/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
w32.yaha.F@mm - ændring i reg. databasen
Fra : khul
Vist : 457 gange
100 point
Dato : 28-06-02 10:32

Hejsa

Heg vil være taknemmelig for lidt hjælp til at fjerne ovenstående virus (w32.yaha.F@mm)

På følgende link er en anvisning til at fjerne virussen:
http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.f@mm.html - kig evt. her efter min beskrivelse!

Ved at følge denne anvisning kan jeg stadig ikke fjerne virussen. Anvisningen går ud på at man skal ændre en værdi tilbage i registreringsdatabasen. Jeg kan også finde denne værdi og ændre den - men værdien ændres tilbage umiddelbart efter! Jeg har forsøgt at slette et par nøgler tilbage i registreringsdatabasen resulterende i at ingen programmer (.exe) virker - når jeg så genskaber disse værdier er den samme værdi til virussen der igen og umulig at ændre og gemme.

Værdien i registreringsdatabasen henviser til virussen som har gemt sig i C:/recycler/ som er en skjult folder tilhørende Windows skraldespanden.

På den inficerede computer er installeret Norton Antivirus (som altså ikke har fanget virusse) - virussen har nu låst alle de programmer der vedrører Norton - selv online scanning fra Symantec ser ud til at blive låst af virussen.

Er der nogen gode ideer?


 
 
Kommentar
Fra : strarup


Dato : 28-06-02 11:01

hej Khul,

du ka' prøve det de foreslår hos MCaffe -->
http://vil.mcafee.com/dispVirus.asp?virus_k=99528#removal_instructions

de har en fil du også ka' downloade...

hvis det ikke hjælper, så gi lige en tilbagemelding...

håber det ka' bruges...

mvh.

Strarup

Kommentar
Fra : khul


Dato : 28-06-02 11:16

Hej Strarup

Tak for tippet om filen.
Det er den samme beskrivelse som jeg har forsøgt manuelt men jeg havde ikke set .reg filen!
Den prøver jeg (men det bliver nok først i morgen)

Jeg skal give lyd om hvordan det virker

Kommentar
Fra : summer


Dato : 28-06-02 11:20

Hvis du kører med et dos baseret windows vil dette muligvis fjerne problemet: http://www.avirus.dk/startf-prot.htm Programmet F-PROT er gratis og kan gemmes på to disketter. Det har den fordel, at det fjerner ca. 65000 vira fra opstarten, altså fra dos og inden evt. windows aktive vira aktiveres. Linket har dansk vejledning og nemt at bruge - et forsøg værd.
mvh
summer

Kommentar
Fra : Nyhedsbruger


Dato : 28-06-02 11:28

khul <khul.news@kandu.dk> wrote:
> Hejsa
>
> Heg vil være taknemmelig for lidt hjælp til at fjerne ovenstående virus
> (w32.yaha.F@mm)

Aha. Gruppen dk.edb.sikkerhed.virus findes det til samme.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Kommentar
Fra : strarup


Dato : 29-06-02 15:11

Hej khul,

er det lykkedes at få den fjernet... eller eksistrere den stadigvæk og driller?

mvh.

Strarup

Kommentar
Fra : khul


Dato : 29-06-02 15:33

Strarup:

Den satan er ikke til at komme af med!
undo.reg filen hjalp ikke - værdien i registreringsdatabasen genskabes til virussen.
Så har jeg forsøgt at slette virussen der ligger i omkring 40 filer i c:/recycler/ - jeg kan slette dem alle på nær een.
Hvis jeg så starter op i dos kan jeg slette de sidste - nu kan jeg i registreringsdatabasen sætte den originale værdi ind ("%1" %*) uden at den ændres - men nu kan jeg ikke eksekvere nogle exe-filer - hvis jeg sætter virussen ind igen og sætter stien til den (C:\recycler\ftst"%1" %*) virker programmerne igen - men det gør virussen så også


Kommentar
Fra : khul


Dato : 29-06-02 15:34

Summer

det DOS baserede virusscanning har jeg prøvet - men det virker ikke under NTFS filsystem

Kommentar
Fra : khul


Dato : 29-06-02 15:34

Summer

det DOS baserede virusscanning har jeg prøvet - men det virker ikke under NTFS filsystem

Kommentar
Fra : strarup


Dato : 29-06-02 15:55

Hej Khul,

jeg vil lige prøve at kigge på det... og så tænke det igennem....

forresten bruger du NT, W2k eller XP?

mvh.

Strarup

Kommentar
Fra : strarup


Dato : 29-06-02 15:59

Hej igen...

eh... hvad hedder den fil forresten som du ikke ka' slette til sidst?

mvh.

Strarup

Kommentar
Fra : strarup


Dato : 29-06-02 19:09

Hej Khul,

Har du en fil i mappen C:\Windows\Temp eller C:\Winnt\Temp der hedder noget med KitKat der evt. ikke er fjernet endnu, så vidt jeg ka’ forstå på den, laver den også en kopi af det vedhæftede herned til.

Så vidt jeg ka’ forstå på det så bliver den også kopieret til MSTASKMON.exe
så filen Win.ini vil blive opdateret til at køre Ormen/Virusen, når Windows starter.
Jeg ved ikke om det evt. ka’ være det at den står i Win.ini der ka’ gi’ problemer fordi den ikke ka’ finde filen når du har slettet den og derfor giver problemer med at køre andre exe filer, indtil den eksistere igen.

Men ellers ka’ problemet også være at du har fjernet virusen før du ændrede i registrerings databasen.
Så vidt jeg ka’ se er det vigtigt at ændre registrerings data basen før de slettets, computeren eller ka’ komme i en tilstand hvor den har svært ved at køre programmer.
Ifølge det her link nede i bunden -->
http://www.sophos.com/virusinfo/analyses/w32yahae.html

har du prøvet det med at lave en kopi af regedit.exe om til regedit.com

hvis du bliver ved med at ha' problemer ka' du evt. maile din Win.ini fil til strarup@worldonline.dk
så ka' jeg prøve at kigge på den...

mvh.

Strarup

Kommentar
Fra : strarup


Dato : 29-06-02 19:14

Hej igen...

jeg glemte noget... det ka godt være at MSTASKMON.EXE, bare hedder MSTASK.exe, og den ligger enten i mappen "system" eller "system32" afhængigt af hvilken version af windows du bruger.
hvis du klikker på den skulle den komme frem med "Planlagte opgaver" du ka' evt. se om den har noget der den ikke burde ha' og så slette det...

mvh.

Strarup

Kommentar
Fra : strarup


Dato : 03-07-02 21:17

Hej Khul,

døjer du stadig med problemet... eller har du fået det løst?

mvh.

Strarup

Accepteret svar
Fra : summer

Modtaget 100 point
Dato : 04-07-02 21:55

Hvis der er liv i dig endnu, er her et link til et removal tools: http://www.bitdefender.com/html/free_tools.php
mvh
summer

Kommentar
Fra : khul


Dato : 08-07-02 08:33

Hej igen

Beklager den lange svartid men jeg har været væk den sidste uges tid.
Tak for alle jeres indlæg - jeg vil kigge på dem med det samme og vende tilbage med en statusrapport!

Jeg kan dog lige hurtigt oplyse at maskinen med virus kører XP styresystem

Godkendelse af svar
Fra : khul


Dato : 10-07-02 14:49

Tak for svaret summer.
Det var lige det lille removal tool som jeg selv har ledt efter forgæves.
Det nappede virussen - og det eneste der var fucked var Norton Anitvirus som skulle installeres igen

Også en stor tak til strarup for hans store indsats

                        

Kommentar
Fra : strarup


Dato : 10-07-02 14:57

Hej Khul,

det var så lidt... og tillykke med at være sluppet fri af virussen...

mvh.

Strarup

Kommentar
Fra : summer


Dato : 10-07-02 21:43

Dejligt at hjælpe hinanden, man ved aldrig hvornår man selv får brug for hjælp.
mvh
summer

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste