Malware Removal Information

Ga naar de inhoud

Hoofdmenu

HomeSearch

Infecties > Archief F - N

Fix voor Windows 2000 / windows XP.

Deze hijacker maakt gebruik van 2 random gekozen exe's en van 2 random gekozen DLL's.

In een HijackThislog zie je:
C:\WINDOWS\apifi.exe
C:\WINDOWS\mfctp32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pbnln.dll/sp.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pbnln.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pbnln.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pbnln.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pbnln.dll/sp.html#12802
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pbnln.dll/sp.html#12802
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {3712D7D0-9565-F99D-D800-6036A77E45C4} - C:\WINDOWS\crga32.dll

O4 - HKLM\..\Run: [mfctp32.exe] C:\WINDOWS\mfctp32.exe

O23 - Service: Workstation NetLogon Service (  6QÔ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\apifi.exe


Soms zie je bij de O4-items ook random exe's verschijnen onder de  runonce-opstartsleutels.

De exe-file die bij O23 sleutel verschijnt, wordt uitgevoerd als een service. De service installeert de DLL van de Browser Helper Object, die op zijn beurt bij het openen van Internet Explorer, de R0 en R1 items toevoegt die in de log voorkomen.
De Displayname of de weergavenaam van de service die deze hijacker veroorzaakt is variërend. Momenteel wordt gebruik gemaakt van de volgende namen:

  • Network Security Service

  • Workstation Netlogon Service

  • Remote Procedure Call (RPC) Helper

  • Network Security Service (NSS)


Deze namen lijken erg op andere legale aanwezige services. Kijk dus goed uit wat je doet.

Hoe verwijderen:

1. Kopieer onderstaande (tussen de streepjes) in een kladblokbestand en sla het op je bureaublad op als HSfix.reg.
Hierin vervang je SERVICENAAM nog door de juiste servicenaam (de O23 sleutel in de hijackthislog die bij deze infectie hoort - de servicenaam staat tussen haakjes.)
------
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SERVICENAAM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SERVICENAAM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SERVICENAAM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SERVICENAAM]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAAM]

------
Je kan ook deze
regfile gebruiken.
2. Download CWShredder
. Gebruik het programma nog niet.
3. Download About:buster
. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.
4. Zorg dat alle verborgen bestanden weergegeven worden. Instructies vind je hier
.
5. Start de computer in veilige modus
.
6. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:

  • De slechte R0 en R1 items.

  • BHO Entrie met de random DLL (in de log onder O2).

  • De random exe's (in de log onder O4).

  • De service verantwoordelijk voor deze hijack (in de log onder O23).

7. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.
8. Als extra controle, of mocht het aangemaakte regfile niet werken:
Open de registereditor via Start - Uitvoeren - tik in: regedit
Navigeer in het register naar de volgende sleutels:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_servicenaam

Verwijder daar de entry die de servicenaam bevat. (Let op: zoeken naar de servicenaam, niet zoeken naar de weergavenaam!!)
Vind je zo een entry met de bewuste servicenaam, rechtsklik er dan op en kies voor verwijderen. Bij Enum-sleutel kan er probleem optreden bij het verwijderen. Geef eerst iedereen full control, en probeer dan deze sleutel opnieuw te vewijderen.
Gebruik eventueel ook de zoekfunctie van het register om nog andere entries met die servicenaam op te sporen.
9. Verwijder de volgende bestanden:

  • De DLL die voorkomt in de log onder R0 en R1.

  • De DLL die voorkomt in de log onder O2.

  • De slechte random exe-bestanden die als O4 voorkomen.

  • Het uitvoerbaar bestand voor de service.

Note: Bestanden waarbij de exe eindigt op een dubbel punt en een willekeurig gekozen naam mag je niet verwijderen (vb C:\WINDOWS\EXPLORER.EXE:cfmnf /s). Dit betekent dat ADS actief is (Alternate Data Stream).
10. Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%
11. Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.
12. Herstel je webinstellingen: ga naar Configuratiescherm - Internetopties - tabblad Programma's. Klik op de knop Webinstellingen herstellen.
13. Start CWShredder en klik op de fix-knop.
14. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.
15. Reboot de computer nu in normale modus.
16. Controleer of de infectie verdwenen is. Indien niet overloop de voorgaande stappen dan opnieuw.
17. Doe een online-virusscan
.   
18. Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer na de fix of volgende bestanden nog aanwezig zijn:

  • Control.exe: Download hier indien  nodig de control.exe die bij je besturingssysteem hoort. Gebruik je windows 2000 dan plaats je dit bestand in c:\winnt\system32\, gebruik je XP dan plaats je het in c:\windows\system32\

  • Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je HostXpert. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

  • SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy.

  • Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map.


Notes:

  • Deze procedure kan je best uitprinten. Voer de procedure vanaf stap 5 tot en met stap 16 in één keer uit en maak ondertussen geen connectie met het net.  

  • About:buster rekent af met ADS indien dit aanwezig is. Het programma verwijdert verder ook nog andere geïnfecteerde bestanden die bij deze infectie horen.

  • De online-scan van Trend-Micro ruimt eventueel nog overgebleven bestanden op van deze infectie.

Terug naar de inhoud | Terug naar het hoofdmenu