Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

Deluxecommunications

Infecties > Archief 0 - E

Dit is een nieuwe variant van SurfSideKick.
Deze infectie zorgt voor popups die gebaseerd zijn op de inhoud van websites die je bezocht hebt.

Kenmerken in een hijackthislog:
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O20 - AppInit_DLLs: dxclib303562752.dll

Registersleutels en -waarden die toegevoegd worden:
HKEY_CURRENT_USER\Software\DeluxeCommunications

HKEY_CLASSES_ROOT\CLSID\{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}

HKEY_LOCAL_MACHINE\SOFTWARE\DeluxeCommunications

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DeluxeCommunications

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
"{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}"=""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"DeluxeCommunications"="C:\\Program Files\\DeluxeCommunications\\Dxc.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"DeluxeCommunications"="C:\\Program Files\\DeluxeCommunications\\Dxc.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="xclib303562752.dll"

Registerwaarde die wordt verwijderd:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""

Toegevoegde mappen en bestanden:
c:\Program Files\DeluxeCommunications
c:\Program Files\DeluxeCommunications\Dxc.exe
c:\Program Files\DeluxeCommunications\DxcBho.dll
c:\Program Files\DeluxeCommunications\DxcCore.dll
c:\WINDOWS\system32\bkd.exe
c:\WINDOWS\system32\dxclib303562752.dll
c:\Documents and Settings\Marc\Local Settings\Temp\i1.tmp
c:\Documents and Settings\Marc\Local Settings\Temp\i2.tmp
c:\Documents and Settings\Marc\Local Settings\Temp\Perflib_Perfdata_4ec.dat
c:\Documents and Settings\Marc\Local Settings\Temp\u8.bat
c:\Documents and Settings\Marc\Local Settings\Temp\u9.bat

Uninstallstring:
C:\Program Files\DeluxeCommunications\Dxc.exe /u

Hoe deze infectie verwijderen:
Sluit alle open vensters van internet explorer.
Ga naar Configuratiescherm - Software - Programma's wijzigen of verwijderen. Deïnstalleer indien aanwezig DeluxeCommunications.
Indien deze er niet tussen staat ga je naar Start - uitvoeren en tik je dit commando in: "%ProgramFiles%\DeluxeCommunications\Dxc.exe" /u
Druk daarna op OK.
Het deïnstallatieprocess van DeluxeCommunications zal starten.
In een venster dat opent wordt je gevraagd een securitycode in te voeren om deïnstallatieprocess verder te zetten.
Typ de securitycode in en klik op OK.

In het nieuwe venster dat verschijnt klik je op Yes om ermee akkoord te gaan dat alle browservensters gesloten worden om het deïnstallatieprocess te voltooien.
Wanneer gevraagd wordt om de computer te herstarten, sta je dit toe: klik op Ja.
Wanneer de computer herstart is, download je deze regfile: FixDXC.reg.
Plaats FixDXC.reg op je bureaublad, dubbelklik erop, en laat de wijzigingen aan het register toevoegen.

Bron: Bleeping computer.