Virus GO38_jpg

[McMeller]

Hallo. Zojuist ontvang ik van mijn zusje (die er nieteens is) via MSN een ZIP-archief met de naam GO38_jpg, met daarin een
MS-DOS Application genaamd w w w.GO38_JPG-msn.co m. (Niet klikken! Het forum maakt er automatisch een link van!)

Dit bestand werd dus onopzettelijk verstuurd.
Vraag 1. Is dit een virus? Mijn McAfee zegt geen geïnfecteerde bestanden te vinden.
Vraag 2. Ik heb 't ZIP-archief geopend, maar heb het niet uitgepakt of het bestand geopend. Ben ik schadevrij?
Vraag 3. Wat nu te doen? Zo snel mogelijk mijn zusje's verbinding met het internet verbreken, een nieuw MSN-adres nemen en evenuteel formatteren?

Bedankt!

[modedit] Link niet meer klikbaar gemaakt door spaties in w w w op te nemen [/modedit]

 

[Ton52]

1) Lijkt er wel op: http://www.google.nl/search?hl=nl&q=GO38_jpg&meta=
2) Waarschijnlijk wel, maar je zou voor de veiligheid een onlinescan kunnen doen bij Kaspersky.
3) Geen paniek, paniek is erger dan brand.

 

[McMeller]

OK, maar zou het in de computer zitten of in MSN? Of letterlijk de MSN-account?
Bij mij wordt er niets verstuurd, wat er dus op zou duiden dat ik schoon ben, maarja, het
kan ook even duren voordat de pret begint...

Ik zal eerst eens een complete McAfee scan over mijn PC gooien, maar eerst even herstarten.

 

[crash]

Zit in MSN, zie ook:
http://www.nucia.nl/forum/showthread.php?t=29188

Plaats eventueel een Hijackthis log op een ander forum:
Lees dit bericht goed door:
http://www.nucia.nl/forum/showthread.php?t=12

Kijk hier voor uitleg Hijackthis:
http://www.nucia.nl/toonhandleiding.php?handleidingid=9

Plaats daarna je Hijackthis log in de volgende sectie:
http://www.nucia.nl/forum/forumdisplay.php?f=38

Vermeld daar ook je probleem erbij.

Je moet je wel even registreren daar, maar dat is net als op Helpmij gratis en eenmalig.

 

[McMeller]

Oké, bedankt. De stand van zaken is als volgt. Mijn zusje had inderdaad een bericht
als 'wat vind je hier van' gekregen, en heeft het RAR-bestand geopend. Volgens haar
zegge heeft ze echter niet het bestand daarin geopend. Enkel het archief. Toch is het
naar iedereen in haar lijst doorgestuurd, inclusief naar mij. Ik heb ook enkel het archief
geopend (stom van me, ze was er nieteens dus het kan alleen maar troep zijn), en heb
geen problemen ondervonden.

Inmiddels hebben we een systeemherstel naar eergisteren gedaan, en voor de zekerheid
ook maar de MSN-account gesloten een een nieuwe account aangemaakt.

Nu functioneert het ook bij haar weer goed, en er wordt niets met verstuurd.

Ik ga nu dit even uitvoeren:

HOW TO REMOVE

STEP 1
delete registry entry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CDSpeed.exe"="%Windows%\CDSpeed.exe"

STEP 2
restart WINDOWS

STEP 3
delete virus files:

%Windows%\G038_jpg.zip
%Windows%\CDSpeed.exe

STEP 4
copy %System%\microsoft\backup.tftp to:
%System%\tftp.exe
%System%\dllcache\tftp.exe
copy %System%\microsoft\backup.ftp to:
%System%\ftp.exe
%System%\dllcache\ftp.exe

STEP 5
set registry data:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SFCDisable"=dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
"WaitToKillServiceTimeout"="20000"

delete "SFCScan":

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SFCScan"

 

[McMeller]

Alleen het RAR'retje stond nog in de WINDOWS-map. Verder leek Systeemherstel alles
gedaan te hebben. Raden jullie toch een herinstallatie aan of zit het wel snor zo?

 

[Michael4446]

Ik denk niet dat een herinstallatie nodig is, ik zou even kijken hoe het verder loopt.
Maar nog wel even een online virusscan doen, gewoon voor de zekerheid. Dat kan bijvoorbeeld bij Housecall of bij Kaspersky.