Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Epolvytrojan

Infecties > Archief 0 - E

De Epolvytrojan is een bijzonder lastig te verwijderen trojan.
Probeer je het proces te beëindigen, of het geïnfecteerde bestand te verwijderen, dan wijzigt het bestand van naam. Ook de opstartsleutel wijzigt van naam. De naam van de opstartsleutel en bestandsnaam worden steeds willekeurig gekozen.
De epolvytrojan zie je vaak samen met de nailinfectie verschijnen. Oorzaak hiervan is dat de epolvytrojan contact zoekt met st.abetterinternet.com waar het bestanden download om de nail-infectie op de computer te installeren.

In een Hijackthislog zie je:

O4 - HKLM\..\Run: [feghavf] C:\WINDOWS\System32\nrrunz.exe r

De opstartsleutel (feghavf) en de bestandsnaam (nrrunz.exe) zijn willekeurig en veranderen na dat de computer opnieuw gestart is of als je het lopende proces probeert te beëindigen of als je het bestand probeert te verwijderen.
Je kan deze trojan herkennen door de "r" achter de O4 sleutel in een hijackthislog.
Anti-virusscanners identificeren het bestand zo:

  • Kaspersky: Trojan.Win32.Agent.gp

  • NOD32: Win32/Agent.CP

  • AntiVir: TR/Agent.GP


Hoe verwijderen:

Er zijn verschillende varianten van Epolvy in omloop, en de ene is al wat moeilijker te verwijderen dan de andere.

Indien de trojan niet actief is in veilige modus, kan je de sleutel fixen met hijackthis in veilige modus en het bestand verwijderen via windows verkennner.

Je kan de trojan ook verwijderen in normale windows modus, door het proces te onderbreken en het bestand te verwijderen met Killbox of met Hijackthis (delete a file on reboot).
Dit is de werkwijze:
Download en unzip Process Explorer
.
Start Process explorer en klik op procexp.exe.
In het bovenste venster zoek je het bestand dat in de hijackthislog verschijnt en geïdentifceerd wordt als Epolvy. Rechtsklik op dit bestand en kies voor "Suspend".
Laat Process explorer openstaan.
In Hijackthis klik je op de knop "Open Misc tools section".
Klik op de knop "Delete a file on reboot".
Bij bestandsnaam geeft je het volledige pad in naar het bestand dat als Eplovy wordt herkend. (of je navigeert naar dit bestand).
Laat dit bestand verwijderen na een reboot.
Als de computer opnieuw gestart is, fix je de O4 sleutel die naar Epolvy verwijst met Hijackthis. (nu mag deze sleutel niet gewijzigd zijn.)

Je kan de trojan ook verwijderen met APT
(Advanced Process Termination).
Download APT.
Open APT en zoek naar het bestand dat als Epolvytrojan wordt herkend.
Open de system32 map en zoek naar dit bestand.
Verwijder het bestand nog niet, maar laat de system32-map open zodat je het bestand kan zien.
In APT selecteer je het Eplovy-bestand en klik dan op "Kill3".
Ga dan onmiddellijk naar de system32 map en verwijder het bestand.
Start Hijackthis fix de sleutel die naar de Epolvytrojan verwijst.

Meer info over het verwijderen van de nail-infectie
kan je hier vinden.

Infectie getest op 13/08/05

Terug naar de inhoud | Terug naar het hoofdmenu