Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Mexer.E@mm

Aliassen: W32/Fightrub@MM

Eigenschappen

Deze variant van Mexer zal zich zowel via e-mail als via de netwerken van Kazaa en iMesh verspreiden. In het geval van de verspreiding via e-mail zal het bijlage bestand steeds verschillend zijn, maar het onderwerp zal één van de volgenden zijn:

EBAY Information
VISA Information
Provider Information
Your Crack
Internet Information

In het geval van de verspreiding via iMesh of Kazaa zal het virus diverse kopieën van zichzelf in de gedeelde map van het programma plaatsen.

Het virus heeft geen destructieve eigenschappen, maar kan de prestaties van het systeem heel nadelig beïnvloeden omdat het virus zich massaal via e-mail zal gaan verspreiden.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'sys32' in de standaard System map van Windows. In het geval van Windows XP zal het om de map c:\windows\system32 gaan. Bij Windows 95, 98 en Me zal het om de map c:\windows\system gaan, terwijl het in het geval van Windows 2000 en NT om de map c:\winnt\system32 zal gaan.


Verwijder instructie's

1 - Zorg er voor dat je virusscanner en Windowsversie up to date zijn en zorg er voor dat de virusscanner zo staat ingesteld dat hij in alle bestanden zoekt.

2A - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden.
  B - In het geval van Windows Me of Windows XP is het mogelijk dat het virus wordt aangetroffen in de zogenaamde 'restore map'. Als dat het geval is kun je hier klikken voor de verwijderings instructies.
  C - Als de virusscanner bepaalde bestanden niet kan verwijderen, start de pc dan op in de veilige modus en start dan de virusscanner of verwijder de geïnfecteerde bestanden handmatig.
  D - Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in dat geval de namen op van de geïnfecteerde bestanden en verwijder ze handmatig door ze op te zoeken met behulp van de Windows Verkenner. Klik een bestand daar voor aan met de rechter muisknop en klik dan op 'verwijderen'. Daarna moet je niet vergeten om de prullenbak leeg te maken!!

3 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is (om het zo maar te zeggen) het hart van je pc en als daar dingen verkeerd in gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

en daar de volgende waarde verwijdern:

"Ruby13"="C:\sysnet\Ruby13.exe"

Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'.

Daarna moet je op zoek naar de volgende sleutels (deze zijn niet op alle systemen aanwezig):

HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent\
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
HKEY_CURRENT_USER\Software\Kazaa\Transfer

en daar eventueel de waarde

"Dir0"="012345:c:\sysnet\"

verwijderen uit het register.

4 - Sluit alle programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus ook daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

2 - Open geen mail die je niet verwacht maar verwijder die ongelezen van het systeem.

3 - Scan alle bestanden die je gedownload hebt of zomaar van iemand gekregen hebt voor je ze gaat openen.



Copyright 2006 Virushelp