Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

Spguard spyware remover

Infecties > Archief O - S

zloader3.exe / SPguard

Infectie onderzocht op 19/06/05.
Variant van Smitfraud.
Kenmerken:
In een hijackthislog zie je:
O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe

Je bureaubladachtergrond is helemaal zwart. In het midden staat de volgende boodschap:
Warning!
Your computer is infected!

Regelmatig krijg je een popup waarin gevraagd wordt om de computer te laten controleren op virussen en spyware. Klik je op "Yes", dan wordt PSguard spyware remover op de computer gedropt..

Na een reboot blijkt het bestand c:\windows\system32\wininet.dll geïnfecteerd.

De desktopkaper

Volgende wijzigingen gebeuren in het register:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000001
"NoDispAppearancePage"=dword:00000001

[HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
"Clr"=dword:00984e00
"Wp"="C:\WINDOWS\Web\Wallpaper\Ierland.bmp"
"WpS"="2"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"="C:\WINDOWS\zloader3.exe"

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 0 0"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\WINDOWS\\System32\\wp.bmp"
"WallpaperStyle"="0"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags"=dword:00000004

Volgende bestanden worden toegevoegd:
C:\WINDOWS\system32\oleadm.dll        Size: 6.657 bytes
Kaspersky Anti-Virus: Trojan-Downloader.Win32.Agent.ns

C:\WINDOWS\system32\oleadm32.dll        Size: 596.992 bytes
Kaspersky Anti-Virus: Virus.Win32.Nsag.a

C:\WINDOWS\zloader3.exe                        Size: 25.088 bytes
Kaspersky Anti-Virus: Trojan-Downloader.Win32.Small.ns

C:\WINDOWS\system32\wp.bmp                Size: 5.269 bytes

Hoe verwijderen:
De toegevoegde dll-bestanden oleadm.dll en oleadm32.dll, zijn niet verwijderbaar via windows verkenner. Ook niet in veilige modus.
Daarom kan je best Killbox gebruiken om de bestanden te verwijderen.
Zorg dat alle verborgen bestanden weergegeven worden.
Download Killbox.
Plaats killbox.exe op je bureaublad.
Dubbelklik op killbox.exe om het programma te starten.
Selecteer de optie "Delete on reboot".
Kopieer onderstaande bestanden:
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\oleadm32.dll
C:\WINDOWS\zloader3.exe
C:\WINDOWS\system32\wp.bmp

Kies in het menu File voor "Paste from clipboard".
Klik op de rode knop met het witte kruis om de bestanden te verwijderen. Wanneer je de melding krijgt "All listed files will be deleted on next reboot", klik je op Yes.
In het scherm "files will be removed on reboot, do you want to reboot now?" klik je op Yes.
Als Killbox deze vraag niet stelt, of als je een foutmelding krijgt, herstart je de computer zelf.

Run nadien deze regfile.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=-
"NoDispAppearancePage"=-

[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="%systemdrive%\\Windows\\Web\\Wallpaper\\Ierland.bmp"
"WallpaperStyle"="2"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags"=dword:00000005

Scan ook je pc met een geupdate antivirusprogramma. Het bestand system32\wininet.dll blijkt ook geïnfecteerd:
NOD32: Win32/Oleloa.A
Kaspersky: Virus.Win32.Nsag.a
Indien c:\windows\system32\wininet.dll geïnfecteerd is hernoem je dit bestand (naar bv wininet.old). Plaats indien nodig een kopie van wininet.dll uit de map c:\windows\system32\dllcache naar de system32 map.

PSguard
Heb je in het venster "Spyware alert!" op de knop "Yes" geklikt, dan is het probleem met de desktopkaper waarschijnlijk opgelost, maar zit je wel opgescheept met Psguard.
Ook een aantal geïnfecteerde bestanden blijven aanwezig:

zloader3.exe
oleadm32.dll
oleadm.dll

Na dat je op knop "Yes" geklikt hebt gebeurt er een data-overdracht en wordt PSguard op de computer geïnstalleerd.

Volgende registersleutel wordt toegevoegd:
[HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
"No"=dword:00000001

Volgende registersleutel worden verwijderd:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000001
"NoDispAppearancePage"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"=-

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"="C:\WINDOWS\zloader3.exe "

Volgende registersleutels worden gewijzigd:
[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 0 0"
Naar
"Background"="0 78 152"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\WINDOWS\System32\wp.bmp"
Naar
"Wallpaper"="C\Windows\Web\Wallpaper\Ierland.bmp"
"WallpaperStyle"="2"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"WallpaperStyle"="0"
Naar
"WallpaperStyle"="2"

Het bestand wp.bmp wordt van de computer verwijderd.

Dit lost dus het probleem van de gekaapte desktop op, maar zoals gezegd wordt PSguard op de computer geïnstalleerd.

Volgende wijzigingen gebeuren in het register bij de installatie van PSguard:
[HKEY_CLASSES_ROOT\CLSID\{60D75C7F-D119-4a89-B3B3-D8AA07EF3300}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PSGuard]
"DisplayName"=" PSGuard"
"UninstallString"="C:\Program Files\PSGuard\uninstall.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\PGuard.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\PGuard.com\PSGuard]
"ProgramVersion"="2.1"
"EngineVersion"="2.1"
"GuiVersion"="2.1"
"ProxyName"=""
"ProxyPort"=dword:00000000
"ScanPriority"=dword:00000001
"DaysInterval"=dword:00000007
"ScanDepth"=dword:00000002
"ScanSystemOnStartup"=dword:00000001
"AutomaticallyUpdates"=dword:00000001
"MinimizeOnStart"=dword:00000000
"BackgroundScan"=dword:00000001
"BackgroundScanTimeout"=dword:00000018
[HKEY_LOCAL_MACHINE\SOFTWARE\PSguard.com]
"MGuid"="{C46BDEBF-F9EE-4369-8E70-2B5DE7363A3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\PSguard.com\PSGuard]
"RegistrationUrl"="http://www.psguard.com/register/3.0"
"ADVid"="3.0"
@="C:\\Program Files\\PSGuard"
"InstallDir"="C:\\Program Files\\PSGuard"
"DatabaseVersion"="2.1"
"InstallationID"="{98C9442C-F2B8-4161-BA13-9EDEA1B2D1B9}"
"LastTimeStamp"=dword:000000c7
"ScanPriority"=dword:00000001
"DaysInterval"=dword:00000007
"BackgroundScanTimeout"=dword:0000000f
"ScanSystemOnStartup"=dword:00000001
"AutomaticallyUpdates"=dword:00000001
"MinimizeOnStart"=dword:00000000
"BackgroundScan"=dword:00000001
"ScanDepth"=dword:00000056
"UseProxy"=dword:00000000
"IeSafeMode"=dword:00000000
"ProxyName"=""ÖB"
"ProxyPort"=dword:7c207cc8

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PSGuard"="C:\Program Files\PSGuard\PSGuard.exe"

Volgende bestanden / mappen worden op de computer geplaatst:
c:\Documents and Settings\All Users\Bureaublad\PSGuard.
c:\Documents and Settings\Marc\Application Data\Microsoft\Internet Explorer\Quick Launch\PSGuard.lnk lnk
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard\PSGuard.lnk
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard\Register.lnk
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard\Uninstall.lnk
c:\Program Files\PSGuard
c:\Program Files\PSGuard\database.dat
c:\Program Files\PSGuard\MFC71.dll
c:\Program Files\PSGuard\MFC71ENU.DLL
c:\Program Files\PSGuard\MSIMG32FOR9X.DLL
c:\Program Files\PSGuard\msvcp71.dll
c:\Program Files\PSGuard\msvcr71.dll
c:\Program Files\PSGuard\PSGuard.exe
c:\Program Files\PSGuard\PSGuard.exe.local
c:\Program Files\PSGuard\PSGuardSkin.dll
c:\Program Files\PSGuard\Uninstall.exe

De uninstallfunctie van PSquard doet het volgende:
In het register worden volgende sleutels/waarden verwijderd:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PSGuard]

[HKEY_LOCAL_MACHINE\SOFTWARE\PGuard.com\PSGuard]

Volgende mappen / bestanden worden verwijderd:
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard
c:\Program Files\PSGuard
c:\Documents and Settings\All Users\Bureaublad\PSGuard.lnk
c:\Documents and Settings\Marc\Application Data\Microsoft\Internet Explorer\Quick Launch\PSGuard.lnk

Hou er rekening mee dat de infecties kunnen wijzigen.