CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede zycho Nybegynder
31. januar 2002 - 00:46 Der er 25 kommentarer og
4 løsninger

"Life_Stages.shs.txt"

Modtog uheldigvis "Life_Stages.shs.txt" over mIRC forleden dag...

Har resulteret at jeg i 2 dage ik har kunne komme på IRC....Efter research på nettet har jeg fundet ud af det er en worm jeg har fået som spreder sig og kalder sig selv nye filnavne.....


Når jeg vil connecte Quakenet på IRC siger den:




*** Connecting to boomtown.dk.quakenet.org (6667)
-
-boomtown.dk.quakenet.org- *** Looking up your hostname
-
-boomtown.dk.quakenet.org- *** Found your hostname, cached
-
-boomtown.dk.quakenet.org- *** Checking Ident
-
-boomtown.dk.quakenet.org- *** Got ident response
-
PING? PONG!
-
Fix that LIFE_STAGES.TXT.SHS problem you have.
-
Closing Link: u|\|h0|_y by boomtown3.dk.quakenet.org (K-lined)
-
*** Disconnected



Jeg kan hilse og sige at hvis i får den så eksekver den endelig ik. Hvis i alligevel kommer til det ser det sådan her ud (screenshot): http://www.pchell.com/images/vbs_stages.gif


På sider som:

http://www.pchell.com/virus/stagesworm.shtml
http://www.bio.anl.gov/computers/antivirus/info/LIFE_STAGES_worm.htm
http://www.tcs.org/virusalert/lifestages.htm
http://www.utexas.edu/cc/ds/alerts/stages.html


Har jeg sidet og sat mig ind i den worm og fulgt vejlledning PRÆCIST til at fjerne den......

Jeg fandt sågar på Norton Antivirus side en .exe fil man kunne downloade som skulle fjerne alt skidtet fra den worm automatisk.....Det hjalp heller ik.


Skal siges jeg har 2 harddiske og jeg er sikker på at der må være noget på begge harddiske.....Den primære bruges til windows, irc og spil o.s.v....Den anden bruges til DATA (som jeg ik kan slette)........

Antivirus programmer finder ik noget på nogle af drevene :/ Og jeg har formateret det primære drev utallige gange og installeret Windows....Og så installeret mIRC, men kunne aldrig komme på Quakenet fordi jeg fik samme kedelige fejl.....Selvom jeg havde formateret.....Altså må der være sket noget inficering fra DATA drevet til det primære...


Den worm har ødelagt 2 dage for mig, hvor jeg har sidet og prøvet at få lortet til at virke og ik kunne være på IRC...Hvis jeg kunne havde jeg givet alle mine points, da det betyder meget for mig. PLZ HJÆLP!
Avatar billede cdc Novice
31. januar 2002 - 00:53 #1
download en trial version af mcafee og kig her: http://vil.nai.com/vil/content/v_98668.htm

/cdc
Avatar billede jefa Nybegynder
31. januar 2002 - 01:05 #2
Har du prøvet en online scanner http://housecall.antivirus.com/housecall/start_pcc.asp
Avatar billede zycho Nybegynder
31. januar 2002 - 01:07 #3
jep jeg har prøvet online scanner uden held..... :/
Avatar billede jefa Nybegynder
31. januar 2002 - 01:10 #4
http://www.symantec.com/avcenter/venc/data/vbs.stages.a.html
tool
http://www.symantec.com/avcenter/venc/data/fix.vbs.stages.html
Avatar billede jefa Nybegynder
31. januar 2002 - 01:11 #5
havde du fundet sorry...
Avatar billede cdc Novice
31. januar 2002 - 01:11 #6
http://www.symantec.com/avcenter/venc/data/fix.vbs.stages.html

denne skulle fixe det automatisk...

/cdc
Avatar billede zycho Nybegynder
31. januar 2002 - 01:13 #7
cdc > "Jeg fandt sågar på Norton Antivirus side en .exe fil man kunne downloade som skulle fjerne alt skidtet fra den worm automatisk.....Det hjalp heller ik." /taget fra mit spm.....

Det er den du har linket til jeg har prøvet.......Uden held :////
Avatar billede cdc Novice
31. januar 2002 - 01:28 #8
så må du prøve mcafee

/cdc
Avatar billede jefa Nybegynder
31. januar 2002 - 01:29 #9
Har du prøvet at køre det manuelt igennem med removel instructions og så samtigdig installeret et fuldt opdateret virus program. Så burde du jo kunne lokalisere hvor du har virusen liggende. Det er langsommeligt, men den har været High Risk hos Mcafee, fordi den er lidt kompliceret at fjerne.
Avatar billede yeti Nybegynder
31. januar 2002 - 07:40 #10
Installer AntiVir. Du kan hente den på www.free-av.com Og ja som url'en antyder er den gratis.

//Yeti
Avatar billede zycho Nybegynder
31. januar 2002 - 09:18 #11
Jeg prøver den gratis Antivirus og McAffe når jeg kommer hjem....

Jeg har dog allerede prøvet med Noron Antivirus 2001 (og opdateret den, så den skulle være i stand til at finde det nyeste).....
Avatar billede fcs Novice
31. januar 2002 - 10:54 #12
Hvad med et prøve : http://download.nai.com/products/mcafee-avert/killstag.zip

Her er der en metode til at fjerne den: http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=VBS_STAGES

Husk at scanne bagefter, f.eks. med http://housecall.antivirus.com eller www.pandasoftware.com
Avatar billede thesaint Nybegynder
31. januar 2002 - 12:10 #13
Zyhco>

Det eneste fix der virker efter hensigten på denne gamle VisualBasic orm er:

http://www.antivirus.com/vinfo/security/FIXSTAGE.exe

Du skal dog nødvendigvis stadig opdatere dine signaturfiler, men ovenstående fjerne de filer der er blevet droppet af ormen.

;-)  Return og The Saint
Avatar billede thesaint Nybegynder
31. januar 2002 - 12:11 #14
Zyhco>> Sorry

Det eneste fix der virker efter hensigten på denne gamle VisualBasic orm er:

http://www.antivirus.com/vinfo/security/FIXSTAGE.exe

Du skal dog nødvendigvis stadig opdatere dine signaturfiler, men ovenstående fjerne de filer der er blevet droppet af ormen.

;-)  Return of The Saint
Avatar billede zycho Nybegynder
31. januar 2002 - 12:14 #15
hvordan opdaterer jeg signatur filerne thesaint ?
Avatar billede thesaint Nybegynder
31. januar 2002 - 13:03 #16
zycho>
Hvilken AV-applikation anvender du?
Avatar billede professoren Nybegynder
31. januar 2002 - 13:34 #17
Life stages er en VBS virus.  Jeg har allerede posted en liste over anti-VBS programmer.

Due to a decrease in submissions, this worm has been downgraded to a threat level 2 as of December 7, 2000.

This worm appears as an attachment named Life_stages.txt.shs. When you run the attachment it opens a text file in Notepad. The text file describes the male and female stages of life. While you are reading the text file, a script is running in the background. This worm spreads itself using Outlook, ICQ, mIRC, and PIRCH.

NOTE: An .shs file is a Microsoft Scrap Object file. These types of files are executable and can contain a wide variety of objects. The scrap object (.shs) extension does not appear in Windows Explorer even if all file extensions are displayed.

SARC suggests that corporate customers configure their email filtering systems to filter out or stop all incoming emails that have attachments with .shs extensions.

Click here to download tool to repair VBS.Stages.A damage.


Also Known As: IRC/Stages.worm, Life_Stages Worm, VBS_Stages.A, Bloodhound.VBS.Worm

Type: Worm

Infection Length: 39,936 bytes

Virus Definitions: June 16, 2000
Avatar billede thesaint Nybegynder
31. januar 2002 - 13:35 #18
zycho>

Nå, anyway, hvis du ikke umiddelbart anvender et af de mere kendte antivirus-programmer, så kig evt. herunder:

Hos Central Command:

http://www.centralcommand.com/trialregister.html

Hos Sophos:

http://sophos.com/downloads/beta/netware_1066_form.html

Hos Computer Associates:

http://www.ca.com/solutions/enterprise/etrust/downloads/internet_def.htm

Jeg vil ikke anbefale nogle fremfor andre, men sidstnævnte får du ihvert fald ikke problemer med og den henter signaturfilerne automatisk.
Avatar billede professoren Nybegynder
31. januar 2002 - 13:35 #19
fixet er:

VBS.Stages.A Fix


Printer-friendly version  Tell a Friend 

Symantec has developed a tool to remove the changes to a computer system caused by VBS.Stages.A worm. Please follow the directions below.

If you are running this tool on Windows NT or Windows 2000, you must log in with at least the same privileges as were used when the worm originally infected the system.

Download this file to your Desktop.
BE SURE TO SAVE IT TO YOUR DESKTOP!

File: fixlife.exe

To run automatically, click Start, Run. Then type the following in the Run dialogue box:

C:\Windows\Desktop\fixlife.exe

Click Enter.

Using the Windows desktop directory is only a suggestion that may help novice users know where to store this tool. The Windows desktop directory may not be c:\windows\desktop on all systems. Other valid paths may be used if desired.

Note: When this tool is launched a dialog will appear that instructs the user to start the repair. When it is finished it will indicate whether or not the computer was infected. If the user wants the tool to run without displaying the dialog the user should supply the '/auto' command line switch in the following manner:

C:\Windows\Desktop\fixlife.exe /auto

This tool performs the same actions as listed in the Manual Removal Instructions below.

Fixlife.exe is digitally signed. Symantec recommends only using copies of fixlife.exe that have been downloaded directly from this site. The following tool is available to verify the digital signature of fixlife.exe.

To verify the digital signature of fixlife.exe using chktrust.exe:

1. Go to http://www.wmsoftware.com/free.htm
2. Download and save chktrust.exe into the same directory where fixlife.exe is located.
3. Launch the MS-DOS prompt via the Start/Programs/MS DOS prompt menu.
4. Change to the directory where fixlife.exe and chktrust.exe are stored. If the files were saved to the desktop folder the command to enter in the MS DOS prompt is:

cd \windows\desktop

5. Type the following command to check the digital signature of fixlife.exe:

chktrust -i fixlife.exe

6. If the digital signature is valid you will see a dialog asking the following question:

Do you want to install and run "Fix Life Utility" signed on 6/19/2000 9:06 PM and distributed by Symantec Corporation.

NOTES:
The date and time that are displayed in this dialog will be adjusted to your timezone if your computer is not set to the Pacific time zone. For example, if you live in the Eastern time zone the date and time you will see will be 6/20/2000 12:06 AM.
If you are using Daylight Saving time, the time that is displayed will be exactly one hour earlier.
If this dialog does not appear or the date and time are not properly adjusted for your timezone do not use your copy of fixlife.exe. It is not from Symantec.
If this dialog appears and the text is correct for your timezone this copy of fixlife.exe is from Symantec.

7. Click the "Yes" button to dismiss the chktrust dialog.
8. Type exit and then press the enter key. This will terminate the MS DOS session.
Avatar billede professoren Nybegynder
31. januar 2002 - 13:38 #20
jeg fandt en lille anti-VBS utility til dig, den er gratis!

Anti-VBScript 1.13
Prevent viruses from executing with this software.
OS: Windows 95/98/Me/NT/2000    09-10-01  Free  4 KB
Avatar billede thesaint Nybegynder
31. januar 2002 - 13:39 #21
professoren>

Alt for besværligt.
Fixet fra Trend Micro: http://www.antivirus.com/vinfo/security/FIXSTAGE.exe kører lige igennem og man skal ikke bruge unødig tid på verifikation af digital signatur fra wmsoftware

;-)
Avatar billede zycho Nybegynder
31. januar 2002 - 14:10 #22
hmmmmmm.....Jeg har prøvet de 2 .exe filer.......

Og det hjælper ik........

BTW: Jeg kan godt connecte til f.eks. EFnet over IRC men ikke Quakenet ?

Den siger ik noget hvis jeg vil connecte EFnet men Quakenet siger den den der fejl med Life_Stages........
Avatar billede thesaint Nybegynder
31. januar 2002 - 14:13 #23
Kan du ikke prøve at køre en REGEDIT og fjerne så meget som du kan manuelt.

Forstår det ikke da FIXSTAGE.exe har løst problemet før for andre i lignende situation.

;-)
Avatar billede zycho Nybegynder
31. januar 2002 - 14:16 #24
Thesaint.......Jeg har både brugt de automatiserede progs som FIXSTAGE.exe og Fixlife.exe og har os selv fjernet filerne manuelt og også været inde i regedit og fixxe det der skulle laves om.....

Men jeg kan stadig ik connecte til Quakenet...... :-/ De der exe filer siger os at den ik kan finde lige_stage og dens rester så...........

Og Professoren > Det der du har skrevet er jo bare kopieret på de sider jeg har været inde og læse om :( Ellers tak.....
Avatar billede thesaint Nybegynder
31. januar 2002 - 14:26 #25
zycho>
Ok.
Life is hard
Hvilket antivirusprogram anvender du?
Hvis noget mindre anerkendt så gør dig den tjeneste at hente AV-delen fra Computer Associates og lad den scanne dit system, efter at du endnu engang kører det pågældende FIXSTAGE.exe

Ormen kan eventuelt stadig droppe filer, så let's be carefull out there.

Det skal bare virke.

;-)
Avatar billede zycho Nybegynder
31. januar 2002 - 14:48 #26
Bruger Norton Antivirus 2001 med nyeste update!!!!!!! Den finder ik noget. Så er det bare at jeg tænker.......Når Norton ikke finder noget. Hvorfor skulle de andre små programmer så gøre det `? :) Men det er jo ik udelukket. Alt må prøves.......
Avatar billede zycho Nybegynder
31. januar 2002 - 15:09 #27
Fortsat svar fra professoren
31/01-2002 13:38:38    jeg fandt en lille anti-VBS utility til dig, den er gratis!

Anti-VBScript 1.13
Prevent viruses from executing with this software.
OS: Windows 95/98/Me/NT/2000    09-10-01  Free  4 KB 


Hvor henne ?
Avatar billede zycho Nybegynder
31. januar 2002 - 16:07 #28
Jeg prøvede 3 ting.....

- killstag.zip
- www.free-av.com <- AV prog (den siger den ingen virus fandt)
- chktrust.exe

En eller flere af de 3 ting gjorde at det nu virker. Ved ik hvad for noget af der løse problemet....jeg fordeler point ud.....Synes dog The saint gjorde den største indsats så han får flest point :P
Avatar billede zycho Nybegynder
31. januar 2002 - 16:28 #29
Tusind tak for hjælpen BTW :) I har tilsammen redet min største katastrofe ever ;) hehe
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 20 07/05/202421:02 11/05/202417:39
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
IT-JOB

Metroselskabet og Hovedstadens Letbane

IT Applikationsmanager

Familieretshuset

Engageret IT-konsulent til digitalisering

GapSolutions A/S

Informationssikkerhedskonsulenter

Itm8

Supportspecialist

Udviklings- og Forenklingsstyrelsen

Systemejer med teknisk flair
Seneste spørgsmål Seneste aktivitet
I går 21:43 i En Access rapport Af pouls i Access
11/0518:37 windows tablet står på en anden adresse Af jpc1 i Andet software
09/0517:49 iCal-feed og import til google kalender driller Af nemlig i PHP
08/0513:47 Virker vores webshop troværdig? Noget der skal ændres? Af jonaslo98 i Webdesign
08/0513:16 Få excel til at indsætte værdi i månedsfelter ud fra start og stop dato Af CBH i Excel
White papers
Flere white papers »


Premium
Teaser billede
Microsofts Danmarks CTO: Sådan arbejder vi med at implementere AI-chatbots hos kunderne
Læs mere »
Netcompany vinder en af sine største kontrakter nogensinde: Skal modernisere skattesystem for mere end en milliard kroner
Store overskridelser af statslige it-projekter bliver en sag for regeringen: Afkræves bud på løsninger
Oracle er eneste mulighed: Region Sjælland tvunget til at indgå million-aftale uden konkurrence
Se alle »
Computerworld
Teaser billede
Mød det tyndeste Apple-produkt nogensinde: Klar med en hel stribe af iPad-nyheder
Læs mere »
Guide: Sådan surfer du under hackernes radarer – via en VPN-forbindelse
Opdater din browser med det samme: Stor sårbarhed rammer Chrome og en række andre browsere
Kontorer er ofte øde og tomme - især efter frokost og op til ferier: Nu vil Dell give de ansatte farve-stempler efter deres fremmøde
Se alle »
CIO
Teaser billede
Her er de bedste Microsoft-partnere i Danmark – mere end 30 selskaber kæmper om priser til årets Partner Awards
Læs mere »
2,7 millioner medlemmer kan ikke få udbetalt tilskud: Nyt it-system lukker Sygeforsikring Danmark helt ned i to uger
Oracle er eneste mulighed: Region Sjælland tvunget til at indgå million-aftale uden konkurrence
Microsoft på vej med redningskrans til brugere af gammel version af SQL Server
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Læs mere »
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Sådan høster du forretningsfordelene ved Internet of Things
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »