Malware Removal Information

Haxdoor - Horseserver.net - Klikfeed.com

Dit zijn de items die in  een hijackthislog kunnen voorkomen:
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\snim.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - Startup: winupdate11385090[1].exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe snim.dll, DllRegisterServer
O4 - HKLM\..\Run: [Shell] open32.exe
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\snim.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\snim.dll

Het bestand winupdate11385090[1].exe kan een andere naam hebben (windupdatexxxxxxxx[1]), en bevindt zich in de map: C:\Documents and Settings\gebruikersnaam\Menu Start\Programma's\Opstarten
(Engelse versie: C:\Documents and Settings\username\Start Menu\Programs\Startup)
Dit bestand wordt uitgevoerd wanneer Windows wordt gestart.
Het maakt connectie met een server waar het een aantal bestanden download om de computer verder te infecteren: Keylogger, bho, dialer, popups,…

Hoe verwijderen:
Verwijder het bestand windupdatexxxxxxxx[1] in de map Opstarten.
Download deze regfile.
Start de computer in veilige modus en fix de bijbehorende sleutels met Hijackthis.
Verwijder de bijbehorende bestanden.
Verwijder deze map: C:\Program Files\WebSiteViewer
Controleer ook of volgende bestanden nog aanwezig zijn en verwijder ze:
c:\windows\system32\klogini.dll - part of logger
c:\windows\system32\p2.ini - part of logger
c:\windows\system32\ps.a3d - pop3 accounts
c:\windows\system32\vdnt32.sys - part of logger
c:\windows\system32\vdmt16.sys - keylogger
c:\windows\system32\winlow.sys - keylogger
c:\windows\system32\klo5.sys - key logger log
c:\windows\system32\drct16.dll - key logger
C:\windows\system32\tibs3.exe
c:\windows\system32\mszx23.exe
c:\windows\system32\w32tm.exe
c:\windows\system32\cz.dll
c:\windows\system32\hz.dll
c:\windows\system32\winlow.sys
c:\windows\system32\wz.dll
c:\windows\system32\es.
c:\windows\system32\waiz.
c:\windows\system32\z.
c:\windows\system32\slowisys
c:\windows\system32\zibibewiz.
c:\windows\system32\2ioso
c:\windows\system32\3d.
c:\windows\system32\ùÏ0ó†opes
c:\windows\system32\tmp*.exe
c:\windows\system32\draw32.dll
c:\windows\system32\memlow.sys
c:\windows\system32\wd.sys
c:\windows\system32\vtd_16.exe
c:\windows\system32\snim.dll
c:\windows\system32\DSMANA~1.DLL
c:\windows\cerbmod.dll
c:\windows\system32\prvdi1.exe
c:\windows\system32\msvcrta.dll
c:\windows\system32\pd14.exe
c:\windows\system32\dload.exe
c:\windows\system32\dload.exe.tcf
c:\windows\system32\dload.exe*.tcf
c:\windows\system32\w32tm.exe
c:\windows\system32\open32.exe
c:\windows\system32\tibs5.exe

Maak je Temp-map leeg.
Dubbelklik op de regfile (haxdoorfix.reg) die je gedownload hebt en laat de wijzigingen aan het register toe voegen.
Scan de computer met een geupdate anti-virusprogramma.

Als deze infectie volledig verwijderd is van de computer, wijzig je best alle bestaande wachtwoorden.

Meer info over deze keylogger vind je hier.

Er is een tooltje gemaakt door Attribune om deze infectie te verwijderen: HSfix.zip.
Unzip het naar je Bureaublad.
Start de computer in veilige modus. Dubbelklik op hsfix.bat. Er wordt een log gemaakt: C:/hslog.txt
Fix de bijbehorende sleutels met HijackThis.
Herstart de computer.
Doe een online-scan.