Malware Removal Information

De startpagina in Internet Explorer wordt op about:blank gezet, je wordt doorverwezen naar http://www.martfinder.com/index.htm.
Deze infectie verwijdert de startupsleutels onder:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Het verwijdert ook de bestaande Browser Helper Objects:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

Oorzaak van deze infectie is een verborgen *.sys bestand dat geïnstalleerd is als een service.
De service wordt niet getoond in een HijackThislog, wel in een startuplog:
ExtraSystemService3: \??\C:\WINDOWS\System32\drivers\systemsvr.sys (autostart)

De service kan je niet stoppen via services.msc omdat het een device (*.sys) is. Deze service wordt ook niet getoond in het servicesconfiguratiescherm.

In een hijackthislog zie je:
O19 - User stylesheet: C:\Windows\windows.dat

Hoe verwijderen:
De werkwijze die we moeten volgen is de volgende:

• service uitschakelen.
  

• bestand verwijderen
  

De service verantwoordelijk voor deze infectie is ExtraSystemService3.
Het bestand dat we moeten verwijderen is c:\Windows\System32\drivers\systemsvr.sys

Gebruik je Windows XP dan kan je ESS3remove.bat gebruiken. Tijdens het runnen van de batfile wordt er gevraagd om een toets in te drukken om met de fix verder te gaan. Doe dit.
code van de batfile:
sc stop ExtraSystemService3
pause
sc delete ExtraSystemService3

cd %windir%
attrib -r -s -h windows.dat
del windows.dat

cd system32\drivers\
attrib -r -s -h systemsvr.sys
del systemsvr.sys

Gebruik je Windows 2000 dan zet je de service eerst op uitgeschakeld met behulp van deze regfile. Herstart de computer en verwijder het bestand.
Code van de regfile:
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ExtraSystemService3]
"Start"=dword:00000004

Run nadien deze regfile (Windows 2000 en WIndows XP):
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-               

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-
              
[HKEY_CURRENT_USER\Software\Microsoft\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRun"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000

Bepaalde programma's zullen waarschijnlijk niet meer naar behoren functioneren omdat er sleutels in het register verwijderd zijn. Om dit op te lossen zou je kunnen overwegen om de programma's opnieuw te installeren.