JS.Exception.Exploit

[Air Aai]

Bij het aanloggen op een site waarschuwde mijn NAV2002 mij ervoor dat er een virus gedetecteerd was. Gelijk IE afgesloten en mijn (gelukkig net geupdate) NAV2002 erop losgelaten met virusscan.

Het bleek dat in C:\Windows\Temporary Internet Files twee bestandjes besmet waren met het JS.Exception.Exploit virus, te weten: mail[1].htm en mail[2].htm. Schijnt een Trojan Horse te zijn. NAV heeft beide bestandjes in Quarantaine gezet.

Mijn vraag is: kan ik deze bestandjes probleemloos verwijderen en zo ja, met welke knop in NAV? gewoon de X (deletetoets) of anders?

 

[vaat]

je kan zich gewoon verwijderen in norton door in de Quarantaine lijst te kijken en de bestanden te selecteren en idd met de rode x te verwijderen.

Doe nog wel een volledige systemscan en verwijder alles wat hij vind. Kijk wel even of het geen belangrijke systeembestanden zijn. Bij twijfel even vragen. De bestanden die je noemde kunnen in ieder geval weg.

verder doe je even start > uitvoeren > regedit [enter]

ga naar de sleutel:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Selecteer Main links en ga naar file > export > noem de file helpmij en bij type kies je voor txt file.

Post de inhoud eens hier door het in je bericht te plakken (eerst helpmij.txt openen in kladblok en alles kopieren)

 

[Air Aai]

Ok, hier is alles dan:
==================

Sleutelnaam: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Klassenaam: <Geen klasse>
Laatste keer geschreven naar dit bestand: 4-5-2003 - 17:33
Waarde 0
Naam: Anchor Underline
Type: REG_SZ
Gegevens: yes

Waarde 1
Naam: Cache_Update_Frequency
Type: REG_SZ
Gegevens: Once_Per_Session

Waarde 2
Naam: Display Inline Images
Type: REG_SZ
Gegevens: yes

Waarde 3
Naam: Do404Search
Type: REG_BINARY
Gegevens:
00000000 01 00 00 00 ....

Waarde 4
Naam: Local Page
Type: REG_SZ
Gegevens: C:\WINDOWS\System32\blank.htm

Waarde 5
Naam: Save_Session_History_On_Exit
Type: REG_SZ
Gegevens: no

Waarde 6
Naam: Show_FullURL
Type: REG_SZ
Gegevens: no

Waarde 7
Naam: Show_StatusBar
Type: REG_SZ
Gegevens: yes

Waarde 8
Naam: Show_ToolBar
Type: REG_SZ
Gegevens: yes

Waarde 9
Naam: Show_URLinStatusBar
Type: REG_SZ
Gegevens: yes

Waarde 10
Naam: Show_URLToolBar
Type: REG_SZ
Gegevens: yes

Waarde 11
Naam: Start Page
Type: REG_SZ
Gegevens: http://www.startpagina.nl/

Waarde 12
Naam: Use_DlgBox_Colors
Type: REG_SZ
Gegevens: yes

Waarde 13
Naam: Search Page
Type: REG_SZ
Gegevens: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Waarde 14
Naam: Show_ChannelBand
Type: REG_SZ
Gegevens: no

Waarde 15
Naam: NoUpdateCheck
Type: REG_DWORD
Gegevens: 0x1

Waarde 16
Naam: NoJITSetup
Type: REG_DWORD
Gegevens: 0x1

Waarde 17
Naam: Disable Script Debugger
Type: REG_SZ
Gegevens: yes

Waarde 18
Naam: Check_Associations
Type: REG_SZ
Gegevens: yes

Waarde 19
Naam: FullScreen
Type: REG_SZ
Gegevens: no

Waarde 20
Naam: Window_Placement
Type: REG_BINARY
Gegevens:
00000000 2c 00 00 00 00 00 00 00 - 01 00 00 00 ff ff ff ff ,...........ÿÿÿÿ
00000010 ff ff ff ff ff ff ff ff - ff ff ff ff 00 00 00 00 ÿÿÿÿÿÿÿÿÿÿÿÿ....
00000020 00 00 00 00 00 04 00 00 - e2 02 00 00 ........â...

Waarde 21
Naam: Use FormSuggest
Type: REG_SZ
Gegevens: no

Waarde 22
Naam: NotifyDownloadComplete
Type: REG_SZ
Gegevens: no

Waarde 23
Naam: FormSuggest PW Ask
Type: REG_SZ
Gegevens: no

Waarde 24
Naam: AddToFavoritesExpanded
Type: REG_DWORD
Gegevens: 0x0

Waarde 25
Naam: Error Dlg Displayed On Every Error
Type: REG_SZ
Gegevens: no

Waarde 26
Naam: Error Dlg Details Pane Open
Type: REG_SZ
Gegevens: no

Waarde 27
Naam: FormSuggest Passwords
Type: REG_SZ
Gegevens: yes

 

[pete1]

http://www.helpmij.nl/forum/search....d=358509&sortby=lastpost&sortorder=descending

staat wat meer over.

pe.

 

[Air Aai]

Peter: bedankt voor je reactie.

Alex: heb beide bestandjes inmiddels verwijderd en mijn Tijdelijke internetbestanden ook maar weer eens geleegd. NAV er weer overheen gehaald en voila: geen infecties e.d. gevonden.

Ben benieuwd wat jij nog uit mijn vorige posting kan halen overigens.

 

[vaat]

ging mij om de sleutels:

Start Page
Search Page
Default_Page_URL
Default_Search_URL

maar daar staat niks raars in. Dus alles is volgens plan verlopen ....

 

[Air Aai]

Alex,

Hartstikke bedankt voor jouw ondersteuning. Zoals gezegd heb ik beide bestandjes evrwijderd en daarna nog eens virusscan gedaan maar niks meer gevonden.

Byebye!

Arie

 

[saldos]

Air Aai,

In 99.99% van de gevallen is het zo dat alles kunt verwijderen wat er in de qurantaine beland.

Daarnaast is het zo dat Norton ervoor zorgt dat de js.exploit nooit verder komt dan de tijdelijke internet bestanden-content.ie5 directory. Je bent dan ook niet besmet als het daarin gevonden wordt en dat betekend dat je register dus ook niet besmet is in zo een geval.

 

[Air Aai]

Saldos,

Gelukkig was dit ook mijn ervaring achteraf. Maar als betrekkelijke leek op dit punt sta je in het begin toch even raar te kijken als ondanks een virusscanner toch enkele bestandjes besmet zijn, hoewel ze wel gelijk in 'quarantaine' geplaatst zijn.

Ik dacht nl. altijd dat met een goede virusscanner er helemaal niks zich op je schijf kan nestelen (zelfs niet in quarantaine), dus ook geen betrekkelijk gemakkelijk te verwijderen bestandjes.

Maar goed, eind goed al goed.