Det var en tidig morron så jag var inte vaken när jag fick ett blankt emeil från "Sören Larsson" med en bifogad fil och halvt i sömnen tryckte jag för att öppna den. Jag ångrade mig genast men det hjälper ju inte när datorer är så snabba. En annan sak det finns virus som börjar installera sig så snart de är inne i MS-Outlook. Hädanefter kommer jag inte att öppna en enda bilaga. Det går att skicka saker som bilder eller html-filer.
Sen gick några timmar och jag började få svar på blanka emeil, där de undrade vad jag menade. Andra gjorde mig uppmärksam på att jag har virus. Nån officiell virusövervakare i England skickade flera emeil om "virus alert". Ingen av dem gav något tips om vad göra. Jag körde mitt gamla virusprogram utan att det blev bättre.
Det är inte mer än 3 veckor sen när jag fick räkningen från Tele2 och de erbjöd virusövervakning. När jag kontaktade Connect2 var det inte installerat hos dem. När jag nu kontaktade dem fick jag veta att det är bara för FREE-Connect kunder och jag kan anmäla mig dit. Det är bara det att jag vet från förr att då mister jag min väl inarbetade hemsida på home.swipnet, eftersom jag måste göra en ny vid byte.
Nåja framåt kvällen kom jag ihåg att jag tidigare sett att det går att rensa virus online och jag tog första och bästa som kom upp efter sökningen. Det är gratis och jag registrerade mig (inte nödvändigt) och började ladda hem ett program som gör det snabbare i fortsättningen att utnyttja tjänsten. Det tog väl runt en timme men jämfört med vad ett virusprogram kostar var det ju billigt.
http://housecall.antivirus.com/housecall/start_pcc.asp
Fördelen med att i fortsättningen anlita detta online är att man alltid har ett uppdaterat program. Köpta program blir fort inaktuella och ger falsk säkerhet. Bättre är att göra till en vana att med fasta mellanrum göra en sökning eller när man misstänker något. Jag har en del andra saker jag gör på fredagskvällar så det är bara att lägga till den åtgärden.
Nåja, det tog kanske 20 minuter att köra igenom mina 13000 filer. Min Internetkoppling stänger efter 5 minuter eftersom den inte behövs för att scanna. Sen visade det sig att den hittade två typer av "ormar" och som inte den klarar att ta bort, medan en del virus rensas automatiskt. Sen tryckte jag på de markerade virusen och fick följande hjälp:
WORM_SIRCAM.A
Risk rating: medium
Virus type: Worm
Destructive: Yes
Aliases:
SCAM.A, TROJ_SCAM.A, W32.Sircam.
Description:
This worm is a high-level program created in Delphi that propagates via email using SMTP commands. It sends copies of itself to all addresses listed in an infected user's address book and in temporary Internet cached files. It arrives with a random subject line, and an attachment by the same name.
This worm also propagates via shared network drives.
Solution:
To automatically remove the worm using the fix tool:
Download the fix tool and run the file. It will scan Drive C:\ and subfolders.
If a worm is detected, it prompts you to delete the file or not.
The tool will also restore the registry entries modified by the Trojan.
Edit AUTOEXEC.BAT.
Delete @win \recycled\SIRC32.EXE.
Restart your computer.
Instructions for Manual Removal
Detta kommer som en blank sida och ett namn på avsändaren. Jag kände igen Sören Larsson" och det var väl därför jag hann öppna det innan jag tänkte till. Filen hade en .SCR-ändelse så jag tänkte att kanske Sören skickar en sreen-saver. Man misstänker ju inte sina vänner. Det är det djävulska i det viruset. Det etablerar sig snabbt genom att skicka emeil från din adressbok eller från "tillfälliga Internetfiler". Sen börja dina bekanta skicka emeil och fråga "vad är det frågan om". Jag hann få 5 svar på att virus kommit fram
Viruset kallas också "trojansk" eftersom det är likt trojanska hästen när virus smugglas in. Hjälpen är att ladda hem ett verktyg FIX_SIRCAM.EXE på 2, 2 MB vilket väl tar 25 minuter. Det är ett dos-program och man får trycka några gångar på Y/N dvs. Y. Ijag installerade icke AUTOEX.BAT i min Windows98 men man får kolla i skräplådan om den städat ut SIRC32.EXE eller SIRCAM32.EXE
Nåja det var inte mer med det.
.
WORM_BADTRANS.B
Risk rating: low
Virus type: Worm
Destructive: No
Aliases:
W32/Badtrans-B, BADTRANS.B,
Description:
This memory-resident Internet worm is a variant of WORM_BADTRANS.A. It propagates via MAPI32, has a Key Logger component, and arrives with randomly selected double-extension filenames.
It does not require the email receiver to open the attachment for it to execute. It uses a known vulnerability in Internet Explorer-based email clients (Microsoft Outlook and Microsoft Outlook Express) to automatically execute the file attachment. This is also known as Automatic Execution of Embedded MIME type.
Solution:
Delete the %System%\CP_25389.NLS file.
Click Start>Run, type Regedit then hit the Enter key.
Double click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft
>Windows>CurrentVersion>RunOnce
In the right panel, look for following registry value:
kernel32
Click the registry value and then Delete it.
Restart your system.
Scan your system with Trend Micro antivirus and delete all files detected as WORM_BADTRANS.B. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other email users may use HouseCall, Trend Micro's free online virus scanner.
Detta virus är lömskt eftersom det inte behöver att Outlook öppnas för att det ska sätta sig. Å andra sidan är det låg risk, men det äter förstås in sig. . Det kännetecknas av att bilagda filen har dubbel filändelse såsom en vän fick exploit.frame.FileDown eller exempelvis pif.doc.exe
Detta virus hade lagt sig i kernel32-program och kernel32 .dll plus kdll.dll. Man rekommenderas att radera windows/system/CP_25389.NLS och att gå in i REGEDIT enligt ovan. Det är bara det att i mitt Windows98 finns inte detta kommando. Så jag raderade filerna och jag tror inte det påverkar min dator eftersom jag bara håller på med ordbehandling och bildbehandling.
Efter detta gjorde jag en ny koll online. First ladda den in eventuella uppdateringar och sätter igång att scanna … och den kopplar från nätet. Har inte tagit tid och det är ju individuellt hur många program man har.
Nu har jag inte gett mig på att ersätta de filer jag raderat. Det har blivit allt mer invecklat och mitt Windows är på 1 gigabyte. Jag har en Hewlet-Packard Brio och de rekommenderar att göra backup på filerna man har innan uppdateringen dvs. ytterligare ca 3 gigabyte. På något sätt har de inte hunnit med utvecklingen av storlek på hårddisken. Naturligtvis skulle jag uppdatera och söka efter uppdateringar på HP- BRIO om det vore absolut nödvändigt men så änge det fungerar får det vara.
27 november 2001
PUH … det är inte slut än … kollade just travresultat och det kom ett emeil från "Jan Brouver" med bifogad fil … jag raderade det illa kvickt. Jag känner ingen med det namnet så det fanns inte tvekan heller. Nu vet jag förstås inte vad det var för bilaga.
Sen körde jag en ny virustest och det är grönt. Om det funnits virus så fungerar metoden på den typen virus-emeil. Som ytterligare en åtgärd har jag stängt av Adressboken utifall att jag skulle får in något som använder den. Jag klarar min adressering på annat sätt.
Om man får ett sådant blankt emeil från en bekant är denne sannolikt helt oskyldig … så djävulskt det kan vara. Men det finns ju alltid en liten andel sjuka människor som tycker det är roligt att djävlas med andra. Den konspiratoriska kunne kanske tro att det är antivirus-företagen som skickar en del. Men det finns så många galningar därute så de behöver nog inte göra så mycket främjande.
Numera är "mitt system" att jag installerat EUDORA meilclient. I det programmet samlas bilagor i katalogen "attachment eller/och i embedded". Då är det enkelt att man tömmer dessa genast man ser att det finns oönskade bilagor.
