Hier heb je wat te doen
Virushelp nieuwsbrief
Februari 2003 2e editie
SwPorta weer zeer actief
Een virus wat zich de laatste tijd weer enorm aan het verspreiden is, is de worm SwPorta. Het gaat in dit geval om een trojan die zich verspreid via e-mail en waar de ontvanger wordt doorverwezen naar een webpagina. Op deze pagina wordt het bestand ms7531.exe automatisch gedownload en geplaatst in de map c:\windows\system32. De trojan zal proberen de startpagina aan te passen door een aantal registervermeldingen aan te passen en kan, omdat het om een actief bestand gaat, niet op een normale manier door de virusscanner worden verwijderd.
Om het bestand van de pc te verwijderen moet deze worden opgestart in de veilige modus, en dit kun je doen door tijdens het opstarten de CTRL of F8 knop (afhankelijk van het besturingssysteem) ingedrukt te houden en in het scherm wat verschijnt de optie 'veilige modus' te selecteren met behulp van de pijltjestoetsen. Druk dan op 'enter' en de pc zal opstarten in de veilige modus. Het bestand kan dan verwijderd worden door een volledige systeemscan te draaien met een up to date virusscanner, maar ook door het op te zoeken met de Windows Verkenner en het op die manier handmatig te verwijderen. In het laatste geval moet je er wel rekening mee houden dat je het geïnfecteerde bestand ook nog uit de prullenbak moet verwijderen!! Daarna moet je ook nog het register aanpassen om de trojan echt helemaal van het systeem te verwijderen.
Let op: Het is belangrijk om GEEN fouten te maken tijdens het werken in het register. Het register is het hart van de pc, om het zo maar te zeggen, en als daarin verkeerde dingen verwijderd of veranderd worden dan is het mogelijk dat de pc niet (goed) meer werkt. Als het mogelijk is kun je het werken in het register beter over te laten aan iemand die er verstand van heeft om op die manier problemen te voorkomen.
1 - Klik op start en daarna op uitvoeren en type in de balk het woord regedit. Druk op enter en de register editor zal dan openen.Om eventuele problemen te voorkomen is het belangrijk om een kopie van het register te maken VOOR dat je hierin veranderingen aan gaat brengen. Mocht je dan onverhoopt toch iets fout doen dan kun je altijd nog de kopie terug zetten en opnieuw een poging doen om het register schoon te maken. De kopie kun je maken door in de register editor op deze computer te klikken. Klik daarna bovenin op register en daarna op registerbestand exporteren. Geef de kopie een naam en sla hem op een voor jou bekende locatie op.
2 - We moeten op zoek naar de volgende sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Bovenaan in het scherm staat deze computer, met daaronder een aantal mappen, die we in het register 'sleutels' noemen. Onder "deze computer" staat een sleutel genaamd HKEY_LOCAL_MACHINE, met daarvoor een plusje. Door op het plusje te klikken komen er een aantal sleutels tevoorschijn en één ervan zal de sleutel SOFTWARE zijn, met ook daarvoor weer een plusje. Door op het plusje te klikken wat voor SOFTWARE staat zullen er nog meer sleutels verschijnen, en één ervan zal de sleutel Microsoft zijn. Ook voor deze sleutel zal een plusje staan, en door daar op te klikken komen er weer een aantal sleutels tevoorschijn. Eén van die sleutels zal Windows zijn, en ook daarvoor zal weer een plusje staan. Door op dat plusje te klikken zullen er weer een aantal sleutels verschijnen, en één ervan zal de sleutel CurrentVersion zijn. En inderdaad, daarvoor staat ook een plusje. Door op dat plusje te klikken komt er nog een sleutel tevoorschijn en dat is de sleutel Run. Als je dan op de sleutel Run klikt zie je aan de rechter kant van het scherm de waarden die in die sleutel zitten, en je zult daar de waarde moeten verwijderen die verwijst naar het bestand wat je verwijderd hebt (ms7531.exe). Door de waarde aan te klikken met de rechter muisknop en daarna te klikken op verwijderen kun je de waarde uit de sleutel verwijderen.
3 - Op dezelfde manier als hier boven moet je op zoek gaan naar de sleutel HKEY_CURRENT_USER\Software\SWCaller en daar de volledige sleutel SWCaller verwijderen. Ook dit kun je doen door de sleutel aan te klikken met de rechter muisknop en daarna te klikken op verwijderen.
4 - Weer op dezelfde manier moet je op zoek naar de sleutel HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main. Klik de sleutel Main aan en kijk dan of er aan de rechter kant van het scherm de waarden Startpage en Startpagina staan. Het is mogelijk dat één van beiden er niet staat of zelfs dat ze er allebei niet staan. Dubbelklik met de linker muisknop op de eventueel aanwezige waarde en verwijder de tekst die in de regel staat. Klik vervolgens op OK en ga eventueel op dezelfde manier verder met de volgende.
5 - Klik bovenin de register editor op register en daarna op afsluiten. Sluit eventueel andere programma's af, start de pc opnieuw op, draai een volledige systeemscan om er zeker van te zijn dat het virus is verwijderd en controleer de werking van de Internet Explorer.
Veel plezier.....Nu kom je er wel vanaf.
Raymond Bos
