Malware Removal Information

Ga naar de inhoud

Hoofdmenu

a-search.biz

Infecties > Archief 0 - E

Er zijn 3 manieren die deze hijacker gebruikt.

Methode 1:
Deze hijacker wordt veroorzaakt door een service: pnpsvc (weergavenaam is Plug and Play svc service).
Deze service kan je niet beëindigen door te service uit te schakelen via het service controle scherm.
De service wordt ook geactiveerd in veilige modus (zowel netwerk als de standaard).
Er word gebruik gemaakt van een willekeurig bestand dat zich nestelt in de system-map.
Ook wordt er een bestand c:\windows\system32\pnpservice.inf aangemaakt.

In een HijackThislog zie je:
O4 - HKLM\..\Run: [Cache] C:\Documents and Settings\Edited Name\qcache.exe
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\KNQTWZ]`.dll

Andere kenmerken van deze infectie zijn dat je wordt doorgelinkt naar ssearch.biz of naar http://a-search.biz/?wmid=1010

Hoe verwijderen:
Download getservices.zip.
Pak het bestand uit op de C-schijf. Ga naar de map c:\getservice en dubbelklik op het bestand getservices.bat.
Nu wordt er een bestand gemaakt dat getservice.txt noemt. Deze geeft een overzicht van alle services op je computer.
In de log zoek je naar de service Plug and Play svc service (pnpsvc).

Download en installeer Registrar Lite.
Start het programma. Kopieer onderstaande in in het Address-veld:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters\\ServiceDll
Druk op Enter.
In het rechtse venster zie je nu de ServiceDll value die geselecteerd is.
Als je hier op dubbelklikt zie je de DLL die verantwoordelijk is voor deze infectie.

Start HijackThis. Ga naar Config - Misc Tools. Klik hier op de knop Delete a file on reboot.
Geef de naam van het bestand in dat je met Registrar Lite gevonden hebt. Druk op de knop Openen. HijackThis vraagt je nu om de computer opnieuw te starten. Doe dit.

Wanneer de computer opnieuw gestart is, controleer je of het bewuste bestand verwijderd is.
Is dit zo dan verwijder je het bestand c:\windows\system32\pnpsvc.inf

Download dit regbestandje: ssearchfix.zip. Pak het bestand uit. Dubbelklik op ssearchfix.reg om de wijzigingen aan het register toe te voegen.
Start Registrar Lite en kopieer onderstaande registersleutels in het address-veld.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC
Controleer of deze sleutels bestaan. Op elke locatie verwijder je de verwijzing naar het geselecteerde LEGACY_PNPSVC.
Heb je problemen om deze registersleutels te verwijderen dan rechtsklik je op deze sleutel en kies je voor Properties. Klik op de knop Permissies en zorg er voor dat iedereen volledige controle heeft. Probeer de registersleutel opnieuw te verwijderen.

Start de computer opnieuw.
Start HijackThis en laat de met hijackthis de entries fixen die betrekking hebben op deze hijacker.

Methode 2:

In een HijackThislog zie je:
F2 - REG:system.ini: UserInit=Userinit.exe,_huytam_

Andere symptomen zijn dat je wordt doorgelinkt naar ssearch.biz of naar http://a-search.biz/?wmid=1010

Het bestand wat oorzaak is voor deze hijacker wordt omgeven door "_". In dit voorbeeld is het "_huytam_".
Aan deze naam voegen we de volgende extensies .exe en .dll toe. De bestanden die we moeten verwijderen zijn:
c:\windows\system32\_huytam_.dll
c:\windows\system32\_huytam_.exe

Hoe verwijderen:
Fix de F2-entry met Hijackthis.
Verwijder met Killbox of met Hijackthis het .dll en het .exe bestand.
Stel je startpagina opnieuw in.

Note: "_huytam_" kan willekeurig zijn.

Methode 3:

In een HijackThislog zie je:
F2 - REG:system.ini: UserInit=Userinit.exe,

Andere symptomen zijn doorlinken naar a-searchbiz of xysearch.

Hoe verwijderen:
Download reglook.zip .
Unzip het in een eigen map. Dubbelkik op runme.bat. Er worden 2 logjes aangemaakt: Reglook.log en RL_error.log.
Een voorbeeld van een geïnfecteerde log is:

A reg_look by IMM
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
(key has 0 subkeys and 6 value entries - last modified 15:43(UTC) 15/09/2004)
[AppInit_DLLs] = not present!
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(key has 4 subkeys and 32 value entries - last modified 01:10(UTC) 10/11/2004)
[Userinit] = "Userinit.exe,TGBRFV_" (REG_SZ)
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
(key has 0 subkeys and 5 value entries - last modified 19:47(UTC) 16/09/2001)
[Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)

Het bestand dat de ze hijacker veroorzaakt is TGBRFV_.
Maak de temp-file leeg. Start - uitvoeren - tik in: %TEMP%. De temp-map wordt geopend. Verwijder alle bestanden.
Download Pocket Killbox.
Selecteer de opties: "Delete on reboot" and "End explorer shell before deleting". Verwijder de volgende bestanden:
C:\WINDOWS\System32\TGBRFV_.exe
C:\WINDOWS\System32\TGBRFV_5.dll
C:\WINDOWS\System32\TGBRFV_.dll
C:\WINDOWS\System32\TGBRFV_5.exe
Klik na dat je een bestand toegevoegd hebt op de knop met de rode cirkel en het witte kruis.
Wanneer het programma vraagt om nu te rebooten, geef je hier geen toestemming voor.
Bij elk .dll bestand vink je aan "Unregister .dll before deleting".
Wanneer je het laatste bestand toegevoegd hebt geef je toestemming om de computer te rebooten.

De meeste infecties hebben slechts één .dll en één .exe.
Nadat de computer is opgestart, start je hijackthis nog een keer en verwijder je de nu volledig zichtbare F2 entry en ook de R0 en de R1 items die bij deze hijack horen.

Terug naar de inhoud | Terug naar het hoofdmenu