Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    Backdoor.Berbew.O

Aliassen: Win32.Webber [Computer Associates], Backdoor.Win32.Padodor.am [Kaspersky Lab], BackDoor-AXJ [McAfee], Troj/Padodor-T [Sophos], TROJ_PADODOR.AM [Trend Micro]

Eigenschappen

Deze trojan is in eerste instantie bedoeld om wachtwoorden van een geïnfecteerd systeem te halen en dit wordt gedaan door het installeren van een programmaatje wat de aanslagen op het toetsenbord op zal slaan. Daarnaast zal de trojan er voor zorgen dat anderen verbinding met je pc kunnen maken en zullen de instellingen voor de beveiliging van de Internet Explorer lager worden ingesteld.

Een eventuele besmetting is te herkennen aan de aanwezigheid van een geheel willekeurige bestandsnaam in de standaard System map van Windows. Het bestand bestaat uit 8 willekeurige karakters, waarna dan nog 32.exe zal volgen. In het geval van Windows XP zal het om de map c:\windows\system32 gaan. Bij Windows 95, 98 en Me zal het om de map c:\windows\system gaan, terwijl het in het geval van Windows 2000 en NT om de map c:\winnt\system32 zal gaan.


Verwijder instructie's

1 - Zorg er voor dat je virusscanner up to date is en zo staat ingesteld dat hij in alle bestanden zoekt.

2A - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden.
  B - In het geval van Windows Me of Windows XP is het mogelijk dat het virus wordt aangetroffen in de zogenaamde 'restore map'. Als dat het geval is kun je hier klikken voor de verwijderings instructies.
  C - Als de virusscanner bepaalde bestanden niet kan verwijderen, start de pc dan op in de veilige modus en start dan de virusscanner of verwijder de geïnfecteerde bestanden handmatig.
  D - Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in dat geval de namen op van de geïnfecteerde bestanden en verwijder ze handmatig door ze op te zoeken met behulp van de Windows Verkenner. Klik een bestand daar voor aan met de rechter muisknop en klik dan op 'verwijderen'. Daarna moet je niet vergeten om de prullenbak leeg te maken!!

3 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen.

Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_CLASSES_ROOT\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}

en door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de waarde die verwijst naar 'InProcServer32'. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Daarna moet je op zoek naar de sleutel

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

en daar de waarde verwijderen die verwijst naar 'Web Event Logger'. Ga als laatste op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IE4

en verwijder daar de waarde die verwijst naar 'MGR'. Sluit dan de register editor.

4 - Herstel eventueel de instellingen voor de beveiliging van de Internet Explorer.

5 - Sluit alle programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus ook daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je virusscanner up to date is en draai regelmatig een volledige systeemscan.

Bron: Symantec



Copyright 2006 Virushelp