© Virusalert schaal

  • Innovatie: 9
  • Besturing: 35
  • Logistiek: 10
  • Schade: 25
  • Schaal: 20
  • Aanduiding: lastig

W32.Mytob-ie

  • Type win32
  • Besturingssysteem Microsoft Windows
  • Risico laag
  • Bron (c) 2005, VirusAlert
  • Alias Net-Worm.Win32.Mytob.bi [Kaspersky Lab], W32/Mytob.eu@MM [McAfee], W32/Mytob.IE.worm [Panda], W32/Mytob-DV [Sophos], WORM_MYTOB.ET [Trend Micro]
  • Preventie Zodra de worm W32.Mytob-ie is geactiveerd, gebeurt het volgende: 1. Kopieert zichzelf als %System%\mssck.exe. Toelichting locatie C:\Windows of C:\Windows\SystemHiermee wordt de standaard installatie van Windows of Windows\Sytem mee bedoeld. Dit is afhankelijk van het type en de versie: C:\Windows bij (Windows 95/98/Me/XP) of C:\Winnt bij (Windows NT/2000) C:\Windows\System bij Win95/98/Me & C:\Windows\System32 bij Win2000, XP en NT) 2. Voegt de waarde toe: "Mircosoft Sockets SP2" = "mssck.exe" aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices zodat het iedere keer een risico vormt als u Windows start. Opmerking: de worm al zichzelf opnieuw creëren ook als de subsleutels zijn verwijderd! Voegt de waarde toe: "Start" = "4" aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess met als doel de gedeelde toegang dienst in Windows 2000/XP uit te schakelen. Opmerking: de worm al zichzelf opnieuw creëren ook als de subsleutels zijn verwijderd! 3. Creëert de mutex naam "H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H" zodat elk moment de worm op de achtergrond meedraait op de getroffen computer. 4. Verzamelt E-mailadressen van het adresboek in Windows van de volgende locaties: • %Windir%\Temporary Internet Files • %Userprofile%\Local Settings\Temporary Internet Files • %System% Opmerking: • %Windir% is een variabele die verwijst naar de map waar Windows geïnstalleerd is. Bij het ontbreken hiervan is dit: C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000). • %UserProfile% is een variabele die verwijst naar de map waar de huidige gebruiker aangemeld staat. Bij het ontbreken hiervan is dit: C:\Documents en Settings\[CURRENT USER] (Windows NT/2000/XP). 5. Verzameld e-mailadressen van bestanden met de volgende extensies op alle locale schijven van C tot Y: • .adb • .asp • .cgi • .dbx • .htm • .html • .jsp • .php • .sht • .tbb • .txt • .wab • .xml 6. Vermijdt zichzelf te versturen naar e-mailadressen die de volgende ‘strings’ bevatten: • abuse • accoun • admin • administrator • anyone • bsd • bugs • certific • contact • fcnz • feste • gold-certs • google • help • icrosoft • info • linux • listserv • mail • nobody • noone • not • nothing • ntivi • page • postmaster • privacy • rating • register • root • samples • secur • service • site • soft • somebody • someone • spm • submit • support • the.bat • unix • webmaster • www • you • your Avoids sending itself to email addresses that contain any of the following strings in the domain name: • .gov • .mil • acketst • arin. • avp • berkeley • borlan • bsd • example • fido • foo. • fsf. • gnu • google • gov. • hotmail • iana • ibm.com • icrosof • ietf • inpris • isc.o • isi.e • kernel • linux • math • mit.e • mozilla • msn. • mydomai • nodomai • panda • pgp • rfc-ed • ripe. • ruslis • secur • sendmail • sopho • syma • tanford.e • unix • usenet • utgers.ed 7. Voegt de volgende koorden toe aan domeinnamen in een poging om de eenvoudige servers van de Overdracht van de Post te vinden van het Protocol (SMTP): • mx. • mail. • smtp. • mx1. • mxs. • mail1. • relay. • ns. • gate 8. Gebruikt zijn eigen SMTP motor om zichzelf te versturen naar de verzamelde e-mailadressen. De e-mail heeft de volgende karakteristieken: Afzender: Een van de volgenden: • adam • alex • andrew • anna • bill • bob • brenda • brent • brian • claudia • dan • dave • david • debby • frank • fred • george • helen • jack • james • jane • jerry • jim • jimmy • joe • john • jose • josh • julie • kevin • leo • linda • maria • mary • matt • michael • mike • paul • peter • ray • robert • sales • sam • sandra • serg • smith • stan • steve • ted • tom De worm kan ook de afzender nabootsen zodat het lijkt afkomstig te zijn van een van de verzamelde adressen van de geïnfecteerde computer. • Onderwerp: Een van de volgende onderwerpen: • Your password has been updated • Your password has been successfully updated • You have successfully updated your password • Your new account password is approved • Your Account is Suspended • *DETECTED* Online User Violation • Your Account is Suspended For Security Reasons • Warning Message: Your services near to be closed. • Important Notification • Members Support • Security measures • Email Account Suspension Tekstbericht: Een van de volgende: • Dear user [USER NAME], You have successfully updated the password of your [DOMAIN] account. If you did not authorize this change or if you need assistance with your account, please contact [DOMAIN] Customer service at: [SPOOFED EMAIL] Thank you for using [DOMAIN]! The [DOMAIN] Support Team +++ Attachment: No Virus (Clean) +++ [DOMAIN] Antivirus - www.[FULL DOMAIN] • Dear user [USER NAME], It has come to our attention that your [DOMAIN] User Profile ( x ) records are out of date. For further details see the attached document. Thank you for using [DOMAIN]! The [DOMAIN] Support Team +++ Attachment: No Virus (Clean) +++ [DOMAIN] Antivirus - www.[FULL DOMAIN] • Dear [DOMAIN] Member, We have temporarily suspended your email account [EMAIL]. This might be due to either of the following reasons: 1. A recent change in your personal information (i.e. change of address). 2. Submiting invalid information during the initial sign up process. 3. An innability to accurately verify your selected option of subscription due to an internal error within our processors. See the details to reactivate your [DOMAIN] account. Sincerely,The [DOMAIN] Support Team +++ Attachment: No Virus (Clean) +++ [DOMAIN] Antivirus - www.[FULL DOMAIN] Dear [DOMAIN] Member, Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service. If you choose to ignore our request, you leave us no choice but to cancel your membership. Virtually yours, The [DOMAIN] Support Team +++ Attachment: No Virus found +++ [DOMAIN] Antivirus - www.[FULL DOMAIN] Where [DOMAIN] is the domain part of the recipient's email address, [USER NAME] is the username part of the recipient's email address, [SPOOFED EMAIL] is a spoofed email address on the same domain, and [EMAIL] is the recipient's email address. Attachment: Een van de volgende: • updated-password • email-password • new-password • password • approved-password • account-password • accepted-password • important-details • account-details • email-details • account-info • document • readme • account-report met een van de onderstaande extensies: • .bat • .cmd • .exe • .pif • .scr De bijlage kan ook een .zip bestand zijn waarin een kopie van de worm is ingepakt. De worm heeft twee bestands extensies. De kopie van de worm zal als eerste extensie .doc, .htm, of .txt bevatten, en de tweede extensie zal zijn: .exe, .pif, of .scr. 9. Maakt verbinding met de server lawl.dists.us via de TCP poort 1863. De worm luistert naar commando’s die de indringer de mogelijkheid geeft om de volgende handelingen uit te voeren: 1. Uitvoeren van dossiers 2. Downloaden van bestanden 3. informatie krijgen over welke versie van de worm loopt 4. kan updates verwijderen of de worm beëindigen 10. Blokkeert de toegang van diverse aan veiligheid gerelateerde websites door de volgende tekst aan het host bestand toe te voegen: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 11. Probeert de volgende processen die met beveiliging te maken hebben te blokkeren: • ACKWIN32.EXE • ADAWARE.EXE • ADVXDWIN.EXE • AGENTSVR.EXE • AGENTW.EXE • ALERTSVC.EXE • ALEVIR.EXE • ALOGSERV.EXE • AMON9X.EXE • ANTI-TROJAN.EXE • ANTIVIRUS.EXE • ANTS.EXE • APIMONITOR.EXE • APLICA32.EXE • APVXDWIN.EXE • ARR.EXE • ATCON.EXE • ATGUARD.EXE • ATRO55EN.EXE • ATUPDATER.EXE • ATWATCH.EXE • AU.EXE • AUPDATE.EXE • AUTO-PROTECT.NAV80TRY.EXE • AUTODOWN.EXE • AUTOTRACE.EXE • AUTOUPDATE.EXE • AVCONSOL.EXE • AVE32.EXE • AVGCC32.EXE • AVGCTRL.EXE • AVGNT.EXE • AVGSERV.EXE • AVGSERV9.EXE • AVGUARD.EXE • AVGW.EXE • AVKPOP.EXE • AVKSERV.EXE • AVKSERVICE.EXE • AVKWCTl9.EXE • AVLTMAIN.EXE • AVNT.EXE • AVP.EXE • AVP32.EXE • AVPCC.EXE • AVPDOS32.EXE • AVPM.EXE • AVPTC32.EXE • AVPUPD.EXE • AVSCHED32.EXE • AVSYNMGR.EXE • AVWINNT.EXE • AVWUPD.EXE • AVWUPD32.EXE • AVWUPSRV.EXE • AVXMONITOR9X.EXE • AVXMONITORNT.EXE • AVXQUAR.EXE • BACKWEB.EXE • BARGAINS.EXE • BD_PROFESSIONAL.EXE • BEAGLE.EXE • BELT.EXE • BIDEF.EXE • BIDSERVER.EXE • BIPCP.EXE • BIPCPEVALSETUP.EXE • BISP.EXE • BLACKD.EXE • BLACKICE.EXE • BLSS.EXE • BOOTCONF.EXE • BOOTWARN.EXE • BORG2.EXE • BPC.EXE • BRASIL.EXE • BS120.EXE • BUNDLE.EXE • BVT.EXE • CCAPP.EXE • CCEVTMGR.EXE • CCPXYSVC.EXE • CDP.EXE • CFD.EXE • CFGWIZ.EXE • CFIADMIN.EXE • CFIAUDIT.EXE • CFINET.EXE • CFINET32.EXE • CLAW95CF.EXE • CLEAN.EXE • CLEANER.EXE • CLEANER3.EXE • CLEANPC.EXE • CLICK.EXE • CMD.EXE • CMD32.EXE • CMESYS.EXE • CMGRDIAN.EXE • CMON016.EXE • CONNECTIONMONITOR.EXE • CPD.EXE • CPF9X206.EXE • CPFNT206.EXE • CTRL.EXE • CV.EXE • CWNB181.EXE • CWNTDWMO.EXE • DATEMANAGER.EXE • DCOMX.EXE • DEFALERT.EXE • DEFSCANGUI.EXE • DEFWATCH.EXE • DEPUTY.EXE • DIVX.EXE • DLLCACHE.EXE • DLLREG.EXE • DOORS.EXE • DPF.EXE • DPFSETUP.EXE • DPPS2.EXE • DRWATSON.EXE • DRWEB32.EXE • DRWEBUPW.EXE • DSSAGENT.EXE • DVP95.EXE • DVP95_0.EXE • ECENGINE.EXE • EFPEADM.EXE • EMSW.EXE • ENT.EXE • ESAFE.EXE • ESCANHNT.EXE • ESCANV95.EXE • ESPWATCH.EXE • ETHEREAL.EXE • ETRUSTCIPE.EXE • EVPN.EXE • EXANTIVIRUS-CNET.EXE • EXE.AVXW.EXE • EXPERT.EXE • EXPLORE.EXE • F-PROT.EXE • F-PROT95.EXE • F-STOPW.EXE • FAMEH32.EXE • FAST.EXE • FCH32.EXE • FIH32.EXE • FINDVIRU.EXE • FIREWALL.EXE • FNRB32.EXE • FP-WIN.EXE • FP-WIN_TRIAL.EXE • FPROT.EXE • FRW.EXE • FSAA.EXE • FSAV.EXE • FSAV32.EXE • FSAV530STBYB.EXE • FSAV530WTBYB.EXE • FSAV95.EXE • FSGK32.EXE • FSM32.EXE • FSMA32.EXE • FSMB32.EXE • GATOR.EXE • GBMENU.EXE • GBPOLL.EXE • GENERICS.EXE • GMT.EXE • GUARD.EXE • GUARDDOG.EXE • HACKTRACERSETUP.EXE • HBINST.EXE • HBSRV.EXE • HOTACTIO.EXE • HOTPATCH.EXE • HTLOG.EXE • HTPATCH.EXE • HWPE.EXE • HXDL.EXE • HXIUL.EXE • IAMAPP.EXE • IAMSERV.EXE • IAMSTATS.EXE • IBMASN.EXE • IBMAVSP.EXE • ICLOADNT.EXE • ICMON.EXE • ICSUPP95.EXE • ICSUPPNT.EXE • IDLE.EXE • IEDLL.EXE • IEDRIVER.EXE • IEXPLORER.EXE • IFACE.EXE • IFW2000.EXE • INETLNFO.EXE • INFUS.EXE • INFWIN.EXE • INIT.EXE • INTDEL.EXE • INTREN.EXE • IOMON98.EXE • ISTSVC.EXE • JAMMER.EXE • JDBGMRG.EXE • JEDI.EXE • KAVLITE40ENG.EXE • KAVPERS40ENG.EXE • KAVPF.EXE • KAZZA.EXE • KEENVALUE.EXE • KERIO-PF-213-EN-WIN.EXE • KERIO-WRL-421-EN-WIN.EXE • KERIO-WRP-421-EN-WIN.EXE • KERNEL32.EXE • KILLPROCESSSETUP161.EXE • LAUNCHER.EXE • LDNETMON.EXE • LDPRO.EXE • LDPROMENU.EXE • LDSCAN.EXE • LNETINFO.EXE • LOADER.EXE • LOCALNET.EXE • LOCKDOWN.EXE • LOCKDOWN2000.EXE • LOOKOUT.EXE • LORDPE.EXE • LSETUP.EXE • LUALL.EXE • LUAU.EXE • LUCOMSERVER.EXE • LUINIT.EXE • LUSPT.EXE • MAPISVC32.EXE • MCAGENT.EXE • MCMNHDLR.EXE • MCSHIELD.EXE • MCTOOL.EXE • MCUPDATE.EXE • MCVSRTE.EXE • MCVSSHLD.EXE • MD.EXE • MFIN32.EXE • MFW2EN.EXE • MFWENG3.02D30.EXE • MGAVRTCL.EXE • MGAVRTE.EXE • MGHTML.EXE • MGUI.EXE • MINILOG.EXE • MMOD.EXE • MONITOR.EXE • MOOLIVE.EXE • MOSTAT.EXE • MPFAGENT.EXE • MPFSERVICE.EXE • MPFTRAY.EXE • MRFLUX.EXE • MSAPP.EXE • MSBB.EXE • MSBLAST.EXE • MSCACHE.EXE • MSCCN32.EXE • MSCMAN.EXE • MSCONFIG.EXE • MSDM.EXE • MSDOS.EXE • MSIEXEC16.EXE • MSINFO32.EXE • MSLAUGH.EXE • MSMGT.EXE • MSMSGRI32.EXE • MSSMMC32.EXE • MSSYS.EXE • MSVXD.EXE • MU0311AD.EXE • MWATCH.EXE • N32SCANW.EXE • NAV.EXE • NAVAP.NAVAPSVC.EXE • NAVAPSVC.EXE • NAVAPW32.EXE • NAVDX.EXE • NAVLU32.EXE • NAVNT.EXE • NAVSTUB.EXE • NAVW32.EXE • NAVWNT.EXE • NC2000.EXE • NCINST4.EXE • NDD32.EXE • NEC.EXE • NEOMONITOR.EXE • NEOWATCHLOG.EXE • NETARMOR.EXE • NETD32.EXE • NETINFO.EXE • NETMON.EXE • NETSCANPRO.EXE • NETSPYHUNTER-1.2.EXE • NETSTAT.EXE • NETUTILS.EXE • NISSERV.EXE • NISUM.EXE • NMAIN.EXE • NOD32.EXE • NORMIST.EXE • NORTON_INTERNET_SECU_3.0_407.EXE • NOTSTART.EXE • NPF40_TW_98_NT_ME_2K.EXE • NPFMESSENGER.EXE • NPROTECT.EXE • NPSCHECK.EXE • NPSSVC.EXE • NSCHED32.EXE • NSSYS32.EXE • NSTASK32.EXE • NSUPDATE.EXE • NT.EXE • NTRTSCAN.EXE • NTVDM.EXE • NTXconfig.EXE • NUI.EXE • NUPGRADE.EXE • NVARCH16.EXE • NVC95.EXE • NVSVC32.EXE • NWINST4.EXE • NWSERVICE.EXE • NWTOOL16.EXE • OLLYDBG.EXE • ONSRVR.EXE • OPTIMIZE.EXE • OSTRONET.EXE • OTFIX.EXE • OUTPOST.EXE • OUTPOSTINSTALL.EXE • OUTPOSTPROINSTALL.EXE • PADMIN.EXE • PANIXK.EXE • PATCH.EXE • PAVCL.EXE • PAVPROXY.EXE • PAVSCHED.EXE • PAVW.EXE • PCFWALLICON.EXE • PCIP10117_0.EXE • PCSCAN.EXE • PDSETUP.EXE • PERISCOPE.EXE • PERSFW.EXE • PERSWF.EXE • PF2.EXE • PFWADMIN.EXE • PGMONITR.EXE • PINGSCAN.EXE • PLATIN.EXE • POP3TRAP.EXE • POPROXY.EXE • POPSCAN.EXE • PORTDETECTIVE.EXE • PORTMONITOR.EXE • POWERSCAN.EXE • PPINUPDT.EXE • PPTBC.EXE • PPVSTOP.EXE • PRIZESURFER.EXE • PRMT.EXE • PRMVR.EXE • PROCDUMP.EXE • PROCESSMONITOR.EXE • PROCEXPLORERV1.0.EXE • PROGRAMAUDITOR.EXE • PROPORT.EXE • PROTECTX.EXE • PSPF.EXE • PURGE.EXE • QCONSOLE.EXE • QSERVER.EXE • RAPAPP.EXE • RAV7.EXE • RAV7WIN.EXE • RAV8WIN32ENG.EXE • RAY.EXE • RB32.EXE • RCSYNC.EXE • REALMON.EXE • REGED.EXE • REGEDIT.EXE • REGEDT32.EXE • RESCUE.EXE • RESCUE32.EXE • RRGUARD.EXE • RSHELL.EXE • RTVSCAN.EXE • RTVSCN95.EXE • RULAUNCH.EXE • RUN32DLL.EXE • RUNDLL.EXE • RUNDLL16.EXE • RUXDLL32.EXE • SAFEWEB.EXE • SAHAGENT.EXE • SAVE.EXE • SAVENOW.EXE • SBSERV.EXE • SC.EXE • SCAM32.EXE • SCAN32.EXE • SCAN95.EXE • SCANPM.EXE • SCRSCAN.EXE • SETUPVAMEEVAL.EXE • SETUP_FLOWPROTECTOR_US.EXE • SFC.EXE • SGSSFW32.EXE • SH.EXE • SHELLSPYINSTALL.EXE • SHN.EXE • SHOWBEHIND.EXE • SMC.EXE • SMS.EXE • SMSS32.EXE • SOAP.EXE • SOFI.EXE • SPERM.EXE • SPF.EXE • SPHINX.EXE • SPOLER.EXE • SPOOLCV.EXE • SPOOLSV32.EXE • SPYXX.EXE • SREXE.EXE • SRNG.EXE • SS3EDIT.EXE • SSGRATE.EXE • SSG_4104.EXE • ST2.EXE • START.EXE • STCLOADER.EXE • SUPFTRL.EXE • SUPPORT.EXE • SUPPORTER5.EXE • SVC.EXE • SVCHOSTC.EXE • SVCHOSTS.EXE • SVSHOST.EXE • SWEEP95.EXE • SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE • SYMPROXYSVC.EXE • SYMTRAY.EXE • SYSEDIT.EXE • SYSTEM.EXE • SYSTEM32.EXE • SYSUPD.EXE • TASKMG.EXE • TASKMGR.EXE • TASKMO.EXE • TASKMON.EXE • TAUMON.EXE • TBSCAN.EXE • TC.EXE • TCA.EXE • TCM.EXE • TDS-3.EXE • TDS2-NT.EXE • TEEKIDS.EXE • TFAK.EXE • TFAK5.EXE • TGBOB.EXE • TITANIN.EXE • TITANINXP.EXE • TRACERT.EXE • TRICKLER.EXE • TRJSCAN.EXE • TRJSETUP.EXE • TROJANTRAP3.EXE • TSADBOT.EXE • TVMD.EXE • TVTMD.EXE • UNDOBOOT.EXE • UPDAT.EXE • UPDATE.EXE • UPGRAD.EXE • UTPOST.EXE • VBCMSERV.EXE • VBCONS.EXE • VBUST.EXE • VBWIN9X.EXE • VBWINNTW.EXE • VCSETUP.EXE • VET32.EXE • VET95.EXE • VETTRAY.EXE • VFSETUP.EXE • VIR-HELP.EXE • VIRUSMDPERSONALFIREWALL.EXE • VNLAN300.EXE • VNPC3000.EXE • VPC32.EXE • VPC42.EXE • VPFW30S.EXE • VPTRAY.EXE • VSCAN40.EXE • VSCENU6.02D30.EXE • VSCHED.EXE • VSECOMR.EXE • VSHWIN32.EXE • VSISETUP.EXE • VSMAIN.EXE • VSMON.EXE • VSSTAT.EXE • VSWIN9XE.EXE • VSWINNTSE.EXE • VSWINPERSE.EXE • W32DSM89.EXE • W9X.EXE • WATCHDOG.EXE • WEBDAV.EXE • WEBSCANX.EXE • WEBTRAP.EXE • WFINDV32.EXE • WHOSWATCHINGME.EXE • WIMMUN32.EXE • WIN-BUGSFIX.EXE • WIN32.EXE • WIN32US.EXE • WINACTIVE.EXE • WINDOW.EXE • WINDOWS.EXE • WININETD.EXE • WININIT.EXE • WININITX.EXE • WINLOGIN.EXE • WINMAIN.EXE • WINNET.EXE • WINPPR32.EXE • WINRECON.EXE • WINSERVN.EXE • WINSSK32.EXE • WINSTART.EXE • WINSTART001.EXE • WINTSK32.EXE • WINUPDATE.EXE • WKUFIND.EXE • WNAD.EXE • WNT.EXE • WRADMIN.EXE • WRCTRL.EXE • WSBGATE.EXE • WUPDATER.EXE • WUPDT.EXE • WYVERNWORKSFIREWALL.EXE • XPF202EN.EXE • ZAPRO.EXE • ZAPSETUP3001.EXE • ZATUTOR.EXE • ZONALM2601.EXE • ZONEALARM.EXE • _AVP32.EXE • _AVPCC.EXE • _AVPM.EXE
  • Verwijderinstructie TIP - Twijfels bij een bepaald bestand? Verwijder het virus met de gratis online scanner van Symantec, klik hier Ook klik hier Of laat een verdacht bestand analyseren door KasperskyLab Benelux. Deze service is gratis en Nederlandstalig! klik hier Kaspersky biedt een gratis 30 dagen proefversie van haar Nederlandstalige pakket, deze kun je hier downloaden. TIP ? Controleer uw systeem af en toe met een antiviruspakket van een andere fabrikant. Handmatig een virus verwijderen voor Windows 9x, 2000, NT en XP Onderstaande algemene beschrijving geldt voor alle Windows systemen. Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten. U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie! Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1. 1. Raadpleeg Windows help voor meer informatie over [systeemherstel] 2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig. Aanpassen van de registry? Wij adviseren aanpassingen in het register van Windows alleen te laten uitvoeren door Windows-specialisten. 3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk. 3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit" Note voor XP-gebruikers

W32.Mytob-ie is een massa postende worm die achterdeuren openzet van de getroffen computer met als doel de beveiligingsniveaus te verlagen. Getroffen besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Verlaagt beveiligingsniveaus van de geïnfecteerde computer door processen die gerelateerd zijn aan beveiliging uit te schakelen. Daarnaast probeert het de toegang tot aan veiligheid gerelateerde websites te blokkeren. Het maakt gebruik van de TCP Poort 1863 voor distributie en download bestanden en voert deze uit.