de zekerheid
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Ik heb ze gebeld, tegen mij zijn ze nog in de ontkenningsfasequote:Op dinsdag 11 augustus 2009 @ 18:53 schreef MissBliss het volgende:
Heb je de helpdesk a 45ct per minuut gebeld? Want nu wil ik ze ook bellen.
Ik moet iig mailen en ze gaan aan de slag ofzo.
Oh, dat ga ik proberen!quote:Op dinsdag 11 augustus 2009 @ 18:59 schreef freud het volgende:
Het is ook best triest van PCExtreme... Zocht even snel online, en er zijn veel mensen met klachten. Lokaal bij An24 geen virussen (gescand met meerdere scanners), en alleen de bestanden aan de kant van PCE zijn veranderd. Zeer slecht dat ze uberhaupt geinfecteerd zijn, en nog triester dat ze blijkbaar wintel servers hebben (en geen *UX).
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Niks gevonden!quote:Op dinsdag 11 augustus 2009 @ 18:59 schreef freud het volgende:
*verhaal*
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Sorry dat ik zo snel weg was. Had een etentje.
Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
Had een etentje.Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
Nu bezig met een scan na reboot.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Wat vindt jij van die volledig herstel van mij?quote:Op dinsdag 11 augustus 2009 19:27 schreef CantFazeMe het volgende:
Sorry dat ik zo snel weg was.
Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Same here, maar dan ook na een volledig herstelquote:Op dinsdag 11 augustus 2009 19:32 schreef MissBliss het volgende:
Nu bezig met een scan na reboot.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Ik vind het raar dat ie er opeens niet meer is.quote:Op dinsdag 11 augustus 2009 19:33 schreef Qwea het volgende:
[..]
Wat vindt jij van die volledig herstel van mij?
Maar de worm infecteert dus zich via netwerken en malwarebytes gaf bij jouw 0 infecties aan. Dus ik ga ervan uit dat het goed is. Je kunt ook e.v. Combofix gebruiken maar die vind ik erg risicovol.Edit: ja, je heb in feite inderdaad een "image" van je computer terug gezet vóór de infectie. Dat is altijd ook goed mogelijk.
Zolang je maar controleert.
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
Nou, avast gaf aan dat er een virus was, zie screenshot. Maar toen ik scande met avast, adaware, hijackthis, superantivirus en malware bytes, was er niks te vinden. En ook in het register vond ik niks.quote:Op dinsdag 11 augustus 2009 19:36 schreef CantFazeMe het volgende:
[..]
Ik vind het raar dat ie er opeens niet meer is.
Logje van nu ;
quote:Malwarebytes' Anti-Malware 1.40
Database versie: 2605
Windows 6.0.6001 Service Pack 1 (Safe Mode)
11-8-2009 19:35:50
mbam-log-2009-08-11 (19-35-50).txt
Scan type: Volledige Scan (C:\|D:\|F:\|)
Objecten gescand: 186398
Verstreken tijd: 24 minute(s), 54 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Dit is combofix voor de geïnteresseerden. Ik gebruik het niet, maar goed hier is een guide. Het is op eigen risico.
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
wat is combofix trouwens?
Ooh en avast doet nu voordat windows opgestart is een scan
Ooh en avast doet nu voordat windows opgestart is een scan
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Dat zit wel goed!quote:Op dinsdag 11 augustus 2009 19:37 schreef Qwea het volgende:
[..]
Nou, avast gaf aan dat er een virus was, zie screenshot. Maar toen ik scande met avast, adaware, hijackthis, superantivirus en malware bytes, was er niks te vinden. En ook in het register vond ik niks.
Logje van nu ;
[..]
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
Combofix is ook een soort Malwarebytes, maar het is alleen in een CMD bestand. Ik vind het risicovol, want hij wijzigt ook je systeem tijdelijk tijdens de scan. Na de scan als je hem verwijderd wordt alles wel normaal. (je moet zelf nog wel wat aanpassen maar goed.) Ik gebruik het alleen als een laatste redmiddel.quote:Op dinsdag 11 augustus 2009 19:38 schreef Qwea het volgende:
wat is combofix trouwens?
Ooh en avast doet nu voordat windows opgestart is een scan
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
En ik raad je het niet aan om aan te beginnen als je er niks van af weet.
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
*netjes afblijftquote:Op dinsdag 11 augustus 2009 19:42 schreef CantFazeMe het volgende:
En ik raad je het niet aan om aan te beginnen als je er niks van af weet.
*wacht totdat avast eindelijk eens klaar is. Hij is pas op 1%
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
|
|
