Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Windows

WORM_BUGBEAR.A

opamax
59 antwoorden
  • Hallo, hoop dat ik in het goed forum ben.
    De wekelijkse scan van PC-CILLIN meldt dat hij bovengenoemd virus heeft ontdekten zegt ook ''unable to clean''
    Heb daarover enkele vragen:
    1 Kennelijk heeft PC_CILLIN dit virus niet kunnen tegenhouden. Welke andere virus-scanner zou zoiets wel blokkeren ?

    2. Kan ik nagaan waar/van wie dat virus afkomstig is ?

    3. Wat is het doel van zo'n virus ? Wat wil men van mij ?

    4. Hoe dit virus te verwijderen ? Trendmicro geeft daartoe een advies. Kan ik dat advies opvolgen ? Komt er niet een ander virus ?

    Wie kan/wil antwoorden ?
    Bij voorbaat heel vriendelijk dank.
    opamax

    P.s. en ter info: PC-CILLIN meldt dat de volgende file is geinfecteerd:
    \windows\system\qckgmkv.dll ddo 18-7-03 09:38

    Heb in DELZELFDE dir en op DEZELFDE tijd ook nog gevonden:
    qhdzkdn.dll en ook qyxstx.dll

    Ook nog gevonden OP DEZELFDE TIJD…
    \system\sfp\sfplog.txt
    \system \sfp\archive\mplayer2.exe en mplayer.exe

    in temp\seaylnlf.tmp en sphqghum.tmp

    in adobe\reader\acroRd32.exe

    en ook nog in /windows:
    NOTEPAD.EXE
    mplayer.exe
    Dus al deze files met datum/tijd 18-7-03 09:38

    en dan nog qlhich.dat met de tijd 09:40
  • Verwijderproggie


    Overigens is er iets goed mis met je computerbeveiliging als je dit virus hebt opgelopen. Permanente internetverbinding met open shares voor de buitenwereld.
  • [quote:b0c8f713b5]Welke andere virus-scanner zou zoiets wel blokkeren te[/quote:b0c8f713b5]

    Elk fatsoenlijk antivirusprog, MITS REGELMATIG UPDATED!!!

    Updaten minstens 1 x per 2 weken, liever frequenter.
  • 1) norton of mcafee antivirus oid. idd regelmatig updaten

    2) NEE

    3) kan van alles zijn. meestal je systeem vernielen

    4) antivirus runnen en evetueel de sleutels in je register die naar het virus verwijzen verwijderen
  • Veel dank voor reacties.

    Problemen, denk ik, opgelost. Deze bak hangst sinds ruim een jaar aan de kabel en (nagenoeg) constant verbonden met internet. Heb destijds wel
    de utp-kabel van lan eruit gehaald. Was dus niet verbonden met andere pc's. Ook Outlook en -express heb ik in de cocon. Werk met Poco.

    Heb van Trend-Micro een ''clean''-progje gedownd en toen ik WEL alle
    files van de betreffende datum en tijd wissen. Alles weg. Denk ik.

    Nu zoiets zien te voorkomen. Heb daarbij nog 2 problemen:
    PC-Cillin (Trend) herkent me nog niet. kan dus nog niet updaten. Wachtend op email van hen en dan zal het best wel in orden komen.
    Heb, op deze bak, WinME, maar kan daar niet de ''update'' vinden. Ga nog even zoeken in de toko van Bill.
    opamax
  • Aan de LAN-kant loop je minder gevaar dan aan de WLAN-kant (internet dus). Waarschijnlijk heb je bestands- en printerdelen aan staan op de internet-kant en da's vragen om zulke problemen. Als je dan ook nog een share hebt aangemaakt voor je LAN, is dat een open uitnodiging voor iedereen om binnen te komen kijken.
  • [quote:da8edfb171="BrigitteW"]Aan de LAN-kant loop je minder gevaar dan aan de WLAN-kant (internet dus)[/quote:da8edfb171]Zou Brigitte zo vriendelijk willen zijn om de ingezette les even af te maken ?? Wat is een ene-kant. Betreft dat de instellingen op een bepaalde kaart ?
    Heb Dat idd op 1 nic veranderd, maar was al ruim 1 jaar zo ingesteld. En is het dan niet vreemd dat er nu pas iemand doorkomt ?
    opamax
  • Kijk, je bent verbonden met 2 netwerken, een lokaal netwerk en internet.
    Aanvallen vanaf je lokale netwerk (LAN) is niet te verwachten, we nemen aan dat de overige computergebruikers die via een lokaal netwerk met je verbonden zijn niet de intensie hebben jou pc te bespioneren of te beschadigen.
    Blijft over het internet (WLAN?).
    Via het internet valt wel te verwachten dat men je pc wil beschadigen of wil monitoren, om welke reden dan ook.

    De computer die in verbinding staat met het netwerk en met internet kent dus 2 netwerk-interfaces: eentje voor het lokale netwerk, en eentje voor het internet.
    Bestands- en printerindeling voor het lokale netwerk zet je dus in de bijhorende netwerkinterface aan, maar bij de netwerkinterface die in verbinding staat met Internet doe je dat uiteraard niet.
    In het configuratiescherm, bij netwerken zie je de verschillende netwerkinterfaces staan.

    Max
  • Je moet de instellingen van de internet-netwerkkaart kritisch bekijken. Daar mag onder geen voorwaarde bestands- en printerdeling op aan staan.

    Als ik de logs van m'n router bekijk (ingebouwde firewall) worden er nog steeds tientallen poortscans op 137-139 tegengehouden. Dat zijn bijna allemaal wormen die toegang proberen te krijgen. Als je beveiliging niet goed is, ben je de pineut.
  • [quote:4d8cbc6830="opamax"]
    Heb Dat idd op 1 nic veranderd, maar was al ruim 1 jaar zo ingesteld. En is het dan niet vreemd dat er nu pas iemand doorkomt ?
    opamax[/quote:4d8cbc6830]

    Nou, dat weet je dus niet, je ziet pas na 1 jaar duidelijke sporen terug. Lang niet alle pc-aanvallen zijn voor de leek zichtbaar, je merkt ze pas als de virusscanner ze ontdekt, of als er schade is aangericht.
    Als je de bestands- en printerindeling gedeeld hebt via internet, dan is er geen speciale (trojaanse) software nodig om de inhoud van je pc te bekijken, en zal een virusscan-programma dus ook niks in de gaten hebben.
    Verder is het te adviseren om een goede firewall te installeren.

    Max
  • Brig, Max (beide shorts) en anderen veel dank voor lessen.
    Men heeft dus al een hele tijd in mijn systeem kunnen kijken. Rot gevoel geeft dat. Eigen schuld dus. Heb nu van ' alle' nic''s file- en printersharing nog een nagelopen en op geen enkele plaats is er nu een vinkje te zien.
    (Heb wel een kaart naar lan, maar heb/had de utp-kabel naar de hub er al lang niet meer in. Dus lan is niet toegankelijk geweest.
    Heb al enkele jaren Winroute als firewall.
    GRC meldt alle (door hen geprobede) poorten closed of stealth. Van 135 zeggen ze closed en 139 stealth. 137 wordt niet genoemd.
    SYGATE meldt 135 closed en 139 blocked en ook hier is 137 niet genoemd en meldt ook dat ICMP type 8 is OPEN.
    Wat is de mening van het hooggeëerd forum over dat relaas ?
    Heeft Winroute wel een goede reputatie ?
    Mag ik Winroute aanspreken op de ICMP of moet ik gaan shoppen ?
    Opamax
  • Als poort 139 door de firewall wordt tegengehouden, dan is de bestands-/printerdeling niet via internet beschikbaar geweest. Mocht dit in je netwerkinterface zijn geactiveerd, je firewall heeft het tegen gehouden.

    Verder komen de meeste virussen binnen via e-mail..
    Mogelijk dat je via e-mail aan bugbear gekomen bent?

    Max
  • 1. Voor mail gebruik ik Poco.
    Meestal gooi ik onbekende files/bijlagen meteen weg.
    Dus toch nog…

    2. Heb virusscanner ingesteld voor dagelijkse scan. Zie tot m''n verbazing dat er weer files zijn geinfecteerd. Die files zijn nu voor mij niet leesbaar.
    G
    (zal straks kijken wat te doen)
    HOE KAN DAT WEDEROM GEBEUREN ????
    opamax
  • Zelfde virus?
  • [quote:2f149006e4="BrigitteW"]Zelfde virus?[/quote:2f149006e4]Ja
  • Kan zijn dat pc-cilin de bron van de infectie niet kan vinden, en dus alleen de geinfecteerde bestanden opmerkt.

    Max
  • Had gisteren de scanner op DAGELIJKS gezet. En vanmorgen dus verslag.
    Zelfde BUGBEAR, maar er werden andere (geinfecteerde ?) files genoemd:
    c:\windows\pif\dbase.pif
    c:\_RESTORE\Archive\fs132.cab
    c:\_RESTORE\temp\A0063594.cpy
    MAAR….
    a. deze files kan ik niet lezen/zien
    b. van PC-Cillin de nieuwe versie gedownd en getracht die te installeren
    (is mislukt omdat ik een fout serienummer heb opgegeven), maar aleer de installatie te beginnen ging het prog eerst scannen "omdat het met een schone pc wilde beginnen" en na de scan kwam de melding DAT ER GEEN VIRUS WAS GEVONDEN. Mijn klompen zijn nu dus kapot.
    Heb dat aan TrendMicro doorgegeven en ben benieuwd wat ik van ze hoor als ze later op de dag ook weer present zijn.
    opamax
  • Heb gisteren NOTEBOOK.EXE weggegooid omdat die geinfecteerd leek.
    Kan ik zonder problemen dit prg copieren van win95 ?
    opamax
  • Weet je zeker dat TrendMicro niet alleen een memory scan heeft gedaan of is ingesteld op alleen het scannen van bepaalde bestandstypen?

    Die dbase.pif is een gevaarlijke, lijkt me. De overige twee zijn redelijk standaard na een virusbesmetting komt het regelmatig voor dat er nog virussen in de restore-map zitten. Je moet de restore-functie tijdelijk uitschakelen om die te kunnen verwijderen.

    Ik zou proberen om notepad.exe van de juiste Windows-versie te pakken te krijgen, ook al maakt het volgens mij niet veel uit.

    Weet je zeker dat je alles uit het register hebt verwijderd? Dat zou op het moment de enige verklaring voor de herbesmetting zijn.
  • Heb geen idee of er ook een mem-scan is gemaakt

    Kan c:\_RESTORE niet zien
    Ben even in DOS geweest en met 'attrib -h' krijg ik de melding dat de attributen niet worden gewijzigd.
    Kan die functie worden uitgeschakeld ? Hoe ?
    Is er voordeel van deze functie ?

    Heb in register niets veranderd. Heb dat wel eens gedaan. Maar welke file ? En welke regels/woorden ? Zou iemand me even willen coachen ?

    En nog heel iets anders. Tijdens schrijven van dit bericht krijg ik de aanhalingstekens dubbel op het scherm '' moet een enkele en "" zou een dubbele moeten zijn. Is idd dubbel, maar iets teveel dubbel. Iemand enig idee hoe dat kan en hoe te verhelpen ?
    opamax

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.