|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
met Verborgen installer |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
About:blank met verborgen installer.
De about:blank hijack is een moeilijk te verwijderen hijack. Deze hijacker maakt gebruik van 2 DLL files: een zichtbare en een onzichtbare. De zichtbare DLL verschijnt als een Browser Helper Object in de HijackThislog (O2-item), en heeft een willekeurig gekozen naam. Andere kenmerken zijn de R0 en R1 entries in een hijackthislog die lijken op onderstaande. De DLL-files worden willekeurig gekozen.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {42743767-5659-4140-9D5C-F5A37B5F6E28} - C:\WINDOWS\System32\fodc.dll
Hoe werkt deze hijack?
Zoals reeds gezegd maakt deze hijacker gebruik van een verborgen DLL-file. Zelfs als alle verborgen bestanden weergeven ingeschakeld is, zal de bewuste DLL-file niet zichtbaar zijn in je verkenner. De reden hiervoor is dat er gebruik gemaakt wordt van een registertweak, waardoor dit bestand verborgen blijft. Deze key in het register bevat de verwijzing naar de verborgen DLL: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.
CWShredder en Ad-aware kunnen de zichtbare DLL file verwijderen. Maar bij een reboot wordt deze door de onzichtbare DLL telkens terug aangemaakt. Gevolg is dat de hijacker blijft terugkomen. Soms gaat het even goed, maar na een (aantal) reboot(s) komt hij plots weer opdagen.
Hoe deze hijack verwijderen?
Er bestaan verschillende methodes om deze hijacker te verwijderen, maar allemaal komen ze op hetzelfde neer.
Kijk uit wat je doet wanneer je deze hijacker wil verwijderen. Bij twijfel roep je best deskundige hulp in.
Methode 1: SPHJFIX
Dit is de makkelijkste manier. Jammer genoeg werkt deze methode niet altijd. SPHJFIX werkt ook enkel en alleen voor Windows 2000 en Windows XP systemen.
Dowload
Sphjfix.
Unzip het programma en start het.
Na een automatische reboot run je CWShredder.
Reboot opnieuw, run HijackThis en verwijder alle entries die betrekking hebben op de about:blanc hijack.
Methode 2:
Download
Registrar Lite.
Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.
Druk op Enter. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld "Value". Als dit veld een .dll bevat, dan is dit de verborgen dll file die we kwijt moeten raken.
Schrijf de volledige naam van het pad op waar deze dll file zich bevindt. (copy/paste het eventueel in txt-bestand.)
Sluit Registrar Lite.
Maak op de c-schijf een nieuwe map aan met de naam registerbackup. (c:\registerbackup)
Start Registrar Lite opnieuw. Bij Adress geef je het volgende in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Druk op Enter. De map Windows in het linkerscherm van Registrar Lite is paars geselecteerd. Als dit het geval is, dan kies je in het menu File voor Export.
Bij "Bestandsnaam" geef je in winkey.reg.
Bij "Opslaan als type" kies je voor Regedit4 standard .reg files (*.reg)
Sla het bestand winkey.reg op in de map c:\registerbackup.
Zorg dat de map Windows in het linkerscherm van Registrar Lite nog steeds paars geselecteerd is. Kies in het menu File voor Export.
Bij "Bestandsnaam" geef je in winkey.hiv.
Bij "Opslaan als type" kies je voor Regedt32/WinApi hive files (*.hiv,*.dat, *.*)
Sla het bestand winkey.hiv op in de map c:\registerbackup.
In het linkerscherm van Registrar Lite is de map Windows nog steeds paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows.
Klik op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de dll file, en verwijder het.
Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows.
Het verborgen .dll bestand zou nu zichtbaar moeten zijn.
Herstart de computer in veilige modus, en verwijder het dll bestand.
Herstart de computer in normale modus. Ga naar de map c:\registerbackup en dubbelklik op winkey.reg.
Start Registrar Lite. Bij Adress geef je het volgende in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Druk op enter.
In het linkerscherm zou nu de map Windows paars geselecteerd moeten zijn. Als dit zo is ga je in het menu File naar Import. Navigeer naar de map c:\registerbackup en selecteer winkey.hiv. Klik op Openen.
In het rechtse venster klik je op AppInit_DLLs en verwijder je in het veld value de waarde naar het .dll bestand.
Sluit Registrar Lite.
Scan met CWShredder.
Doe een online-scan:
Scan met een geupdate
Ad-aware SE.
Methode 3:
Download
appinit.bat.
Run het bestand niet uit de zip-map, maar unzip het naar je desktop.
Even verschijnt er een dosbox en dan wordt er een bestandje aangemaakt dat windows.txt noemt. Dit bestandje bevat de naam van de verborgen DLL. Deze DLL noemen we vanaf nu xxxx.dll.
Download
CWShredder maar gebruik het programma nog niet.
Download
hiving.bat.
Lees ook dit even door:
Eigenaar worden van een map of bestand.
Verbreek de connectie met het internet tot de verwijderprocedure achter de rug is.
Dubbelklik op hiving.bat om het te starten. Na een reboot zou de verborgen installer (xxxx.dll) die we met appinit.bat opgespoord hebben, zichtbaar moeten zijn.
Zoek het bestand c:\Windows\System32\xxxx.dll op via de verkenner en maak jezelf eigenaar van dit bestand.
Dit geldt enkel voor gebruikers van het NTFS-bestandsysteem. Gebruik je FAT32 als bestandssysteem dan moet het volstaan om het Alleen lezen attribuut uit te schakelen.
Hernoem het bestand xxxx.dll naar noxxxx.txt en verwijder dit bestand.
(Lukt het niet dan kan je deze procedure herhalen in veilige modus.)
Run CWShredder.
Reboot de computer in normale modus. Run HijackThis en laat eventuele verwijzingen naar about:blank nog fixen.
Fix voor Windows 98:
Download de volgende bestanden
Pak de bestanden uit.
Eerst gaan we het bestand dat deze hijack veroorzaakt opsporen.
Dubbelklik op 'StartDreck.exe'.
Klik op config.
Klik op Unmark all.
Selecteer alleen het volgende: Registry->run keys en System/drivers> Running processes.
Klik op OK.
Kijk specifiek voor de volgende entry in het log:
"Local Machine
"RunServicesOnce
**ozkc=rundll32 C:\WINDOWS\SYSTEM\XXXXX.DLL,StreamingDeviceSetup
XXXXX.DLL is het bestand dat we zochten.
Dubbelklik nu op het bestand RunFix.reg.
Klik op 'yes'.
Herstart de computer!
Het DLL-bestand zou nu zichtbaar moeten zijn.
Zoek het bewuste bestand (XXXXX.DLL ) op en verwijder het.
Tip: zorg er eerst voor dat je een backup heb van het StartDreck log, zodat je het bestand altijd later kan vinden!
Als je het kwijt bent (aangezien niets anders het vindt, als het niet meer aan een entry is verbonden)
Gewoon de "who.bat", bestand draaien en dan kan het gevonden worden in Badfile.txt.
Scan nadien met CWShredder en geupdate
Ad-aware SE.
Doe ook een online-scan:
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
