Malware Removal Information

Ga naar de inhoud

Hoofdmenu

DNS-hijackers

Infecties

DNS-servers worden gebruikt om de naam van een website te vertalen naar het IP-adres.
Indien deze servers gewijzigd worden door malware, dan worden er foutieve DNS-servers gebruikt. Het gevolg hiervan is dat men wordt doorverwezen naar foutieve websites.

Voorbeelden zijn o.m. WareOut en UnspyPc.
Deze varianten maken gebruik van volgende registersleutel om te infecteren:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="bestandsnaam"
En vaak ook een willekeurig gekozen sleutel onder
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Kenmerken in een hijackthislog:

O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"


Bovenstaande zijn oudere varianten.
Momenteel kan je de infectie in een hijackthislog enkel herkennen aan de 017 sleutels die een onbekend ip-adres tonen.
Voorbeelden:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.28 85.255.112.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6785BB3-2DA0-464E-B8E6-010308F2618C}: NameServer = 85.255.116.76,85.255.112.197
O17 - HKLM\System\CCS\Services\Tcpip\..\{098CBDD4-6FAC-4157-AA3B-B4C02A5BC398}: NameServer = 85.255.113.122,85.255.112.67

Komt het IP-adres van de DNS-server je niet bekend voor, dan kan je opzoeken aan wie het toebehoort via deze
website.

Blijkt dat je geïnfecteerd bent met een DNS-hijacker dan kan Malwarebytes' Anti-Malware (MBAM)
je waarschijnlijk van de problemen afhelpen.


Huidige varianten kunnen ook de instellingen in de router wijzigen. Indien dit gebeurd is, dan kan je deze procedure volgen:

Voor we starten zorg dat je de nodige gegevens hebt om toegang te krijgen tot de configuratie van je router en zorg ook dat je alle nodige gegevens verzameld hebt om de router opnieuw te kunnen instellen.Om de DNS-hijacker volledig te verwijderen moeten we de router resetten naar de fabrieksinstellingen.Wanneer dit gebeurd is kan het zijn dat je geen connectie meer kan maken met internet, en moet je de instellingen in het configuratiescherm van de router aanpassen. Bij twijfel neem je best contact op met je provider.Voer een snelle scan uit met MBAM. Laat verwijderen wat door MBAM gevonden wordt, desnoods de computer opnieuw laten starten.
Verbreek nu de verbinding met je router. Indien dit via een bekabeld netwerk gebeurt, trek je de kabel uit de router. Indien het om een draadloze verbinding gaat, klik je op het netwerkicoon in de systray (naast de klok) en kies netwerkverbinding verbreken.
Sluit nu alle computers af die via de router verbinding maken met het internet.
Aan de achterkant van de router bevindt zich een "reset" knop.
Met een pen, potlood of een ijzerdraadje (paperclip), druk je deze knop gedurende een 30-tal seconden in.
Trek de stekker van de router uit het stopcontact en wacht nu 1 minuut.
Druk de resetknop opnieuw in en steek de stekker van de router weer in het stopcontact. Hou ondertussen de resetknop nog steeds ingedrukt (gedurende een halve minuut).
Trek de stekker van de router opnieuw uit het stopcontact.
Start de computer opnieuw, en voer een nieuwe snelle scan uit met MBAM. Laat opnieuw verwijderen wat gevonden wordt, desnoods de computer opnieuw laten starten.
Steek de stekker van de router in het stopcontact en verbindt de computer opnieuw met de router.
Heb je problemen om  connectie te maken met het internet, dan stel je de configuratie van de router opnieuw in.
Laat MBAM opnieuw een scan uitvoeren en controleer of er nog een Trojan.DNSChanger gevonden wordt.

Terug naar de inhoud | Terug naar het hoofdmenu