Hoe "Essa voce precisa VER" of "INFKTCOMPUTERNAME" verwijderen

[miekiemoes]

Deze infectie is een worm die zich via e-mail verspreid.
De mail heeft als onderwerp: "Essa voce precisa VER".
Een nieuwere variant heeft als onderwerp komt van de afzender: "INFKTCOMPUTERNAME"

Eénmaal geïnfecteerd met deze, dan gaat het zich naar iedereen vanuit je adresboek verder doorsturen.
Indien je dus deze mail van iemand ontvangt en je kent die persoon, breng die persoon dan ook zo vlug mogelijk op de hoogte van de aanwezigheid van die worm.

Hoe deze worm manueel verwijderen met behulp van HijackThis:

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map geïnstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna, in HijackThis, klik op "Scan".
Zoek in de lijst naar één van deze lijnen en vink deze aan:

O4 - HKLM\..\Run: [wTask] C:\WINDOWS\Media\LTaskup.exe
O4 - HKLM\..\Run: [wTask] C:\WINDOWS\Media\GTaskup.exe
O4 - HKLM\..\Run: [wTask] C:\Program Files\Wp\GTaskup.exe

Klik onderaan op Fix checked.

HijackThis zal zo het proces LTaskup.exe stoppen zodat je het bestand manueel kan verwijderen.

Daarna..

Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven. <== klik voor instructies.

Dan blader naar de volgende bestanden en verwijder deze:

(ik veronderstel hier dat je Windows op je C:\ is geïnstalleerd)

C:\WINDOWS\Media\LTaskup.exe
C:\WINDOWS\Media\GTaskup.exe
C:\Program Files\Wp\GTaskup.exe
C:\WINDOWS\lnk_dados_2.dll
C:\start.bat
C:\Documents and Settings\"jouw gebruikersnaam"\user.dat
C:\Documents and Settings\"jouw gebruikersnaam"\Emails.dat
C:\WINDOWS\Tasks\startt.job

Alsook kunnen de bestanden zich hier bevinden:

C:\Windows\system32\Emails.dat
C:\Windows\system32\user.dat
C:\Windows\media\user.dat

Noot voor Vista gebruikers:

In Windows Vista is de map C:\Documents and Settings vervangen door C:\Users, dus in dat geval kan je de bestanden hier vinden:

C:\Users\"jouw gebruikersnaam"\user.dat
C:\Users\"jouw gebruikersnaam"\Emails.dat

Alsook kunnen die bestanden zich hier ook bevinden:

C:\Windows\system32\Emails.dat
C:\Windows\system32\user.dat

Belangrijke NOTA!
Ga niet de ntuser.dat of user.exe verwijderen!!! Want deze zijn een onderdeel van je systeem!!!

Indien er meerdere gebruikersaccounts/gebruikersnamen zijn, zal je dus die user.dat en Email.dat onder elke gebruikersaccount moeten verwijderen.

Indien je problemen hebt bij het verwijderen van bepaalde bestanden, start je Computer op in Veilige mode en verwijder ze in Veilige mode.
Hoe de Computer opstarten in Veilige Modus <== klik hier voor instructies.

Nadat de infectie verwijderd is, moet je ook al je paswoorden wijzigen aangezien deze gekend kunnen zijn.

----------------------------

De infectie zou nu verwijderd moeten zijn.

Indien dit niet het geval is, registreer je op dit forum en klik daarna op deze link om je HijackThislog te plaatsen. Geef een duidelijke omschrijving in de titel en je bericht welk probleem je hebt. Dan zal iemand je zo snel mogelijk helpen.
Voor instructies in verband met HijackThis, lees hier.

Copyright © BlueMedicine.be
Gelieve bovenstaande info niet te kopieren zonder toestemming of verwijzing