header wwb

Totaal bezoekers:
Totaal pagevieuws:
Online bezoekers:		  
 
 		  


 maak van deze website uw startpagina !
WorldwideBase
 Alle wwbase pagina's

 

About:blank variant - sp.html:

 

Terug naar computer klik hier

  
 
Deze variant maakt geen gebruik van een verborgen installer.
In een HijackThislog ziet dit er zo uit:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
 
O2 - BHO: (no name) - {FD90346B-9BF1-4018-A409-6F86439A7333} - C:\WINDOWS\System32\jbpoe.dll
 
Hoe verwijderen?
Download en installeer APM.
Start het programma APM.
In het bovenste venster selecteer je explorer.exe
In het onderste venster zoek je DLL uit de log die in O2 te zien is.
Rechtsklik op deze DLL en kies voor Unload.
Klik op OK.
Sluit alle open vensters behalve dat van HijackThis.
Laat HijackThis het volgende repareren:
  • De kwaadaardige R0 en R1 items
  • De BHO (O2 in de log) met de kwaadaardige DLL
Reboot en scan vervolgens met een geupdate Ad-aware.
Deze fix werkt enkel voor Windows 2000 / Windows XP.
 
Note: Momenteel zijn er gevallen bekend dat deze hijacker terugkomt na de fix en dan gebruikt maakt van de verborgen installer (AppInit_DLLs).
Verwijdering: zie de about:blank hijack hierboven. 
--------------------------------------------------------------------------
About:blank hijack met gebruik extra protocol:
In een HijackThislog zie je:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
 
O2 - BHO: (no name) - {419234C5-C8C3-49CA-83DE-71698A12F5DE} - C:\WINDOWS\System32\akajida.dll
 
O18 - Filter: text/html - {518D797E-2451-43D9-81E8-6F2B2D7A1B1C} - C:\WINDOWS\System32\akajida.dll
O18 - Filter: text/plain - {518D797E-2451-43D9-81E8-6F2B2D7A1B1C} - C:\WINDOWS\System32\akajida.dll
 
Hoe verwijderen?
Fix de hierboven genoemde items met hijackthis en verwijder het bijbehorende .dll bestand in veilige modus.
De CLSID en .dll file zijn willekeurig.
--------------------------------------------------------------------------
HomeSearch - res://<Random .dll
Fix voor Windows 2000 / windows XP:
Deze hijacker maakt gebruik van 2 random gekozen exe's en van 2 random gekozen DLL's.
In een HijackThislog ziet dit er zo uit:
 
C:\WINDOWS\system32\javapm.exe
C:\WINDOWS\system32\sysmc32.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\usufr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://usufr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://usufr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\usufr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://usufr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\usufr.dll/sp.html#96676
 
O2 - BHO: (no name) - {9F9A9343-3D33-369A-6197-FBD7AB9B0FBC} - C:\WINDOWS\system32\sysrm.dll
 
O4 - HKLM\..\Run: [sysmc32.exe] C:\WINDOWS\system32\sysmc32.exe
 
Soms zie je bij de O4-items ook random exe's verschijnen onder de  runonce-opstartsleutels.
 
De tweede exe-file wordt uitgevoerd als een service. De service installeert de DLL van de Browser Helper Object, die op zijn beurt bij het openen van Internet Explorer, de R0 en R1 items toevoegt die in de log voorkomen.
De Displayname of de weergavenaam van de service die deze hijacker veroorzaakt is variërend. Momenteel wordt gebruik gemaakt van de volgende namen:
  • Network Security Service
  • Workstation Netlogon Service
  • Remote Procedure Call (RPC) Helper
  • Network Security Service (NSS)
Deze namen lijken erg op andere legale aanwezige services. Kijk dus goed uit wat je doet.
 
Om deze hijacker te kunnen verwijderen, moeten we weten welke service hiervoor verantwoordelijk is, onder welke servicenaam deze service in het register staat en wat het pad is naar het uitvoerbaar bestand.
Hijackthis toont ons onder de O23-items reeds een overzicht van de actieve niet-microsoft processen. De service stoppen kan met Hijackthis. Wil je ook alles uit het register verwijderen dan kan je best ServiceFilter gebruiken. Dit script toont je ook de servicenaam.
HijackThis toont dit:
 
O23 - Service: Network Security Service (NSS) - Unknown - C:\Windows\syskm32.exe
Servicefilter geeft dit:
 
Unknown Service # 1
Service Name: O?’ŽrtñåȲ$Ó
Display Name: Network Security Service (NSS)
Start Mode: Auto
Start Name: LocalSystem
Description: Network Security Service ...
Service Type: Share Process
Path: c:\Windows\syskm32.exe
State: Stopped
Process ID: 0
Started: Onwaar
Exit Code: 0
Accept Pause: Onwaar
Accept Stop: Onwaar
 
De Displaynaam of Weergavenaam is Network Security Service (NSS)
De Servicenaam is O?’ŽrtñåȲ$Ó
Het uitvoerbaar bestand is c:\Windows\syskm32.exe
 
Hoe verwijderen?
1. Kopieer onderstaande (tussen de streepjes) in een kladblokbestand en sla het op je bureaublad op als HSfix.reg.
Hierin vervang je SERVICENAAM nog door de servicenaam die je via de hierboven genoemde procedure gevonden hebt.
------
REGEDIT4
 
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SERVICENAAM]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SERVICENAAM]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SERVICENAAM]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SERVICENAAM]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAAM]
 
------
Je kan ook dit regfiletje proberen.
2. Download CWShredder. Gebruik het programma nog niet.
3. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.
4. Zorg dat alle verborgen bestanden weergegeven worden.
5. Start de computer in veilige modus.
6. Open Windows Taakbeheer door op CTRL+ALT+DEL te drukken. Ga naar het tabblad processen. Kijk naar de random procesnamen en ook naar de naam van het uitvoerbare bestand dat bij verantwoordelijke service hoort. Beëindig deze processen.
7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
De slechte R0 en R1 items.
  • BHO Entrie met de random DLL (in de log onder O2).
  • De random exe's (in de log onder O4).
  • De service verantwoordelijk voor deze hijack (in de log onder O23).
8. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.
9. Als extra controle, of mocht het aangemaakte regfile niet werken:
Open de registereditor via Start - Uitvoeren - tik in: regedit
Navigeer in het register naar de volgende sleutels:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_servicenaam
Verwijder daar de entry die de servicenaam bevat. (Let op: zoeken naar de servicenaam, niet zoeken naar de weergavenaam!!)
Vind je zo een entry met de bewuste servicenaam, rechtsklik er dan op en kies voor verwijderen.
Gebruik eventueel de zoekfunctie van het register om nog andere entries met die servicenaam op te sporen.
10. Verwijder de volgende bestanden:
  • De DLL die voorkomt in de log onder R0 en R1.
  • De DLL die voorkomt in de log onder O2.
  • De slechte random exe-bestanden die als O4 voorkomen.
  • Het uitvoerbaar bestand voor de service.
Note: Bestanden waarbij de exe eindigt op een dubbel punt en een willekeurig gekozen naam mag je niet verwijderen (vb C:\WINDOWS\EXPLORER.EXE:cfmnf /s). Dit betekent dat ADS actief is (Alternate Data Stream).
11. Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%
12. Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.
13. Herstel je webinstellingen: ga naar Configuratiescherm - Internetopties - tabblad Programma's. Klik op de knop Webinstellingen herstellen.
14. Start CWShredder en klik op de fix-knop.
15. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.
16. Reboot de computer nu in normale modus.
17. Doe een online-scan.   
18. Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer na de fix of volgende bestanden nog aanwezig zijn:
  • Control.exe: Download hier indien  nodig de control.exe die bij je besturingssysteem hoort. Gebruik je windows 2000 dan plaats je dit bestand in c:\winnt\system32\, gebruik je XP dan plaats je het in c:\windows\system32\
  • Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. Goede vervangers van hosts vind je ook hier en hier.
  • SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy.
  • Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map.
 
Note: Deze procedure kan je best uitprinten. Voer de procedure vanaf stap 5 tot en met stap 16 in één keer uit en maak ondertussen geen connectie met het net.  
--------------------------------------------------------------------------
CWS Holax
Kenmerken van deze infectie:
Als startpagina verschijnt in de adresbalk van Internet Explorer about:blank
De website die je te zien krijgt is Search the Web. (voorbeeld)
In een HijackThislog zie je niks merkwaardig.
 
Wat doet deze infectie:
Deze infectie tast willekeurig gekozen uitvoerbare bestanden aan van legitieme programma's.
Elke keer wanneer de computer opstart, wordt de infectie opnieuw uitgevoerd.
 
Hoe deze infectie verwijderen:
Laat de volledige harde schijf scannen.
Wanneer de scan klaar is, krijg je een rapport van alle geïnfecteerde bestanden.
Zoek in de log naar een bestand dat start met ms0*.dll.
Deze is verantwoordelijk voor de infectie. Verwijder geen andere geïnfecteerde bestanden, aangezien ook legitieme .exe bestanden geïnfecteerd kunnen of zullen zijn als je last hebt van deze infectie.
Verwijder met Pocket Killbox de volgende bestanden:
ms0*.dll
ms0*.da0
ms0*.cfg
Deze bevinden zich allen in de system32 map.
Meestal zijn dit de bestanden ms0b920b.dll, ms0b920b.da0 en ms0b920b.cfg
 
Als de computer opnieuw start ga je een aantal foutmeldingen krijgen. Dit komt omdat je het verantwoordelijke bestand voor de infectie verwijderd hebt met Killbox, en omdat een aantal legitieme .exe bestanden ook door deze infectie aangetast zijn.
Als de scan klaar is klik je op "cure files".
Herstart de computer. De foutmeldingen zouden verdwenen moeten zijn.
Bron: SWI
--------------------------------------------------------------------------
About:blank infectie door PPC Advertor
Kemerken van deze infectie
In een HijackThislog blijven deze sleutels terugkomen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
 
De startpagina is geen blanco startpagina maar een startpagina van Search the Web. (voorbeeld)
Deze infectie past elke keer weer je hosts file aan telkens Internet Explorer wordt geopend.
 
Hoe verwijderen
Controleer of de map PPC Advertor aanwezig is. (waarschijnlijk C:\Program Files\PPC Advertor).
Indien aanwezig verwijder je deze map bij voorkeur in veilige modus.
Oorzaak van de infectie is het bestand ppc.dll dat geïnfecteerd is met Trojan.StartPage SE. 
Plaats een nieuwe hosts file.
  		  

Terug naar computer klik hier

  

Footer worldwidebase