Malware Removal Information

Startpagina werd aangepast naar Angelsfucked.com of Searchzoomer.com

In een hijackthislog zie je:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://angelsfucked.com/se.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://angelsfucked.com/se.html

Of

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchzoomer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchzoomer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchzoomer.com/

SilentRunners toont dit:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{5FFD4A60-C328-128D-44EB-21D258091D15}" = "Delayed Applications Handler"
 -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\delaybuf.dll" [null data]

Hoe verwijderen:
Maak volgende regfile aan of download hem hier:
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5FFD4A60-C328-128D-44EB-21D258091D15}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{5FFD4A60-C328-128D-44EB-21D258091D15}"=-

Download Pocket Killbox.  
Unzip het programma naar je bureaublad.
Klik op killbox.exe.
Selecteer de optie "Delete on reboot".
In het veld "Full path of file to delete" Kopieer en plak je het volgende: naam en pad van het bestand dat de oorzaak is van deze infectie. (hier is dit: c:\windows\system32\delaybuff.dll)
Klik op de knop met de rode cirkel en het witte kruis.
Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES".
De computer zal nu opnieuw starten.
Wanneer de computer opnieuw opgestart is dubbelklik je op aangemaakte regfile en laat je de wijzigingen aan het register toevoegen.

Varianten op deze infectie vind je hier.