Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Spguard spyware remover

Infecties > Archief O - S


zloader3.exe / SPguard

Infectie onderzocht op 19/06/05.
Variant van Smitfraud.
Kenmerken:
In een hijackthislog zie je:
O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\zloader3.exe

Je bureaubladachtergrond is helemaal zwart. In het midden staat de volgende boodschap:
Warning!
Your computer is infected!

Regelmatig krijg je een popup waarin gevraagd wordt om de computer te laten controleren op virussen en spyware. Klik je op "Yes", dan wordt PSguard spyware remover op de computer gedropt..



Na een reboot blijkt het bestand c:\windows\system32\wininet.dll geïnfecteerd.


De desktopkaper

Volgende wijzigingen gebeuren in het register:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000001
"NoDispAppearancePage"=dword:00000001

[HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
"Clr"=dword:00984e00
"Wp"="C:\WINDOWS\Web\Wallpaper\Ierland.bmp"
"WpS"="2"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"="C:\WINDOWS\zloader3.exe"

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 0 0"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\WINDOWS\\System32\\wp.bmp"
"WallpaperStyle"="0"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags"=dword:00000004


Volgende bestanden worden toegevoegd:

C:\WINDOWS\system32\oleadm.dll        Size: 6.657 bytes
Kaspersky Anti-Virus: Trojan-Downloader.Win32.Agent.ns

C:\WINDOWS\system32\oleadm32.dll        Size: 596.992 bytes
Kaspersky Anti-Virus: Virus.Win32.Nsag.a

C:\WINDOWS\zloader3.exe                        Size: 25.088 bytes
Kaspersky Anti-Virus: Trojan-Downloader.Win32.Small.ns

C:\WINDOWS\system32\wp.bmp                Size: 5.269 bytes

Hoe verwijderen:

De toegevoegde dll-bestanden oleadm.dll en oleadm32.dll, zijn niet verwijderbaar via windows verkenner. Ook niet in veilige modus.
Daarom kan je best Killbox gebruiken om de bestanden te verwijderen.
Zorg dat alle verborgen bestanden weergegeven
worden.
Download Killbox
.
Plaats killbox.exe op je bureaublad.
Dubbelklik op killbox.exe om het programma te starten.
Selecteer de optie "Delete on reboot".
Kopieer onderstaande bestanden:
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\oleadm32.dll
C:\WINDOWS\zloader3.exe
C:\WINDOWS\system32\wp.bmp

Kies in het menu File voor "Paste from clipboard".
Klik op de rode knop met het witte kruis om de bestanden te verwijderen. Wanneer je de melding krijgt "All listed files will be deleted on next reboot", klik je op Yes.
In het scherm "files will be removed on reboot, do you want to reboot now?" klik je op Yes.
Als Killbox deze vraag niet stelt, of als je een foutmelding krijgt, herstart je de computer zelf.

Run nadien deze
regfile.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=-
"NoDispAppearancePage"=-

[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="%systemdrive%\\Windows\\Web\\Wallpaper\\Ierland.bmp"
"WallpaperStyle"="2"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags"=dword:00000005

Scan ook je pc met een geupdate antivirusprogramma. Het bestand system32\wininet.dll blijkt ook geïnfecteerd:
NOD32: Win32/Oleloa.A
Kaspersky: Virus.Win32.Nsag.a
Indien c:\windows\system32\wininet.dll geïnfecteerd is hernoem je dit bestand (naar bv wininet.old). Plaats indien nodig een kopie van wininet.dll uit de map c:\windows\system32\dllcache naar de system32 map.

PSguard

Heb je in het venster "Spyware alert!" op de knop "Yes" geklikt, dan is het probleem met de desktopkaper waarschijnlijk opgelost, maar zit je wel opgescheept met Psguard.
Ook een aantal geïnfecteerde bestanden blijven aanwezig:

  • zloader3.exe

  • oleadm32.dll

  • oleadm.dll


Na dat je op knop "Yes" geklikt hebt gebeurt er een data-overdracht en wordt PSguard op de computer geïnstalleerd.



Volgende registersleutel wordt toegevoegd:

[HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
"No"=dword:00000001

Volgende registersleutel worden verwijderd:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000001
"NoDispAppearancePage"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"=-

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsFZ"="C:\WINDOWS\zloader3.exe "

Volgende registersleutels worden gewijzigd:
[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 0 0"
Naar
"Background"="0 78 152"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\WINDOWS\System32\wp.bmp"
Naar
"Wallpaper"="C\Windows\Web\Wallpaper\Ierland.bmp"
"WallpaperStyle"="2"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"WallpaperStyle"="0"
Naar
"WallpaperStyle"="2"

Het bestand wp.bmp wordt van de computer verwijderd.

Dit lost dus het probleem van de gekaapte desktop op, maar zoals gezegd wordt PSguard op de computer geïnstalleerd.

Volgende wijzigingen gebeuren in het register bij de installatie van PSguard:

[HKEY_CLASSES_ROOT\CLSID\{60D75C7F-D119-4a89-B3B3-D8AA07EF3300}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PSGuard]
"DisplayName"=" PSGuard"
"UninstallString"="C:\Program Files\PSGuard\uninstall.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\PGuard.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\PGuard.com\PSGuard]
"ProgramVersion"="2.1"
"EngineVersion"="2.1"
"GuiVersion"="2.1"
"ProxyName"=""
"ProxyPort"=dword:00000000
"ScanPriority"=dword:00000001
"DaysInterval"=dword:00000007
"ScanDepth"=dword:00000002
"ScanSystemOnStartup"=dword:00000001
"AutomaticallyUpdates"=dword:00000001
"MinimizeOnStart"=dword:00000000
"BackgroundScan"=dword:00000001
"BackgroundScanTimeout"=dword:00000018
[HKEY_LOCAL_MACHINE\SOFTWARE\PSguard.com]
"MGuid"="{C46BDEBF-F9EE-4369-8E70-2B5DE7363A3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\PSguard.com\PSGuard]
"RegistrationUrl"="http://www.psguard.com/register/3.0"
"ADVid"="3.0"
@="C:\\Program Files\\PSGuard"
"InstallDir"="C:\\Program Files\\PSGuard"
"DatabaseVersion"="2.1"
"InstallationID"="{98C9442C-F2B8-4161-BA13-9EDEA1B2D1B9}"
"LastTimeStamp"=dword:000000c7
"ScanPriority"=dword:00000001
"DaysInterval"=dword:00000007
"BackgroundScanTimeout"=dword:0000000f
"ScanSystemOnStartup"=dword:00000001
"AutomaticallyUpdates"=dword:00000001
"MinimizeOnStart"=dword:00000000
"BackgroundScan"=dword:00000001
"ScanDepth"=dword:00000056
"UseProxy"=dword:00000000
"IeSafeMode"=dword:00000000
"ProxyName"=""ÖB"
"ProxyPort"=dword:7c207cc8

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PSGuard"="C:\Program Files\PSGuard\PSGuard.exe"

Volgende bestanden / mappen worden op de computer geplaatst:

c:\Documents and Settings\All Users\Bureaublad\PSGuard.
c:\Documents and Settings\Marc\Application Data\Microsoft\Internet Explorer\Quick Launch\PSGuard.lnk lnk
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard\PSGuard.lnk
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard\Register.lnk
c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard\Uninstall.lnk
c:\Program Files\PSGuard
c:\Program Files\PSGuard\database.dat
c:\Program Files\PSGuard\MFC71.dll
c:\Program Files\PSGuard\MFC71ENU.DLL
c:\Program Files\PSGuard\MSIMG32FOR9X.DLL
c:\Program Files\PSGuard\msvcp71.dll
c:\Program Files\PSGuard\msvcr71.dll
c:\Program Files\PSGuard\PSGuard.exe
c:\Program Files\PSGuard\PSGuard.exe.local
c:\Program Files\PSGuard\PSGuardSkin.dll
c:\Program Files\PSGuard\Uninstall.exe


De uninstallfunctie van PSquard doet het volgende:

In het register worden volgende sleutels/waarden verwijderd:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PSGuard]

[HKEY_LOCAL_MACHINE\SOFTWARE\PGuard.com\PSGuard]

Volgende mappen / bestanden worden verwijderd:

c:\Documents and Settings\All Users\Menu Start\Programma's\PSGuard
c:\Program Files\PSGuard
c:\Documents and Settings\All Users\Bureaublad\PSGuard.lnk
c:\Documents and Settings\Marc\Application Data\Microsoft\Internet Explorer\Quick Launch\PSGuard.lnk

Hou er rekening mee dat de infecties kunnen wijzigen.

Terug naar de inhoud | Terug naar het hoofdmenu