Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Bagz.D@mm

Aliassen: W32/Bagz.d@MM [McAfee], W32/Bagz-C [Sophos], I-Worm.Bagz.c [Kaspersky], WORM_BAGZ.C [Trend Micro], Win32.Bagz.D [Computer Associates]

Eigenschappen

Deze variant van Bagz verspreidt zich via e-mail. De eigenschappen zullen steeds verschillend zijn, alleen de bijlage zal telkens een .exe of .zip bestand zijn. Let er op dat de afzender die in de mail genoemd wordt niet de echte afzender is.

Het virus zal diverse processen stop zetten die te maken hebben met de beveiliging van je pc, en daarnaast zal het hosts bestand aangepast worden waardoor het niet meer mogelijk is om bepaalde pagina's te bezoeken en/of antivirus programma's te updaten.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'rpc32.exe' in de standaard System map van Windows. De exacte naam van deze map zal per Windowsversie verschillen, want onder Windows 95, 98 en Me zal het bijvoorbeeld de map c:\windows\system zijn, terwijl het onder Windows NT en 2000 c:\winnt\system32 zal zijn. Onder Windows XP zal het gaan om de map c:\windows\system32.


Verwijder instructie's

1 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen uit zetten.

2 - Beëindig de taak van het bestand 'rpc32.exe'. Dit kun je doen door op de toetsen CTRL+ALT+DEL te drukken en op die manier Taakbeheer te openen. Zoek daar het bestand op en stop het door het aan te klikken en daarna te klikken op 'taak beëindigen'. Sluit vervolgens Taakbeheer af.

3 - Klik op Start en daarna op uitvoeren. Type dan in de balk het woord 'services.msc' (zonder de ' tekens) en druk dan op Enter. Zoek en selecteer vervolgens de service 'Network Explorer' en klik op 'stop'. Verander 'startup type' in 'handmatig', klik op 'ok' en sluit dan het venster.

4 - Start de pc vervolgens opnieuw op, maar dan in de veilige modus.

5 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 f-secure.com
127.0.0.1 fastclick.net
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 vupdate.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

6 - Start de pc op de normale manier op, installeer je virusscanner opnieuw en zorg er voor dat hij zo veel mogelijk up to date is. Draai vervolgens een volledige systeemscan en verwijder alle geïnfecteerde bestanden die gevonden worden. In sommige gevallen is het mogelijk dat de virusscanen bepaalde bestanden niet kan verwijderen, en in dat geval moet je de pc weer even opstarten in de veilige modus en het dan nog eens proberen.


Maatregelen

1 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

2 - Open geen mail die je niet verwacht, maar verwijder deze ongelezen van het systeem.

Bron: Symantec, McAfee, Trend Micro



Copyright 2006 Virushelp