Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Funner

Aliassen: WORM_FUNNER.A [Trend Micro], W32/Funner.worm [McAfee], Win32.Funner.A [Computer Associates], MSN-Worm.Funner [Kaspersky], W32/Funner-A [Sophos]

Eigenschappen

Dit virus zal zich alleen verspreiden via MSN Messenger door het bestand 'funny.exe' naar mensen te sturen die in de contactenlijst staan.

Het virus kan er voor zorgen dat allerei bestanden automatisch van een domein gedownload en geïnstalleerd worden op je pc.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'funny.exe' op de root van de C drive, dus c:\.


Verwijder instructie's

1 - Zorg er voor dat je virusscanner up to date is en zo staat ingesteld dat hij in alle bestanden zoekt.

2 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen (tijdelijk) uitzetten.

3 - Start de pc op in de veilige modus.

4 - Draai een volledige systeemscan met de virusscanner en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro, maar dat moet dan niet in de veilige modus gebeuren. Schrijf in dat geval de namen op van de geïnfecteerde bestanden en verwijder ze handmatig door ze in de veilige modus op te zoeken met behulp van de Windows Verkenner. Klik een bestand daar voor aan met de rechter muisknop en klik dan op 'verwijderen'. Daarna moet je niet vergeten om de prullenbak leeg te maken!!

5 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutels

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de waarde die verwijst naar 'MMSystem'. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Daarna moet je (indien aanwezig) in de sleutel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows_NT\CurrentVersion\Winlogon

de waarde

"Userinit"="userinit32.exe"

verwijderen en ook dit kun je doen door de waarde aan te klikken met de rechter muisknop en vervolgens te klikken op 'verwijderen'.

6 - Start de pc op de normale manier op.

7 - Gebruikers van Windows 95, 98 en Me moeten het bestand system.ini aanpassen. Gebruikers van Windows Me moeten wel eerst de map c:\windows\recent leeg maken omdat het mogelijk is dat daar een kopie van het bestand in staat.
Als je dit gedaan hebt kun je beginnen met het aanpassen van het bestand: Klik hiervoor op 'start' en daarna op 'uitvoeren'. Type dan in de balk

edit c:\windows\system.ini

en druk dan op 'enter' of klik op 'ok'. Er zal dan een DOS scherm openen.

Let op: In de regel gaan we er vanuit dat Windows op de standaard manier is geïnstalleerd, dus als je Windows op een andere harde schijf (bijvoorbeeld D) hebt staan dan moet je dat uiteraard aanpassen. In het bestand zal onder [boot] de volgende regel staan:

shell = system map\Explore.exe

Deze regel moet je zo aanpassen dat hij er als volgt uit komt te zien:

shell = Explorer.exe

Als je dat gedaan hebt klik je op 'bestand' en daarna op 'opslaan' en daarna klik je weer op 'bestand' maar daarna op 'afsluiten'.

8 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan alle regels behalve de regel waar '127.0.0.1 local host' bij staat. Sla de wijzigingen in het bestand op en sluit het vervolgens af.

9 - Sluit alle programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus ook daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg voor een up to date virusscanner.

2 - Scan alle bestanden die je op wat voor manier dan ook van iemand krijgt of gedownload hebt van het internet voor je ze gaat gebruiken.

Bron: Trend Micro, McAfee, Symantec



Copyright 2006 Virushelp