Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

Smitfraud

Infecties > Archief O - S

Trojan-Spy.HTML.Smitfraud.c
Hieronder vind je een bespreking van een aantal smitfraudvarianten en hun specifieke verwijdermethoden.

S!Ri heeft een tooltje gemaakt dat afrekent met alle gekende varianten: Smitfraudfix.
Werkwijze:
Unzip alle bestanden naar je bureaublad.
Open de map SmitfraudFix en dubbelklik op smitfraudfix.cmd
Kies voor optie 1 - search en je krijgt een overzichtje van aanwezige bestandjes die bij deze infectie horen en die smitfraudfix kan verwijderen.
Start de computer in veilige modus.
Open de map SmitfraudFix en dubbelklik op smitfraudfix.cmd.
Kies optie 2 - Clean, om het tooltje alle bestanden te laten verwijderen.
Wanneer je de vraag krijgt om het register te laten opkuisen, sta je dit toe.
Het tooltje zal ook onderzoeken of wininet.dll geïnfecteerd is. Indien dit bestandje geïnfecteerd is zal je de vraag krijgen of je wininet.dll wil vervangen. Antwoord dan "Yes" door y te typen en druk op "Enter".
Het kan zijn dat het tooltje je pc opnieuw laat opstarten om zijn werk te kunnen afmaken.
Als dat niet zo is, start je pc dan handmatig opnieuw op in normale modus.
Er zal een tekstbestandje openen met de resultaten van de fix.
( c:\rapport.txt)

Wanneer het smitfraudfix klaar is, ga je naar Start - Configuratiescherm - Beeldscherm - tabblad Bureaublad - klik op de knop "Bureaublad aanpassen" - tabblad Website. Haal indien nog aanwezig het vinkje weg bij "Security Info".

Hou er wel rekening mee dat er ook vaak andere infecties mee geïnstalleerd worden. Daarom dat je nadien de computer best nog scant met één of meerdere anti-spyware-tools.

Smitfraud varianten

C:\wp.exe is een Trojan: Trojan.WIN32AGENT.ct.
Deze trojan maakt een startupsleutel aan voor zichzelf:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsFY"="c:\wp.exe"

De trojan plaatst het bestand wp.bmp in de root map (c:\). Het bestand wp.bmp wordt ingesteld als bureaubladachtergrond. Deze achtergrond toont een fake error melding:

Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

* System can not function in normal mode.
Please check you security settings.
* Scan your PC with any avaliable antivirus / spyware remover
program to fix the problem.

Verder gebeuren ondermeer de volgende registeraanpassingen:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000001
"NoDispAppearancePage"=dword:00000001
"Wallpaper"="c:\\wp.bmp"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=dword:00000001

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=" C:\WP.BMP"
"WallpaperStyle"="0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges "=dword:00000001

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 0 0"

Wanneer je rechtsklikt op je bureaublad en kiest voor eigenschappen, zullen er een aantal tabjes ontbreken. Hierdoor is het onmogelijk om je bureaubladachtergrond nog in te stellen.

In een HijackThislog zie je:
C:\WP.EXE

O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O9 - Extra button: Microsoft AntiSpyware helper - {F33BED58-B4F9-40F2-9F12-BB3F9F9C709F} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {F33BED58-B4F9-40F2-9F12-BB3F9F9C709F} - (no file) (HKCU)

Hoe verwijderen:
Ga naar configuratiescherm - Software - Programma's wijzigen en verwijderen. Deïnstalleer indien aanwezig:
-Security IGuard
-Search Maid
-Virtual Maid

Zorg dat alle verborgen bestanden weergegeven worden.
Beëindig de actieve processen die bij deze infectie horen:
C:\wp.exe
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe

Download Pocket KillBox.
Unzip het programma naar je bureaublad.
Klik op killbox.exe.
Selecteer de optie "Delete on reboot".
Kopieer alle onderstaande bestanden:
C:\wp.exe
C:\wp.bmp
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe

Kies in het menu File voor "Paste from clipboard".
Klik op de rode knop met het witte kruis om de bestanden te verwijderen. Wanneer je de melding krijgt "All listed files will be deleted on next reboot", klik je op Yes.
In het scherm "files will be removed on reboot, do you want to reboot now?" klik je op Yes.
Als Killbox deze vraag niet stelt, of als je een foutmelding krijgt, herstart je de computer zelf.

Start de computer in veilige modus en verwijder de volgende mappen:
C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard

Herstart de computer in normale modus.
Download de smitfraudregfile.
Dubbelklik er op en laat de wijzigingen aan hetregsiter toevoegen.

quicknavigate.com

In een hijackthislog zie je:
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hpAF07.tmp

De hp****.tmp die onder O2 voorkomt is een willekeurig. (de sterretjes vertegenwoordigen een getal / letter)
Deze BHO zorgt er voor dat de start en zoekpagina's doorverwezen worden naar quicknavigate.com
De CLSID kan ook deze zijn: {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}

startsearches.net

In een hijackthislog zie je:
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\intmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpC98A.tmp

updatesearches.com

In een hijackthislog zie je:
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\winnook.exe
C:\WINDOWS\System32\intmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp9ED0.tmp

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe

Hoe deze varianten verwijderen:
Credits aan bananafanafo en andere malware bestrijders.
Download de smitfraudreg.
Plaats het bestand op je bureaublad. Dubbelklik er op en laat de wijzigingen aan het register toevoegen.

Ga naar Configuratiescherm - Software - Programma's wijzigen en verwijderen. Deïnstalleer indien aanwezig de volgende programma's:
-Security IGuard
-Virtual Maid
-Search Maid

Zorg dat alle verborgen bestanden weergegeven worden.
Download Killbox.
Plaats killbox.exe op je bureaublad.
Dubbelklik op killbox.exe om het programma te starten.
Selecteer de optie "Delete on reboot".
Kopieer onderstaande bestanden.
C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\wldr.dll
C:\Windows\System32\helper.exe
C:\Windows\System32\intmon.exe
C:\Windows\System32\shnlog.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\ole32vbs.exe

Kies in het menu File voor "Paste from clipboard".
Klik op de rode knop met het witte kruis om de bestanden te verwijderen. Wanneer je de melding krijgt "All listed files will be deleted on next reboot", klik je op Yes.
In het scherm "files will be removed on reboot, do you want to reboot now?" klik je op Yes.
Als Killbox deze vraag niet stelt, of als je een foutmelding krijgt, herstart je de computer zelf.

Start de computer in veilige modus.
Verwijder de volgende mappen en bestanden:
C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard

Start Hijackthis en fix de sleutels die bij deze infectie horen.

Verwijder indien nodig de bestanden die bij de infectie horen.

Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%

Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

Start de computer in normale modus.
Download HostXpert. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

Download DelDomains.inf.
Rechtsklik er op en kies voor installeren.

Doe een online-virusscan.

Meer info vind je hier.

zloader3.exe
Gedetailleerde uitleg vind je hier.
In een hijackthislog zie je:
O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe

Hoe verwijderen:
Zorg dat alle verborgen bestanden weergegeven worden.
Download Killbox.
Plaats killbox.exe op je bureaublad.
Dubbelklik op killbox.exe om het programma te starten.
Selecteer de optie "Delete on reboot".
Kopieer onderstaande bestanden:

C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\oleadm32.dll
C:\WINDOWS\zloader3.exe
C:\WINDOWS\system32\wp.bmp

Kies in het menu File voor "Paste from clipboard".
Klik op de rode knop met het witte kruis om de bestanden te verwijderen. Wanneer je de melding krijgt "All listed files will be deleted on next reboot", klik je op Yes.
In het scherm "files will be removed on reboot, do you want to reboot now?" klik je op Yes.
Als Killbox deze vraag niet stelt, of als je een foutmelding krijgt, herstart je de computer zelf.

Run nadien deze regfile.
Scan ook je pc met een geupdate antivirusprogramma. Het bestand system32\wininet.dll blijkt ook geïnfecteerd.
Indien c:\windows\system32\wininet.dll geïnfecteerd is hernoem je dit bestand (naar bv wininet.old). Plaats indien nodig een kopie van wininet.dll uit de map c:\windows\system32\dllcache naar de system32 map.

winstall.exe
Gedetailleerde uitleg vind je hier.
In een hijackthislog zie je:
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

Hoe verwijderen:
Met Hijackthis fix je deze sleutel:
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

In de systemtray rechtsklik je op het icoon van SpySheriff en kies je voor "Exit SpySheriff (disables run-time protection)".
In het scherm dat verschijnt, klik je op "Continue Unprotected".
Zoek met windows verkenner het bestand C:\Program Files\SpySheriff\Uninstall.exe.
Dubbelklik op Uninstall.exe.

Download spysheriffdesktopfix.reg.
Unzip het en dubbelklik op de spysheriffdesktopfix.reg.
Laat de wijzigingen aan het register toevoegen.

Verwijder de volgende mappen en bestanden:
c:\WINDOWS\desktop.html
c:\Program Files\SpySheriff
c:\winstall.exe

Herstart de computer.