Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    Trojan.Qhosts

Aliassen: QHosts-1, VBS.QHOSTS, Troj/Qhosts-1, TROJ_QHOSTS.A, Trojan.BAT.Delude.c

Eigenschappen

Deze trojan kan zichzelf niet verspreiden via e-mail maar word verstopt in een html bestand wat automatisch gedownload zal worden bij het bezoeken van een bepaalde pagina.

Als het html bestand geopend word zal het .exe bestand worden samengesteld en gestart worden wat de trojan op je pc zal zetten. Deze zal vervolgens allerlei wijzigingen in het systeem aanbrengen en met name het hosts bestand aanpassen en er voor zorgen dat er een andere DNS (= Domain Name Server) gebruikt zal worden.

Een eventuele besmetting is te herkennen aan de aanwezigheid van de bestanden 'o.reg', 'o2.reg' en 'o.vbs' in de standaard Windows directorie. In de meeste gevallen zal dit c:\windows of c:\winnt zijn.


Verwijder instructie's

1 - Klik hier om een removal tool te downloaden. Dit is een programmaatje wat je op moet slaan en waarmee je het virus van de pc kunt verwijderen.

2 - Sluit alle programma's af en verbreek de verbinding met een lokaal netwerk en/of het internet.

3 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen (tijdelijk) uit zetten. Meer informatie daar over kun je hier vinden.

4 - Ga naar de locatie waar je de removal tool hebt opgeslagen, open het bestand en klik op 'start' om het programmaatje zijn werk te laten doen. Mocht je foutmeldingen krijgen of dat de removal tool bepaalde bestanden niet kan verwijderen, dan moet je de pc opstarten in de veilige modus en dan nog eens de removal tool starten.

5 - Start de pc opnieuw op en herhaal stap 4 om er zeker van te zijn dat het systeem virusvrij is.

6 - Windows Me en XP gebruikers kunnen eventueel de optie Systeem Herstellen die we noemden in stap 3 weer aan zetten.

7 - Draai een volledige systeemscan met een up to date virusscanner waarbij deze zo is ingesteld dat hij in ALLE bestanden zoekt of voer een online virusscan uit bij BitDefender of Trend Micro.

Let op: De trojan zal ook een aantal dingen in het register veranderen en het meeste zal door de removal tool worden verwijderd, maar de waarden

"Use Search Asst"="no"
"Search Page"="http:/ /www.google.com"
"Search Bar"="http:/ /www.google.com/ie"

in de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

zullen niet verwijderd worden omdat dit waarden kunnen zijn die je als gebruiker hebt ingesteld.

Mocht je nooit iets met de pagina van Google doen dan kun je op 'start' klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen en je moet dan op zoek naar de eerder genoemde sleutel. Als je die aan klikt staan de waarden die in de sleutel horen aan de rechter kant van het scherm en dan kun je de eerder genoemde waarden eventueel verwijderen door ze aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'.


Maatregelen

1 - Dat een dergelijke proces zomaar plaats kan vinden komt door een fout in de software van Windows, maar die fout is inmiddels hersteld door het uitbrengen van een update voor Windows. Voer daarom de WindowsUpdate uit om er voor te zorgen dat je Windowsversie helemaal up to date is. Download en installeer hier voor alle beveiligings updates en het is mogelijk dat je de WindowsUpdate meerdere keren uit moet voeren voor je alles geïnstalleerd hebt.

2 - Zorg voor een up to date virusscanner en draai ook regelmatig een volledige systeemscan.



Copyright 2006 Virushelp