(waarschijnlijk) virus/tjojan

[sanderdvd]

sinds een dag vallen er 2 dingen op in mijn msconfig/startup namelijk:

command line:                            program name:
kerld32.exe                                kernel loader                     
svccfg.exe                                  configuration loader

heb al het hele internet afgezocht maar nog geen oplossingen gevonden. Wel het eea. al zelf bevonden:
na het draaien van spybot krijg ik een result genaamd bloodhound.pack (HKEY_LOCAL_MACHINE\Sofware\Microsoft\Windows\CurrentVersion\RunServices\Configuration Loader.
Deze heeft lijkt mij te maken met de configuration loader die opstart bij mij. (svccfg.exe). Als ik op fix selected klik bij spybot fixt hij m wel, maar bij een restart is hij weer vrolijk terug. Ook heb ik m bij RunServices in het register proberen te verwijderen, maar ook die keert terug.
De kernel loader heb ik het volgende voor gedaan (maar ook nog zonder resultaat):
heb de file KERNEL32.EXE van m n systeem verwijderd.

Iemand advies wat te doen?

[dennis]

Eigenschappen: 
Update

Cervicec is een mass-mailer internetworm die zich verspreidt via e-mail. De eigenschappen van het e-mailtje wisselen nogal. Het lijkt erop dat het virus conform c.q. in de taal van het besmette systeem zichzelf doorstuurt. Het virus heeft verschillende talen waar het mee werkt. Deze worden gebruikt voor de onderwerpsaanduiding- en de tekst van het bericht. Bekend is ondermeer het gebruik van Duits, Engels, Spaans en Italiaans.'
Het virus stuurt zichdoor naar emailadressen die het vindt in het ICQ-programma. Bent u geen gebruiker van ICQ dan zal het virus zich ook niet verder verspeiden via uw systeem. (Maar uw systeem is wel besmet!)

Het virus zit verpakt in een PE .exe bestand wat een ingepakte grootte heeft van 230 KB. Na infectie toont het een windowsvenster met daarin de tekst "press restart button to close this applications". Hierna wordt er een plaatje getoond van een registry-editor.

Eigenschappen van het e-mailtje:
Onderstaand een aantal mogelijkheden van resp. het "onderwerp" en de "tekst van het bericht" in verschillende talen.

OF:

onderwerp: Vtip
tekst van het bericht: Cau posilam ti cerviky tak se na to podivej (virus to neni)

OF:

onderwerp: Chiste
tekst van het bericht: Hola te mando los gusanilloes. Pues mirarlos (no es un virus)

OF:

onderwerp: Vtip
tekst van het bericht: Cau posielam ti cerviky tak sa na to pozri (virus to neni)

OF:

onderwerp: Witz
tekst van het bericht: Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus)

OF:

onderwerp: blague
tekst van het bericht: J'ai une bonne blague ca s'appelle verre de terre alors jette un coup
d'oeil
(il n'y a pas de virus)

OF:

onderwerp: шутка
tekst van het bericht: Привет, У меня есть прикольная штучка вроде червяка (это не вирус)

OF:

onderwerp: Joke
tekst van het bericht: Hi, I have some cool joke - worms so have a look at it (no virus)

OF:

onderwerp: Zart
tekst van het bericht: Czesc, mam swietnz dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)

De informatie over dit virus is om 18.30 verzonden via het VirusAlert Business Package, zie hieronder:






Preventieve maatregelen: 
Blokkeer binnenkomende e-mail met een bijlagebestand van 230 Kb.

Herkenning van besmetting:

-Aanwezigheid van het volgende bestand in de standaard Windows\System-directorie:
NTKRNL.EXE

-Aanwezigheid van de registry-waarde:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Kernel Loader="C:\WINDOWS\system32\ntkrnl.exe -LOADDRIVERS=TRUE"



Verwijder instructies: 
-Verwijder de genoemde mail uit uw mailprogramma.
-Verwijder bovengenoemd bestand van uw systeem en verwijder de genoemde registry-waarde uit de registry.



http://www.virusalert.nl/?show=virus&id=259

gr
dennis

[dennis]

http://www.svcdplaza.com/ftopicp-17437.html

[MrPink]

Ik denk deze:

onderwerp: шутка
tekst van het bericht: Привет, У меня есть прикольная штучка вроде червяка (это не вирус)

Groetjes,
Oscar

[dennis]