Anbytarforum
Metoder & hjälpmedel => Datorprogram, webb och teknik => Datavirus och liknande otrevligheter => Ämnet startat av: Åke Tilander skrivet 2002-05-17, 22:09
-
Hej Peter!
Det cirkulerar en mängd otrevilga massmailande virus just nu. Särskilt vanligt är Klez av olika typer. Klez anger en felaktig avsändarmail-adress som i och för sig är riktig, men inte går till den person vars dator är virussmittad. När det gäller internetleverantörer med så kallade dynamiska IP-nummer har man alltså ingen annan möjlighet att hjälpa den som fått sin dator smittad än att kontakta internet-leverantören och anmäla att man fått ett virussmittat mail och kopiera in det fullständiga mail-huvudet.
Ett bra sätt brukar vara att ange abuse@xxx.se
där xxx.se motsvarar det nätverk från vilket det virussmittade mailet kommer (även det framgår av mailhuvudet).
När det gäller Telia brukar jag maila till:
abuse@telia.com
Det som händer då är precis det du råkat ut för, nämligen att nätleverantören kontaktar användaren och förhoppningsvis hjälper honom eller henne att få sin dator virus-sanerad.
Som sagt detta är något jag rekommenderar alla att göra så kan vi hjälpas åt att reducera spridningen av virus.
Till sist vill jag nog gärna tillägga att jag tycker att det är självklart att man har ett fungerande virus-skyddsprogram, inte bara för sin egen skull, utan också för alla andras skull som blir utsatta för virus-attacker.
-
Hej och tack för Era inlägg!
Lena, om jag vill göra en scanning av hårddisken som Du föreslår, men hur ser jag vilka filer som eventuellt är infekterade och hur tar jag bort dem? Är det papperskorgen som jag sedan tömmer,
eller? Är så rädd att förstöra något då jag är långt ifrån kunnig på sådana här saker. Kanske Du kan ge lite mer info om hur det går till rent praktiskt för mej, här framför skärmen så jag inte schabblar bort något viktigt.
Och Åke, är det möjligt att Telia-supporten via fjärrstyrning el. dylikt är villiga att hjälpa till med rensningen?
Till sist kan Du lita på att ett effektivt anti-virusprogran kommer att finnas i min dator om några dagar!
Tack än en gång för Era inlägg. Jag uppskattar verkligen dessa goda råd då sådana här saker tyvärr ligger långt utanför mina kunskapsramar.
Har haft data i ganska många år men aldrig råkat ut för något obehagligt under alla år, då man inbillar sig att det går bra när man bara besöker
snälla sidor o.s.v
MvH
Peter Borg
-
Hej Peter!
När du kör scanning direkt över nätet söker deras programvara igenom din dators primärminne och hårddisk, du får en ruta som visar vad som sker och vilka filer som ev. är infekterade. När genomsökningen är klar kommer som regel en fråga om man vill ta bort virusen, svarar man ja försöker programmet rensa bort viruset men spara själva filen. Går det inte att ta bort viruset så meddelas man att man måste ta bort filen. Den tas inte bort om inte du klickar ja till att tas bort.
Du kan testa en sökning och avbryta när du vill, kan ju vara ett sätt att förstå hur det fungerar innan du gör det på allvar.
Det framgår inte om du sitter med modem eller bredband, har du bredband (ADSL,BB) så rekommenderar jag att du även installerar en brandvägg, det finns flera gratis på nätet. T.ex. ZoneAlarm, Sygate personal firewall.
mvh,
Stefan
-
Observera att min erfarenhet ovan visade att HouseCall som är ett program man kan använda för att scanna över nätet inte rensade viruset från filerna även om meddelandet från programmet för varje fil var CleanOK.
Jag rekommenderar starkt att Du Peter skaffar ett riktigt AntiVirus som t.ex. Norton och kör igenom Din dator. Som Stefan nämner ovan klarar oftast dessa AntiVirus program av att återställa filerna, alltså är det rätt ovanligt att man måste ta bort dem. Norton lägger olösta filer i s.k. karantän.
Mvh - Mats Högberg
-
Hej!
Tack för Era råd. Nu skall jag ta tag i det här snarast möjligt . Men visst är det f-n att vanliga människor skall behöva drabbas av sådant här? Det är ofattbart att det finns folk som vill förstöra för andra.
MvH
Peter Borg
-
Jag vill tacka er för att ni skrev om nallebjörns-hoaxet. Fick e-post om det igår kväll, och kunde snabbt kontakta avsändaren, som skickade ut ett nytt meddelande till alla i sin adressbok, där han talade om att det inte var ett virus! Förhoppningsvis hann ingen radera filen! TACK!
-
Hej!
Refererat till mitt inlägg den 17 maj vill jag tacka de som svarade och samtidigt meddela att jag sedan ett par vecor är virusfri och allt är OK igen. Har installerat Norton 2002 och det fungerar mycket bra! En konstig sak som har inträffat efter detta är att när jag har kört datorn en stund så blir musen omedgörlig. Även kommunikationen mellan tangentbordet och datorn blir långsammare samt att det tar längre tid att bläddra i rullningslistor. Startar jag om datorn fungerar allt hur bra som helst, en stund, tills ovanstående symptom uppträder igen. Vad har hänt?
Eftersom jag har sett är många av Er är duktiga på data kanske någon har något förslag på åtgärd?
Har Windows 98 och garanterat inga virus i datorn.
Symptomen är irriterande även om de går över vid omstart av datorn, men efter en stund kommer de som sagt igen, och det blir lite tjatigt.
Tacksam för förslag.
Peter Borg
-
F-Secures senaste mail
Status: Virusvarning
Spridning: Medel
****************************
Sex olika varianter av masken Frethem sprids just nu på fältet.
Masken samlar e-postadresser från Windows adressbok samt .dbx-filer.
F-Secure Anti-Virus detekterar Frethem med uppdateringar från 13 juni 2002.
Mer information finns på vår hemsida, http://www.f-secure.se/virus/virusinfo.asp?Namn=Frethem
-
Nallebjörns-hoaxet, omnämnt i inlägg ovan 14 och 24 maj, är fortfarande i farten. Jag blev varnad för det igår! Har av Carl Szabad fått reda på att filen behövs för att köra javascript i Windows Explorer, men det kanske också redan omnämts ovan.
-
Till Peter Borg,
Jag har ett svagt minne av att Norton påverkar prestanda ordentligt när man arbetar med CD-skivor. Dvs scanningen av en CD's stora mängder data, blockerar annan trafik i datorn. Möjligen har det också att göra med kapaciteten i datorns 'bussar'....
Om det är problemet så kan man kanske stänga av den automatiska scanningen av diskett/CD-enheter, alt. stänga av Norton en stund.
Någon annan förklaring har jag inte....
Mvh/Lasse
-
Har idag fått 13 ebrev med Klez.H och av dom hade 12 kända släktforskare som avsändare, forskare som ofta förkommer här i Anbytarforum. Jag vet att viruset plockar upp adresser som finns i datorn, så jag misstänker inte någon specifik släktforskare för att ligga bakom virusutskicket. Däremot verkar det som om många släktforskare fortfarande inte fått upp ögonen för att man måste hålla sig garderad med ett bra antivirusprogram. Skaffa ett! Tänk om alla era släktforskarfiler försvinner på grund av ett idiotiskt virus. Många timmars arbete till ingen nytta....
Mvh//
Lotta
-
Enligt senaste numret av Internworld är Klez dessutom inget harmlöst virus, utan en riktig värsting:
W32.Klez.H, eller kort och gott Klez, är det värsta virus som någonsin drabbat internet. Det stänger av ditt antivirusprogram och din brandvägg utan att du märker det och har dessutom med sig ett annat virus som kan radera hela din hårddisk.
- Det här är det mest tekniskt avancerade virus vi sett någonsin, säger Per Hellqvist, expert hos säkerhetsföretaget Symantec.
Klez tar slumpvisa mejladresser från din dator och skickar sig själv sedan vidare. Också avsändaradressen läggs in slumpmässigt och därför är det sällan den som stom står som avsändare i mejlet som verkligen skickar viruset, skriver tidningen.
Det finns med andra ord all anledning att vara vaksam. Därför kan inte punkt nr 4 i antivirustipsen ovan upprepas tillräckligt ofta:
4. Klicka aldrig - aldrig! - på bilagor som avsändaren inte i mejlet begripligt och utförligt beskriver innehållet i. Detta gäller alltid och utan undantag, att mejlet kommer från någon som är bektant spelar igen roll. Man kan alltid mejla tillbaka och fråga vad det är i stället för att direkt klicka på bilagan. Virusscanna gärna .doc-filer innan de öppnas.
Att få ett virus med e-post är inte farligt. Det är först när man klickar på den medföljande filen som viruset aktiveras och smittar datorn. Alltså: Klicka aldrig, aldrig, aldrig på länkar till bilagor som du inte är absolut, absolut, absolut säker på vad det är.
-
Tillägg!
Man måste ha förhandsgranska AVSTÄNGT för att få chansen. Då kan man spara bifogad fil och scanna den med antivirusprogrammet INNAN man öppnar/dubbelklickar på den!
I Outlook Express kan man tjuvtitta på mailen om man har förhandsgranska avstängd.
Markera brevet->Högerklicka->Egenskaper->Information->Meddelandekälla->fullskärm och innehållet går att läsa.
Står det då inget vettigt i mailen kan man vara ganska säker på att det rör sig om ett virus. Är man osäker och inte kan kolla med avsändaren -> stäng tjuvtittandet och se till att brevet är markerat. Högerklicka->Välj Ta bort->brevet hamnar då i mappen Borttaget. Markera denna mapp->Högerklicka->välj Töm mappen->OK->Alla brev i denna mappen är borta!
R.
-
Om man gör följande: Markera brevet->Högerklicka->Egenskaper så kan man nästan överst se en rad som börjar 'Return Path' eller något liknande. Den adress som följer är den riktiga avsändaradressen (tills viruset/masken kommer på ett sätt att byta ut den också ...). Man kan vara tämligen säker på att det är något ofog på gång om det står en annan adress på raden som börjar med 'From' (ganska långt ner).
Jag har fått ett antal mail med Klez (nåja, när jag väl fick dem så hade antivirus-programmet rensat bort Klez) med väldigt många 'avsändare'. Vid kontroll enligt ovan fick jag ner antalet avsändare till en 6-8 stycken.
De senaste 13 mailen har jag fått från (verklig avsändare) office@goteborgbostader.se, och som svar på mina påpekanden om att de borde rensa sin dator från virus, så har jag fått till svar att de minsann inte har något virus i sin dator. Vidare har jag fått beskrivningar om hur jag bör göra i fråga om att ladda ner en fil och köra den, och om antivirusprogrammet protesterar så ska jag bara köra vidare ändå!!! Då om någonsin skulle jag nog få virus i datorn!
Det senaste brevet jag fick var ganska oförskämt till på köpet.
Inte underligt att dessa virus/maskar kan spridas!
Hälsningar
Mikael
-
Hej Mikael!
Det du skriver att mail-adressen i Return-Path: inte är / kan vara förfalskad är intressant. Jag skulle gärna vilja läsa mer om det. Jag har sökt information om det men inte hittat något. Har du kanske någon referens till någon av AntiVirus sida där jag kan läsa mer om just det?
-
Jag har nu gjort några tester med mitt mail-program och jag kan enkelt ändra fältet som sedan blir Return-Path: till vad som helst, t.ex:
Return-Path:
så jag tror vi lungt kan utgå ifrån att även denna information är / kan vara felaktig. Däremot finns det ett IP-nummer i mail-huvudet, t.ex. 212.105.13.120 som inte är lika lätt att förfalska. Det är det IP-nummer som står längst ner i mail-huvudet som du ska titta efter. Det man kan göra för att förhindra fortsatt virusspridning är att skicka ett mail till ansvarig för det nätverket. Nätverksnamnet brukar även det kunna återfinnas i mail-huvudet. Man kan pröva att skicka mailet till abuse@ vid det nätverket, t.ex. abuse@telia.com
Nätverksansvarig kontaktar och hjälper användaren att sanera sin dator.
-
NY VARNING
från F-Secure
****************************
Status: Virusvarning
Spridning: Medel
****************************
Masken Yaha.E (detekterad av F-Secure Anti-Virus som I-Worm.Lentin.G) sprids just nu på fältet och vi har fått in rapporter om masken från alla delar av världen, inklusive Sverige.
Yaha.E sprids via e-postmeddelanden som en bifogad fil med dubbla extensioner, där den sista extensionen alltid är PIF, BAT eller SCR. E-postmeddelandet som masken sprids via komponeras enligt komplicerade regler där ärenderaden och meddelandets textinnehåll kan variera.
F-Secure Anti-Virus detekterar Yaha.E med uppdateringar från den 19 juni 2002.
Mer information om masken finns på http://www.F-Secure.se/virus/virusinfo.asp?Namn=Yaha.E
-
Kan någon tala om varför det kommer upp en ruta ibland som säger att jag gjort en förbjuden åtgärd samt att programmet kommer att stängas av?Och när jag klickar bort rutan så stängs internet och jag måste öppna internet igen.
Detta händer då och då, (allt för ofta)och det kan bli så när jag är inne på någon site, klicker på något rad där jag vill läsa mera ELLER när jag klickar på t ex bakåt-knappen!
Vad har hänt?
Vad gör jag för att fixa detta?
Kan någon ge mig en klar anvisning om hur jag åtgärdar ett eventuellt fel så att jag slipper detta oönskade 'meddelande' som jag inte begriper.
Jag har ABSOLUT inte gjort något förbjudet; jag söker ju enbart efter det som finns tillgängligt på en sida.
Det är så jäkla irriterande.
-
Ingrid
Jag tillåter mig att tvivla på att rutan säger att du gjort en förbjuden åtgärd. Det står väl att programmet har gjort en förbjuden åtgärd?
Detta felmeddelande dyker i min dator upp då och då, särskilt om jag har många fönster öppna samtidigt. Kanske är det en överbelastning?
-
Hej Ingrid och Bo!
Naturligvis har inte Ingrid gjort något förbjudet!
Denna typ av fel kan man nästan räkna med när man haft sin dator ett tag och har installerat lite olika program.
Felmeddelandet orsakas oftast av att programmet anropat ett minnesutrymme som operativsystemet inte vill/kan lämna till programmet och beror väldigt ofta på att man installerat en senare version av något program som använder samma hjälpbibliotek som det som det program man får felmeddelandet också använder.
Försök att installera en senare version eller uppdatera programmet så kan felet försvinna.
-
Ok då - klart att det inte står EXAKT så.( jag uppfattar det som riktat till mig = användaren så det var väl inte så hemskt om jag skrev'jag'. Hm!
Det står faktiskt att: Programmet har utfört en förbjuden åtgärd och kommer att avslutas.
Jag har absolut inte flera fönster öppna samtidigt
Jag har för vana att gå ur det jag tidigare öppnat, så det är absolut inte fråga om någon överbelastning.
Kan det kanske vara en fråga om något galet i programvaran? Eller att något är skadat i någon fil?
Hoppas någon kan svara på det jag frågar efter?
-
Tack Stefan! Ditt svar kom tydligen samtidigt som jag bönade en gång till! Jag har visserligen uppdaterat Internet Explorer nyligen, men kanske inte alla de andra programmen jag har ...så då är det nog jag som missat något. Tack för tipset!
Hoppas det fungerar.
-
Hej Åke!
Nej, jag har ingen referens. Jag kollade bara mailen på det sätt som jag beskrev ovan och såg då att trots att det stod en mängd olika adresser i 'From'-fältet så var det mycket få adresser i 'Return-Path'-fältet (jag vet att det inte är ett fält i egentlig mening, men ...).
Men om det också är lätt att ändra vad som presenteras där, så är säkert ditt råd att kolla IP-adressen mycket säkrare.
Hälsningar
Mikael
-
Hej Mikael!
En sak jag noterat är att samma Return-Path:-adress alltid verkar komma från samma IP-nummer när det gäller Klez-viruset. Det verkar vara en egenhet hos detta virus. Däremot är det nog så att den mailadress som står efter Return-Path inte går till den (dator) som skickat viruset, utan till någon helt annan.
När det gäller IP-numret så är det så när det gäller Klez-viruset att IP-numret i den nedersta (=äldsta) Received:-raden (nästan alltid) går till den dator som skickat viruset, eller när det gäller dynamiska IP-adresser gick till den datorn just då. Däremot ska man komma ihåg att det är rätt lätt att lägga till ett antal Received:-rader, så när det gäller nästa virus kan man inte lita på detta heller, utan då krävs nog lite mer grundlig analys för att ta reda på varifrån viruset kom.
Det enda sätt jag kan komma på som vi kan använda oss av just nu för att hjälpa de som råkat ut för viruset och de som ännu inte blivit drabbade är att maila till ansvarig för nätverket.
Hur hittar man då vem som är nätverksansvarig?
Du kan använda Symantec (=Norton AntiVirus) Security Checks TraceRoute funktion:
Symantec Security Check TraceRoute
När du kopierat in IP-adressen (t.ex. 123.123.123.123) eller datornamnet (t.ex. min.dator.net) som du hittat i mail-huvudet, bockat för Show details så är det bara att klicka på datornamnet eller nätverksnamnet, så får du i allmänhet fram en PopUp-ruta där du hittar uppgifter om vem som är ansvarig för nätverket som du kan maila till. Man bör fårstås skicka med hela mail-huvudet och all information man har om vad som hänt.
Vill man göra det enklare för sig kan man helt enkelt pröva att skicka mailet till abuse@ och så lägga till namnet på nätverket efter @-tecknet, t.ex. abuse@telia.com
-
Åke m fl
Vilket anti-virusprogram ska man satsa på om man ska köpa nytt till nya datorn. Är de ungefär likvärdiga eller finns det något som fungerar bättre än övriga? Jag tänker inte minst på hur snabbt de uppdateras.
-
Hej Staffan!
Jag vågar nog inte uttala mig eftersom jag inte kan tillräckligt om skillnaderna. Man bör nog satas på något av de stora programmen. Själv har jag erfarenhet av bl.a. Norton AntiVirus, McAfee, F-Secure och alla har fungerat klanderfritt. För närvarande använder jag Norton och jag är mycket imponerad av deras proffsighet. Kika gärna på deras hemsida. Där kan man lära sig mycket.
Förmodligen finns någon objektiv utvärdering gjort som ligger på nätet, men för oss vanliga användare ger nog ovannämnda program mer än tillräckligt skydd.
Något annat jag tycker man bör kolla är om den nätverksleverantör man köper sin nätverkstjänst av har någon form av virus-skydd installerad. Idag finns det ju virus-skydd som nätverksleverantören kan installera både kopplat till brandvägg, till gateways och till epost-servrar, som kan stoppa virusen långt innan de når fram till din dator. Ett gott råd är att inte köpa sin nätverkstjänst från en leverantör som inte har sådant skydd installerat.
-
Jag har på två dagar fått 3 virus-mail från samma person, stackars Arne Carlsson han måste ha fått en svår infektion. Jag brukar svara så att avsändaren blir uppmärksam på att han fått virus, men mailadressen fungerar inte, förra gången hade det lagts till ett - före namnet men nu hittar jag inte felet i adressen, har försökt med olika varianter.Vad gör jag.
Inga-Lill
-
Inga-Lill,
det första du måste göra är förståss att fortsätta att hålla ditt virusprogram aktuellt. Det andra du kanske kan göra, beror på mailprogram, är att blockera den personens mailadress. Men det omöjliggör ju förståss vidare möjligheter att ta emot mail från honom/henne. Ett ytterligare steg kan ju vara att försöka klura ut vilken adress personen verkligen har och skicka ett upplysande mail. Om det inte går att skicka till adressen kan det bero på att den inte längre är giltig, alltså den finns inte längre. Får du något meddelande när du försöker?
Mvh
Per
-
Inga-Lill och Per!
Att ett ebrev med virus har en viss persons avsändaradress behöver inte alls betyda att det kommer från den personens dator. Som det skrivits här ovan många gånger tidigare, så är virusprogrammet så smart att det plockar upp adresser både i den drabbades adressbok och från cachade websidor, och använder sedan dessa adresser både som avsändar- och mottagaradresser.
Speciellt Klez.H verkar vara väldigt duktigt på det. Och snabbt går det!
Att spärra någons adress hjälper alltså inte alls. Det är ju egentligen bara dumt, eftersom man, som Per skrev, kanske vill ta emot vanliga ebrev från den personen.
Det enda som hjälper är att ha ett ordentligt uppdaterat antivirusprogram!
Mvh//
Lotta
-
Hej igen, tack till Per och Lotta.
Mitt virusprogram varnar mig att detta är viruset Sircam så att jag kan ta bort det. Jag har inte lyckats klura ut en svarsadress dock.
Nyss fick jag ännu ett virus mail med samma avsändare och samma fil, virusinfo heter den.
Jag kan inte påminna mej att jag känner någon Arne Carlsson, men har sett hans namn här på Anbytarforum, så jag tänkte att han kanske skulle se detta.
MVH
Inga-Lill