Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Let op!!! Virus: w32.Yaha.K

craze
21 antwoorden
  • Veel weten 't al, maar open geen mail als je niet heeel zeker weet dat er geen virus in zit, heel veel zijn nl. besmet met dit virus, ik ook. Op VirusAlert staat dit:

    http://www.virusalert.nl/?show=virus&id=389

    Ik heb norton, maar zou 't ook lukken met systeemherstel? Heb er toevallig de dag voor de besmetting één gemaakt.
  • Ik heb op RAVantivirus gescand… dit kwam eruit:

    C:\Docu…IE5\SX2JWX2J\friendship[1].scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32
    av32_loader.exe : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\tcpsvs32.exe : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\WinServices.exe : Infected with Win32/Yaha.K@mm

    Als ik deze allemaal verwijder, is 't dan weg? Of systeemherstel?
  • Verwijder ze allemaal, doe nog een scan en voor de zekerheid ook een online scan erachteraan. Niets gevonden betekent geen probleem meer.
  • Maar wat ik op veel sites lees, zoals die ik net gaf, en Norton, staat dat je vanalles moet doen (zie de betreffende sites). Als ik ze verwijder, is dat dan al goed??? Eigenlijk kan ik me dit niet voorstellen… Heb net ook mail gehad van virushelp.nl, en die zegt ook dat alleen het verwijderen van die bestanden niet helpt.

    O ja, systeemherstel werkt in iedergeval niet.
  • Onderaan de link in je eerste bericht staan uitgebreide instructies hoe het virus te verwijderen. Loop desnoods de registerinstellingen na die in het artikel genoemd worden.
  • Als iedereen nou eens stopt met het gebruiken van outlook express en het windows adres boek dan hebben we meteen geen/amper last van virussen en hebben de mailservers het ook weer rustig :lol:
  • Tja, en als iedereen dan ook nog eens overstapte op zoveel mogelijk verschillende besturingssystemen zouden de mailservers helemaal een oase van zinvolle berichten zijn :roll:

    Ondergetekende gebruikt Windows met Outlook [b:6d35fb95e8]EN[/b:6d35fb95e8] goede up to date NAV2003 :D
  • [quote:13ec86afd0="[DarthV]"]Als iedereen nou eens stopt met het gebruiken van outlook express en het windows adres boek dan hebben we meteen geen/amper last van virussen en hebben de mailservers het ook weer rustig :lol:[/quote:13ec86afd0]

    Zolang je virusscanner maar up to date is is er geen vuiltje aan de lucht. En dat is nou net wat veel mensen vergeten. Of nog erger geen virusscanner.
  • Hallo :-? Luisteren/kijken jullie geen nieuws? Heel veel mensen hebben dit virus, en alles liet 't nog door… ook HOTMAIL…

    Ik heb alles geprobeerd wat er op 'antivirus-sites' staat, maar een paar problemen:

    -windows in veilige modus opstarten lukt maar af en toe als ik op F8 en Ctrl zit te rammen, 2 van de 10 keer lukt t… (XP) > hoe?
    -in de veilige modus wil ik in opdrachtpromt regedit.exe copiëren naar regedit.com > dit lukt, maar ook die sluit 't virus haast direct na 't opstarten van regedit.com weer af
    dus maakte ik er re.com van, en deze sloot ie niet af (zal wel alles afsluiten met regedit in de naam), maar als ik de waardes verander, en ik klik ff op een andere sleutel en ga dan weer terug, is de waarde weer fout, zoals ie eerst was en dus weer verwijst naar het opstarten van het virus…
    -iemand van virusalert mailde mij dat systeemherstel werkt, maar dit lukt toch niet bij mij: hij is helemaal niet 'terug in de tijd'gegaan…
  • [quote:7b943903d5="stefanpack"]Hallo :-? Luisteren/kijken jullie geen nieuws? Heel veel mensen hebben dit virus, en alles liet 't nog door… ook HOTMAIL…[/quote:7b943903d5]

    Als mensen ook zomaar alle attachments blijven openen die ze toegestuurd krijgen is dat natuurlijk vragen om moeilijkheden. Trouwens McAfee heeft 23 december al de dat files op de site gezet die dit virus onderscheppen. Dus das al een week geleden.


    Heb je al geprobeerd om in dos of recovery mode (dus niet safe mode) deze files te verwijderen uit de system dir ?
    NAV32_LOADER.EXE
    TCPSVS32.EXE
    WINSERVICES.EXE

    En geen exe files openen als je windows opgestart hebt, want dan start hij ook het virus weer op als hij nog de file kan vinden dan. Dan de register sleutels verwijderen.
  • Gebruik anders deze YAHA-K removel tool http://www.bitdefender.com/download/AntiYahaa.exe
  • Hoe kom je in de recovery-mode???

    Ik heb trouwens weer gescand en nu zijn deze geïnfecteerd:

    C:\RECY…60794-725345543-1004\Dc496.exe : Infected with Win32/Yaha.K@mm
    C:\RECY…60794-725345543-1004\Dc497.exe : Infected with Win32/Yaha.K@mm
    C:\RECY…60794-725345543-1004\Dc498.exe : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP57\A0017218.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017338.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017340.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017341.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017342.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017343.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017345.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017358.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017359.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017360.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017361.scr : Infected with Win32/Yaha.K@mm
    C:\Syst…787F757B37C}\RP58\A0017362.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\Best_Friend.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\Be_Happy.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\dance.scr : Infected with Win32/Yaha.K@mm
    C:\WIND…\system32\friendship_funny.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\Friend_Finder.exe : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\Friend_Happy.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\funny.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\GC_Messenger.exe : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\hotmail_hack.exe : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\I_Like_You.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\love.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32
    av32_loader.exe : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\Sweet.scr : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\tcpsvs32.exe : Infected with Win32/Yaha.K@mm
    C:\WINDOWS\system32\WinServices.exe : Infected with Win32/Yaha.K@mm
    C:\WIND…stem32\world_of_friendship.scr : Infected with Win32/Yaha.K@mm


    Hoe kan dit nou weer ? Wat te doen??? Windows opnieuw installeren???
  • Ik heb er met bovenstaande tooltje [b:66066ed22e]54[/b:66066ed22e] uitgehaald no prob
  • [quote:bf54ad8fec]Zolang je virusscanner maar up to date is is er geen vuiltje aan de lucht. En dat is nou net wat veel mensen vergeten. Of nog erger geen virusscanner.[/quote:bf54ad8fec]

    Zoals al eerder aangegeven: hoe goed je scanner ook is een nieuw virus zal altijd boven de versie van de scanner staan.

    maar het grote punt blijft vanaf het begin van de outlook virus rage tot nu is de functionaliteit hetzelfde gebleven. Het virus verspreid zich door gebruik te maken van alle functionaliteiten die OE geeft. Adresboek, functie's etc etc. Deze zitten niet in andere mail programma's dus daarmee zou de verspreiding een stuk minder zijn. En zeg nu niet dat ze bij een ander mail programma wel iets anders verzinnen want dat is niet zo. Een ander mail programma heeft namelijk geen programmeer interface waarmee je dit soort virussen de kans geeft om te vermenigvuldigen.

    Maaja ik hoop dat je het virus goed verwijderd krijgt stefanpack want het kost een hoop tijd en moeite om het weg te krijgen.
  • Nou bij mij werkt het gewoon prima. Heb er in het laatste uur de eerste 4 gekregen en mcafee heeft ze netjes gelijk verwijderd. En ik heb de dat files dus al een week. Ruim op tijd dus.

    En dat ze van een andere mail client geen gebruik kunnen maken is onzin. Natuurlijk kan dat. Alleen doen ze dat niet omdat de meeste mensen outlook gebruiken. En dat dan dus veel effectiever is.
  • Nou, ik weet het niet hoor. Mijn Pocomail gebruikt een eigen html-viewer en is daardoor niet afhankelijk van dat lekke IE. Bijna al mijn kennissen gebruiken een andere mailer dan Outlook en ik krijg dan ook nooit een virus toegezonden.
  • KAZAA-gebruikers ook opgelet, ik ben hem kazaa ook al tegengekomen, maar bij werd hij er door Norton AV eruit gefilterd!!!
  • Paniek in de tent mensen ? Volgens mij is het gewoon een oud virus, maar met een nieuw naampje.
    If the worm has run, you must do the following:
    1. Download updated virus definitions using the Intelligent Updater, but do not install them.
    2. Restart the computer in Safe mode.
    3. Copy the file Regedit.exe to Regedit.com.
    1. Edit the registry and reverse the changes that the worm made.
    2. Restart the computer to normal mode.
    3. Start your Symantec antivirus software. If it does not start or function properly, reinstall it.
    4. Install the Intelligent Updater virus definitions that you downloaded earlier.
    5. Run a full system scan, and delete files that are detected as W32.Yaha.K@mm.

    1. Proceed to the next section, "To edit the registry and reverse the changes that the worm made" only after you have accomplished the previous steps.
    4. To edit the registry and reverse the changes that the worm made:
    CAUTION: Symantec strongly recommends that you back up the registry before you make any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify only the keys that are specified. Read the document How to make a backup of the Windows registry for instructions.
    1. Navigate to and select the following key:
    HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open
    ommand
    CAUTION: The HKEY_LOCAL_MACHINE\Software\Classes key contains many subkey entries that refer to other file extensions. One of these file extensions is .exe. Changing this extension can prevent any files ending with an .exe extension from running. Make sure that you browse all the way along this path until you reach the
    ommand subkey.
    Modify the: [HKEY_LOCAL_MACHINE, Software, Classes, exefile, shell, open, command] subkey that is shown in the following figure:
    [img:4ca2d174ee]http://home.mindspring.com/~randybell2/Yaha.J_2.gif[/img:4ca2d174ee]
    2. In the right pane, double-click the (Default) value.
    3. Delete the current value data, and then type: "%1" %* (That is, type the following characters: quote-percent-one-quote-space-percent-asterisk.)
    NOTES:
    On Windows 95/98/Millenium and Windows NT systems, the Registry Editor automatically encloses the value within quotation marks. When you click OK, the (Default) value should look exactly like this:
    ""%1" %*" 

    On Windows 2000/XP systems, the additional quotation marks will not appear. When you click OK, the (Default) value should look exactly like this:
    "%1" %*

    Make sure that you completely delete all value data in the command key before you type the correct data. If you leave a space at the beginning of the entry, any attempt to run program files will result in the error message, "Windows cannot find .exe." If this happens to you, start over at the beginning of this document, and make sure that you completely remove the current value data.


    4. Navigate in turn to each of the following keys:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices
    NOTE: The RunServices key may not exist on all systems.
    5. In the right pane, delete the value
    WinServices.exe    C:\%System%\WinServices.exe
    6. Restart the computer.

    Of gewoon die proggie gebruiken: http://www.bitdefender.com/download/AntiYahaa.exe
  • Jah ipje, dat is ook overal te lezen… :-?


    Maaaaaar… bij mij is ie weg! … ik heb t gister uiteindelijk gewoon zo gedaan:

    -taakbeheer > winservices beëindigd
    -die drie files uit system32 verwijderd
    -in regedit die sleutels verwijderd en veranderd
    -norton opnieuw geïnstalleerd plus updates

    Dus gewoon zonder al dat gedoe met veilige modus etc…!!! > Veel simpeler dus dan op virusalert.nl en nortonav is te lezen! (Alleen vervelend dat iedereen in m'n msnlijst dat mailtje nou ook heeft…)
  • help ik ben besmet. net op internet en nu een virus waar ik geen raad mee weet. alles wat ik download of op afstand opstart werkt niet omdat de exe files door het virus worden geblokkeerd. ook het opstarten in veilige modus en copy regedit.exe regdit.com werkt niet want hij kent dit niet zegt hij. Verder werkt de helft van mijn computer niet vanwege de exe files. moet ik formateren ? en kan ik gewoon internetten ? Hoe vaak gebeurd zoiets ? :( :( :(

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.