Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

AntiVermins - AntiVerminser

Infecties > Archief 0 - E

AntiVermins of AntiVerminser is een rogue anti-spyware programma, ééntje van de zwarte lijst.

In de systray zie je een knipperend icoontje dat je waarschuwt dat de computer geïnfecteerd is.

Verwijdermethodes:

SmitfraudFix (gemaakt door S!Ri)
Download SmitfraudFix.exe, en plaats het bestand op je bureaublad.
Kies optie #1 - Search door 1 te typen en druk dan op "Enter".
Nu wordt een logfile gemaakt van eventuele malware gerelateerde bestanden die aanwezig zijn op de computer. Ook wordt een export gemaakt van een aantal registersleutels die door malware misbruikt kunnen worden. (niet alles wat de logfile toont is kwaadaardig!)
Om aanwezig infecties te verwijderen, start je de computer best in veilige modus. Hoe je dit doet kan je hier lezen.
Dubbelklik op SmitfraudFix.exe.
Kies optie #2 - Clean door 2 te typen en druk dan op "Enter".
Wanneer de volgende vraag gesteld: "Registry cleaning - Do you want to clean the registry ?"; antwoord je "ja" door Y te typen en daarna op "Enter" te klikken. Dit zal je bureaublad terug herstellen en de registersleutels die deze infectie heeft aangemaakt weer van de computer verwijderen.
Het kan zijn dat SmitfraudFix de computer opnieuw laat opstarten om eventuele restanten te verwijderen.
Indien de computer niet automatisch start, start je de pc zelf opnieuw in normale windowsmodus.
Een overzicht van alle bestanden en mappen die smitfraudfix verwijderd heeft, vind je in c:\rapport.txt

Smitrem (gemaakt door noahdfear)
Download Smitrem en plaats het op je bureaublad.
Dubbelklik op het bestand om het uit te pakken naar een eigen map op je bureaublad.
Start de computer in veilige modus. Hoe je dit doet kan je hier lezen.
Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.
Een overzicht van de activiteiten van smitrem vind je in de logfile c:\smitfiles.txt

Roguescanfix (gemaakt door Beamerke)
Zie hier.

Gekende varianten:

cvnzie.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fe288882-f661-4522-88f3-20cfb7866fa4}\InProcServer32]
@="C:\\WINDOWS\\system32\\cvnzie.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{fe288882-f661-4522-88f3-20cfb7866fa4}"="gutturalness"

hjpprpu.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c767c6b-602d-4b9b-829d-a3dc5b2d89dd}\InProcServer32]
@="C:\\WINDOWS\\system32\\hjpprpu.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3c767c6b-602d-4b9b-829d-a3dc5b2d89dd}"="haematobia"

kuhmk.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4fbbdfd6-2ca9-4bba-93e4-aadf75321bca}\InProcServer32]
@="C:\\WINDOWS\\System32\\kuhmk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4fbbdfd6-2ca9-4bba-93e4-aadf75321bca}"="discriminable"

ownyhr.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9a4b860b-b18e-4afe-9b26-2a19268eb6be}"="cecropia"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9a4b860b-b18e-4afe-9b26-2a19268eb6be}"="cecropia"

vwfps.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{951a98d0-dad6-4a77-8280-a494279a884b}\InProcServer32]
@="C:\\WINDOWS\\system32\\vwfps.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{951a98d0-dad6-4a77-8280-a494279a884b}"="beeper"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"beeper"="{951a98d0-dad6-4a77-8280-a494279a884b}"

cthkpcv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}\InProcServer32]
@="C:\\WINDOWS\\system32\\cthkpcv.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"buprestidae"="{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}"="buprestidae"

gwquvw.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8d8c2387-7f80-4022-9be6-43630a969558}\InProcServer32]
@="C:\\WINDOWS\\System32\\gwquvw.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"carbinyl"="{8d8c2387-7f80-4022-9be6-43630a969558}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8d8c2387-7f80-4022-9be6-43630a969558}"="carbinyl"

axlet.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8670ee50-01f9-47da-ac1e-cf8549e9e521}\InProcServer32]
@="C:\\WINDOWS\\system32\\axlet.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eupeptic"="{8670ee50-01f9-47da-ac1e-cf8549e9e521}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8670ee50-01f9-47da-ac1e-cf8549e9e521}"="eupeptic"

nbbrhbd.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fa19bd7e-50bc-4203-80ac-c4edc81ca9a3}\InProcServer32]
@="C:\\WINDOWS\\system32\\nbbrhbd.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hirtellous"="{fa19bd7e-50bc-4203-80ac-c4edc81ca9a3}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{fa19bd7e-50bc-4203-80ac-c4edc81ca9a3}"="hirtellous"

oksrqqu.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c4f2cbc-f32d-4a03-9812-86f39379811b}\InProcServer32]
@="C:\\WINDOWS\\system32\\oksrqqu.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"breadthes"="{5c4f2cbc-f32d-4a03-9812-86f39379811b}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{5c4f2cbc-f32d-4a03-9812-86f39379811b}"="breadthes"

cwgppb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2acf3add-34a1-4f2f-99cf-cc69785d1e90}\InProcServer32]
@="C:\\WINDOWS\\system32\\cwgppb.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"exemplars"="{2acf3add-34a1-4f2f-99cf-cc69785d1e90}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2acf3add-34a1-4f2f-99cf-cc69785d1e90}"="exemplars"

vblhanf.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6adaaf0-79b2-4cf1-a660-50a0b33991a1}\InProcServer32]
@="C:\\WINDOWS\\System32\\vblhanf.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"didymiums"="{e6adaaf0-79b2-4cf1-a660-50a0b33991a1}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e6adaaf0-79b2-4cf1-a660-50a0b33991a1}"="didymiums"