- Lid sinds
- 8 feb 2001
- Berichten
- 35.563
- Waarderingsscore
- 1.408
- Punten
- 113
- Leeftijd
- 61
- Locatie
- State Penitentiary
LoL, echte kennissenbusiness.
De dochter van een vriend van een vriend van me, had via Kazaa wat mp3's gedownload. En vermoedelijk is dat de oorzaak geweest.
Aangezien de meeste mensen de bestandextensies niet aan hebben staan is het waarschijnlijk een titel.mp3veeeeeel spaties.exe file geweest en die heeft ze gestart en daar zat een trojan in.
Die trojan had echt iets heel moois gedaan.
Zijn HD is als je de dirlisting gelooft compleet leeg.
Maar als je dir doet, zie je wel nog dat hij van de 18 gigabyte een 3,5 gig nog over heeft, alleen zijn geen bestanden te zien.
Het lijkt er op dat de HD read-only staat, en alle bestanden hidden en ik werd er bij geroepen.
Uiteraard een bootdisk erbij genomen, opgestart en het systeem op de HD gezet middels het "sys c:" commando.
Daarop wilde de HD in elk geval weer opstarten. Het mooie is dat ik ook attrib had op deze diskette. En of ik nu opstartte van diskette of van de hd, bij gebruik van attrib kwam de melding "no files found *.*" terwijl ik met gewoon het dir commando wel de aanwezige command.com kan zien die ik er zelf op gezet heb.
Attrib ziet dus echt NIETS.
Nu heb ik met DF (oude dos util directory freedom) ondekt dat er in de root van de HD een file staat die hidden en read-only is.
Deze file is genaamd: MZ¹
Ik weet niet of dat hier zichtbaar is maar het is dus de letters MZ en daarnaast twee dunne verticale lijntjes met 1 klein horizontaal lijntje in het midden van de linker lijn, naar links wijzend.
Deze file is NIET te verwijderen, niet met Directory Freedom, niet met Norton Commander (die normaliter alles verwijdert) en nog wat utils die ik geprobeert heb.
Ik heb deze schijf als slave aan mijn schijven gehangen en met f-prot proberen te scannen, maar die komt met de melding dat deze MZ file niet te openen is.
Overigens.... het is niet zoiets als EZ, zo'n disk driver, want hij gaat ook niet weg met fdisk /mbr, is niet met fdisk te zien en MZ zou dan al voor Maxtor schijven moeten zijn terwijl deze schijf een IBM disk is.
Conclusie:
1.) HD ziet er leeg uit, terwijl hij dat niet is
2.) In de root staat een vreemde file die er niet in thuis hoort.
3.) Attrib herkent geen attributen noch files, daar moet je andere utils voor nemen.
4.) Norton noch enige andere util die ik probeerde kon de attributen verwijderen, de file openen noch verwijderen.
5.) Virusscanner kan de file ook niet openen.
Vreemd probleem, niet?
Iemand zoiets al eens gezien of meegemaakt? Ik vind zoiets natuurlijk een pracht van een Trojan maar het is niet leuk als iemand zoiets meemaakt, maar kundig gedaan is het wel.
Het is mogelijk de partitie te wissen en opnieuw te maken en een ghost terug te zetten.
Dochter is echter zo dom geweest om niet op haar eigen partitie maar op deze C schijf in de "mijn documenten" directory haar werkstukken van school te zetten, dus de vraag is eigenlijk of iemand die zoiets al eens meegemaakt heeft, hier ook een oplossing voor heeft waarbij deze rare file te verwijderen is en de schijf weer "zichtbaar" gemaakt kan worden.
Anyway, als niemand iets weet.... leek me leuk om dit heel aparte dingens eens met jullie te delen en opnieuw een waarschuwing uit te geven voor Kazaa (en soortgenoten) en te zorgen dat je altijd bestandsextensies aan hebt staan, zodat je ook kan zien of er niet heel ver achter de ene extensie nog een andere extensie schuilt en je dus een Trojan hebt binnengehaald.... werkt echt.
Alleen moet je dan niet te snel dubbelklikken op de file anders werkt het uiteraard weer niet en heb je het alsnog zitten.
p.s. Ben ik altijd wakker? Nee hoor, een BT slaapt ook wel eens, alleen kon ik nu weer eens niet slapen en ben dus maar even post komen doen.
De dochter van een vriend van een vriend van me, had via Kazaa wat mp3's gedownload. En vermoedelijk is dat de oorzaak geweest.
Aangezien de meeste mensen de bestandextensies niet aan hebben staan is het waarschijnlijk een titel.mp3veeeeeel spaties.exe file geweest en die heeft ze gestart en daar zat een trojan in.
Die trojan had echt iets heel moois gedaan.
Zijn HD is als je de dirlisting gelooft compleet leeg.
Maar als je dir doet, zie je wel nog dat hij van de 18 gigabyte een 3,5 gig nog over heeft, alleen zijn geen bestanden te zien.
Het lijkt er op dat de HD read-only staat, en alle bestanden hidden en ik werd er bij geroepen.
Uiteraard een bootdisk erbij genomen, opgestart en het systeem op de HD gezet middels het "sys c:" commando.
Daarop wilde de HD in elk geval weer opstarten. Het mooie is dat ik ook attrib had op deze diskette. En of ik nu opstartte van diskette of van de hd, bij gebruik van attrib kwam de melding "no files found *.*" terwijl ik met gewoon het dir commando wel de aanwezige command.com kan zien die ik er zelf op gezet heb.
Attrib ziet dus echt NIETS.
Nu heb ik met DF (oude dos util directory freedom) ondekt dat er in de root van de HD een file staat die hidden en read-only is.
Deze file is genaamd: MZ¹
Ik weet niet of dat hier zichtbaar is maar het is dus de letters MZ en daarnaast twee dunne verticale lijntjes met 1 klein horizontaal lijntje in het midden van de linker lijn, naar links wijzend.
Deze file is NIET te verwijderen, niet met Directory Freedom, niet met Norton Commander (die normaliter alles verwijdert) en nog wat utils die ik geprobeert heb.
Ik heb deze schijf als slave aan mijn schijven gehangen en met f-prot proberen te scannen, maar die komt met de melding dat deze MZ file niet te openen is.
Overigens.... het is niet zoiets als EZ, zo'n disk driver, want hij gaat ook niet weg met fdisk /mbr, is niet met fdisk te zien en MZ zou dan al voor Maxtor schijven moeten zijn terwijl deze schijf een IBM disk is.
Conclusie:
1.) HD ziet er leeg uit, terwijl hij dat niet is
2.) In de root staat een vreemde file die er niet in thuis hoort.
3.) Attrib herkent geen attributen noch files, daar moet je andere utils voor nemen.
4.) Norton noch enige andere util die ik probeerde kon de attributen verwijderen, de file openen noch verwijderen.
5.) Virusscanner kan de file ook niet openen.
Vreemd probleem, niet?
Iemand zoiets al eens gezien of meegemaakt? Ik vind zoiets natuurlijk een pracht van een Trojan maar het is niet leuk als iemand zoiets meemaakt, maar kundig gedaan is het wel.
Het is mogelijk de partitie te wissen en opnieuw te maken en een ghost terug te zetten.
Dochter is echter zo dom geweest om niet op haar eigen partitie maar op deze C schijf in de "mijn documenten" directory haar werkstukken van school te zetten, dus de vraag is eigenlijk of iemand die zoiets al eens meegemaakt heeft, hier ook een oplossing voor heeft waarbij deze rare file te verwijderen is en de schijf weer "zichtbaar" gemaakt kan worden.
Anyway, als niemand iets weet.... leek me leuk om dit heel aparte dingens eens met jullie te delen en opnieuw een waarschuwing uit te geven voor Kazaa (en soortgenoten) en te zorgen dat je altijd bestandsextensies aan hebt staan, zodat je ook kan zien of er niet heel ver achter de ene extensie nog een andere extensie schuilt en je dus een Trojan hebt binnengehaald.... werkt echt.
Alleen moet je dan niet te snel dubbelklikken op de file anders werkt het uiteraard weer niet en heb je het alsnog zitten.
p.s. Ben ik altijd wakker? Nee hoor, een BT slaapt ook wel eens, alleen kon ik nu weer eens niet slapen en ben dus maar even post komen doen.
