Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Horseserver.net

Infecties > Archief F - N

Haxdoor - Horseserver.net - Klikfeed.com

Dit zijn de items die in  een hijackthislog kunnen voorkomen:
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\snim.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - Startup: winupdate11385090[1].exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe snim.dll, DllRegisterServer
O4 - HKLM\..\Run: [Shell] open32.exe
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\snim.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\snim.dll

Het bestand winupdate11385090[1].exe kan een andere naam hebben (windupdatexxxxxxxx[1]), en bevindt zich in de map: C:\Documents and Settings\gebruikersnaam\Menu Start\Programma's\Opstarten
(Engelse versie: C:\Documents and Settings\username\Start Menu\Programs\Startup)
Dit bestand wordt uitgevoerd wanneer Windows wordt gestart.
Het maakt connectie met een server waar het een aantal bestanden download om de computer verder te infecteren: Keylogger, bho, dialer, popups,…

Hoe verwijderen:

Verwijder het bestand windupdatexxxxxxxx[1] in de map Opstarten.
Download deze regfile
.
Start de computer in veilige modus en fix de bijbehorende sleutels met Hijackthis.
Verwijder de bijbehorende bestanden.
Verwijder deze map: C:\Program Files\WebSiteViewer
Controleer ook of volgende bestanden nog aanwezig zijn en verwijder ze:
c:\windows\system32\klogini.dll - part of logger
c:\windows\system32\p2.ini - part of logger
c:\windows\system32\ps.a3d - pop3 accounts
c:\windows\system32\vdnt32.sys - part of logger
c:\windows\system32\vdmt16.sys - keylogger
c:\windows\system32\winlow.sys - keylogger
c:\windows\system32\klo5.sys - key logger log
c:\windows\system32\drct16.dll - key logger
C:\windows\system32\tibs3.exe
c:\windows\system32\mszx23.exe
c:\windows\system32\w32tm.exe
c:\windows\system32\cz.dll
c:\windows\system32\hz.dll
c:\windows\system32\winlow.sys
c:\windows\system32\wz.dll
c:\windows\system32\es.
c:\windows\system32\waiz.
c:\windows\system32\z.
c:\windows\system32\slowisys
c:\windows\system32\zibibewiz.
c:\windows\system32\2ioso
c:\windows\system32\3d.
c:\windows\system32\ùÏ0ó†opes
c:\windows\system32\tmp*.exe
c:\windows\system32\draw32.dll
c:\windows\system32\memlow.sys
c:\windows\system32\wd.sys
c:\windows\system32\vtd_16.exe
c:\windows\system32\snim.dll
c:\windows\system32\DSMANA~1.DLL
c:\windows\cerbmod.dll
c:\windows\system32\prvdi1.exe
c:\windows\system32\msvcrta.dll
c:\windows\system32\pd14.exe
c:\windows\system32\dload.exe
c:\windows\system32\dload.exe.tcf
c:\windows\system32\dload.exe*.tcf
c:\windows\system32\w32tm.exe
c:\windows\system32\open32.exe
c:\windows\system32\tibs5.exe

Maak je Temp-map leeg.
Dubbelklik op de regfile (haxdoorfix.reg) die je gedownload hebt en laat de wijzigingen aan het register toe voegen.
Scan de computer met een geupdate anti-virusprogramma.

Als deze infectie volledig verwijderd is van de computer, wijzig je best alle bestaande wachtwoorden.

Meer info over deze keylogger vind je hier
.

Er is een tooltje gemaakt door Attribune om deze infectie te verwijderen: HSfix.zip
.
Unzip het naar je Bureaublad.
Start de computer in veilige modus. Dubbelklik op hsfix.bat. Er wordt een log gemaakt: C:/hslog.txt
Fix de bijbehorende sleutels met HijackThis.
Herstart de computer.
Doe een online-scan.

Terug naar de inhoud | Terug naar het hoofdmenu