Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.HLLW.Gaobot.AA

Aliassen: W32/Gaobot.worm.y [McAfee], WORM_AGOBOT.P [Trend]

Eigenschappen

Deze variant van Gaobot maakt gebruik van dezelfde fouten in Windows als Blaster en dat heeft als gevolg dat alleen systemen die draaien onder Windows XP, Windows NT en Windows 2000 vatbaar zijn voor dit virus.

Daarnaast zal het virus zich proberen te verspreiden via gedeelde netwerkbronnen en daarvoor gebruikt het virus een hele lijst met namen en wachtwoorden om in te kunnen loggen op het systeem.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'Svchosl.exe' en/of 'Winhl32.exe' in de standaard systeem directorie. De exacte naam van deze map zal per Windowsversie verschillen, want onder Windows 95, 98 en Me zal het bijvoorbeeld om de map c:\windows\system gaan, terwijl het onder Windows NT en 2000 om c:\winnt\system32 zal gaan. Onder Windows XP zal het gaan om de map c:\windows\system32.


Verwijder instructie's

1 - Zorg er voor dat je virusscanner up to date is en dat hij zo staat ingesteld dat hij in alle bestanden zoekt. Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in het geval van een online virusscan de namen van de geïnfecteerde bestanden op en schrijf ook op waar de bestanden staan zodat je ze later makkelijk terug kunt vinden. Als het virus wordt aangetroffen in de zogenaamde 'restore map' op systemen die onder Windows Me of Windows XP draaien dan moet je die verwijderen door de optie Systeem Herstellen (tijdelijk) uit te zetten. Hoe je dat precies kunt doen kun je hier lezen.

2 - Start de pc op in de veilige modus.

3 - Start in de veilige modus de virusscanner door op Start en daarna op Programma's te klikken. Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. In het geval van de online virusscan moet je in de veilige modus de Windows Verkenner openen en de bestanden handmatig opzoeken en verwijderen door de bestanden aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Nadat je alle geïnfecteerde bestanden hebt verwijderd moet je niet vergeten om de prullenbak leeg te maken!!

4 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen en je moet dan op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Door de sleutel aan te klikken met de linker muisknop en kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de waarde die verwijst naar het bestand 'svchosl.exe'. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Daarna moet je op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

en daar moet je ook de waarde verwijderen die verwijst naar het bestand 'svchosl.exe'. Sluit dan de register editor af.

5 - Sluit alle programma's af, start de pc opnieuw op en voer een volledige systeemscan uit om te controleren of het virus ook daadwerkelijk verwijderd is.


Maatregelen

1 - Zorg er voor dat je Windowsversie up to date is zodat het virus geen gebruik kan maken van de fouten die in de software zitten. Je kunt dit doen door de WindowsUpdate uit te voeren.

2 - Installeer een firewall zodat de poorten waar het virus zich mee verspreid geblokkeerd worden.

3 - Zorg in het geval van gedeelde netwerkbronnen voor een goede inlognaam en een goed wachtwoord zodat het virus niet zomaar in kan loggen op het systeem. Een complete lijst met inlognamen en wachtwoorden kun je vinden op de pagina van Symantec.

4 - Zorg voor een up to date virusscanner en draai ook regelmatig een volledige systeemscan.

Bron: Trend Micro, Symantec, McAfee



Copyright 2006 Virushelp