Hoofdmenu
VX2, Look2Me, is een zeer lastig te verwijderen infectie. Deze malware wordt zonder medeweten van de computergebruiker geïnstalleerd. VX2 kan zorgen voor een onstabiele browser. Het update zich zonder toestemming van de gebruiker, zorgt voor pop-
VX2 maakt verbinding met een bepaalde server om informatie uit te wisselen.
Deze infectie maakt gebruikt van willekeurige bestanden en een willekeurig gekozen sleutel onder
Dit zijn de standaard subkeys onder Notify:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
Sommige andere programma's plaatsen ook een sleutel onder Notify. Indien je twijfelt of deze sleutel legitiem is kan je altijd gaan zoeken op het bestand dat vermeld wordt bij DLLname.
Voorbeeld van een andere legale subsleutel is:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
De niet-
Dit is de standaardsleutel voor User Agent onder XP SP2
"SV1"=""
Hoe verwijderen:
Download L2Mfix. (Dit programma is gemaakt door Shadowwar en OSC.)
Plaats het bestand op je buroblad. Klik op l2mfix.exe.
Klik op "Accept". Zorg dat de l2mfix-
Op je bureaublad open je de map l2mfix.
Klik op l2fix.bat.
Klik op "1" om optie te 1 selecteren: Run Find Log.
Dit gaat even duren. Na een tijdje wordt er een kladblokbestand geopend.
Controleer of er een sleutel staat onder Notitfy die niet standaard is en niet legit. Indien je twijfelt zoek je meer informatie op over het dll bestand bij DLLName.
Staat er bij User Agent iets anders ingevuld (bv een CLSID) dan heb je waarschijnlijk last van deze infectie en kan je verder gaan met de volgende stap.
Vb: (CLSID is willekeurig):
"{985D932F-
Sluit alle openstaande programma's.
Dubbelklik op l2mfix.bat.
Klik op "2" om optie 2 te selecteren: Run Fix.
Druk op Enter.
De iconen op je bureaublad zullen verdwijnen en de L2Mfix gaat je computer scannen. Als het scannen klaar is, zal de computer aangeven dat hij opnieuw gaat opstarten.
Druk op Enter en de pc zal automatisch herstarten.
Als de computer opnieuw gestart is, opent er een kladblokbestandje.
De willekeurig gekozen subsleutel onder Notify kan nog verschijnen, maar geeft een file missing aan in de HijackThislog. Om de sleutel te verwijderen volstaat het om deze te fixen met HijackThis.
De willekeurige CLSID bij de User Agent String zou nu verdwenen moeten zijn.
Indien in een hijackthislog de O4-
C:\WINDOWS\system32\ntec32.exe 26112 bytes
C:\WINDOWS\system32\ntsmod.exe 28672 bytes
C:\WINDOWS\system32\sysdebug32.exe 28672 bytes
C:\WINDOWS\system32\msts32.exe
Symantec heeft ook een tooltje gemaakt om deze infectie te verwijderen: Info
Voor de oudere varianten kan je dit proberen:
Ad-
Hoe deze plugin gebruiken?
Sluit Ad-
Download en installeer de VX2 Cleaner
Start Ad-
Klik op de knop "Add-
Selecteer de VX2 Cleaner en klik op de knop "Uitvoeren".
Als de computer niet geïnfecteerd is met deze malware, klik je op de knop "Close".
Als de computer wel geïnfecteerd is doe je het volgende:
Klik op de knop "Clean System".
Start de computer opnieuw.
Scan de computer met een geupdate Ad-
Verwijder alle VX2 objecten die gevonden worden.
Start de computer opnieuw.
Gebruik opnieuw de VX2 Cleaner om te controleren of alle bestanden verwijderd zijn.
Note:
Versie 126 van VX2 maakt geen gebruik meer van de Guardian-
Versie 126 van VX2-
Download voor Windows 2000/XP.
Download voor Windows 9.x.