|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
LOP en Messengerplus |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Messengerplus kan je op 2 manieren installeren: met sponsors en zonder sponsors.
Installeer je het programma met sponsors, dan ben je geïnfecteerd door LOP.
Kenmerken van deze infectie zijn:
In een HijackThislog zie je dit:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hebpzgppdmcvvkxolwsemyymm.org/Vgphr21hygEpijzFdJP36tdGhOtNQ6Wuf41DysyWb7Ef6km1SVuZftsQ3kmJbKgd.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.epxecirbtjumy.uk/Vgphr21hygHow4_WlYqSGCX9Qa53kzYt6MxWoMxzxkw.html
O2 - BHO: (no name) - {9C134485-ACC7-E857-CFC6-91A7FBF80B9C} - C:\DOCUME~1\Marc\APPLIC~1\SCRHOL~1\IntraHide.exe
O4 - HKLM\..\Run: [new bolt log bone] C:\Documents and Settings\All Users\Application Data\proxy chic new bolt\browsetitle.exe
O4 - HKCU\..\Run: [SpamDate] C:\DOCUME~1\Marc\APPLIC~1\COPYUP~1\bone corn soap.exe
Dit is slechts een voorbeeld. De items die in een hijackthislog verschijnen zien er telkens anders uit. De CLSID's en de bestandnamen die LOP gebruikt worden immers willekeurig gekozen.
Om deze infectie te verwijderen doe je het volgende:
Ga naar Configuratiescherm - Software - Programma's wijzigen of verwijderen. Deïnstalleer Messengerplus.
Reboot de computer.
Blijft de infectie terugkomen, dan heb je waarschijnlijk de nieuwste LOP-infectie te pakken. Deze infectie maakt gebruik van de geplande taken.
Een mogelijkheid om deze infectie te verwijderen is om Messengerplus opnieuw te installeren MET sponsors en nadien te deïnstalleren.
Tijdens de deïnstallatie moet je een securitycode ingeven. Doe dit.
Is het probleem nog niet opgelost, dan maak je best een startuplist met hijackthis.
Kijk of er bij Enumerating Task Scheduler jobs een taak (.job) staat met een naam bestaande uit (16?) willekeurige cijfers en letters. (vb. A4476F8291C4E84E.job)
Wordt daar een willekeurig gekozen .job vermeld, dan is deze de oorzaak dat de infectie terugkeert.
Deze .job is een verborgen bestand en bevindt zich in de map c:\windows\tasks.
Verwijderen doe je best door gebruik te maken van
Pocket Killbox.
Wil je Messengerplus blijven gebruiken, installeer het dan opnieuw, maar kies deze keer voor de optie 'zonder sponsors'.
Meer info vind je
hier.
--------------------------------------------------------------------------
Virtumonde - Catlevents
In een HijackThislog zie je dit:
O2 - BHO: CATLEvents Object - {44E5B409-35A2-4E8D-BF94-344222323A53} - C:\Temp\sndbv.dat
O4 - HKLM\..\Run: [*vbdns] C:\WINDOWS\system\vbdns.exe
O4 - HKLM\..\RunOnce: [*vbdns] C:\WINDOWS\system\vbdns.exe rerun
O4 - HKCU\..\RunOnce: [*MS Setup] C:\WINDOWS\Tasks\tcppc.exe ren
Fix voor Windows 2000 / XP
Download
Pocket KillBox.
Unzip het programma naar je bureaublad.
Klik op killbox.exe.
Selecteer de optie "Delete on reboot".
In het veld "Full path of file to delete" plaats je het bestand uit het O2-item
Klik op de knop met de rode cirkel en het witte kruis.
Wanneer het programma vraagt om nu te rebooten, klik je op de knop "NO".
Voeg nu de andere O4-items toe en ook het bestand: c:\windows\system32\hostx.exe
Wanneer je het laatste bestand toegvoegd hebt geef je het programma toestemming om te rebooten.
Controleer of de bestanden weg zijn en fix de bijbehorende entries in de Hijackthislog.
Fix voor Windows 98/ME
Download
Pocket KillBox.
Download
iIProcess Viewer.
Start de computer in veilige modus.
Laat Hijackthis alle slechte entries verwijderen.
Start de Killbox en verwijder alle bestanden zonder ren of rerun die naar deze infectie verwijzen.
Wanneer het programma vraagt om nu te rebooten, klik je op de knop "NO".
Start iIProcess Viewer. In het venster rechtsklik je op de andere bestanden die bij deze infectie horen. Kies voor "Hard kill process".
Start de Kilbox opnieuw en voeg de andere bestanden die bij deze infectie horen, toe aan de lijst om te verwijderen na een herstart.
Wanneer je het laatste bestand toegvoegd hebt geef je het programma toestemming om te rebooten.
Na de reboot, run je HijackThis nog een keer en fix je de overgebleven slechte entries.
Symantec-tool:
Symantec heeft ook een tooltje gemaakt om deze infectie te verwijderen.
Meer info vind je
hier.
--------------------------------------------------------------------------
Hijacker: ssearch.biz / a-search.biz / XySearch
Er zijn 3 manieren die deze hijacker gebruikt.
Methode 1:
Deze hijacker wordt veroorzaakt door een service: pnpsvc (weergavenaam is Plug and Play svc service)
Deze service kan je niet beëindigen door te service uit te schakelen via het service controle scherm.
De service wordt ook geactiveerd in veilige modus (zowel netwerk als de standaard).
Er word gebruik gemaakt van een willekeurig bestand dat zich nestelt in de system-map.
Ook wordt er een bestand c:\windows\system32\pnpservice.inf aangemaakt.
In een HijackThislog ziet dit er zo uit:
O4 - HKLM\..\Run: [Cache] C:\Documents and Settings\Edited Name\qcache.exe
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\KNQTWZ]`.dll
Andere symptomen zijn dat je wordt doorgelinkt naar ssearch.biz of naar http://a-search.biz/?wmid=1010
Hoe verwijderen:
Download
getservices.zip.
Pak het bestand uit op de C-schijf. Ga naar de map c:\getservice en dubbelklik op het bestand getservices.bat.
Nu wordt er een bestand gemaakt dat getservice.txt noemt. Deze geeft een overzicht van alle services op je computer.
In de log zoek je naar de service Plug and Play svc service (pnpsvc).
Download en installeer
Registrar Lite.
Start het programma. Kopieer onderstaande in in het Address-veld:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters\\ServiceDll
Druk op Enter.
In het rechtse venster zie je nu de ServiceDll value die geselecteerd is.
Als je hier op dubbelklikt zie je de DLL die verantwoordelijk is voor deze infectie.
Start HijackThis. Ga naar Config - Misc Tools. Klik hier op de knop Delete a file on reboot.
Geef de naam van het bestand in dat je met Registrar Lite gevonden hebt. Druk op de knop Openen. HijackThis vraagt je nu om de computer opnieuw te starten. Doe dit.
Wanneer de computer opnieuw gestart is, controleer je of het bewuste bestand verwijderd is.
Is dit zo dan verwijder je het bestand c:\windows\system32\pnpsvc.inf
Download dit regbestandje:
ssearchfix.zip. Pak het bestand uit. Dubbelklik op ssearchfix.reg om de wijzigingen aan het register toe te voegen.
Start Registrar Lite en kopieer onderstaande registersleutels in het address-veld.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC
Controleer of deze sleutels bestaan. Op elke locatie verwijder je de verwijzing naar het geselecteerde LEGACY_PNPSVC.
Heb je problemen om deze registersleutels te verwijderen dan rechtsklik je op deze sleutel en kies je voor Properties. Klik op de knop Permissies en zorg er voor dat iedereen volledige controle heeft. Probeer de registersleutel opnieuw te verwijderen.
Start de computer opnieuw.
Start HijackThis en laat de met hijackthis de entries fixen die betrekking hebben op deze hijacker.
Methode 2:
In een HijackThislog ziet dit er zo uit:
F2 - REG:system.ini: UserInit=Userinit.exe,_huytam_
Andere symptomen zijn dat je wordt doorgelinkt naar ssearch.biz of naar http://a-search.biz/?wmid=1010
Het bestand wat oorzaak is voor deze hijacker wordt omgeven door "_". In dit voorbeeld is het "_huytam_".
Aan deze naam voegen we de volgende extensies .exe en .dll toe. De bestanden die we moeten verwijderen zijn:
c:\windows\system32\_huytam_.dll
c:\windows\system32\_huytam_.exe
Hoe verwijderen:
Fix de F2-entry met Hijackthis.
Verwijder met Killbox of met Hijackthis het .dll en het .exe bestand.
Stel je startpagina opnieuw in.
Note: "_huytam_" kan willekeurig zijn.
Methode 3:
In een HijackThislog ziet dit er zo uit:
F2 - REG:system.ini: UserInit=Userinit.exe,
Andere symptomen zijn doorlinken naar a-searchbiz of xysearch.
Hoe verwijderen:
Download
reglook.zip (alternatief vind je
hier)
Unzip het in een eigen map. Dubbelkik op runme.bat. Er worden 2 logjes aangemaakt: Reglook.log en RL_error.log.
Een voorbeeld van een geïnfecteerde log is:
A reg_look by IMM
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
(key has 0 subkeys and 6 value entries - last modified 15:43(UTC) 15/09/2004)
[AppInit_DLLs] = not present!
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(key has 4 subkeys and 32 value entries - last modified 01:10(UTC) 10/11/2004)
[Userinit] = "Userinit.exe,TGBRFV_" (REG_SZ)
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
(key has 0 subkeys and 5 value entries - last modified 19:47(UTC) 16/09/2001)
[Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)
Het bestand dat de ze hijacker veroorzaakt is TGBRFV_.
Maak de temp-file leeg. Start - uitvoeren - tik in: %TEMP%. De temp-map wordt geopend. Verwijder alle bestanden.
Download
Pocket Killbox.
Selecteer de opties: "Delete on reboot" and "End explorer shell before deleting". Verwijder de volgende bestanden:
C:\WINDOWS\System32\TGBRFV_.exe
C:\WINDOWS\System32\TGBRFV_5.dll
C:\WINDOWS\System32\TGBRFV_.dll
C:\WINDOWS\System32\TGBRFV_5.exe
Klik na dat je een bestand toegevoegd hebt op de knop met de rode cirkel en het witte kruis.
Wanneer het programma vraagt om nu te rebooten, geef je geen toestemming voor.
Bij elk .dll bestand vink je aan "Unregister .dll before deleting".
Wanneer je het laatste bestand toegevoegd hebt geef je toestemming om de computer te rebooten.
De meeste infecties hebben slechts één .dll en één .exe.
Nadat de computer is opgestart, start je hijackthis nog een keer en verwijder je de nu volledig zichtbare F2 entry en ook de R0 en de R1 items die bij deze hijack horen.
--------------------------------------------------------------------------
63.219.181.7 - Ms4Hd
In een HijackThislog zie je oa dit:
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
Deze infectie zorgt voor popups, leidt je browser om en voegt een aantal links toe aan je favorieten.
Hoe fixen:
Download
remv3.zip. (gemaakt door Baskar)
Unzip het. Start de computer in veilige modus. Dubbelklik op remv3.bat.
Wat doet dit progje?
Het kijkt of er gekende bestanden aanwezig zijn op de computer die bij deze infectie horen.
Indien aanwezig worden ze verwijderd.
Controle van de registersleutels en verwijdering hiervan.
Search-soft.net en 63.219.181.7 worden toegevoegd aan de zone van websites met beperkte toegang.
Er wordt ook een bestandje aangemaakt dat log.txt noemt. (te vinden op c:\log.txt)
Dit bestand geeft een overzicht van welke bestanden / registersleutels op de computer gevonden werden, en welke hiervan verwijderd werden.
Onderaan de log worden nog andere 'slechte' bestanden vermeld die handmatig moeten verwijderd worden. Wees hier voorzicht mee want dit kunnen ook legitieme bestanden zijn.
Bron.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
