Malware Removal Information

Ga naar de inhoud

Hoofdmenu

hotoffers.info

Infecties > Archief F - N

Hotoffers / Jimbutt / Supersearchs / Newgenlook / Specialgoods / Findyourcouple

Het bestand verantwoordelijk voor deze infectie, hecht zich aan een essentieel windowsbestand: explorer.exe.
Volgende aanpassingen in het register gebeuren voor de systr.dll variant:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{12345678-0000-0010-8000-00AAFF6D2EA4}"="Sysctl Desktop Handler"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12345678-0000-0010-8000-00AAFF6D2EA4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12345678-0000-0010-8000-00AAFF6D2EA4}\InProcServer32]
@="C:\\WINDOWS\\System32\\systr.dll"
"ThreadingModel"="Apartment"

In een Hijackthislog zie je :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/
O16 - DPF: {2456741B-1567-7682-A355-939856783603} - ms-its:mhtml:file://C:\foo.mht!http://www.jimbutt.com/d//T.CHM::/load.exe
of
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.supersearchs.com
of
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/192/
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\default.mht!http://www.hotoffers.info/kr/dropper.chm::/dropper.exe
of
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0278/
of
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0277/
of
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0179/
of
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findyourcouple.com

Hoe verwijderen:
Oorzaak van deze infectie is één van de volgende bestanden: C:\WINDOWS\System32\systr.dll
C:\WINDOWS\System32\param32.dll
C:\WINDOWS\System32\hmp32.dll
Deze hecht zich aan rundll32.exe.
Welk bestand de oorzaak is kan je opsporen met oa SilentRunners. Deze toont je het bestand met bijbehorende CLSID:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{12345678-0000-0010-8000-00AAFF6D2EA4}" = "Sysctl Desktop Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\systr.dll" [null data]

Of

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\param32.dll" [null data]

Of

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{12345678-0000-0010-8000-00AAFF6D2EA4}" = "Web Description Module"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hmp32.dll" [null data]

Download de regfile hotoffersfix.reg.
Download Pocket KillBox.
Unzip het programma naar je bureaublad.
Klik op killbox.exe.
Selecteer de optie "Delete on reboot".
In het veld "Full path of file to delete" geef je het bestand in dat de oorzaak is van deze infectie.
Klik op de knop met de rode cirkel en het witte kruis.
Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES".
De computer zal nu opnieuw starten.
Wanneer de computer opnieuw opgestart is dubbelklik je op hotoffersfix.reg en laat je de wijzigingen aan het register toevoegen.

Terug naar de inhoud | Terug naar het hoofdmenu