Spyware Info

Ad-aware

Spybot

CWShredder

HijackThis

HijackThis manual

Besproken fixes

Preventie

Links

Contact

Haxdoor: xxxx16.dll
Voor de xxxx32 varianten kijk je hier.
 
In een hijackthislog zie je:
O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
 
Of andere varianten van het type:
O20 - Winlogon Notify: xxxx16 - C:\WINDOWS\SYSTEM32\xxxx16.dll
die dezelfde methode van infectie gebruiken.
 
xxxx staat voor de notify subkey, dit zijn willekeurige gekozen letters.
 
Hoe verwijderen:
Deze infectie kan je verwijderen door HaxFix te gebruiken.
Een beschrijving over het gebruik van HaxFix vind je hier.
 
XPTP16 variant
 
In een hijackthislog zie je:
O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
 
Omdat gebruik gemaakt van een rootkit worden bij deze variant een aantal bestanden verborgen. De processen explorer.exe en winlogon.exe zijn ook niet zichtbaar.
 
Volgende bestanden die bij deze infectie horen worden verborgen:
C:\WINDOWS\SYSTEM32\fux87.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
C:\WINDOWS\system32\xptp16.dll
C:\WINDOWS\system32\xptp24.sys
 
Andere bestanden die ook deel uit maken van de infectie zijn:
C:\WINDOWS\SYSTEM32\klo5.sys
C:\WINDOWS\system32\ps.a3d
 
Volgende services worden op de computer ge´nstalleerd:
XPPTP winsock version 2: \??\C:\WINDOWS\System32\xptp24.sys (autostart)
XPPTP winsock: \??\C:\WINDOWS\System32\xptp24.sys (system)
 
Ook wanneer je de computer opstart in veilige modus is de infectie actief.
 
 
Hoe verwijderen:
Zie de hierboven beschreven procedure met HaxFix.