Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Mydoom.AD@mm

Aliassen: Email-Worm.Win32.Mydoom.z, W32/Mydoom.ad@MM, W32/MyDoom-Gen, WORM_MYDOOM.AD

Eigenschappen

Deze variant van MyDoom kan zich verspreiden via e-mail, mIrc en diverse netwerken als bijvoorbeeld Kazaa, eDonkey, Limewire en dat soort programma's. De eigenschappen zullen in alle gevallen verschillend zijn.

Het virus zal diverse programma's die bedoeld zijn voor de beveiliging van je pc uitschakelen en het hosts bestand aanpassen zodat pagina's van diverse antivirusbedrijven niet meer bezocht kunnen worden.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'patch31345.exe' in de standaard System map en/of standaard Windows map. Bij de System map zal het in het geval van Windows XP om de map c:\windows\system32 gaan. Bij Windows 95, 98 en Me zal het om de map c:\windows\system gaan, terwijl het in het geval van Windows 2000 en NT om de map c:\winnt\system32 zal gaan. Bij de standaard Windows map zal het om de map c:\windows of c:\winnt gaan. Naast het plaatsen van deze bestanden zal het virus een scherp openen met als titel 'Security Patch' en de tekst zal in dat geval 'This will install microsoft security patch, please wait...' zijn.


Verwijder instructie's

1 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen (tijdelijk) uit zetten.

2 - Start de pc op in de veilige modus.

3 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

127.0.0.1 www.pandasoftware.com
127.0.0.1 www.avp.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.networkassociates.com
127.0.0.1 us.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 avp.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.pandasoftware.de

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

4 - Start de pc op de normale manier op en zorg er voor dat je virusscanner zo veel mogelijk up to date is. Als deze is aangetast door het virus moet je hem eerst verwijderen en opnieuw installeren.

5 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht er een actief bestand gevonden worden dan is het mogelijk dat dit niet verwijderd kan worden door je virusscanner en moet je de pc nogmaals in de veilige modus opstarten.

6 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is (om het zo maar te zeggen) het hart van je pc en als daar dingen verkeerd in gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutels

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

en

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Door de betreffende sleutel aan te klikken met de linker muisknop kun je aan de rechter kant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de volgende waarden:

"AV Client" = "system map\patch31345.exe"
"AV Industry" = "windows map\patch31345.exe"

Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Sluit vervolgens de register editor, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

2 - Open geen mail die je niet verwacht maar verwijder die ongelezen van het systeem.

3 - Scan alle bestanden die je gedownload hebt of zomaar van iemand gekregen hebt voor je ze gaat openen.



Copyright 2006 Virushelp