Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Roguescanfix

Tools

Een knipperend icoontje in de systray met de melding "Virus Alert".
Klik je op dit icoontje dan krijg je een popup dat de computer geïnfecteerd is en dat je antimalwaresoftware moet gebruiken om de computer weer virusvrij te maken.



Klik je op deze popup dan word je doorgestuurd naar een website waar een rogue anti-spyware product (Spyfalcon, Spywarequake,..) wordt aangeboden.
Deze producten beweren de computer terug malwarevrij te maken mits betaling. Doe dit niet, koop deze software niet! De makers van deze software hebben er eerst voor gezorgd dat je computer geïnfecteerd is en willen dan geld verdienen om de infectie weer van je computer te verwijderen.

Roguescanfix is een tooltje gemaakt door Beamerke dat gebruikt kan worden om dit soort infecties te verwijderen.
Roguescanfix werkt enkel als er geen andere symptomen van de infecties aanwezig zijn.
Blijft de infectie terugkomen na gebruik van Roguescanfix, dan zijn er nog andere symptomen aanwezig en kijk je best hier
even.

Hoe gebruiken?

Download roguescanfix_setup
.
Dubbelklik op roguescanfix_setup om Rogusscanfix te installeren.
Na de installatie krijg je de vraag om het programma te laten opstarten. Kies dan voor JA/YES.
Deze tool heeft internet connectie nodig zodat het een extra bestand kan downloaden om deze tool te laten werken.
Indien je Firewall een melding geeft, sta deze dan toe en blokkeer het niet.

Krijg je daarna nog steeds de melding krijgt dat BFU.exe niet aanwezig is, dan download je BFU.zip
hier.
Unzip het en plaats BFU.exe in de installatiemap van Roguescanfix ( c:\PROGRAM FILES\Roguescanfix ).

Dubbelklik daarna opnieuw op Roguescanfix.bat
Er zal een dosvenster openen met een keuzemenu.

Kies hier optie #1: Run roguescanfix.
Roguescanfix zal sommige ongewenste programma's deïnstalleren en gerelateerde bestanden en registersleutels verwijderen.
Indien sommige bestanden niet kunnen verwijderd worden, zal gevraagd worden of je de computer opnieuw wilt opstarten.
Zorg er wel eerst voor dat het deïnstalleren van de ongewenste programma's voltooid is vooraleer je op 'Yes' klikt om de pc opnieuw te laten opstarten.
Er opent een kladblokbestandje dat een export toont van de de sharedtaks-registersleutel.
In principe mag dit kladblokbestandje enkel deze clsids tonen:
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"
"{553858A7-4922-4e7e-B1C1-97140C1C16EF}"
voorbeeldje:

Export SharedTaskScheduler key
------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"

Optie 1 verwijdert de gekende varianten. Blijkt dat na het uitvoeren van optie 1 de infectie niet verdwenen is, dan kan het zijn dat je last hebt van een nieuwe variant.
Het kladblokbestandje dat opent na optie kan er dan zo uitzien:

Export SharedTaskScheduler key
--------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


sharedtaskkey: 93ac7c30-3878-4eaa-9420-7977285df5b1
------------------------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}]


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}\InProcServer32]
@="C:\\WINDOWS\\system32\\pmnqguh.dll"
"ThreadingModel"="Apartment"


Het schuingedrukte zal anders zijn, maar duidt waarschijnlijk op aanwezigheid van een nieuwe variant.
Klik opnieuw op Roguescanfix.bat, en het dosvenster met het keuzemenu zal openen.
Kies nu voor optie #2: Run sharedtasksrem.
Wanneer sharedtaskrem klaar is, zal een kladblokbestandje openen.
(Het bestandje vind je ook in c:\program files\roguescanfix\task.txt)
Wanneer optie 2 met sharedtaksrem gebruikt wordt, kan het zijn dat je firewall een melding geeft dat curl.exe connetie zoekt met het internet.
Sta dit dan toe. Curl.exe verstuurd een kopie van de bestanden en van de registersleutels die gemaakt zijn naar Bleeping computer, zodat de nieuwe varianten toegevoegd kunnen worden aan de verschillende tools die deze infectie verwijderen.

Het kladblokbestandje dat opent na gebruik van optie #2: Run sharedtasksrem ziet er zo uit:

Export SharedTaskScheduler key
--------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"



sharedtaskkey: 93ac7c30-3878-4eaa-9420-7977285df5b1
------------------------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}\InProcServer32]
@="C:\\WINDOWS\\system32\\pmnqguh.dll"
"ThreadingModel"="Apartment"

checking for files:
pmnqguh.dll found
pmnqguh.dll deleted
Cleaning process finished!
Export SharedTaskScheduler key after cleaning process
----------------------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"


Finished!

Wanneer de bestanden en registersleutels verwijderd zijn (na de melding in de logfile "Cleaning process finished!", wordt opnieuw een export van de sharetasksleutel gemaakt en deze mag enkel deze clsids tonen:
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"
"{553858A7-4922-4e7e-B1C1-97140C1C16EF}"

Note 1: "{553858A7-4922-4e7e-B1C1-97140C1C16EF}" zal enkel aanwezig zijn als je Internet Explorer versie 7 gebruikt.
Note 2: Backups van de bestanden en registersleutels die verwijderd werden door sharedtaskrem vind je in de map backups in de installatiemap van roguescanfix (meestal zal dit zijn C:\Program Files\Roguescanfix\backups).
Mochten er problemen zijn dan kan je deze altijd terugplaatsen.

Een geupdate lijst van alle registersleutels, bestanden en programma's die verwijderd worden met Roguescanfix vind je hier
.

Terug naar de inhoud | Terug naar het hoofdmenu