Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Lovgate.AC@mm

Aliassen: W32/Lovgate.ai@MM

Eigenschappen

LovGate.AC zal proberen zich via e-mail te verspreiden waarbij de mail steeds verschillende eigenschappen zal hebben en daarnaast zal het virus gebruik maken van fouten in de software van Windows om zich via netwerken te verspreiden. Ook zal het virus zich verspreiden via het netwerk van Kazaa door diverse kopieën van zichzelf in de gedeelde map te plaatsen.

Het virus zal diverse programma's uitschakelen die te maken hebben met de beveiliging van je pc en het zal een trojan installeren die via TCP poort 6000 verbinding met het internet zal zoeken en op die manier kunnen anderen verbinding maken met je pc. Daarnaast zal het virus .exe bestanden infecteren door ze te hernoemen naar .zmx bestanden.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'CDPlay.exe' in de standaard map van Windows. In de meeste gevallen zal dit de map c:\windows zijn, maar c:\winnt is ook mogelijk omdat dit afhankelijk is van welke Windowsversie je gebruikt.


Verwijder instructie's

1 - Zorg er voor dat zowel je virusscanner als je Windowsversie helemaal up to date is.

2 - Gebruikers van Windows Me en XP moeten de optie Systeem Herstellen uit zetten.

3 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

en door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de volgende waarden. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen':

"Winhelp" = "systeem\TkBellExe.exe..."
"Hardware Profile" = "systeem\hxdef.exe..."
"Program in Windows"="systeem\IEXPLORE.exe"

Ga daarna naar de sleutel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

en verwijder daar de volgende waarden:

"COM++ System" = "exploier.exe..."
"SystemTra" = "windows\CDPlay.exe"

Daarna moet je op zoek naar deze sleutel:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

en daar de waarde verwijderen die verwijst naar het bestand 'ravmond.exe'. Als één na laatste moet je op zoek naar de sleutel

HKEY_CLASSES_ROOT\txtfile\shell\open\command\

en daar de standaard waarde aanpassen die er als volgt uit zou moeten zien:

C:\WINDOWS\NOTEPAD.EXE %1

waar je er dan op moet letten dat de map Windows ook eventueel de map WINNT kan zijn. Hetzelfde moet je dan doen bij de sleutel

HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command

en dan kun je daarna de register editor afsluiten.

4 - Start de pc op in de veilige modus.

5 - Start de virusscanner, draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in dat geval de namen op van de geïnfecteerde bestanden en verwijder ze handmatig door ze op te zoeken met behulp van de Windows Verkenner. Klik een bestand daar voor aan met de rechter muisknop en klik dan op 'verwijderen'. Daarna moet je niet vergeten om de prullenbak leeg te maken!!

6 - Op harde schijven met de letter E en hoger zal het virus .exe bestanden veranderen in .zmx bestanden en die moet je nog even aanpassen. Dit kun je het makkelijkste doen door op Start te klikken en daarna op Zoeken. Zorg er voor dat alle schijven vanaf de E drive doorzocht worden en gebruik als zoekterm '*.zmx' (zonder de ' tekens). Als er bestanden gevonden worden dan kun je die aanklikken met de rechter muisknop en dan klikken op 'naam wijzigen' om de extensie te wijzigen naar een .exe bestand.

7 - Sluit alle programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je Windowsversie up to date is door de WindowsUpdate uit te voeren en alle beveiligings updates te downloaden en te installeren. Het is mogelijk dat je de WindowsUpdate meerdere keren uit moet voeren om alle updates te kunnen installeren.

2 - Installeer een firewall zodat de poorten waar het virus gebruik van maakt geblokkeerd worden.

3 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

4 - Open geen mail die je niet verwacht maar verwijder die ongelezen van het systeem.

5 - Scan alle bestanden die je download vanaf het internet of zomaar van iemand gekregen hebt voor je die gaat openen.



Copyright 2006 Virushelp