header wwb

Totaal bezoekers:
Totaal pagevieuws:
Online bezoekers:		  
 
 		  


 maak van deze website uw startpagina !
WorldwideBase
 Alle wwbase pagina's

 

CoolWebSearch-varianten

 

Terug naar computer klik hier

  
 
Note: Deze hijackers veranderen voordurend. Je zal ze in de toekomst nooit op dezelfde manier kunnen blijven fixen.
 
Super-spider.com/sp
Deze variant voegt pornosites toe aan je favorieten, schakelt andere bho's uit en dropt een aantal bestanden van 0 bytes.
Hij maakt gebruik van een Browser Helper Object (BHO) met vaste CLSID. De DLL-file is willekeurig gekozen.
In een HijackThislog ziet dit er zo uit:
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-spider.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\nume1dvb3xifmz.dll
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [Uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O15 - Trusted Zone: *.greg-search.com
O20 - AppInit_DLLs: 2o0a4ocblzi34.tlb 6mm1auif9x5.tlb
 
Hoe fixen?
Repareer met HijackThis de slechte entries in de log. In veilige modus verwijder je de bijbehorende bestanden en ook het bestand %Windir%\bad3074.exe.
Nadien scan je met een geupdate Ad-aware om alle overige zaken nog te verwijderen.
 
Nieuwe varianten tonen ook deze extra lijnen in een hijackthislog:
 
O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\System32\64302.exe (bestandsnaam is een willekeurig nummer)
O4 - Global Startup: winlogin.exe (in combinatie met andere varianten)
--------------------------------------------------------------------------
SWAPX
Wat doet deze hijacker:
- Zet je startpagina op http://t.swapx.cc/h.php?aid=20009 of http://win-eto.com/
- Voegt links toe aan je favorieten.
- Verwijdert het bestand hosts van je computer
- Downloadt en installeert andere malware programma's zonder je toestemming.
 
In een HijackThislog ziet dit er zo uit:
Een O2-item met een .dll die een ~ bevat. Deze .dll bevindt zich in de system32 map.
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\HXN166~1.DLL
Aanwezigheid van het bestand winlogin.exe in de map C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten
O4 - Global Startup: winlogin.exe
Een willekeurig gekozen .dll die verschijnt als een O20-item in de hijackthislog. De .dll bevindt zich in de system32 map.
O20 - AppInit_DLLs: vr75g1f0sbl.dll
Soms zie je ook:
O20 - AppInit_DLLs: h1puzxpch1x381ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
 
Hoe deze hijacker verwijderen:
Start hijackthis en controleer de sleutel O20 in de log.
Download Pocket KillBox
Unzip het programma naar je bureaublad.
Klik op killbox.exe.
Selecteer de optie "Delete on reboot".
In het veld "Full path of file to delete" plaats je het bestand dat gevonden wordt onder O20 in de hijackthislog voorafgegaan door c:\windows\system32\.
Klik op de knop met de rode cirkel en het witte kruis.
Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor.
Bevinden er zich onder O20 meerdere bestanden dan voeg je al deze bestanden toe om te verwijderen. Wanneer je het laatste bestand toegvoegd hebt geef je toestemming om de computer te rebooten.
Na de computer opnieuw gestart te hebben, controleer je of het bestand verwijderd is.
 
Start Hijackthis en verwijder de entries de betrekking hebben op deze infectie.
Download CWShredder. Start het programma en klik op de fixknop.
 
Download the Hoster. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.
 
Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%
Ledig de map met tijdelijke internetbestanden: configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.
 
Download het regfiletje cwsswapx.reg. Unzip het, sla het op op je bureaublad. Dubbelklik er op om de wijzigingen aan het register toe te voegen.
 
Een volledig geupdate Ad-Aware SE rekent ook met deze infectie af. Nadien fix je nog de bijbehorende items met HijackThis.
--------------------------------------------------------------------------
Richfind.com/ie/
In een HijackThislog ziet dit er zo uit:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {292D2005-2713-485D-830F-7D1D16548703} - C:\WINDOWS\system32\Q29218109.dll
O2 - BHO: Richfind - {8C6B59EA-49D1-4855-88D3-14421F24240F} - C:\WINDOWS\system32\Q29218109.dll
O3 - Toolbar: Richfind - {A2A04781-58FF-4B52-885F-526BA9D794A8} - C:\WINDOWS\system32\Q29218109.dll
O9 - Extra button: Richfind - {A2A04781-58FF-4B52-885F-526BA9D794A8} - C:\WINDOWS\system32\Q29218109.dll
O18 - Filter: text/html - {6B0051E0-FB0F-4506-854F-FE0B2AA7ADA7} - C:\WINDOWS\system32\Q29218109.dll
 
De CLSID's lijken willekeurig. De .dll bestanden beginnen met een Q.
 
Hoe fixen?
De bovengenoemde items fixen met hijackthis.
--------------------------------------------------------------------------
Bestsearch.cc
Deze infectie wijzigt de exe-file-association zodat elke keer een programma (een .exe)  gestart wordt, ook de verantwoordelijke .exe voor deze hijacker gestart wordt.
 
In een HijackThislog ziet dit er zo uit:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b12484
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a12484
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a12484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b12484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a12484
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a12484
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b12484
O4 - HKLM\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [scvhost] C:\WINDOWS\scvhost.exe
O13 - WWW Prefix: http://69.50.191.50/1/?
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)
 
Hoe deze hijacker verwijderen:
Zorg dat alle verborgen bestanden weergegeven worden.
Download deze regfile voor Windows 2000 / XP.
Voor Windows 9.x gebruik je deze regfile.
Unzip de regfile.
Start de computer in veilige modus.
Fix met Hijackthis de slechte sleutels.
Verwijder indien aanwezig de volgende bestanden:
C:\Windows\scvhost.exe.
C:\Windows\windbg.exe.
C:\Windows\Teens Anal Fucking.url.
C:\Windows\SEXXX.url.
C:\Windows\Online Porn.url.
Dubbelklik op de regfile die je gedwonload hebt.
Herstart de computer.
Bron: TonyKlein (CastleCops)

 

  

Terug naar computer klik hier

  

Footer worldwidebase