Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Babybear@mm

Aliassen: WORM_BABYBEAR.A

Eigenschappen

BabyBear is een virus wat niets te maken heeft met BugBear. Het virus verspreidt zich via e-mail middels twee verschillende onderwerpen namelijk 'Please confirm' en 'File you requested'.

Het virus zal het antivirusprodukten van Symantec beschadigen zodat deze niet (goed) meer werken en daarnaast zal het virus allerlei bestanden overschrijven of verwijderen.

Ook zal het virus het register aanpassen en heel veel lege mappen aanmaken op het systeem. Het virus verspreidt zich aan de hand van adressen die gevonden worden in het adressenboek.


Verwijder instructie's

1 - Zorg er voor dat je virusscanner up to date is en dat hij zo staat ingesteld dat hij in alle bestanden zoekt. Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in het geval van een online virusscan de namen van de geïnfecteerde bestanden op en schrijf ook op waar de bestanden staan zodat je ze later makkelijk terug kunt vinden.

2 - Start de pc op in de veilige modus.

3 - Start in de veilige modus de virusscanner door op Start en daarna op Programma's te klikken. Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. In het geval van de online virusscan moet je in de veilige modus de Windows Verkenner openen en de bestanden handmatig opzoeken en verwijderen door de bestanden aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Nadat je alle geïnfecteerde bestanden hebt verwijderd moet je niet vergeten om de prullenbak leeg te maken!! Als het virus in de zogenaamde 'restore map' van Windows Me of Windows XP wordt aangetroffen dan kun je die later verwijderen.

4 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen en je moet dan op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Door de sleutel aan te klikken met de linker muisknop en kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar (indien aanwezig) de waarden

"Msgmgr"= (pad naar het .exe bestand van het virus)
en
"Microsoft Corporation"= (pad naar het .exe bestand van het virus)

Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Sluit dan de register editor af.

5 - Open de Windows Verkenner, zoek de lege mappen op die door het virus op het systeem zijn gezet en verwijder ze. Ook hier moet je er op letten dat je na het verwijderen van de mappen de prullenbak leeg moet maken. Een volledige lijst met mappen kun je op deze pagina van Symantec vinden. De lijst staat onderaan de pagina onder het kopje 'List of folders that are copied to the C drive:'

6 - Sluit alle programma's af, start de pc op de normale manier op en als het virus bij gebruikers van Windows Me en Windows XP in de zogenaamde 'restore map' werd aangetroffen dan kun je hier lezen hoe je die moet verwijderen. Draai dan een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.


Maatregelen

Dit virus verspreid zich alleen door twee e-mail varianten, dus door mailtjes met de onderwerpen 'Please confirm' en 'File you requested' ongelezen van het systeem te verwijderen zit je al een heel eind in de goede richting. Daarnaast is het natuurlijk belangrijk om je virusscanner up to date te houden en niet zomaar klakkeloos elke mail te openen.

Bron: Trend Micro, Symantec



Copyright 2006 Virushelp