W32.klez.e@mm probleem :-(

[Gilo]

ik heb namelijk dit virus op mijn computer gekregen en krijgt het niet weg... ik heb al fixklez gedownload voor mijn anti-virus programma (Norton Anti-virus 5.01) maar het programma loopt vast !! Enige suggesties of programma'tje hiervoor?

alvast bedankt,

GILO

[Orion84]

wat zijn de problemen die dat virus je oplevert??

als je weet in welk bestand het zit gewoon bestand deleten.

of nieuwere virus scanner gebruiken (Norton av 2002 bijv.)

[pietje63]

kan norton wel vinden in welke bestanden het zit?
als in niet veel en onbelangrijke bestande gewoon allemaal delete

[Gilo]

nou het probleem is dat er geen verbinding meer mogelijk is via het internet (en de functie live-update ven norton kan uitvoeren) want hij geeft een foutmelding met het inbellen dat er geen verbinding gemaakt kan worden en ik kan ook niet in de eigenschappen van het 'dail-up netwerk' kijken, want dan komt er de melding dat ik de computer opnieuw moet opstarten.

[PV]

Ik heb dat ook gehad, en fixklez.com gedownload, nu krijg ik er geen meldingen meer over. Als je de mailtjes delete waar het instaat en de betreffende bestanden is dat denk ik ook wel genoeg

[ekki]

klez is een virus, dat als je dat eenmaal hebt en je gaat het proberen weg te halen met een virusscanner, dat het dan de exe file van die virusscanner gewoon delete.
als je het probeert te verwijderen, delete dat virus gewoon de file waarmee je het probeert te verwijderen.

heel shit dus.

eerlijk gezegd weet ik ook niet wat je er tegen moet doen als je het eenmaal hebt.

Citaat:

ekki schreef:
als je het probeert te verwijderen, delete dat virus gewoon de file waarmee je het probeert te verwijderen.

En als je het programma verwijdert zonder gebruik te maken van de SHFileOperation call (dus een directe remove)?

Ik ken het virus verder niet

[ekki]

Citaat:

******** schreef:
En als je het programma verwijdert zonder gebruik te maken van de SHFileOperation call (dus een directe remove)?

Ik ken het virus verder niet

ik weet 't niet precies.
ik weet alleen dat 't een shitvirus is, één van de meest irritante virussen.
en ik weet dat ie het proces killt waarmee jij 'm probeert te killen.

als je bijvoorbeeld in taskmgr het proces van het virus gaat beëindigen, dan lukt dat niet en volgens mij is dan gewoon meteen je taskmanager weg. maar dat laatste weet ik niet zeker, ik weet wel dat het je op die manier niet lukt enzo.

[ekki]

Klez.E-virus in destructiever gedaante (07/03/2002)

Onder de naam Klez.E heeft zich een computerworm
aangediend die bestanden overschrijft of verwijdert.

Het virus werd in november 2001 al ontdekt, maar de eerdere versies
vertoonden niet zo'n destructieve werking als de huidige variant, zo
meldt persbureau Reuters op basis van de bevindingen van de Finse
antivirus-leverancier F-Secure. Op de site van MessageLabs staat het
Klez.E-virus inmiddels op de tweede plaats als high risk virus.

Volgens beveiligingsdeskundigen is Klez.E zo geprogrammeerd dat het
op eenmaal geinfecteerde computers cruciale bestanden aantast of
zelfs volledig verwijdert. Daarbij kan het gaan om Word-, Excel-,
video- en internetbestanden. Volgens F-Secure kan Klez.E zich in
diverse gedaanten manifesteren, waarbij het ook antivirus software
kan overschrijven. De worm is in staat via elk e-mailsysteem toegang
te krijgen tot een computersysteem, maar het verspreidt zich alleen
naar andere computers die opgenomen zijn in het adresboek van
Microsoft Outlook.

Volgens F-Secure is de worm afkomstig van iemand uit de regio
Zuidoost Azie. Dit baseert het bedrijf op de mededelingen in de
verstuurde e-mailberichten die varieren van 'made in Asia' tot 'I
want a good job, I must support my parents'. Overigens kan het
Klez.E virus al geactiveerd worden als de e-mailbericht wordt
geraadpleegd, zonder dat het attachment wordt geopend. Volgens
sommige antivirusdeskundigen is Klez.E bij zakelijke e-mailgateways
gemakkelijk te blokkeren.

(Bron: Allasso Benelux)



zie ook http://users.pandora.be/fdmoorke/website/Klez.e.htm over hoe te verwijderen.


McAfee:

--- Update 4/30/2002 ---
This virus remains at a Medium Risk overall, however AVERT is still seeing many infections reported from Home Users and is informing Home Users that they are STILL at a HIGHER likelyhood of infection than corporate users.

HOME USERS SHOULD UPDATE THEIR DATS AS SOON AS POSSIBLE TO PREVENT INFECTION

--- Update 4/18/2002 ---
AVERT has raised the risk assessment of this threat to Medium after seeing an increase in prevalence over the past 24 hours. Home users are at a greater risk of infection, as they tend to update their DATs less frequently then corporations. As such, the risk of becoming infected in a corporate environment is lower.

This latest W32/Klez variant is already detected as W32/Klez.gen@MM by McAfee products using the 4182 DATs (23 January 2002) or greater.

W32/Klez.h@MM has a number of similarities to previous W32/Klez variants, for example:

* W32/Klez.h@MM makes use of Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability in Microsoft Internet Explorer (ver 5.01 or 5.5 without SP2).
* the worm has the ability to spoof the From: field (often set to an address found on the victim machine).
* the worm attempts to unload several processes (antivirus programs) from memory. Including those containing the following strings:
o _AVP32
o _AVPCC
o NOD32
o NPSSVC
o NRESQ32
o NSCHED32
o NSCHEDNT
o NSPLUGIN
o NAV
o NAVAPSVC
o NAVAPW32
o NAVLU32
o NAVRUNR
o NAVW32
o _AVPM
o ALERTSVC
o AMON
o AVP32
o AVPCC
o AVPM
o N32SCANW
o NAVWNT
o ANTIVIR
o AVPUPD
o AVGCTRL
o AVWIN95
o SCAN32
o VSHWIN32
o F-STOPW
o F-PROT95
o ACKWIN32
o VETTRAY
o VET95
o SWEEP95
o PCCWIN98
o IOMON98
o AVPTC
o AVE32
o AVCONSOL
o FP-WIN
o DVP95
o F-AGNT95
o CLAW95
o NVC95
o SCAN
o VIRUS
o LOCKDOWN2000
o Norton
o Mcafee
o Antivir

The worm is able to propagate over the network by copying itself to network shares (assuming sufficient permissions exist). Target filenames are chosen randomly, and can have single or double file extensions. For example:
350.bak.scr
bootlog.jpg
user.xls.exe

The worm may also copy itself into RAR archives, for example:
HREF.mpeg.rar
HREF.txt.rar
lmbtt.pas.rar

The worm mails itself to email addresses in the Windows Address Book, plus addresses extracted from files on the victim machine. It arrives in an email message whose subject and body is composed from a pool of strings carried within the virus (the virus can also add other strings obtained from the local machine). For example:
Subject: A very funny website
or Subject: 1996 Microsoft Corporation
or Subject: Hello,honey
or Subject: Initing esdi
or Subject: Editor of PC Magazine.
or Subject: Some questions
or Subject: Telephone number

The file attachment name is again generated randomly, and ends with a .exe, .scr, .pif, or .bat extension, for example:
ALIGN.pif
User.bat
line.bat

Thanks to the use of the exploit described above, simply opening or previewing the message in a vulnerable mail client can result in infection of the victim machine.

W32/Klez.h@MM masquerades as a free immunity tool in at least one of the messages used. Below is the message sent by the virus itself.
Subject: Worm Klez.E Immunity
Body:

The worm may send a clean document in addition to an infected file. A document found on the hard disk, that contains one of the following extensions, is sent:

* .txt
* .htm
* .html
* .wab
* .asp
* .doc
* .rtf
* .xls
* .jpg
* .cpp
* .c
* .pas
* .mpg
* .mpeg
* .bak
* .mp3
* .pdf

This payload can result in confidental information being sent to others.
Top of Page

Symptoms

* Randomly/oddly named files on network shares, as described above.
* Reference to a WINKxxx.EXE file ("xxx" looks random) in a Registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Method Of Infection
This virus can be considered a blended threat. It mass-mails itself to email addresses found on the local system, exploits a Microsoft vulnerability, spreads via network shares, infects executables on the local system, and drops an additional file infecting virus, W95/Elkern.cav.c.

Once infected, VirusScan may not be able to run as the virus can terminate the process before any scanning/removal is accomplished. The following steps will circumvent this action and allow for proper VirusScan scanning/removal, by using the command-line scanner.





Zo, ik hoop dat je er wat aan hebt ofzo.

Citaat:

ekki schreef:
en ik weet dat ie het proces killt waarmee jij 'm probeert te killen.

Ghehe

Maar het is wel te doen

[ekki]

Citaat:

******** schreef:
Ghehe

Maar het is wel te doen

da's mooi.
er moeten toch altijd methodes zijn .

toen het virus net 'uit' was belde m'n vriend me dat het eerste wat ik moest doen als ik thuis was m'n virusdefinities updaten en daarna pas wat anders.
hij was die hele ochtend op z'n werk bezig geweest van alle pc's dat virus te verwijderen .

maar goed, het is dus idd wel te doen, maar een irritant virus, dat je virusscanner naar de penarie helpt.

Citaat:

ekki schreef:
maar goed, het is dus idd wel te doen, maar een irritant virus, dat je virusscanner naar de penarie helpt.

Het is ook maar een wormpje dat zich via mail verspreidt, dus het zijn meestal de mensen zelf die niet goed opletten .. en waarschijnlijk Outlook gebruiken

[ekki]

Citaat:

******** schreef:
Het is ook maar een wormpje dat zich via mail verspreidt, dus het zijn meestal de mensen zelf die niet goed opletten .. en waarschijnlijk Outlook gebruiken

hmmz, je kon het toch ook via iexplore krijgen?

nouja, iig gebruik ik mozilla en mozillamail, dus ik zal er niet zo veel last van krijgen. maar ik heb wel windhoos, dus wat dat betreft weer wel natuurlijk .

Citaat:

ekki schreef:
hmmz, je kon het toch ook via iexplore krijgen?

Als Outlook je standaard mailclient is wel ja. Er zitten meerdere leaks in IE om de shell32 functionaliteit te benutten

Citaat:

nouja, iig gebruik ik mozilla en mozillamail, dus ik zal er niet zo veel last van krijgen. maar ik heb wel windhoos, dus wat dat betreft weer wel natuurlijk .

Ik gebruik ook gewoon Mozilla 1.0 RC1

Daarnaast zit ik vaak in Windows 2000, maar heb een dualboot met Debian Woody staan en mijn servers zijn natuurlijk allemaal Linux

[ekki]

Citaat:

******** schreef:
Ik gebruik ook gewoon Mozilla 1.0 RC1

me too

Citaat:

Daarnaast zit ik vaak in Windows 2000, maar heb een dualboot met Debian Woody staan en mijn servers zijn natuurlijk allemaal Linux

allemaal

nouja, ik heb 1 pc, waar win2k en linux (zonder x) op staat. verder een router waar linux (ofc ook zonder x) op zit.

scheelt dat, als je win2k hebt? dan krijg je toch net zo goed snel een virus ofzo? of krijg je met win9x sneller een virus?

Ik kwam er ook zomaar achter dat ik geinfecteerde bestanden op m'n harddisk had staan. Nu stonden deze alleen in m'n gedeelde mappen. Op een andere netwerk PC vond ik ze ook alleen in de gedeelde mappen terug.
klez.h + klez.gen

Norton heeft ze gevonden en zegt dat ik nu virus vrij ben.