TROJ_FIK HDD.A

Kan het zijn dat dit spyware/virussen van KaZaA zijn?

De bestandsnamen luiden namelijk als: gta3.cab en gta3.exe en allerlei programma's en liedjes.

De bestanden bevonden zich allemaal in C:\temp\sys32\

Het hoofdfile zat in: C:\windows\system\

genaamd: Explorer.scr

Ik lijk wel een virus testen die uitzoekt welke uitwegen er zijn!

Maar ja,....het aantal files (die explorere.scr denk ik dan heeft aangemaakt) betrof: 2594 files

Het eigenschap van dit virus is dat het files blijft aanmaken waardoor je HD overbelast raakt!

Ik kwam erachter dat ik zoeits op mijn HD toen ik steeds meldingen kreeg van: C:\ is vol.

Terwijl ik alleen windows/ICQ en MSN erop heb staan de C:\ is 2GB en die 3 progs zijn nooit 2GB.

Maar het virus maakt dus zoveel aan dat je om precies te zijn nog 0KB over hebt op je HD (wat is dus had)

Gelukkig heb ik via dos modes het hoofdfile en de bestanden kunnen verwijderen, daarna heb ik maar meteen KaZaA eraf gefl*kkert.

Weer een virus dat gebruik maakt van dit explorer.scr file.

Het maakt nog geen virussen aan bij mij,...verdere eigenschappen over dit virus zal ik nog laten horen

Die file met explorer.scr is een trojan. De belangrijkste file (het script zelf) zit inderdaad in /windows/system

Maar haal voor de zekerheid dit zootje ook even uit de registry.

De vermelding explorer.scr is daar te vinden in:

HKLM->Software->Microsoft->Windows->Current Version->Run of als je dat te moeilijk vind, open de registry en zoek op explorer.scr en haal die vermelding weg.

Daarnaast heeft deze trojan nog een euvel, maar dat is op te lossen als de explorer.scr file niet meer geladen is.

In \windows\temp maakt dit script een extra directory aan met allemaal executables, deze is genaamt sys32.

Dus verwijder de directory sys32 en alle inhoud van je harde schijf, LET OP, NIET DE \WINDOWS\SYSTEM32 DIR!!!

De weg te halen directory is \windows\temp\sys32

Toevallig weet ik dit aangezien ik dit euvel deze week bij een kennis heb opgelost en ik verwonderde me al waarom na verwijdering steeds opnieuw die map werd aangemaakt met die files er in en aldus kwam ik achter die .scr file.

Daarom download ik ook nooit screensavers, die hebben dezelfde extensie .scr en een screensaver heb je eigenlijk niet nodig.

Tevens adviseer ik altijd iedereen windows zo in te stellen dat hij alle extensies laat zien en alle verborgen en systeemfiles etc.

In het geval van een gedownloade filenaam.mp3 (veeeel spaties) .exe zie je dan ook dat het om een .exe file handelt als je hem selecteert en kun je hem gelijk wissen.

Dat is ook een van de redenen dat het een onveilig gebeuren is om die extensies en bekende bestandstypen maar uitgeschakelt te laden (zoals winflut standaard instelt) en om de singleklik voor de muis te gebruiken i.p.v. dubbelklik want zo heb je sneller al een file aangeklikt die je eigenlijk niet wenst te openen maar dan ben je al te laat.

En ja, dit zijn typerend virussen en trojans waar Kazaa, Grokster en soortgelijke programmagebruikers nogal vaak last van hebben.

Okeej in het register heb ik de verwijzing deleted, en dat ik win/system32/ niet moest verwijderen weet ik ook wel

Ik heb Xtra gelet op de verwijzing bij de virusscanner, deze gaf netjes aan: windows/TEMP/sys32/

ik heb gelijk onder dos modes maar alles verwijdert uit TEMP en het file .scr verwijdert, alles loopt weer zoals het moet!

Over een weekje zal ik wel weer nieuws hebben over 2 andere virussen

Nou laat maar, ik heb niet zoveel interesse om er een virus info forum van te maken.

Maar zoals in dit geval met dit Trojan wat zich ook nog in de registry nestelt en vaak voorkomt bij Kazaa is wel belangrijk.

Overigens kan men het beste al die troep er af gooien, Kazaa, Morpheus, WinMX etc.

Gewoon XNews installeren en de benodigde zaken van xnews afhalen, daar is zoveel mp3 te vinden dat wil je niet weten en daarna gaat het nog eens stukken sneller dan Kazaa en soortgenoten en toch wat minder kans op dit soort gekke trojans (tot nu toe althans).

Lijkt me een goed Id.

Waar kan ik dat Xnews downen?

Trouwens die Trojan is binnengekomen met het downloaden van PSP7.02 via KaZaA, wel irritant, maar ja,..alles is weer weg, gelukkig dus wat mij betrefd kan deze dicht zodra ik de link van Xnews heb

ben laast ook "even" bezig geweest met kazaa verwijderen. ik zou in ieder geval even adaware laten lopen. http://www.adaware.com en dan nog eens in regedit zoeken op kazaa. xnews kan je gewoon downloaden op b.v. tucows of cnet