Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.IRCBot.B

Aliassen: Win32.SdBot.18976 [CA], Troj/Ircbot-M [Sophos], Backdoor.IRCBot.gen [KAV], W32/Sdbot.worm.gen [McAfee]

Eigenschappen

IrcBot.B is eigenlijk een trojan die er voor zorgt dat anderen verbinding met je pc kunnen maken. Er zijn gevallen bekend waar de trojan zich voor deed als e-mail van Symantec (Norton) die een bepaalde update zou bevatten.

De update in de bijlage is dan uiteraard IRCBot.B en geen update voor wat dan ook. Het zal in dit geval gaan om en mail met een bijlage genaamd 'nav32.zip' en een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'RPC*.exe' waar het sterretje staat voor een geheel willekeurig gekozen (aantal) getal(len) of cijfer(s).


Verwijder instructie's

1 - Zorg er voor dat je virusscanner up to date is en dat hij zo staat ingesteld dat hij in alle bestanden zoekt.

2 - Gebruikers van Windows Me en Windows XP moeten (tijdelijk) de optie Systeem Herstellen uit zetten. Hoe dat precies in zijn werk gaat kun je lezen door hier te klikken.

3 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht je bepaalde bestanden niet kunnen verwijderen, start de pc dan op in de veilige modus en draai dan nogmaals een volledige systeemscan. Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in dat geval de namen op van de geïnfecteerde bestanden en verwijder ze handmatig door ze op te zoeken met behulp van de Windows Verkenner. Klik een bestand daar voor aan met de rechter muisknop en klik dan op 'verwijderen'. Daarna moet je niet vergeten om de prullenbak leeg te maken!!

4 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen en je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten en je moet dan de waarde verwijderen die verwijst naar het eerder genoemde bestand 'RPC*.exe'. Dit kun je doen door de waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Sluit nu de register editor

5 - Sluit alle programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg voor een up to date virusscanner en draai regelmatig een volledige systeemscan.

2 - Zorg voor een goed ingestelde firewall op je pc.

3 - Open geen mail die je niet verwacht, en zeker niet als die een bijlage bevat. Een mail met als bijlage het bestand 'nav32.zip' moet je sowieso ongelezen van het systeem verwijderen.

4 - Het is mogelijk om via de trojan verbinding met je pc te maken en op die manier is het dus ook mogelijk dat er wachtwoorden en dergelijke bij anderen bekend zijn en dat het systeem zo is aangepast dat er toch verbinding kan worden gemaakt al is deze trojan verwijderd. Het kan veel werk zijn, maar als de trojan actief is geweest op je systeem is ons advies om toch de harde schijf van de pc te formatteren en alles opnieuw te installeren. Let er dan op dat je ook de diverse wachtwoorden moet veranderen.

Bron: McAfee, Symantec, Sophos



Copyright 2006 Virushelp