Of als je niets beters te doen heb
Hoe verwijder je het Yaha-K virus
Het is best wel ingewikkeld om het virus te verwijderen maar ik zal het zo goed mogelijk uitleggen.
-------------------------------------------------------------------------------
Stap 1: Ga naar Start en klik op zoeken. Klik op zoeken in alle bestanden en mappen. Zoek naar deze bestanden: (je moet ze
allemaal afzoeken)
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
Als hij 1 of meer bestanden heeft gevonden moet je die gelijk verwijderen.
1 Klik op de onderstaande link om een verwijder tool te downloaden. Dit is een programmaatje wat je op moet slaan en waarmee
je het virus van de pc kunt verwijderen.
http://securityresponse.symantec.com/avcenter/FixYaha.com
2 Sluit alle programma's af en verbreek de verbinding met een lokaal netwerk en/of het internet.
3 Deze stap is alleen voor degenen die Windows Me of Windows XP gebruiken. Zet de optie Systeem Herstellen uit. Dit kun je
doen door de onderstaande stappen te volgen:
Windows Me:
a - Klik 'start' en klik via 'instellingen' op 'configuratiescherm'.
b - In het configuratiescherm zit een bestand genaamd 'systeem'. Open dit door er dubbel op te klikken.
c - Klik in het scherm wat verschijnt op het tabblad 'prestaties' (rechts bovenin).
d - Klik op 'bestandssysteem' (links onderin)
e - Klik op 'probleem oplossing' (rechts bovenin)
f - Zet een vinkje bij 'De optie Systeem Herstellen uitschakelen'.
g - Klik op 'toepassen' en 'sluiten' en start de pc opnieuw op als dat gevraagd wordt.
Windows XP:
a - Klik op 'start' (deze stap kunt u overslaan als u 'deze computer' op het bureaublad hebt staan)
b - Klik met de rechter muisknop op 'mijn/deze computer' en klik vervolgens op 'eigenschappen'.
c - Klik op het tabblad 'system restore' of 'systeem herstellen'.
d - Zet een vinkje bij 'systeem herstellen uitschakelen' of 'turn off system restore (on all drives)'.
e - Klik op 'toepassen' en 'ok' en start de pc opnieuw op als dat gevraagd wordt.
4 Ga naar de locatie waar je de removal tool hebt opgeslagen, open het bestand en klik op start om het programmaatje zijn
werk te laten doen.
5 Start de pc opnieuw op en herhaal stap 4 om er zeker van te zijn dat het systeem virusvrij is.
6 Windows Me en XP gebruikers kunnen door stap 3 te herhalen de optie Systeem Herstellen weer aan zetten. Het vinkje moet
dan weg gehaald worden.
7 Verwijder de virusscanner, installeer hem opnieuw en zorg ervoor dat u de laatste update installeert. Dit is om een goede
werking van de software te kunnen garanderen.
8 Laat de virusscanner het hele systeem scannen zodat je zeker weet dat het systeem vrij is van virussen.
Snap je een stap niet? Mail me gerust
wanoom@wanadoo.nl
W32.Lirva.a@MM (lirva virus)
Aliassen
W32.Lirva.A@mm
W32/Naith.A-mm
W32/Avril-A
W32/Avril.gen@MM
W32/Lirva@MM
Worm/Naith.A
WORM_LIRVA.A
--------------------------------------------------------------------------
Hoe verwijder je het virus: (Je moet veel doen om het virus te verwijderen)
Bestanden
1. Aanwezigheid van een bestand met een willekeurige naam in de standaard WindowsSystem directory. Bestaande uit een willekeurig
aantal karakters. Dit bestand heeft de extensie .EXE.
De aanmaakdatum van dit bestand is gelijk aan de datum van infectie.
2. Aanwezigheid van een van onderstaande bestanden in de temporary windows-directorie:
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe
3. Aanwezigheid van viertal bestanden met een willekeurige naam in de standaard Windowsprullbenbak-directory. Bestaande uit
een willekeurig aantal karakters. Dit bestand heeft de extensie .EXE.
De aanmaakdatum van dit bestand is gelijk aan de datum van infectie.
4. Verwijdering van de volgende opstartbestanden. Het virus kent een lijst van mogelijke opstartbestanden van veel gebruikte
security-software. Indien een van deze bestanden aanwezig is zal het worden verwijderd. Tevens zal de aangebracht registry-sleutel
worden verwijderd.
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
1a. Verwijder het virus met de gratis online scanner van McAfee, klik hier
1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens
naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door
tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu
verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als
je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken.
Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:windows> ziet staan.
Mocht er achter c:windows> nog iets staan, type dan cd.. en druk daarna op enter.
Type daar dan copy regedit.exe regedit.com
(letterlijk: copy[spatie]regedit.exe[spatie]regedit.com) en druk dan op enter.
Type daarna start regedit.com
(letterlijk: start[spatie]regedit.com) en druk dan weer op enter.
Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie
wijzigen via de instructie cd.. Je komt dan uit in de directorie C:Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat
je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd
is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor
op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang
totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde
en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.