Malware Removal Information

Ga naar de inhoud

Hoofdmenu

about:blank

Infecties > Archief 0 - E

About:blank res://C:\WINDOWS\TEMP\se.dll/sp.html (02/2005)

Deze fix is voor Windows 98, Windows 98SE en Windows ME
In een Hijackthislog zie je:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {08A10579-78CC-4F42-BEB1-8C7B94629720} - C:\WINDOWS\SYSTEM\FBLO.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - \  C:\WINDOWS\SYSTEM\FBLO.DLL
O18 - Filter: text/plain - {9DFA9322-385F-4A86-B48E-A645BC5B37D4} - C:\WINDOWS\SYSTEM\FBLO.DLL

Hoe verwijderen:
Download Startdreck.
Dubbelklik op 'StartDreck.exe'.
Klik op "Config" en vervolgens op "Unmark all".
Selecteer alleen de volgende:
Bij Registry: run keys.
Bij System/drivers: Running processes.
Klik op OK.
Er wordt een logje gemaakt. In dit logje kijk je bij de sleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
naar een waarde als deze: **qx=rundll32 C:\WINDOWS\ANTWOOJD.TXT,DllGetClassObject
Het gedeelte voor DllGetClassObject is willekeurig (uitgezonderd rundll32).
Dus: **XX=rundll32 C:\WINDOWS\xxxxxxxxx.xxx,DllGetClassObject
Het bestand dat we moeten kwijtspelen is C:\WINDOWS\XXXXXXXX.XXX. Dit is een willekeurig bestand dat lijkt op een legaal windowsbestand, en is enkel zichtbaar in DOS-modus. Het bestand wordt blijkbaar geladen door elke .exe die in de processenlijst voorkomt.
De beste manier om dit bestand uit te schakelen, is door de computer te starten van een opstartdiskette en vervolgens het bestand te verwijderen of te hernoemen.
Achter de prompt geef je in:
c: <ENTER>
cd windows <ENTER>
del XXXXXXXX.XXX <ENTER>  (of ren XXXXXXXX.XXX aaa.old <ENTER>)

Herstart vervolgens de computer. Als het goed is krijg je een foutmelding die verwijst naar het bestand dat we zo juist verwijderd hebben. Om dit probleem op te lossen  moet je de volgende registersleutel verwijderen, en nadien weer aanmaken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Dit kan je doen met dit
regfiltje.
Code van de regfile:
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

Kort:

Spoor de installer op via Startdreck.de bijbehorende sleutels met HijackThis.van de opstardiskette en verwijder of hernoem de installer.en run de regfile.en controleer met Startdreck of de installer weg is.

Fix voor Windows 98:
Download de volgende bestanden
Win98.fix
.
StartDreck
.


About:blank met verborgen installer: Windows 2000 / Windows XP


Deze about:blank variant is een moeilijk te verwijderen hijacker. Deze variant maakt gebruik van 2 DLL files: een zichtbare en een onzichtbare. De zichtbare DLL verschijnt als een Browser Helper Object in de HijackThislog (O2-item), en heeft een willekeurig gekozen naam. Andere kenmerken zijn de R0 en R1 entries in een hijackthislog die lijken op onderstaande. De DLL-files worden willekeurig gekozen.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hfppbeb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {42743767-5659-4140-9D5C-F5A37B5F6E28} - C:\WINDOWS\System32\fodc.dll

Hoe werkt deze hijack?

Zoals reeds gezegd maakt deze hijacker gebruik van een verborgen DLL-file. Zelfs als alle verborgen bestanden weergeven ingeschakeld is, zal de bewuste DLL-file niet zichtbaar zijn in je verkenner. Deze key in het register bevat de verwijzing naar de verborgen DLL: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.
CWShredder en Ad-aware kunnen de zichtbare DLL file verwijderen. Maar bij een reboot wordt deze door de onzichtbare DLL telkens terug aangemaakt. Gevolg is dat de hijacker blijft terugkomen. Soms gaat het even goed, maar na een (aantal) reboot(s) komt hij plots weer opdagen.

Hoe verwijderen:

Er bestaan verschillende methodes om deze hijacker te verwijderen, maar allemaal komen ze op hetzelfde neer.

  • de verborgen DLL-file opsporen.

  • de verborgen DLL-file zichtbaar maken.

  • de DLL definitief van het systeem verwijderen.

  • met Ad-aware of CWShredder de zichtbare DLL-file verwijderen.

  • met HijackThis de resterende entries fixen die nog naar deze hijacker verwijzen.


Kijk uit wat je doet wanneer je deze hijacker  wil verwijderen. Bij twijfel roep je best deskundige hulp in.

Download Registrar Lite
.
Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.
Druk op Enter. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld "Value". Als dit veld een .dll bevat, dan is dit de verborgen dll file die we kwijt moeten raken.
Schrijf de volledige naam van het pad op waar deze dll file zich bevindt. (copy/paste het eventueel in txt-bestand.)
Sluit Registrar Lite.

Maak op de c-schijf een nieuwe map aan met de naam registerbackup. (c:\registerbackup)

Start Registrar Lite opnieuw. Bij Adress geef je het volgende in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Druk op Enter. De map Windows in het linkerscherm van Registrar Lite is paars geselecteerd. Als dit het geval is, dan kies je in het menu File voor Export.
Bij "Bestandsnaam" geef je in winkey.reg.
Bij "Opslaan als type" kies je voor Regedit4 standard .reg files (*.reg)
Sla het bestand winkey.reg op in de map c:\registerbackup.
Zorg dat de map Windows in het linkerscherm van Registrar Lite nog steeds paars geselecteerd is. Kies in het menu File voor Export.
Bij "Bestandsnaam" geef je in winkey.hiv.
Bij "Opslaan als type" kies je voor Regedt32/WinApi hive files (*.hiv,*.dat, *.*)
Sla het bestand winkey.hiv op in de map c:\registerbackup.

In het linkerscherm van Registrar Lite is de map Windows nog steeds paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows.
Klik op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de dll file, en verwijder het.
Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows.       
Het verborgen .dll bestand zou  nu zichtbaar moeten zijn.

Herstart de computer in veilige modus, en verwijder het dll bestand. Indien verwijderen niet lukt, hernoem je het bestand naar bv aaa.111. Verplaats het bestand eventueel naar een andere locatie.

Herstart de computer in normale modus. Ga naar de map c:\registerbackup en dubbelklik op winkey.reg.
Start Registrar Lite. Bij Adress geef je het volgende in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Druk op enter.
In het linkerscherm zou nu de map Windows paars geselecteerd moeten zijn. Als dit zo is ga je in het menu File naar Import. Navigeer naar de map c:\registerbackup en selecteer winkey.hiv. Klik op Openen.
In het rechtse venster klik je op AppInit_DLLs en verwijder je in het veld value de waarde naar het .dll bestand.
Sluit Registrar Lite.

Scan met CWShredder
.

Doe een online-scan:
Trend Micro

Panda


Scan met een geupdate Ad-aware
.

Een andere methode om deze hijacker te verwijderen:
Download appinit.bat
.
Run het bestand niet uit de zip-map, maar unzip het naar je desktop.
Even verschijnt er een dosbox en dan wordt er een bestandje aangemaakt dat windows.txt noemt. Dit bestandje bevat de naam van de verborgen DLL. Deze DLL noemen we vanaf nu xxxx.dll.
Download CWShredder
maar gebruik het programma nog niet.
Download hiving.bat
.
Lees ook dit even door: Eigenaar worden van een map of bestand
.
Verbreek de connectie met het internet tot de verwijderprocedure achter de rug is.
Dubbelklik op hiving.bat om het te starten. Na een reboot zou de verborgen installer (xxxx.dll) die we met appinit.bat opgespoord hebben, zichtbaar moeten zijn.
Zoek het bestand c:\Windows\System32\xxxx.dll op via de verkenner en maak jezelf eigenaar van dit bestand.
Dit geldt enkel voor gebruikers van het NTFS-bestandsysteem. Gebruik je FAT32 als bestandssysteem dan moet het volstaan om het Alleen lezen attribuut uit te schakelen.
Hernoem het bestand xxxx.dll naar noxxxx.txt en verwijder dit bestand.
(Lukt het niet dan kan je deze procedure herhalen in veilige modus.)
Run CWShredder.
Reboot de computer in normale modus. Run HijackThis en laat eventuele verwijzingen naar about:blank nog fixen.

Doe een online-virusscan.


About:blank variant - C:\DOCUME~1\user\LOCALS~1\Temp\sp.html


Deze variant maakt geen gebruik van een verborgen installer.

In een HijackThislog ziet dit er zo uit:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\user\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\user\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\user\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\user\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\user\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\user\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {FD90346B-9BF1-4018-A409-6F86439A7333} - C:\WINDOWS\System32\jbpoe.dll

Hoe verwijderen:

Download en installeer APM
.
Start het programma APM.
In het bovenste venster selecteer je explorer.exe
In het onderste venster zoek je DLL uit de log die in O2 te zien is.
Rechtsklik op deze DLL en kies voor Unload.
Klik op OK.
Sluit alle open vensters behalve dat van HijackThis.
Laat HijackThis het volgende repareren:

  • De kwaadaardige R0 en R1 items

  • De BHO (O2 in de log) met de kwaadaardige DLL


Reboot en scan vervolgens met een geupdate Ad-aware
.
Deze fix werkt enkel voor Windows 2000 / Windows XP.

Note:Er zijn gevallen bekend dat deze hijacker terugkomt na de fix en dan gebruikt maakt van de verborgen installer (AppInit_DLLs).


About:blank hijack met gebruik extra protocol


De CLSID en .dll file zijn willekeurig.

In een HijackThislog zie je:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {419234C5-C8C3-49CA-83DE-71698A12F5DE} - C:\WINDOWS\System32\akajida.dll

O18 - Filter: text/html - \  C:\WINDOWS\System32\akajida.dll
O18 - Filter: text/plain - {518D797E-2451-43D9-81E8-6F2B2D7A1B1C} - C:\WINDOWS\System32\akajida.dll

Hoe verwijderen:

Fix de hierboven genoemde items met hijackthis en verwijder het bijbehorende .dll bestand in veilige modus
.

Terug naar de inhoud | Terug naar het hoofdmenu