Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Bagz.F@mm

Aliassen: WORM_BAGZ.E [Trend Micro], I-Worm.Bagz.f [Kaspersky], W32/Bagz.f@MM [McAfee], Win32.Bagz.E [Computer Associates]

Eigenschappen

Ook deze variant van Bagz zal zich verspreiden via e-mail. De eigenschappen van de mail zullen steeds verschillend zijn en het enige wat er eigenlijk over te melden valt is dat de bijlage altijd een .exe of .zip bestand zal zijn.

Het virus zal diverse programma's uitschakelen die te maken hebben met de beveiliging van je pc en zal daarnaast het hosts bestand overschrijven zodat bijvoorbeeld pagina's van antivirusbedrijven niet meer bezocht kunnen worden en virusscanners niet meer ge-update kunnen worden.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'sysinfo32.exe' wat in de standaard System map van Windows gevonden zal worden. De exacte naam van deze map zal per Windowsversie verschillen want onder Windows 95, 98 en Me zal het bijvoorbeeld om de map c:\windows\system gaan, terwijl het onder Windows NT en 2000 om de map c:\winnt\system32 zal gaan. Onder Windows XP zal het gaan om de map c:\windows\system32.


Verwijder instructie's

1 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen uit zetten.

2 - Start de pc vervolgens opnieuw op, maar dan in de veilige modus.

3 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

4 - Start de pc op de normale manier op, installeer je virusscanner opnieuw als die niet meer werkt en zorg er voor dat hij zo veel mogelijk up to date is. Draai vervolgens een volledige systeemscan en verwijder alle geïnfecteerde bestanden die gevonden worden. In sommige gevallen is het mogelijk dat de virusscanen bepaalde bestanden niet kan verwijderen, en in dat geval moet je de pc weer even opstarten in de veilige modus en het dan nog eens proberen.

5 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

waaronder de sleutel 'ALEXORA' staat, en die dien je in zijn geheel te verwijderen. Dit kun je doen door de sleutel aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Eventueel moet je hem eerst aanklikken met de linker muisknop.

6 - Sluit alle programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus ook daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

2 - Open geen mail die je niet verwacht, maar verwijder deze ongelezen van het systeem.

Bron: Symantec, Trend Micro



Copyright 2006 Virushelp