VIRUS ALARM!!!!!!

Det er win32.navidad - fra sarc.com:

When executed, the worm does the following:


1. Displays a dialog box with a \"winking smiley face\" (emoticon):

;)

and the title:

Error

2. If you are running Windows NT/2000, the worm adds the following registry key:

HKEY_CURRENT_USER\\Software\\Emanuel

This key was supposed to be used to see if the computer was already infected. However, because of bugs in the code, the registry key is not utilized.

3. Next, the worm does one of the following:
If you are running Windows 95/98, the worm modifies the following registry key:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

and adds the value

Win32BaseServiceMOD        \\Windows\\System\\Wintask.exe

If you are running Windows NT/2000, the worm modifies the following registry key:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

and adds the value

Win32BaseServiceMOD      C:\\Winnt\\System32\\Wintask.exe


4. The worm then copies itself into the \\Windows\\System folder as Wintask.exe.
5. After the file has been copied, the worm modifies an additional registry key.

If you are running Windows 95/98, the worm changes

HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\exefile\\shell\\open\\command

to equal

\\Windows\\System\\wintask.exe \"%1\" %*\"

If you are running Windows NT/2000, the worm changes

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

to equal

C:\\Winnt\\System32\\Wintask.exe \"%1\" %*\"

6. Next, the worm begins the email routine. The worm utilizes MAPI to send mail and works with Microsoft Outlook. The worm checks for all messages in your Inbox and replies to those messages that have one attachment. The reply consists of the same subject line and body, but contains the worm attached as Emanuel.exe.
7. Finally, the worm places a flower icon in the system tray of the taskbar. When the mouse pointer is over the icon, the worm displays a yellow dialog box with the message:

Come on lets party!!!

NOTE: Once the infection occurs, a new flower icon will appear in the system tray each time that you attempt to run an executable file.

8. When you click the icon, a dialog box with a button appears. The button contains the text

Nunca presionar este boton

(Translation: Never press this button)

If you click the button, an error box with the title

Emmanuel.....

displays the message

Emmanuel-God is with us!May god bless u.And Ash, Lk and LJ!!!

If you close the dialog box by clicking the X instead of clicking the button, the following message appears:

May GOd bless u;D

NOTE: The ;D is a \"winking big grin emoticon.\"

The box then closes.

Removal instructions:

Follow the instructions in each section in the order shown. We strongly recommend that you read and understand the entire procedure before proceeding.

To remove this worm, you must do the following:

Set Windows to show all files.
Copy Regedit.exe to Regedit.com (in most cases).
Edit the registry and remove keys and changes made by the worm.
Delete files placed on the computer by the worm.
Run a full system scan.

For detailed instructions on how to do this, see the sections that follow.

To set Windows to show all files:
You need to do this to make sure that you can find the files installed by W32.Navidad.16896.
1. Start Windows Explorer.
2. Click the View menu (Windows 95/98/NT) or the Tools menu (Windows Me/2000), and then click Options or Folder Options.
3. Click the View tab, and if necessary, uncheck \"Hide file extensions for known file types.\"
4. Click Show all files, and then click OK.

To copy Regedit.exe to Regedit.com:
If you cannot start program files, or if you see the message \"Windows cannot find wintask.exe,\" then you\'ll need to copy Regedit.exe to Regedit.com.
1. Do one of the following, depending on which operating system you are running:
Windows 95/98 users: Click Start, point to Programs, and click MS-DOS Prompt.
Windows NT/2000 users:
1. Click Start, and click Run.
2. Click Browse, and browse to the \\Winnt\\system32 folder.
3. Double-click the Command.com file, and then click OK.
1. Type copy regedit.exe regedit.com and press Enter.
2. Type start regedit.com and press Enter.
3. Proceed to the section \"To edit the registry and remove keys and changes made by the worm.\"

NOTE: This will open Registry Editor in front of the DOS window. After you finish editing the registry and have closed Registry Editor, close the DOS window.

To edit the registry and remove keys and changes made by the worm:

CAUTION: We strongly recommend that you back up the system registry before making any changes. Incorrect changes to the registry can result in permanent data loss or corrupted files. Please make sure you modify only the keys specified in this document. For more information about how to back up the registry, please read How to back up the Windows registry before proceeding with the following steps. If you are concerned that you cannot follow these steps correctly, then please do not proceed. Consult a computer technician for more information.

1. Start Registry Editor if necessary:
If you performed the procedure in the previous section, the Registry Editor is already open. Skip to step 4.
If it was not necessary to perform the procedures in the previous section, go on to step 2.
2. Click Start, and click Run. The Run dialog box appears.
3. Type regedit and click OK. Registry Editor opens.

NOTE: If you see an error message or Registry Editor does not open, go back to and follow the instructions in the previous section.

4. Navigate to and select the following key:

HKEY_CURRENT_USER\\Software\\Emanuel

5. Press Delete, and then click Yes to confirm.

6. Navigate to and select the following key:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

7. Do one of the following:

Windows 95/98 users: In the right pane, look for and delete the following value:

Win32BaseServiceMOD        C:\\Windows\\System\\wintask.exe

Windows NT/2000 users: In the right pane, look for and delete the following value:

Win32BaseServiceMOD        C:\\Winnt\\System32\\wintask.exe

8. Press Delete, and click Yes to confirm.
9. Navigate to and select the following key:

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

CAUTION: The HKEY_CLASSES_ROOT key contains many subkey entries that refer to other file extensions. One of these file extensions is .exe. Changing this extension can prevent any files ending with an .exe extension from running. Make sure you browse all the way along this path until you reach the \\command subkey.

Modify the HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command subkey that is shown in the following figure:

<<Well, billede klippet. :)>>

<<=== NOTE: This is the key that you need to modify.

10. In the right pane, double-click the (Default) value.
11. Delete the current value data, and then type: \"%1\" %* (That is, type the following characters: quote-percent-one-quote-space-percent-asterisk.)

NOTE: Registry Editor will automatically enclose the value in quotation marks. When you click OK, the (Default) value should look exactly like this:
\"\"%1\" %*\"

Make sure you completely delete all value data in the command key prior to typing the correct data. If a space is left at the beginning of the entry, any attempt to run program files will result in the error message, \"Windows cannot find .exe.\" If this happens to you, start over at the beginning of this document, making sure to completely remove the current value data.

12. Restart the computer.

To delete the files left by the worm:
1. Click Start, point to Find, and click Files or Folders.
2. Make sure that \"Look in\" is pointing your hard drive, or all drives if this is an option.
3. Type emanuel*.exe in the Named box, and click Find Now.
4. Delete any copies that you find.
5. Click New Search.
6. Type wintask.* in the Named box, and click Find Now.
7. Delete any files named Wintask.exe located in the C:\\Windows\\System folder.

NOTE: If Norton AntiVirus is installed and running on this computer, you may be alerted that the files are infected when you complete the previous steps. If that happens, choose Delete and ignore any subsequent Windows messages that the file cannot be deleted. (This is Windows alerting you that it cannot find the specified file. It cannot find the file because it has already been deleted by Norton AntiVirus.)

8. Close the Find: All Files window.
9. Right-click the Recycle Bin icon on the Windows desktop, and click Empty Recycle Bin.

Paspå med disse virusalarmer herinde, det er ikke vellidt, uden dokumentation fra en af de kendte antivirus udbydere, Hvor har du set den advarsel hos dem?

Hvis det er mig, du spørger stammer ovenstående fra sarc.com (hvilket jeg også skriver)... Gå ind på sarc.com, under virus encyclopedia og søg på emanuel.exe eller navidad. Har selv haft den til at ryge i min virusskanner, så den er god nok.

Ingen hoax her.

Jeg vil give Kharder ret.

Virus warnings er til ikke særligt ønskede da de tit er Hoaxes.

http://www.symantec.com/ns-search/avcenter/hoax.html

Generelt gælder den regel at hvis du modtager filer fra nogen du ikke venter at få filer fra, eller hvis du får en .exe fil, når du venter en .jpg eller hvis en fil hedder .exe.bin eller har andre underlige endelser, så skal du slette mailen.

Jeg har inden for det sidste år modtaget over 50 virus warinings der var Hoaxes, og ikke en eneste virus.

Irritationen over de store mængder mails der er uden indhold irritere mig. Virus Hoaxes er i sig selv en virus, da de belaster nettet unødigt.

Forstil dig at du sender en virus hoax til 25 personer, der sender den til 25 personer, hvor i blandet du måske selv er på listen igen, og disse 25 personer sender den vidre igen (vi antaget at ingen bliver klogere) så er din mail til 25 personer nu nået ud til 15625 personer, der måske, måske ikke sender dem til 25 personer.

Så man kan hurtigt få spredt noget ud. Men man skal huske på at det er spamming lige meget om det er reelt eller en Hoax.

Om det så skulle være en virus, og ikke en hoax, så mener jeg ikke det kan være ekspertens job at virke som virus warning formidler.

Folk må selv holde deres ryg fri af den slags.

De fleste computere inficeres på grund af uforsigtighed.

Jeg har haft pc i 7-8 år, og aldrig haft en virus, end ikke den i dos tidens meget populære form virus. Jeg har været på internettet siden windows 95 kom på markedet!

Jeg fjerner af og til en virus fra en kammerats maskine, men disse maskiner har en ting til fældes, ingen antivirus software, eller en for gammel .dat fil.

Iorden

EOD herfra.

james_t_dk og kharder>>

Ja der er altid en masse falske virus alarmer, men jeg ved ikke lige om i har læst det i svarer på????? Jeg har modtaget denne mail.....ca 50 stks af dem. Ergo ved jeg med 100% sikkerhed at det ikke er et hoax, men tvært imod en virus som er ved at spredes. Jeg har kun haft en virus nogensinde og det var fordi jeg installerede en demo version af winzip for mange år siden. Jeg ved godt hvordan og hvad man skal gøre for at undgå virus, men landet ligger jo sådant at der altid vil være flere folk som ikke ved det end folk der ved det.............hvad skulle eksperten ellers være her for?????

At hjælpe den der ikke bruger livrem og seler.

Problemer kan ikke løses på forhånd.

Man kan ikke forudsige alt.

Hvis jeg kunne forudsige jordskælv med 100% nøjagtighed, ville der alligevel være folk der døde under jordskred og sammenfaldne bygninger.

Det er op til folk selv at rode med den måde de beskytter sig på, og du havde ikke dokumenteret at det var en virus.

Det ligger sådan at selv om at vi mennesker bliver advaret om fare (Aids, børn på vejen og farlige udspring) så er der stadig mange der kommer galt afsted (får aids, køre børnene ned eller springer på hovedet hvor vandet bare ikke er dybt nok) så selv om at der advares, så er der stadig nogen der får virussen.

Min mening er at vi ikke kan forbygge alt, derfor er det mere relevant at helbrede.

Følger man nogle simple regler får man ikke virus. Det er mere relevant at sprede disse simple regler.

Men husk at lukke dit spørgmål.

Ok lad os skrotte folkeskolen........folk hører jo ikke efter alligevel.

Jo! Vi gør, vi brokker os bare ikke!! ;o)

Det virker som om der er nogen der faktisk bor på/i der PC\'er. De bliver skide skuffet, hvis de ikke tjener et eller andet antal point\'s.

Kharder-> Hvem afgør hvad der er vellidt,, Jeg troede at eksperten var til for at hjælpe, den bedste hjælp du kan er at undgå problemer!

mnagler et \"få\" imellem \"kan-er\", her er det, sorry.. ;o)

hold kæft, nu kan jeg sgu\' heller ikke stave,, mnagler=mangler

Jeg følger en del med i hvad der sker på anti-virus fronten (Ligger nr. 1 i kategorien virus her på Eksperten.dk). Hvis det kunne være interessant for eksperten.dk kunne jeg da godt være medvirkende til en kategori med virus-advarsler. Det kunne være en seperat kategori man kunne tilmelde sig, men måske ikke alle kunne skrive til? (Så undgår man at folk bare skriver en advarsel som de har modtaget af en kammerat uden at tjecke den!) Jeg ved ikke om det er en ide som folk kan tilslutte sig?

http://www.eksperten.dk/spm/33106

Vi kunne også lave en virusadvarsels via aktiv list over icq, på ligefod, med den, som blev oprettet til ekspertbrugere.

Har haft en aktiv listserver kørende på min pc\'er i et stykke tid nu, for at se om den ville køre, og det ser ud til at der ingen problemer, så vi kunne da oprette en liste der hvis der skulle være interesse for det?

listens icq ID 105432498

Hej

Jeg syntes fcs ide med en kategori om virusadvarsler er god..den kunne evt også indholde en del links til diverse hoax-sites på nettet..(er selv i besiddelse af en del), der er desværre mange der hovedløst sender hoax videre til alle de kender, selvfølgelig i god tro, men *suk* hvor er det dog irriterende når man får 10-12 om ugen.

Jeg har gjort dette, at jeg har en standard-mail klar til diverse hoax-advarsler, mailen oplyser om, at advarslen er en hoax, og jeg sender så et link med, der henviser til et site på nettet, hvor man kan få det bekræftet. I mailen står der yderligere, at folk venligst bør undersøge om en advarsel er ægte inden de videresender den.
Og det har faktisk hjulpet, der er tyndet kraftigt ud i de hoax jeg modtager..*S*

Mht til bojohansen\'s advarsel, så er Navidad ægte nok, den cirkulerede meget kraftigt i dec. måned, og åbenbart desværre stadig.

James t dk> du skriver at det er bedre at helbrede end forebygge, sikke da noget vrøvl, forebyggelse er da langt at foretrække, ellers kunne det da være bedøvende ligegyldigt at have et opdateret antivirus-program på sin pc.

/mvh. Jean

kharder>> Jeg kan ikke hoppe på listen. Den står bare og søger efter den når jeg har indtaste id. Kører listen lige nu?

Jeg syntes at fcs\' ide er god. Hvis der var sådan en kategori herinde ville jeg da for one chekke den med jævne mellemrum.

God ide!

Jeg har stoppet listen , da jeg har haft besøg af hackere, og indtil jeg for sikret mit system køre listen ikke. ZoneAlarm eller andre af disse små Firewall er ikke tilstrækkelige, jeg håber på at kunne komme bag ved en winframe, så skulle det kunne komme til at køre igen.

Nu email virus med subject: Here you have ;o)

Jeg har lige modtaget 4 kopier.

Nu kan dette spørgsmål vis godt lukkes.