Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Serflog.C

Aliassen: Win32.Sumom.C, IM-Worm.Win32.Sumom.c, W32/Crog.worm, W32/Sumom-C, WORM_FATSO.C

Eigenschappen

Ook al een virus wat zich verspreidt via het netwerk van MSN Messenger en bij deze variant van Serflog is dat dus niet anders. Daarnaast loop je het risico het virus te downloaden omdat het ook diverse kopieën van zichzelf in gedeelde mappen van het systeem zal zetten.

Het virus zal er voor zorgen dat bepaalde pagina's van antivirusbedrijven niet meer bezocht kunnen worden en daarnaast zal het virus diverse processen die te maken hebben met de beveiliging van je pc stop zetten.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'csnss.exe' in de standaard System map van Windows. In het geval van Windows XP zal het om de map c:\windows\system32 gaan. Bij Windows 95, 98 en Me zal het om de map c:\windows\system gaan, terwijl het in het geval van Windows 2000 en NT om de map c:\winnt\system32 zal gaan. Een andere mogelijkheid is dat het virus een bestand genaamd 'svhost.exe' zal plaatsen in de standaard Windows map. In de meeste gevallen zal dit de map c:\windows zijn, maar c:\winnt is ook mogelijk.


Verwijder instructie's

1 - Herstel de schade aan het bestand 'hal.dll'. Dit kun je doen door de MS-DOS prompt te openen en het commando

sfc /scannow

te typen. Druk daarna op 'enter' en plaats de Windows cd-rom als daarom gevraagt wordt.

2 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen uit zetten.

3 - Start de pc op in de veilige modus.

4 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

212.58.240.33 www.symantec.com
212.58.240.33 www.sophos.com
212.58.240.33 www.mcafee.com
212.58.240.33 www.viruslist.com
212.58.240.33 www.f-secure.com
212.58.240.33 www.avp.com
212.58.240.33 www.kaspersky.com
212.58.240.33 www.networkassociates.com
212.58.240.33 www.ca.com
212.58.240.33 www.my-etrust.com
212.58.240.33 www.nai.com
212.58.240.33 www.trendmicro.com
212.58.240.33 www.grisoft.com
212.58.240.33 securityresponse.symantec.com
212.58.240.33 symantec.com
212.58.240.33 sophos.com
212.58.240.33 mcafee.com
212.58.240.33 liveupdate.symantecliveupdate.com
212.58.240.33 viruslist.com
212.58.240.33 f-secure.com
212.58.240.33 kaspersky.com
212.58.240.33 kaspersky-labs.com
212.58.240.33 avp.com
212.58.240.33 networkassociates.com
212.58.240.33 ca.com
212.58.240.33 mast.mcafee.com
212.58.240.33 my-etrust.com
212.58.240.33 download.mcafee.com
212.58.240.33 dispatch.mcafee.com
212.58.240.33 secure.nai.com
212.58.240.33 nai.com
212.58.240.33 update.symantec.com
212.58.240.33 updates.symantec.com
212.58.240.33 us.mcafee.com
212.58.240.33 liveupdate.symantec.com
212.58.240.33 customer.symantec.com
212.58.240.33 rads.mcafee.com
212.58.240.33 trendmicro.com
212.58.240.33 grisoft.com
212.58.240.33 sandbox.norman.no
212.58.240.33 www.pandasoftware.com
212.58.240.33 uk.trendmicro-europe.com

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

5 - Start de pc op de normale manier op en zorg er voor dat je virusscanner zo veel mogelijk up to date is.

6 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht er een actief bestand gevonden worden dan is het mogelijk dat dit niet verwijderd kan worden door je virusscanner en moet je de pc nogmaals in de veilige modus opstarten.

7 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutels

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

en door de betreffende sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de volgende waarde:

"[Waarde]" = "[Bestandsnaam]"

waarbij de waarde 'NDAv' of 'SDAv' zal zijn en de bestandsnaam zal 'csnss.exe' of 'svhost.exe' zijn. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Ga dan naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

en herstel daar de volgende waarden

"DisableConfig" = "1"
"DisableSR" = "1"

Door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'wijzigen' moet je er het volgende van maken

"DisableConfig" = "0"
"DisableSR" = "0"

8 - Sluit daarna de register editor en de eventueel andere open staande programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk verwijderd is.


Maatregelen

1 - Zorg dat je virusscanner zo veel mogelijk up to date is.

2 - Open geen links of bestanden die je zomaar via MSN krijgt toegestuurd.

3 - Scan alle bestanden die je op wat voor manier dan ook van het internet download of zomaar van iemand krijgt met je virusscanner voor je ze gaat gebruiken.



Copyright 2006 Virushelp