Pomocy - Happy99

Masz problem? Zapytaj na forum elektroda.pl z bramką pl.misc.elektronika!

Wiadomoć

From: "Jarek P." <j_23_at_nospam_friko.onet.pl>
Subject: Pomocy - Happy99
Date: 16 Mar 1999 15:59:23 GMT

Potrzebuje pomocy....

Zarazilem komputer Happy99.exe, jestem tego pewien, bo po prostu po
dostaniu przesylki z ta cholera, ja uruchomilem (przesylka byla od kumpla).
Efekty jego dzialania sa zgodne z tym, co o nim pisza w listach
dyskusyjnych (ja je widze w postaci znacznego spowolnienia wszelakich
transmisji modemowych, wszystko mi dziala kilka razy wolniej). Zgodnie z
tymi opisami przeszukalem system w pogoni za plikami Happy.*, *.ska, itp. i
nic nie znalazlem. Jedynie w rejestrach znalazlem takie wpisy:
b=happy*.*
c=*.ska

f=ska.*

Oczywiscie zostaly wykasowane, ale nie przynioslo to zadnej poprawy. Bede
wdzieczny za jakies wskazowki, gdzie bydle sie zagniezdza i jak je usunac.
Pracuje na NT4.0 (wiem, ze to mogila nie system, ale nie mam wyboru)

Jarek

j_23_at_nospam_friko.onet.pl

Poprzedni

Następny

Wiadomoć

spis treści

From: "Grzegorz" <g_lis_at_nospam_microtech.com.pl>
Subject: Re: Pomocy - Happy99
Date: Tue, 16 Mar 1999 18:20:22 GMT

Jarek P. napisał(a) w wiadomości: <01be6fc6$2cc2bc40$0364a8ac_at_nospam_zywiec>...

Potrzebuje pomocy....

Zarazilem komputer Happy99.exe, jestem tego pewien, bo po prostu po
dostaniu przesylki z ta cholera, ja uruchomilem (przesylka byla od kumpla).
Efekty jego dzialania sa zgodne z tym, co o nim pisza w listach
dyskusyjnych (ja je widze w postaci znacznego spowolnienia wszelakich
transmisji modemowych, wszystko mi dziala kilka razy wolniej). Zgodnie z
tymi opisami przeszukalem system w pogoni za plikami Happy.*, *.ska, itp. i
nic nie znalazlem. Jedynie w rejestrach znalazlem takie wpisy:
b=happy*.*
c=*.ska

f=ska.*

Oczywiscie zostaly wykasowane, ale nie przynioslo to zadnej poprawy. Bede
wdzieczny za jakies wskazowki, gdzie bydle sie zagniezdza i jak je usunac.
Pracuje na NT4.0 (wiem, ze to mogila nie system, ale nie mam wyboru)

Mam taką informację:

If the worm is detected in your system you can easy get rid of it just by
deleting SKA.EXE and SKA.DLL files in the system Windows directory. You
also should delete the WSOCK32.DLL file and replace it with WSOCK32.SKA
original file. The original HAPPY99.EXE file should be also located and
deleted.

To protect your computer from re-infection you need just to set Read-Only
attribute for the WSOCK32.DLL file. The worm does not pay attention to
Read-Only mode, and fails to patch the file. This trick was discovered by
Peter Szor at DataFellows http://www.datafellows.com

...więc zasyłam.

Grzegorz

Poprzedni

Następny

Wiadomoć

spis treści

From: "Tawez" <tawez_at_nospam_friko6.onet.pl>
Subject: Re: Pomocy - Happy99
Date: Tue, 16 Mar 1999 21:19:07 GMT

Grzegorz napisał:

Jarek P. napisał(a) w wiadomości: <01be6fc6$2cc2bc40$0364a8ac_at_nospam_zywiec>...

Potrzebuje pomocy....
Zarazilem komputer Happy99.exe, jestem tego pewien....>

Mam taką informację:

If the worm is detected in your system you can easy get rid of it just by
deleting SKA.EXE and SKA.DLL files in the system Windows directory. You
also should delete the WSOCK32.DLL file and replace it with WSOCK32.SKA
original file. The original HAPPY99.EXE file should be also located and
deleted.

To protect your computer from re-infection you need just to set Read-Only
attribute for the WSOCK32.DLL file. The worm does not pay attention to
Read-Only mode, and fails to patch the file. This trick was discovered by
Peter Szor at DataFellows http://www.datafellows.com

...więc zasyłam.

Wszystko sięzgadza.
Dodatkowo w pliku liste.ska (również w katalogu systemowym)
zapisane są adresy skrzynek pod które Happy99.worm się wysłał.

Grzegorz

Tawez

Poprzedni

Następny

Wiadomoć

spis treści

From: Dominik =?iso-8859-2?Q?Jesio=B3owski?= <dominiq_at_nospam_usa.net>
Subject: Re: Pomocy - Happy99
Date: Wed, 17 Mar 1999 10:44:23 +0100

"Jarek P." wrote:

Oczywiscie zostaly wykasowane, ale nie przynioslo to zadnej poprawy. Bede
wdzieczny za jakies wskazowki, gdzie bydle sie zagniezdza i jak je usunac.
Pracuje na NT4.0 (wiem, ze to mogila nie system, ale nie mam wyboru)

Mogila nie system?
Slyszalem ze Happy go nie zaraza! (mimo uruchomienia).

Pozdrawiam
Dominik Jesiołowski

Poprzedni

Następny

Wiadomoć

spis treści

From: "Jarek P." <j_23_at_nospam_friko.onet.pl>
Subject: Re: Pomocy - Happy99
Date: 17 Mar 1999 11:49:14 GMT

Dominik Jesiołowski <dominiq_at_nospam_usa.net> napisał(a) w artykule
<36EF7977.218C6078_at_nospam_usa.net>...

Mogila nie system?
Slyszalem ze Happy go nie zaraza! (mimo uruchomienia).

Dzięki za rady.
Wszystkie moje dotychczasowe wiadomosci na temat tego wirusa pochodza z
pliku tekstowego, który zalaczam. Wedlug niego NT sie zaraza, zreszta wpisy
w rejestrach o tym swiadczace mialem. Tyle tylko, ze w zupelnie innej
sekcji, niż Roland pisze. Zadnych innych sladów nie znalazlem. Czy w
zwiazku z tym moge uznac, ze zarazilem sie nie do konca? Albo, ze wirus
"zmutowal" i wpisuje sie inaczej? Nie wiem zreszta jaka jest natura jego
dzialania. Czy spowalnianie o ktorym pisze Roland jest zwiazane jedynie z
tym, ze bydlak sie dolacza do kazdej przesylki (u mnie sie nic nie dolacza,
w formie jawnej przynajmniej) zwiekszajac tym samym jej objetosc, czy tez
wynika to z jakichs zlosliwych procedur spowalniajacych transmisje. U mnie
w kazdym razie mniej wiecej od momentu zarazenia obserwuje np. bardzo
wielkie problemy z newsami (na roznych serwerach). Po nawiazaniu polaczenia
i zaznaczeniu artykulu, komputer zaczyna go ciagnac po czym przerywa np na
10 minut. Jesli przerwe i zaczne od nowa, podejmuje prace natychmiast, ale
zwykle sie to konczy podobnie, tyle ze w innym momencie. Jesli wykonam
operacje "rozlacz" i "polacz", czesto bardzo dlugo serwer "nie chce" sie
laczyc. Wiem, ze opisuje tutaj normalne problemy kazdego internauty
laczacego sie przez TPSA, jednak w tym sek, ze nigdy przed tem nie
wystepowaly one w tak wielkim natezeniu, zmiana jest o kilka rzedow
wielkosci. jeszcze miesiac temu zaznaczalem np. 20 - 30 tematow newsowych
(nawet takich z grafika), szedlem zrobic sobie herbate i po powrocie mialem
je wszystkie sciagniete lacznie z zalacznikami, a obecnie po 15 minutach
moze nie byc sciagniety nawet jeden. Strony www laduja sie w miare
normalnie, w kazdym razie nie widze wiekszych roznic.

Jarek

j_23_at_nospam_friko.onet.pl
begin 600 happy.txt
M4')O9W)A;2!H87!P>3DY+F5X92!J97-T(&MO;FEE;2!T<F]J8?%S:VEM+"!P
M;W=S=&&S('<_at_nospam_='EM(')O:W4N#0I$;V)R>F4_at_nospam_OV4_at_nospam_:F5S="!D;YSF('!R;W-T
M>2!D;R!U<W5N:>IC:6$_at_nospam_=VGJ8R!N:64_at_nospam_8NID>FEE8VEE(&UI96QI('H_at_nospam_='EM
M('!R;V)L96WS=RX-"EH_at_nospam_<')O9W)A;6%M:2!A;G1Y=VER=7-O=WEM:2!M;[]E
M8VEE(&1AYB!S;V)I92!S<&]K\VHL('=IZFMS>F^<YB!G;R!N:64_at_nospam_=VED>FDN
M#0I.:64_at_nospam_:W)A9&YI92!H87-ELRP_at_nospam_;6EE<WIA(&>S;W=N:64_at_nospam_=R!P;V-Z8VEE
M+_at_nospam_T*57)U8VAA;6EA('-IZB!T>6QK;R!N82!W:6YD;W=S)V%C:"!.5"!I(#DU
M+SDX(')E<WIT82!S>7-T96WS=R!J97-T(&)E>G!I96-Z;F$L('>SN6-Z;FEE
M('H_at_nospam_=VEN9&]W<V5M(#,N6"X-"D-I96MA=V]S=&NY(&IE<W0_at_nospam_=&\L(+]E(')O
M>G-YLV$_at_nospam_<VGJ('-A;2!D;R!W>6)R86YY8V_at_nospam__at_nospam_;W/S8B!Z('1W;VIE:B!S:W)Z
M>6YK:2!P;V-Z=&]W96H_at_nospam_*'H_at_nospam_<F5G=;-Y('H_at_nospam_='EM:2!C;R!R;WIM87=I86UY
M*2X_at_nospam_#0H-"_at_nospam_T*36&S92!I;F9O(&IA:R!S:>H_at_nospam_9V\_at_nospam_<&]Z8GGF+_at_nospam_T*#0HQ+B!0
M<GIE:F2?(&1O('1R>6)U($U37T1/4R B4W1A<G0_at_nospam_+2!:86UK;FEJ('-Y<W1E
M;2 M(%5R=6-H;VT_at_nospam_:V]M<'5T97(_at_nospam_=R!T<GEB:64_at_nospam_35,M1$]3(_at_nospam_T*#0H-"C(N
M(%<_at_nospam_=')Y8FEE($1O<V$_at_nospam_;F%L9;]Y('=Y:V]N8>8_at_nospam_;F%S=.IP=6JY8V4_at_nospam_;W!E
M<F%C:F4Z#0HM(&-D("]724XY-2]365-414T_at_nospam_*"!O8WIY=VF<8VEE(&1O(&MA
M=&%L;V=U('<_at_nospam_:W3S<GEM(&UA<WH_at_nospam_=VEN82D-"BT_at_nospam_9&5L('-K82YE>&4-"BT_at_nospam_
M9&5L('-K82YD;&P-"BT_at_nospam_8V]P>2!W<V]C:S,R+G-K82!W<V]C:S,R+F1L; T*
M+2!D96P_at_nospam_=W-O8VLS,BYS:V$-"BT_at_nospam_97AI=" -"_at_nospam_T*,RX_at_nospam_4&\_at_nospam_=V5JG&-I=2!D
M;R!W:6YD;W=S82!N86-I<VMA;7D_at_nospam_(E-T87)T("T_at_nospam_57)U8VAO;2(_at_nospam_=W!I<W5J
M96UY(")R96=E9&ET(BX-"E5R=6-H;VUI('-IZB!E9'ET;W(_at_nospam_<F5J97-T<O-W
M('=C:&]D>FEM>2!D86QE:B B2$M%65],3T-!3%]-04-(24Y%(B M(")3;V9T
M=V%R92(_at_nospam_+2 B36EC<F]S;V9T(B M(")7:6YD;W=S(B M(")#=7)R96YT5F5R
M<VEO;B(N#0I0;W=I;FEE;B!Z;F%J9&]W8>8_at_nospam_<VGJ('1A:R!P;&EK('-K82YE
M>&4_at_nospam_*'H_at_nospam_<')A=V5J('-T<F]N>2DL(&]C>GEW:9QC:64_at_nospam_=7-U=V%M>2!G;RX-
M"DUOOV5M>2!J97-Z8WIE('-P<F%W9'IIYB!C>GD_at_nospam_;FEE('-I961Z:2!G9'II
M99P_at_nospam_=R!S>7-T96UI92!Z82!P;VUO8YH_at_nospam_:V]M96YD>2 B1FEN9"(_at_nospam_*&?S<FYE
M(&UE;G4I+_at_nospam_T*27-T;FEE:F4_at_nospam_;6^_;&EW;YSF("AU(&UN:64_at_nospam_=&%K(&)YLV\I
M+""_92!P;&EK('IA<&ES8;,_at_nospam_<VGJ(&YI92!J86MO('-K82YE>&4_at_nospam_82!J86MO
M(&AA<'!Y+_at_nospam_T*3F%L9;]Y('IA('!O;6]CN2!K;VUE;F1Y(")&:6YD(B!P;W-Z
M=6MAYB!T86N_92!P;&EK=2 B:&%P<'DB+B!/8WIY=VF<8VEE(&IA:R!Z;F%J
M9'II96-I92!T;R!S:V%S;W=AYBX-"_at_nospam_T*-"X_at_nospam_3W-T871N:6$_at_nospam_8WIY;FYOG.8_at_nospam_
M=&\_at_nospam_<W!R87=D>F5N:64_at_nospam_:2!P;W=I861O;6EE;FEE(&]S\V(L(&MT\W)E('=Y
M('IA:6YF96MO=V%L:9QC:64N#0I7:>IC('1A:R!W(&MA=&%L;V<_at_nospam_=VEN.34O
M<WES=&5M(&IE<W0_at_nospam_<&QI:R!L:7-T92YS:V$L(&YI;2!Z;F%J9'II96-I92!L
M:7-TZB!O<_-B(&MT\W)Y;2!W>7.S86QIG&-I92!F97)A;&ZY('=I861O;6^<
MYB H<&QI:R!O='=I97)A('-IZB!P;V0_at_nospam_=W-Z>7-T:VEM('=IZF,_at_nospam_>B!E9'EC
M:KD_at_nospam_;FEE(&+J9'II92!P<F]B;&5M=2DN#0I0;W=I861O;6-I92!I8V_at_nospam__at_nospam_;R!T
M>2 L(&YA:FQE<&EE:B!P;V1A:F-I92!I;G-T<G5K8VKJ(&IA:R!S:>H_at_nospam_9V\_at_nospam_
M=7-U=V$N#0I$;R!M;FEE(&1O8VAO9'JY(#,_at_nospam_=VEA9&]M;YQC:2!T96=O('1Y
M<'4_at_nospam_9'II96YN:64_at_nospam_=VGJ8R!U=V&_86IC:64N#0H-"E!O>F1R87=I86T-"E)O
$;&%N9'II
`
end

Poprzedni

Następny

Wiadomoć

spis treści

From: Roch <roch_at_nospam_ikar.t17.ds.pwr.wroc.pl>
Subject: Re: Pomocy - Happy99
Date: Wed, 17 Mar 1999 21:00:48 +0100

"Jarek P." wrote:
[...]ales sie rozpisal

=

Jarek

napisales ze niby nic juz sie nie dolacza ,w takim razie co to za smiec
byl dolaczony do listu z 12-49 ?

j_23_at_nospam_friko.onet.pl
begin 600 happy.txt
M4')O9W)A;2!H87!P>3DY+F5X92!J97-T(&MO;FEE;2!T<F]J8?%S:VEM+"!P
M;W=3DS=3D&&S('<_at_nospam_=3D'EM(')O:W4N#0I$;V)R>F4_at_nospam_OV4_at_nospam_:F5S=3D"!D;YSF('!R;W-T
M>2!D;R!U<W5N:>IC:6$_at_nospam_=3DVGJ8R!N:64_at_nospam_8NID>FEE8VEE(&UI96QI('H_at_nospam_=3D'EM

=2E...itd
Zaloz sobie druga skrzynke i potestuj poczte .
A NT sie zara=BFa jak ktos ma za duze prawa . Zwykly luser i jego procesy=
=

w system32 ma tylko change.
Roch

Poprzedni

Następny

Wiadomoć

spis treści

From: "Jarek P." <j_23_at_nospam_friko.onet.pl>
Subject: Re: Pomocy - Happy99
Date: 18 Mar 1999 09:31:41 GMT

Roch <roch_at_nospam_ikar.t17.ds.pwr.wroc.pl> napisał(a) w artykule
<36F009F0.5CA1FF33_at_nospam_ikar.t17.ds.pwr.wroc.pl>...

Jarek

napisales ze niby nic juz sie nie dolacza ,w takim razie co to za smiec
byl dolaczony do listu z 12-49 ?

Zaloz sobie druga skrzynke i potestuj poczte .
A NT sie zaraża jak ktos ma za duze prawa . Zwykly luser i jego procesy
w system32 ma tylko change.
Roch

----------

Fakt, rozpisalem sie, ale sam czytaj uwazniej. O tym smieciu pisze w
tekscie, ze go dolaczam sam. To tylko plik tekstowy, nie slyszalem jeszcze
o wirusach siadzacych w czyms takim.
A co do NT, to niestety (w tym przypadku, bo pozatym raczej sie z tego
ciesze) mam prawa administratora.

Poprzedni

Następny

Wiadomoć

spis treści

From: "Jarek P." <j_23_at_nospam_friko.onet.pl>
Subject: Re: Pomocy - Happy99
Date: Wed, 17 Mar 1999 19:43:57 GMT

Dominik Jesiołowski <dominiq_at_nospam_usa.net> napisał(a) w artykule
<36EF7977.218C6078_at_nospam_usa.net>...

Mogila nie system?
Slyszalem ze Happy go nie zaraza! (mimo uruchomienia).

Pozdrawiam
Dominik Jesiołowski