Hoofdmenu
Deze infectie maakt gebruik van een installer die zich vasthecht aan explorer.exe.
Elke keer dat explorer.exe gestart wordt, dus elke keer dat je windows start, wordt de infectie opnieuw uitgevoerd.
Om dit te kunnen realiseren is volgende registersleutel aangemaakt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="C:\\WINDOWS\\System32\\Wininit16.exe "
De waarde "Debugger" in deze registersleutel kan ook verwijzen naar een ander bestand:
"Debugger"="C:\\WINDOWS\\System32\\tasker32.exe"
In een hijackthislog zie je:
R0 -
R1 -
R1 -
O13 -
O13 -
Of
R0 -
R1 -
R1 -
O13 -
O13 -
Controleer of er een "debugger" geïnstalleerd is met findexplorer.zip
Unzip het naar je bureaublad en dubbelklik op findexplorer.bat. Er opent een kladblokbestand.
Indien het resultaat in het kladblokbestand iets is zoals de registersleutel hierboven vermeldt, dan is dit de oorzaak van deze infectie.
(Je kan ook via regedit zoeken naar deze registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe)
Hoe verwijderen:
Volg exact de procedure zoals hier beschreven. Doe je dit niet dan heb je kans dat je explorer.exe verliest!!!
Download searchdomfix.zip. Unzip de regfile naar je bureaublad.
Je kan ook de regfile zelf maken:
REGEDIT4
[-
Start de computer in veilige modus, dubbelklik op searchdomfix.reg en laat de wijzigingen aan je register toevoegen.
Lukt dit niet, probeer dan opnieuw.
Als je een melding krijgt dat de gegevens in searchdomfix.reg aan het register zijn toegevoegd, ga je verder met de volgende stap. Krijg je een foutmelding dan stop je de procedure.
Na het importeren van de regfile in je register, start je de computer opnieuw in veilige modus.
Verwijder nu het bestand dat gevonden werd via de geëxporteerde regfile. (De waarde vermeldt bij "Debugger"=)
Fix met Hijackthis de sleutels die bij deze infectie horen.
Herstart de computer.