|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NaviSearch / Cashback |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
eXact Advertising gebruikt voortaan een service om de infectie te herininstalleren.
Deze service of het bestand wordt door Ad-Aware en Spybot niet herkend.
In een hijackthislog zie je deze items staan:
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
Hoe verwijderen:
Open kladblok. Kopieer en plak onderstaande in dit klad blokbestand:
------------
REGEDIT4
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng]
------------
Sla dit bestand op als navifix.reg. (Kies bij Opslaan als type voor "Alle Bestanden".) (Of download
Navifix.reg.)
Ga naar start - uitvoeren en tik in: services.msc.
Zoek deze service: ISEXEn.
Dubbelklik er op. In het venster dat nu opent klik je op de knop "Stoppen".
Bij Opstarttype kies je voor "Uitgeschakeld".
Klik op "Toepassen" en vervolgens op "Ok".
Start de computer in veilige modus. Fix met HijackThis de sleutels die bij deze infectie horen en verwijder de bijbehorende bestanden.
Dubbelklik op de aangemaakte regfile.
Scan met een geupdate Ad-Aware SE.
--------------------------------------------------------------------------
Elite Toolbar - Searchmiracle
De installer voor deze infectie zie je niet altijd in normale modus.
In een HijackThislog ziet je dit:
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\Windows\EliteToolBar\EliteToolBar version 59.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\Windows\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvmld32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitevyo32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemxi32.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitebio32.exe
Hoe verwijderen:
Maak volgend regfiletje aan of download het
hier.
-----------------------------------------------
REGEDIT4
[-HKEY_CURRENT_USER\Software\LQ]
[-HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Elitum]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kalvsys"=-
"antiware"=-
"etbrun"=-
"checkrun"=-
-----------------------------------------------
Start de computer in veilige modus.
Verwijder de volgende bestanden indien aanwezig:
Alle bestanden in de Temp-map (ga naar start - uitvoeren en tik in: %TEMP% en verwijder alle bestanden)
C:\Windows\EliteToolBar
C:\Windows\System32\Error.dat of C:\Windows\System32\Error32.dat
Afhankelijk van de variant die je hebt:
Alle bestanden kalv***32.exe in de map c:\windows\system32
Alle bestanden elite***32.exe in de map c:\windows\system32
De kalv***32.exe bestanden kan je ook op volgende manier verwijderen:
- Ga naar Start - uitvoeren:
- Tik in: cmd en druk op OK.
- Geef volgende commando in (of gebruik kopiëren/plakken): DEL /F /Q "%windir%\system32\Kalv***32.exe"
Voor de elite***32.exe bestanden gebruik je: DEL /F /Q "%windir%\system32\elite***32.exe"
Fix met Hijackthis de sleutels die bij deze infectie horen.
Dubbelklik op het regfiltje dat je aangemaakt hebt en laat de wijzigingen aan het register toevoegen.
Herstart de computer in normale modus.
Bron: Tony Klein (CastleCops)
Removaltool voor deze infectie:
LQfix.zip
Unzip het en run de LQ.bat in veilige modus.
--------------------------------------------------------------------------
0CAT YellowPages
Heb je deze infectie te pakken dan je krijgt popups van dit IP 69.50.160.100.
In een hijackthislog zie je:
O2 - BHO: STIEbarBHO Class - {D797AD6C-6447-4DB4-91D0-090344408E72} - C:\Program Files\0CAT YellowPages\STIEbar.dll
O3 - Toolbar: 0CAT Yellow Pages - {679695BC-A811-4A9D-8CDF-BA8C795F261A} - C:\Program Files\0CAT YellowPages\STIEbar.dll
Oorzaak van deze infectie, en niet zichtbaar in de hijackthislog, is een bestand dat de plaats inneemt van webcheck.dll in de system32 map.
Hoe verwijderen:
Het bestand wordt ook getoond in de startuplist van Hijackthis onder Enumerating ShellServiceObjectDelayLoad items.
Foutief: WebCheck: C:\WINDOWS\system32\msvcrta.dll
Goed: WebCheck: C:\WINDOWS\system32\webcheck.dll
Controleer of msvcrta.dll aanwezig is.
Ga naar start - uitvoeren.
Tik in: regsvr32 webcheck.dll
Verwijder met Killbox of met HijackThis C:\WINDOWS\system32\msvcrta.dll of het foutieve bestand dat getoond wordt achter WebCheck.
(met Hijackthis: Config - Misc Tools - Delete a file on reboot)
Meer info vind je
hier.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
