Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Gaobot.BAJ

1 - Zorg er voor dat je Windowsversie helemaal up to date is door de WindowsUpdate uit te voeren.

2 - Zorg voor een goed wachtwoord op gedeelde netwerkbronnen.

3 - Installeer een firewall.

4 - Zorg voor een up to date virusscanner en draai regelmatig een volledige systeemscan.

Bron: Symantec


Eigenschappen

Deze variant van Gaobot zal zich verspreiden via gedeelde netwerkbronnen en via met MyDoom geïnfecteerde systemen omdat Gaobot gebruik maakt van de trojan die door MyDoom op het systeem wordt gezet.

Ook Gaobot zal op zijn beurt weer een poort openen (TCP poort 6667) om op die manier via IRC anderen verbinding met je pc te kunnen laten maken. De trojan is origineel geschreven om serienummers van diverse spelletjes van de geïnfecteerde pc te halen, maar er is uiteraard veel meer mogelijk. Ook zal deze variant het hosts bestand aanpassen waardoor het niet meer mogelijk is om bepaalde pagina's van antivirusbedrijven te bereiken.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'wmon32.exe' in de standaard System map van Windows. In het geval van Windows XP zal het om de map c:\windows\system32 gaan. Bij Windows 95, 98 en Me zal het om de map c:\windows\system gaan, terwijl het in het geval van Windows 2000 en NT om de map c:\winnt\system32 zal gaan.


Verwijder instructie's

1 - Gebruikers van Windows Me en Windows XP dienen de optie Systeem Herstellen (tijdelijk) uit te zetten. Hoe dat precies in zijn werk gaat kun je hier lezen.

2 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

3 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

4 - Start de pc op in de veilige modus

5 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden.

6 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen.

Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

en door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de waarde die verwijst naar het bestand 'wmon32.exe'. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Ga dan naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

en verwijder ook daar de waarde die verwijst naar het bestand 'wmon32.exe' (indien aanwezig). Sluit vervolgens de register editor, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je Windowsversie helemaal up to date is door de WindowsUpdate uit te voeren.

2 - Zorg voor een goed wachtwoord op gedeelde netwerkbronnen.

3 - Installeer een firewall.

4 - Zorg voor een up to date virusscanner en draai regelmatig een volledige systeemscan.

Bron: Symantec



Copyright 2006 Virushelp