Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Derdero.C@mm

Aliassen: Email-Worm.Win32.Bloored.c [Kaspersky Lab], W32/Derdero.c@MM [McAfee], WORM_DERDERO.B [Trend Micro]

Eigenschappen

Derdero is een virus wat zich verspreidt via e-mail en netwerken als bijvoorbeeld Kazaa. De eigenschappen van de mail zullen steeds verschillend zijn en je moet er op letten dat de afzender die in de mail genoemd wordt niet de echte afzender is.

Het virus zal diverse processen die te maken hebben met de beveiliging van je pc stop zetten, het Hosts bestand aanpassen zodat pagina's van bepaalde antivirusbedrijven niet meer te bezoeken zijn en daarnaast zal het virus diverse kopieën van zichzelf plaatsen in de mappen die de letters 'shar' bevatten om zich op die manier via netwerken als bijvoorbeeld Kazaa te verspreiden. Daarnaast zal het virus diverse .exe bestanden die gevonden worden op de C drive infecteren. Het gevolg zal zijn dat bepaalde programma's niet meer werken.

Een eventuele besmetting is te herkennen aan het verschijnen van een melding met de titel 'DBADMIN.EXE'. De tekst zal in dat geval 'Database administrator error 106: Illegal byte seek' zijn.


Verwijder instructie's

1 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen (tijdelijk) uit zetten.

2 - Start de pc op in de veilige modus.

3 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

127.0.0.1 www.norton.com
127.0.0.1 norton.com
127.0.0.1 yahoo.com
127.0.0.1 www.yahoo.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 www.google.com
127.0.0.1 google.com
127.0.0.1 rohitab.com
127.0.0.1 www.rohitab.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 google.ca
127.0.0.1 www.google.ca

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

4 - Start de pc op de normale manier op en zorg er voor dat je virusscanner zo veel mogelijk up to date is.

5 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht er een actief bestand gevonden worden dan is het mogelijk dat dit niet verwijderd kan worden door je virusscanner en moet je de pc nogmaals in de veilige modus opstarten.

6 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen.

Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

en door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de waarden die verwijst naar het bestand 'sysdasp.exe'. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Sluit vervolgens de register editor, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

2 - Open niet zomaar elke mail, maar verwijder mail die je niet verwacht ongelezen van het systeem.

3 - Scan elk bestand met je virusscanner wat je op wat voor manier dan ook van het internet gedownload hebt of zomaar van iemand gekregen hebt voor je het gaat gebruiken.

Bron: Symantec



Copyright 2006 Virushelp