PROCEDURE VOOR HET VERWIJDEREN VAN HET SIRCAM-VIRUS (W32/SIRCAM@MM)

Symptomen

Na het opstarten van Windows of het starten van een programma is het niet mogelijk om toepassingen te starten omdat het volgende foutbericht wordt weergegeven:
kan de toepassing niet starten: het bestand SIRC32.EXE ontbreekt

Oorzaak

Het SIRCAM-virus bevindt zich op de computer.

Nadat het besmette document is geopend, wordt dit in de Prullenbak van Windows opgeslagen (C:\RECYCLED\) onder de naam SIRC32.EXE. Er wordt tevens een registersleutel 'RUN' gemaakt die telkens wordt geactiveerd wanneer er een uitvoerbaar bestand(*.EXE) wordt gestart.


Het virus zoekt naar bestanden met de extensies .GIF, .JPG, .JPEG, .MOV, MPG, .PDF, .PNG, .PS en .ZIP in de map Mijn documenten en stuurt deze bestanden naar alle contactpersonen in het adresboek van Outlook Express, waarbij de contactpersonen in het vak BCC worden geplaatst.


Voor het opsporen van het virus hebt u een goed antivirusprogramma nodig, waarvan de bestanden zijn bijgewerkt.

Oplossing

Om het virus te verwijderen gaat u als volgt te werk:
  1. Als u een permanente Internet-verbinding hebt, moet u deze allereerst uitschakelen.
  2. Vervolgens moet u wijzigingen aanbrengen in het register.
  3. Wijzigingen in het register van Microsoft Windows moeten door ervaren gebruikers worden aangebracht. Als u registersleutels op incorrecte wijze wijzigt, kunnen er fouten optreden in het besturingssysteem, waardoor u de computer mogelijk opnieuw moet opstarten of zelfs de toepassingen opnieuw moet installeren.
  4. Het register bewerken:
  5. Kopieer en wijzig het bestand REGEDIT.EXE in REGEDIT.COM:
    Windows 95/98: klik achtereenvolgens op Start\Programma's\MS-DOS-prompt
    Windows ME: klik achtereenvolgens op Start\Programma's\Bureau-accessoires\MS-DOS-prompt
    Windows 2000/NT: klik achtereenvolgens op Start\Programma's\Bureau-accessoires\Opdrachtprompt
  6. Typ de volgende opdracht: copy REGEDIT.EXE REGEDIT.COM
  7. Een back-up maken van het register:
    klik op Start\Uitvoeren
  8. Typ in het vak: REGEDIT.COM
  9. Klik op de knop OK
  10. Klik op het menu REGISTER in de menubalk die bovenaan in het scherm wordt weergegeven en klik vervolgens op Registerbestand exporteren
  11. typ in het vak Bestandsnaam: Back-up en controleer of in het vak Opslaan in Bureaublad wordt weergegeven; selecteer dit in de vervolgkeuzelijst indien dit niet het geval is.
  12. Schakel het vakje Alles in de sectie Exportbereik in, zodat er een back-up van het volledige register wordt gemaakt.
  13. Klik vervolgens op Opslaan en sluit het register (door op Sluiten te klikken in de rechterbovenhoek).
  14. U hebt nu een back-upbestand gemaakt op het bureaublad, dat u moet verwijderen zodra alle wijzigingen op correcte wijze zijn uitgevoerd.
  15. De vermeldingen van het virus in het register verwijderen: de onderstaande wijzigingen dient u nauwgezet uit te voeren.
  16. klik op Start/Uitvoeren en typ REGEDIT.COM in het vak; klik vervolgens op de knop OK.
  17. Selecteer de map HKEY_CLASSES_ROOT\exefile\shell\open
  18. Dubbelklik in het rechterdeelvenster op de sleutel Standaard, zodat u deze kunt wijzigen.
  19. Verwijder de inhoud van het vak Waardenaam of Waardegegevens en typ exact het volgende: "%1" %*
  20. Hieronder volgt de waarde in de vorm van tekst, zodat u deze nogmaals kunt controleren: aanhalingsteken, percentteken, cijfer 1, spatie, percentteken, sterretje.
  21. Klik op de knop OK om de wijziging door te voeren.
  22. Selecteer vervolgens de map: HKEY_LOCAL_MACHINE\Software\Sircam en verwijder de map SIRCAM.
  23. Selecteer de map HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. In het rechterdeelvenster bevindt zich een sleutel met de naam Driver32=C:\Windows\System\Scam32.exe, die u moet verwijderen. Sluit het register(door op de X in de rechterbovenhoek te klikken).
Het virus verwijderen: maak een verbinding met het Internet en gebruik een on line antivirusprogramma om de machine te analyseren: via de volgens sites
http//www.sarc.com en http://www.mcafee.com kunt u uw computer gratis on line laten analyseren.

Meer informatie

Het virus verspreidt zich met behulp van het adresboek van Outlook Express.

Er zijn twee e-mailberichten die het virus bevatten: een bericht in het Engels en in het Spaans.


Onderwerp: [willekeurig]


Hi! How are you?


I send you this file in order to have your advice of I hope you can help me with this file that I send of I hope you like the file that I sendo you of This is the file with the information that you ask for See you later. Thanks


Hola como estas? Te mando este archivo para que me des tu punto de vista of Espero me puedas ayudar con el archivo que te mando of Espero te guste este archivo que te mando of Este es el archivo con la información que me pediste Nos vemos pronto, gracias.


Windows ME bevat een functie voor systeemherstel waarbij back-ups van systeembestanden worden opgeslagen in de map C:\_RESTORE. Bepaalde bestanden kunnen echter met het virus besmet zijn.


Als tijdens de on line analyse blijkt dat er een bestand besmet is, moet u als volgt te werk gaan:
  1. Klik met rechtermuisknop op het pictogram Deze computer
  2. Klik op Eigenschappen
  3. Selecteer het tabblad Prestaties, boven in, en klik vervolgens op de knop Bestandssysteem en op het tabblad Probleemoplossing.
  4. Schakel het selectievakje De optie Systeem herstellen uitschakelen in. Klik op OK en op Sluiten. U wordt gevraagd of u de machine opnieuw wilt opstarten.
  5. Start de machine opnieuw op en verwijder het besmette bestand of de besmette bestanden.
  6. Ga vervolgens zoals hierboven is omschreven te werk om het herstel van bestanden opnieuw in te schakelen.


Controleer als laatste of het bestand AUTOEXEC.BAT vermeldingen bevat met betrekking op het bestand SIRC32.EXE (N.B.: dit bestand is niet aanwezig in Windows ME en Windows 2000): klik op Start\Uitvoeren en typ SYSEDIT; selecteer het venster van het bestand AUTOEXEC.BAT en controleer of er een vermelding is van het bestand SIRC32.EXE; als dit niet het geval is, dient u alle geopende vensters te sluiten.


Ten slotte moet u de Prullenbak leegmaken. Dit dient echter via Windows Verkenner te gebeuren, omdat rechtsklikken op Prullenbak leegmaken niet voldoet. Klik met de rechtermuisknop op de Prullenbak en klik op Verkennen; verwijder vanaf deze locatie de bestanden die zich in de Prullenbak bevinden.

Referenties

Eigenschappen

Artikel-id: 19692 - Laatst bijgewerkt: 15 dec. 2004 - Revisie: 1

Feedback