Malware Removal Information

Taakbeheer, regedit, command prompt werken niet.
Oorzaak is dat er een aantal fake (.com) bestanden gedropt worden in de system32 map die verhinderen dat de legitieme bestanden aangesproken worden.
De system32-map is een verborgen map geworden, en je hebt niet de mogelijkheid om het verborgen attribuut aan te passen.

In een HijackThislog zie je:
O4 - HKLM\..\Run: [MsMovies] C:\Program Files\MsMovies\MsMovies.exe /auto
O4 - HKLM\..\Run: [virtual-ie] winlogi.exe
O4 - HKLM\..\RunServices: [virtual-ie] winlogi.exe

Hoe verwijderen:
Maak volgende regfile aan of download het regje hier.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"virtual-ie"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsMovies"=-
"virtual-ie"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"virtual-ie"=-

Download Killbox.
Plaats killbox.exe op je bureaublad.
Dubbelklik op killbox.exe om het programma te starten.
Selecteer de optie "Delete on reboot".
Kopieer onderstaande bestanden.
c:\Program Files\MsMovies\msmovies.Exe
c:\WINDOWS\system32\cmd.com
c:\WINDOWS\system32\netstat.com
c:\WINDOWS\system32\ping.com
c:\WINDOWS\system32\regedit.com
c:\WINDOWS\system32\taskkill.com
c:\WINDOWS\system32\tasklist.com
c:\WINDOWS\system32\tracert.com
c:\WINDOWS\system32\winlogi.exe
c:\windows\system32\bszip.dll

Kies in het menu File voor "Paste from clipboard".
Klik op de rode knop met het witte kruis om de bestanden te verwijderen.
In het scherm "files will be removed on reboot, do you want to reboot now?" klik je op Yes.

Na herstart zoek je msmovies.reg. Dubbelklik er op en laat de wijzigingen aan het register toevoegen.

Ga naar start  - Uitvoeren en tik in: attrib /s /d -h -s %windir%\system32

Verwijder via verkenner de map c:\Program Files\MSmovies.