Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Super-spider.com/sp

Infecties > Archief O - S

Deze variant voegt pornosites toe aan je favorieten, schakelt andere bho's uit en dropt een aantal bestanden van 0 bytes.
Hij maakt gebruik van een Browser Helper Object (BHO) met vaste CLSID. De DLL-file is willekeurig gekozen.

In een HijackThislog zie je:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-spider.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\nume1dvb3xifmz.dll
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [Uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O15 - Trusted Zone: *.greg-search.com
O20 - AppInit_DLLs: 2o0a4ocblzi34.tlb 6mm1auif9x5.tlb

Nieuwe varianten tonen ook deze extra lijnen in een hijackthislog:

O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\System32\64302.exe (bestandsnaam is een willekeurig nummer)
O4 - Global Startup: winlogin.exe (in combinatie met andere varianten)

Hoe verwijderen:

Repareer met HijackThis de slechte entries in de log. In veilige modus verwijder je de bijbehorende bestanden en ook het bestand %Windir%\bad3074.exe.
Nadien scan je met een geupdate Ad-aware om alle overige zaken nog te verwijderen.

Bron
.

Terug naar de inhoud | Terug naar het hoofdmenu