Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    Backdoor.Nemog.B

Aliassen: BackDoor-CEB.c

Eigenschappen

Nemog.B is een trojan die automatisch door een virus van een bepaalde website gedownload wordt en gelijk zal worden uitgevoerd.

Het belangrijkste wat de trojan doet is dat hij zal proberen om te verhinderen dat je pagina's kunt bezoeken van antivirusbedrijven. Op die manier is het bijvoorbeeld niet meer mogelijk om een virusscaner te updaten of informatie van een pagina te halen. Daarnaast kunnen anderen via deze trojan verbinding met het systeem maken om de trojan bijvoorbeeld te updaten.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'dx32cxlp.exe' in de standaard System map van Windows. In het geval van Windows XP zal het om de map c:\windows\system32 gaan. Bij Windows 95, 98 en Me zal het om de map c:\windows\system gaan, terwijl het in het geval van Windows 2000 en NT om de map c:\winnt\system32 zal gaan.


Verwijder instructie's

1 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen (tijdelijk) uit zetten.

2 - Start de pc op in de veilige modus.

3 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

127.0.0.1 www.avp.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.networkassociates.com
127.0.0.1 us.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 avp.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1 www.trendmicro.com

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

4 - Start de pc op de normale manier op en zorg er voor dat je virusscanner zo veel mogelijk up to date is.

5 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht er een actief bestand gevonden worden dan is het mogelijk dat dit niet verwijderd kan worden door je virusscanner en moet je de pc nogmaals in de veilige modus opstarten.

6 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is (om het zo maar te zeggen) het hart van je pc en als daar dingen verkeerd in gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dx32cxel

en daar de volledige sleutel dx32cxel verwijderen. Dit kun je doen door de betreffende sleutel aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Ga dan naar de sleutel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DX32CXEL

en verwijder daar de volledige sleutel LEGACY_DX32CXEL. Sluit vervolgens de register editor, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd. Controleer dan ook of het hosts bestand niet weer is aangetast.


Maatregelen

1 - Zorg er voor dat je virusscanner up to date is zodat hij ook deze trojan kan herkennen.

2 - Open geen mailtjes die je niet verwacht maar verwijder die ongelezen van het systeem omdat de trojan immers door een ander virus op het systeem wordt gezet.



Copyright 2006 Virushelp