Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.HLLW.Studd

Aliassen: W32/Duster

Eigenschappen:

Het gaat hier om een virus wat zich via netwerken zal verspreiden. Dit kan bijvoorbeeld het netwerk van Kazaa zijn, maar ook via gedeelde netwerkbronnen en IRC. Als dit virus op een pc aanwezig is kunnen anderen via IRC verbinding maken met de pc en deze allerlei dingen uit laten voeren.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'dust.exe' in de standaard System map onder Windows. Dit kan dus de map c:\windows\system, c:\windows\system32 of de map c:\winnt\system32 zijn.


Verwijder instructie's

1 - Zorg er voor dat de virusscanner zo veel mogelijk up to date is.

2 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen (tijdelijk) uit zetten. Hoe je dat kunt doen kun je hier lezen.

3 - Open Taakbeheer door op de toetsen CTRL+ALT+DEL te drukken en beëindig te taak (of het proces) van het bestand 'dust.exe'.

4 - Sluit alle overige vensters af, start de virusscanner en draai een volledige systeemscan. Verwijder de geïnfecteerde bestanden die gevonden worden of verwijder de geïnfecteerde bestanden handmatig door ze op te zoeken met behulp van de Windows Verkenner.

5 - Start de pc opnieuw op en draai dan nogmaals een volledige systeemscan om te controleren of het virus daadwerkelijk verwijderd is.

6 - Als gebruiker van Windows Me of XP kun je vanaf hier de optie Systeem Herstellen weer aan zetten. Dit kun je doen door de stappen in punt 2 nogmaals te volgen maar dan het vinkje weg te halen.

7 - Het bestand 'system.ini' moet worden aangepast. Gebruikers van Windows Me moeten wel eerst de map c:\windows\recent leeg maken omdat het mogelijk is dat daar een kopie van het bestand in staat.
Als je dit gedaan hebt kun je beginnen met het aanpassen van het bestand: Klik hiervoor op 'start' en daarna op 'uitvoeren'. Type dan in de balk

edit c:\windows\system.ini

en druk dan op 'enter' of klik op 'ok'. Er zal dan een DOS scherm openen. Let op: In de regel gaan we er vanuit dat Windows op de standaard manier is geïnstalleerd, dus als je Windows op een andere harde schijf (bijvoorbeeld D) hebt staan dan moet je dat uiteraard aanpassen. In het bestand zal de volgende regel staan:

shell = Explorer.exe dust.exe

Deze regel moet je zo aanpassen dat alles na Explorer.exe verwijderd wordt en het er dus zo

shell = Explorer.exe

uit komt te zien. Als je dat gedaan hebt klik je op 'bestand' en daarna op 'opslaan' en daarna klik je weer op 'bestand' maar daarna op 'afsluiten'.

Mocht het aanpassen op deze manier niet lukken, volg dan de volgende stappen om een scan te draaien met HijackThis en het logbestand naar ons op te sturen:
Het gebruik van het programma gaat als volgt:

A - Download de nieuwste versie (1.99.0) van HijackThis en sla het op in een eigen map.

B - Open het bestand en haal onderaan het vinkje weg wat bij de regel 'Don't show this frame again when I start HijackThis' staat.

C - Klik vervolgens op de knop 'Do a systemscan and save a logfile' en sla het logbestand op.

D - Voeg het logbestand aan een mail toe en stuur het naar ons op zodat we kunnen kijken of er vreemde dingen ontdekt zijn die eventueel verwijderd kunnen worden.


Maatregelen

1 - Deel als het even kan geen netwerkbronnen en als het toch nodig is moet je voor een goed wachtwoord zorgen.

2 - Zorg er voor dat je virusscanner zo veel mogelijk up to date is.

3 - Scan alle bestanden die je gedownload hebt of zomaar van iemand gekregen hebt voor je ze gaat openen.



Copyright 2006 Virushelp