Malware Removal Information

Ga naar de inhoud

Hoofdmenu

LOP en Messengerplus

Infecties > Archief F - N

Messengerplus kan je op 2 manieren installeren: met sponsors en zonder sponsors.
Installeer je  het programma met sponsors, dan ben je geïnfecteerd door LOP.
Kenmerken van deze infectie zijn:

  • Blauwe toolbars.

  • Andere startpagina (niet meer te wijzigen).

  • Snelkoppelingen op je bureaublad: Casino Online, Internet, Poker, Printer · Cartridges, Travel, Website Hosting.

  • Nieuwe mappen / snelkoppelingen in je favorieten: Casino Online, Computers, Cool Stuff, Games, Internet, Movie, Online Gaming, Shopping Gifts, Travel, Web Hosting.



In een HijackThislog zie je:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hebpzgppdmcvvkxolwsemyymm.org/Vgphr21hygEpijzFdJP36tdGhOtNQ6Wuf41DysyWb7Ef6km1SVuZftsQ3kmJbKgd.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.epxecirbtjumy.uk/Vgphr21hygHow4_WlYqSGCX9Qa53kzYt6MxWoMxzxkw.html
O2 - BHO: (no name) - {9C134485-ACC7-E857-CFC6-91A7FBF80B9C} - C:\DOCUME~1\Marc\APPLIC~1\SCRHOL~1\IntraHide.exe
O4 - HKLM\..\Run: [new bolt log bone] C:\Documents and Settings\All Users\Application Data\proxy chic new bolt\browsetitle.exe
O4 - HKCU\..\Run: [SpamDate] C:\DOCUME~1\Marc\APPLIC~1\COPYUP~1\bone corn soap.exe

Dit is slechts een voorbeeld. De items die in een hijackthislog verschijnen zien er telkens anders uit. De CLSID's en de bestandnamen die LOP gebruikt worden immers willekeurig gekozen.

Hoe verwijderen:

Om deze infectie te verwijderen doe je het volgende:
Ga naar Configuratiescherm - Software - Programma's wijzigen of verwijderen. Deïnstalleer Messengerplus.
Reboot de computer.

Blijft de infectie terugkomen, dan heb je waarschijnlijk de nieuwste LOP-infectie te pakken. Deze infectie maakt gebruik van de geplande taken.
Een mogelijkheid om deze infectie te verwijderen is om Messengerplus opnieuw te installeren MET sponsors en nadien te deïnstalleren.
Tijdens de deïnstallatie moet je een securitycode ingeven. Doe dit.

Is het probleem nog niet opgelost, dan maak je best een startuplist met hijackthis.
Kijk of er bij Enumerating Task Scheduler jobs een taak (.job) staat met een naam bestaande uit (16?) willekeurige cijfers en letters. (vb. A4476F8291C4E84E.job)
Wordt daar een willekeurig gekozen .job vermeld, dan is deze de oorzaak dat de infectie terugkeert.
Deze .job is een verborgen bestand en bevindt zich in de map c:\windows\tasks.
Verwijderen doe je best door gebruik te maken van Pocket Killbox
.

Wil je Messengerplus blijven gebruiken, installeer het dan opnieuw, maar kies deze keer voor de optie 'zonder sponsors'.

Meer info vind je hier
.

Terug naar de inhoud | Terug naar het hoofdmenu