Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

StartPage O

Infecties > Archief O - S

Andere naam: Troj/Small-EI.
Info:
Wanneer trojan Startpage.O wordt uitgevoerd, kopieert het zichzelf onder de volgende namen naar de volgende plaatsen:

%Windir%\explorer32dbg.exe
%Windir%\iexplore_dbg.exe
%System%\SMSSU.EXE
%System%\Tmntsrv32.EXE

Het plaatst het bestand xmlib.dll in de windows map (%Windir%\xmlib.dll).
Xmlib.dll staat ook bekend als Troj/CWS-C.

Het registreert zichzelf als een browser helper object door de volgende registersleutels aan te maken:
HKEY_CLASSES_ROOT\CLSID\{60371670-81B9-4d06-9C42-4DEC1AABE62B}
HKEY_CLASSES_ROOT\TypeLib\{4947DDCC-D549-4D0B-9685-AA58B20E9642}
HKEY_CLASSES_ROOT\Interface\{0B6EF17E-18E5-4449-86EA-64C82D596EAE}

Aan de opstartsleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run worden de volgende waardes toegevoegd, zodat de trojan actief is elke keer windows opstart:
"SMSSU" = "%System%\SMSSU.EXE"
"Tmntsrv32" = "%System%\Tmntsrv32.EXE"
Zowel SMSSU.EXE als Tmntsrv32.EXE zie je tussen de actieve processen. Beëindig je één van beiden, dan wordt onmiddellijk een nieuw proces geactiveerd.

Elke keer dat de explorer.exe wordt gestart doet de trojan zijn werkt. Dit komt omdat de volgende aanpassing in het register gebeurt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger" = "%Windir%\explorer32dbg.exe"

Zelfde verhaal wanneer iexplore.exe wordt gestart. Volgende registersleutel wordt aangemaakt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe]
"Debugger" = "%Windir%\iexplore_dbg.exe"

De startpagina in Internet Explorer wordt doorverbonden webcruiser.cc. (IE geeft aan dat het om about:blank gaat)

In een hijackthislog zie je:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll

O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE

of:

O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE

Hoe verwijderen:

Verwijderen kan met dit tooltje gemaakt door Miekiemoes: FixO.exe.
Plaats het op je bureaublad, dubbelklik erop en kies voor installeren.
Op je bureaublad wordt de map FixO aangemaakt.
Open die map en dubbelklik op FixO.bat. Volg de instructies.