Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Nail

Infecties > Archief F - N

Infectie:
AdWare.BetterInternet (Transponder familie)
Vaak gaat deze infectie gepaard met popups van Aurora.

In een HijackThislog zie je:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O4 - HKLM\..\Run: [zwkagf] c:\windows\system32\vmzccpw.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Bij de opstartitems (O4) zal je steeds een sleutel vinden met een willekeurig gekozen opstartsleutel. De naam van het bijbehorend bestand is ook willekeurig gekozen. Tracht je deze te fixen, dan veranderen opstartsleutel en bestand onmiddellijk van naam. Dit bestand wordt aangemaakt door nail.exe en is ongeveer 74kb Het bestand bevindt zich in de %windows%/system32 map. Dit bestand moet tegelijkertijd met de nail.exe en de bolger.dll (indien aanwezig) verwijderd worden. Anders wordt de computer opnieuw geïnfecteerd.

Hoe verwijderen:

Download de trialversie van Ewido Security Suite
.
Installeer het programma en controleer of er updates beschikbaar zijn. Installleer deze ook. Laat Ewido nog niet scannen.
Download Nailfix
. (credits voor miekiemoes, racooper en Swandog46)
Unzip het naar je desktop, maar gebruik het nog niet.
Start de computer in veilige modus
.
Dubbelklik op nailfix.bat (of nailfix.cmd).
Start Ewido en laat het programma je volledig systeem scannen.
Wanneer Ewido klaar is, start je HijackThis, en vink je volgende regel aan om te fixen:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Maak deze regfile aan en laat de wijzigingen aan het register toevoegen.
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}]

[-HKEY_CURRENT_USER\Software\Bolger]

[-HKEY_CURRENT_USER\Software\aurora]

[-HKEY_CURRENT_USER\Software\ceres]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{302A3240-4805-4a34-97D7-1645A0B08410}]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Monitors\ZepMon]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon]

[-HKEY_CLASSES_ROOT\mfiltis]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Herstart de computer in normale modus.

Terug naar de inhoud | Terug naar het hoofdmenu