Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Searchdom

Infecties > Archief O - S

Deze infectie maakt gebruik van een installer die zich vasthecht aan explorer.exe.
Elke keer dat explorer.exe gestart wordt, dus elke keer dat je windows start, wordt de infectie opnieuw uitgevoerd.
Om dit te kunnen realiseren is volgende registersleutel aangemaakt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="C:\\WINDOWS\\System32\\Wininit16.exe "

De waarde "Debugger" in deze registersleutel kan ook verwijzen naar een ander bestand:
"Debugger"="C:\\WINDOWS\\System32\\tasker32.exe"

In een hijackthislog zie je:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re=

O13 - DefaultPrefix: http://www.searchdom.net/?re=
O13 - WWW Prefix: http://www.searchdom.net/?re=

Of

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)

O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=

Controleer of er een "debugger" geïnstalleerd is met findexplorer.zip
.
Unzip het naar je bureaublad en dubbelklik op findexplorer.bat. Er opent een kladblokbestand.
Indien het resultaat in het kladblokbestand iets is zoals de registersleutel hierboven vermeldt, dan is dit de oorzaak van deze infectie.
(Je kan ook via regedit zoeken naar deze registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe)

Hoe verwijderen:

Volg exact de procedure zoals hier beschreven. Doe je dit niet dan heb je kans dat je explorer.exe verliest!!!
Download searchdomfix.zip
. Unzip de regfile naar je bureaublad.
Je kan ook de regfile zelf maken:
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]


Start de computer in veilige modus
, dubbelklik op searchdomfix.reg en laat de wijzigingen aan je register toevoegen.
Lukt dit niet, probeer dan opnieuw.
Als je een melding krijgt dat de gegevens in searchdomfix.reg aan het register zijn toegevoegd, ga je verder met de volgende stap. Krijg je een foutmelding dan stop je de procedure.
Na het importeren van de regfile in je register, start je de computer opnieuw in veilige modus.
Verwijder nu het bestand dat gevonden werd via de geëxporteerde regfile. (De waarde vermeldt bij "Debugger"=)
Fix met Hijackthis de sleutels die bij deze infectie horen.
Herstart de computer.

Terug naar de inhoud | Terug naar het hoofdmenu