|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
VX2 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
VX2, Look2Me, is een zeer lastig te verwijderen infectie. Deze malware wordt zonder medeweten van de computergebruiker geïnstalleerd. VX2 kan zorgen voor een onstabiele browser. Het update zich zonder toestemming van de gebruiker, zorgt voor pop-ups, opent ongewenste en ongevraagde websites, het controleert je surfgedrag en het installeert ook "3rd party software".
VX2 maakt verbinding met een bepaalde server om informatie uit te wisselen.
Sinds kort is er een nieuwe VX2-infectie.
In een hijackthislog zie je dit:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
Soms zie je ook deze sleutel opduiken in een hijackthislog:
O4 - HKLM\..\Run: [ntsmod] C:\WINDOWS\system32\ntsmod.exe
Deze zorgt dat de infectie opnieuw plaats vindt.
Indien je last hebt van deze infectie kunnen er ook problemen zijn met de prullenbak.
Deze infectie maakt gebruikt van willekeurige bestanden en een willekeurig gekozen sleutel onder HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Dit zijn de standaard subkeys onder Notify:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
Sommige andere programma's plaatsen ook een sleutel onder Notify. Indien je twijfelt of deze sleutel legitiem is kan je altijd gaan zoeken op het bestand dat vermeld wordt bij DLLname.
Voorbeeld van een andere legale subsleutel is:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
De niet-standaard sleutels onder Notify zie je sinds versie 1.99.1 ook verschijnen in een hijackthislog onder de O20 kombinatie.
Dit is de standaardsleutel voor User Agent onder XP SP2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
"SV1"=""
Hoe verwijderen:
Download
L2Mfix. (Dit programma is gemaakt door Shadowwar en OSC.)
Plaats het bestand op je buroblad. Klik op l2mfix.exe.
Klik op "Accept". Zorg dat de l2mfix-map op je bureaublad geplaatst wordt. Klik op "Install".
Op je bureaublad open je de map l2mfix.
Klik op l2fix.bat.
Klik op "1" om optie te 1 selecteren: Run Find Log.
Dit gaat even duren. Na een tijdje wordt er een kladblokbestand geopend.
Controleer of er een sleutel staat onder Notitfy die niet standaard is en niet legit. Indien je twijfelt zoek je meer informatie op over het dll bestand bij DLLName.
Staat er bij User Agent iets anders ingevuld (bv een CLSID) dan heb je waarschijnlijk last van deze infectie en kan je verder gaan met de volgende stap.
Vb: (CLSID is willekeurig):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{985D932F-C1C8-4410-ADBB-4ADA2B3543F8}"=""
Sluit alle openstaande programma's.
Dubbelklik op l2mfix.bat.
Klik op "2" om optie 2 te selecteren: Run Fix.
Druk op Enter.
Druk op een toets om de computer opnieuw te starten wanneer dit gevraagd wordt.
Na de reboot verschijnen de ikonen op je desktop. Deze zullen weer verdwijnen. (dat is normaal).
L2mfix gaat je computer scannen.
Wanneer het klaar is wordt er een nieuw kladblokbestand geopend.
De willekeurig gekozen subsleutel onder Notify en de willekeurige CLSID bij de User Agent String zouden nu verdwenen moeten zijn.
Fix de O1 entries met hijackthis.
Herstart de computer.
Indien in een hijackthislog de O4-sleutel verschijnt die hierboven genoemd wordt, zoek je en verwijder je ook de volgende bestanden:
C:\WINDOWS\system32\mplay32.dll 126976 bytes
C:\WINDOWS\system32\ntec32.exe 26112 bytes
C:\WINDOWS\system32\ntsmod.exe 28672 bytes
C:\WINDOWS\system32\sysdebug32.exe 28672 bytes
C:\WINDOWS\system32\msts32.exe
Symantec heeft ook een tooltje gemaakt om deze infectie te verwijderen:
Info
Voor de oudere varianten kan je dit proberen:
Methode 1: Ad-Aware
Ad-Aware heeft een plugin om deze malware op te sporen en te verwijderen: de
VX2 Cleaner.
Hoe deze plugin gebruiken?
Sluit Ad-aware en Ad-watch.
Download en installeer de
VX2 Cleaner.
Start Ad-aware.
Klik op de knop "Add-ons".
Selecteer de VX2 Cleaner en klik op de knop "Uitvoeren".
Als de computer niet geïnfecteerd is met deze malware, klik je op de knop "Close".
Als de computer wel geïnfecteerd is doe je het volgende:
Klik op de knop "Clean System".
Start de computer opnieuw.
Scan de computer met een geupdate Ad-Aware.
Verwijder alle VX2 objecten die gevonden worden.
Start de computer opnieuw.
Gebruik opnieuw de VX2 Cleaner om te controleren of alle bestanden verwijderd zijn.
Methode 2: VX2-Finder
Om de VX2-infectie op te sporen en te verwijderen kan je ook de VX2-Finder gebruiken.
VX2-FINDER WINDOWS XP
Download
VX2-Finder.
Plaats het bestand op je bueaublad.
Start VX2-finder door erop dubbel te klikken.
Onderaan klik je op de knop Click to Find VX2 Betterinternet.
Als het programma klaar is klik je op Make log.
Worden er bij "Files Found" bestanden opgenoemd dan ga je naar de knop Delete these files. Je krijgt de melding dat 1 bestand verwijderd moet worden na de computer opnieuw gestart te hebben.
Terug in Windows, start je VX2-finder nog een keer.
In het rechts venster klik je op User agent, Guardian.reg, en tenslotte op Restore policy.
Sluit af en herstart de computer.
Staan bij "Files Found" geen bestand vermeld, dan is de computer niet geïnfecteerd met VX2.
VX2-FINDER WINDOWS 9.X
Download
VX2finder.
Start het programma.
Klik op de knop "Click to find VX2 Betterinternet".
Worden er bij "Files Found" bestanden opgenoemd dan Selecteer je alle files en klik je op "Delete".
Daarna klik je op "User Agent$".
Daarna klik je op "Restore Desktop".
Klik op "Import Reg".
Sluit VX2-Finder.
Scan nadien met een geupdate Ad-Aware.
Reboot de computer. Scan opnieuw met VX2-finder.
Note:
Versie 126 van VX2 maakt geen gebruik meer van de Guardian-sleutel maar maar neemt een naam uit het register en kopieert deze onder "Notify". Deze registersleutel wordt gebruikt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Versie 126 van VX2-Finder detecteert alleen de geupdate Look2Me bestanden. Zie je in de log van VX2-finder 126 onder "Notify" toch een Guardian#### sleutel maar geen bestanden bij "Files Found", dan gebruik je best de oudere versie van VX2-finder.
Download voor
Windows 2000/XP.
Download voor
Windows 9.x.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
