"Kak" Verwijder Instructies
Aangeboden door de alt.comp.virus nieuwsgroep deelnemers.
(Deze "anti-malware" paginaas zijn het resultaat van een doorlopende gezamenlijke inspanning.)
Navigatie en Site Map
Lees aub alle instructies hieronder zorgvuldig door...
geschreven door: Nick FitzGerald
(geplaatst met Nick's toestemming)
Deze instructies verwijderen niet alleen Kak, maar leggen ook uit hoe je machine immuun te maken voor herinfectie door Kak, of infectie door alle toekomstige virussen of wormen die gebruik maken van het zelfde veiligheids lek om in je machine te komen.
N.B : Kak verspreid zich via E-mail. sinds je besmet was, heb je besmette mailtjes verzonden. Je zou naar je Verzonden items folder moeten kijken na alle fixes hieronder toegepast te hebben en E-mail waarschuwingen te sturen (met verontschuldigingen) aan iedereen die je gemaild hebt sinds je besmet raakte.
N.B 2 : Teveel beschrijvingen van hoe Kak aan te pakken vergeten het feit dat besmette gebruikers mail folders hebben vol met besmette mailtjes waardoor ze opnieuw besmet raken zodra ze die lezen als het veiligheids lek waar Kak van afhankelijk is, niet gesloten is. Daarom, na Kak opgeruimd te hebben, MOET je mijn adviezen opvolgen over de Outlook security instellingen EN de MS security patch installeren waar aan het eind van deze boodschap een link naar staat.
N.B. 3 : Als jouw machine tegenwoordig tijdens het opstarten een boodschap geeft met een vreemde boodschap ( het kan "Kagou-Anti-Kro$oft says not today" zijn) negeer het.
Beweeg het boodschap window uiit de weg en doe het volgend -- door op de "OK" knop klikken wordt je PC afgesloten, maar je kunt dat windowtje gewoon negeren en het volgende doen. Mensen met iets meer lef zouden op Ctrl-Alt-Del kunne drukken, dan de proces naam "Driver Memory Error" kunnen selecteren en op de "End Task" knop kunnen klikken.
In de voorgeschreven volgorde -- vraag niet waarom, doe het gewoon :
Ten eerste, stop met het gebruiken van die machine voor E-mail en nieuwsgroepen.
In feite, sluit alle applicaties af. In de volgende instructies, start alle genoemde applicaties en doe alleen de aangegeven configuratie wijzigingen en sluit dan de applicatie.
Ten tweede, ga na of bij de Restrictid Zone security ActiveX ondersteuning op niet toestaan staat.
(dat voorkomt dat mensen de verkeerde optie kiezen als het op "prompt" staat) en als het daar niet op staat, zet het daarop. Dit doe je op de security tab van Tools/Internet opties in IE of de security tab van Internet opties control window (het zijn beide wegen naar dezelfde controls). Als je niet weet hoe dit na te gaan, kies dan voor de Restricted Zone en klik op de "Default level" of "Standaard nivo" knop om het opnieuw op de defaults voor die Zone te zetten. --die zijn goed genoeg.
Ten derde, zet Outlook Express zo dat het de Restricted Zone gebuikt. Dit kan met de security tab van de Tools/Opties menu.
Ten vierde, verwijder de handtekening (signature) definitie in Outlook Express voor iedere besmette identiteit. (als je niet weet wat dat betekent, dan heb je waarschijnlijk slechts een identiteit zodat je het maar een keer hoeft te doen). Deze instellingen staan op de handtekening (signatures) tab van de tools/opties menu.
In theorie is het nu veilig om met Outlook Express 5 mail te lezen en te zenden --Maar doe dat niet...
Ten vijfde, verwijder de bestanden kak.htm uit de window dir
en <naam>.hta uit de windows/system dir. <naam>
bestaat uit acht karakters op rij die een hexadecimaal getal voorstellen
-- dat wil zeggen het bestaat uit een combinatie van cijfers 0-9 en letters A-F.
Er kunnen er meer dan een van deze bestanden zijn -- zij zouden 4116 bytes groot moeten zijn --
Verwijder ze allemaal.
Als er meer dan een is, dan zou iets moeten leren over Outlook Express gebruikers identiteiten (user identities) en
ruim de handtekeningen van alle identiteiten op ( dat is meer esthetisch dan noodzakelijk, want het verwijderen van het kak.htm bestand heeft ook als effect dat de handtekeningen onklaar gemaakt worden).
Voor deze bestanden is het verborgen (hidden) attribuut gezet -- om ze te zien moeten de standaard instellingen van Verkenner (Explorer) veranderd worden. Als je niet zeker weet hoe dit te doen, kies Help van het Start menu, klik op de index tab, dan onder Win95, vul in "hidden" of onder Win98 vul in "hidden attributes" als je een UK versie hebt , anders respectievelijk "verborgen" en "verborgen attributen" en bekijk het onderwerp dat gevonden wordt.
Ten zesde, edit AUTOEXEC.BAT en verwijder de twee regels
die verantwoordelijk zijn voor het aanmaken en verwijderen van kak.hta in de windows startup dir.
Als AE.kak bestaat direct op C: en er waren geen
veranderingen gemaakt in AUTOEXEC.BAT sinds Kak de machine geïnfecteerd heeft,
dan kun je AUTOEXEC.BAT verwijderen (of van naam veranderen) en dan de naam veranderen van AE.KAK
naar AUTOEXEC>BAT (het is Kak backup van AUTOEXEC.BAT die gemaakt wordt tijden de installatie).
Kijk in de Windows Startup of Optarten dir en verwijder ieder bestand daar genaamd kak.hta.
Start de computer opnieuw op en let goed op een proces
genaamd Driver Memory Error die alleen verschijnt (en dan nog maar kort)
als een knop op de taakbalk. Als dat gebeurd, dan heb je iets gemist of je deed iets niet in de
goede volgorde. Doe het opnieuw.
Aangenomen dat alles goed gegaan is, ga naar :
http://www.microsoft.com/technet/security/bulletin/ms99-032.asp
Lees het, download het en draai de officiele MS patch die het veiligheidslek sluit waar Kak van afhankelijk is.
Na dit gedaan te hebben kun je je E-mail veiligheids instellingen weer op de Internet zone zetten, hoewel ik het zeker niet kan aanbevelen!
Na dit alles, zul je bijna zeker een of meer mailtjes met de Kak code
in je E-mail folders hebben. Tenzij MS het veiligheidslek waar Kak van afhankelijk is, herintroduceerd
in een toekomstige IE update, zullen ze je niets doen, hoewel ze te forwarden naar anderen voorkomen moet worden.
Bedenk ook, dat alle copieen in je verzonden folder
actieve Kak code bevatten. Als je geen virusscanner hebt die ook in je
OE mail bestanded kan kijken, dan is de enige ook maar enigszins acceptabele
omzeiling van het "probleem" van het mogelijk doorsturen van deze
"geinfecteerde", bewaarde e-mailtjes, al je gebruiker identiteiten zo te configureren
dat ze alleen maar tekst zenden ipv al die HTML onzin die de standaard instelling is van OE.
Daarom is het op alleen tekst zetten van versturen een erg goed idee.
N.B om deze instellingen volledig te zetten moet je niet alleen Tool/Options/Send op "Plain text"
voor "Mail Sending Format", maar ook de optie afzetten "Reply to
messages in the format in which they were sent" of "Antwoorden in het vorm waarin boodschappen verzonden waren" die ook in de Tools/options/Send box staan.
Nick FitzGerald
Windows Millennium gebruikers let aub op:
Als je geinfecteerde bestanden niet kan virus vrij kan maken ok kan verwijderen van de
_Restore\Temp or _Restore\Archive folders...
lees dit.
- Einde Verwijder instructies -
Sommigen van jullie zulen zich nu afvragen...
"Hoe kan ik eigenlijk mijn computer vrijwaren tegen verdere schade?"
Antwoord: Klik hier voor enige tips!
© Claymania Creations 2001 - 2013. All rights reserved.
|