Malware Removal Information

Ga naar de inhoud

Hoofdmenu

VX2 - Look2Me

Infecties > Archief T - Z

VX2, Look2Me, is een zeer lastig te verwijderen infectie. Deze malware wordt zonder medeweten van de computergebruiker geïnstalleerd. VX2 kan zorgen voor een onstabiele browser. Het update zich zonder toestemming van de gebruiker, zorgt voor pop-ups, opent ongewenste en ongevraagde websites, het controleert je surfgedrag en het installeert ook "3rd party software".
VX2 maakt verbinding met een bepaalde server om informatie uit te wisselen.

Deze infectie maakt gebruikt van willekeurige bestanden en een willekeurig gekozen sleutel onder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Dit zijn de standaard subkeys onder Notify:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon

Sommige andere programma's plaatsen ook een sleutel onder Notify. Indien je twijfelt of deze sleutel legitiem is kan je altijd gaan zoeken op het bestand dat vermeld wordt bij DLLname.
Voorbeeld van een andere legale subsleutel is:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent

De niet-standaard sleutels onder Notify zie je sinds versie 1.99.1 ook verschijnen in een hijackthislog onder de O20 kombinatie.

Dit is de standaardsleutel voor User Agent onder XP SP2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
"SV1"=""

Hoe verwijderen:

Download L2Mfix
. (Dit programma is gemaakt door Shadowwar en OSC.)
Plaats het bestand op je buroblad. Klik op l2mfix.exe.
Klik op "Accept". Zorg dat de l2mfix-map op je bureaublad geplaatst wordt. Klik op "Install".
Op je bureaublad open je de map l2mfix.
Klik op l2fix.bat.
Klik op "1" om optie te 1 selecteren: Run Find Log.
Dit gaat even duren. Na een tijdje wordt er een kladblokbestand geopend.

Controleer of er een sleutel staat onder Notitfy die niet standaard is en niet legit. Indien je twijfelt zoek je meer informatie op over het dll bestand bij DLLName.
Staat er bij User Agent iets anders ingevuld (bv een CLSID) dan heb je waarschijnlijk last van deze infectie en kan je verder gaan met de volgende stap.
Vb: (CLSID is willekeurig):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{985D932F-C1C8-4410-ADBB-4ADA2B3543F8}"=""


Sluit alle openstaande programma's.
Dubbelklik op l2mfix.bat.
Klik op "2" om optie 2  te selecteren: Run Fix.
Druk op Enter.
De iconen op je bureaublad zullen verdwijnen en de L2Mfix gaat je computer scannen. Als het scannen klaar is, zal de computer aangeven dat hij opnieuw gaat opstarten.
Druk op Enter en de pc zal automatisch herstarten.
Als de computer opnieuw gestart is, opent er een kladblokbestandje.

De willekeurig gekozen subsleutel onder Notify kan nog verschijnen, maar geeft een file missing aan in de HijackThislog. Om de sleutel te verwijderen volstaat het om deze te fixen met HijackThis.
De willekeurige CLSID bij de User Agent String zou nu verdwenen moeten zijn.


Indien in een hijackthislog de O4-sleutel verschijnt die hierboven genoemd wordt, zoek je en verwijder je ook de volgende bestanden:
C:\WINDOWS\system32\mplay32.dll     126976 bytes
C:\WINDOWS\system32\ntec32.exe     26112 bytes
C:\WINDOWS\system32\ntsmod.exe      28672 bytes
C:\WINDOWS\system32\sysdebug32.exe     28672 bytes
C:\WINDOWS\system32\msts32.exe


Symantec heeft ook een tooltje gemaakt om deze infectie te verwijderen: Info



Voor de oudere varianten kan je dit proberen:


Ad-Aware heeft een plugin om deze malware op te sporen en te verwijderen: de VX2 Cleaner
.
Hoe deze plugin gebruiken?
Sluit Ad-aware en Ad-watch.
Download en installeer de VX2 Cleaner
.
Start Ad-aware.
Klik op de knop "Add-ons".
Selecteer de VX2 Cleaner en klik op de knop "Uitvoeren".
Als de computer niet geïnfecteerd is met deze malware, klik je op de knop "Close".
Als de computer wel geïnfecteerd is doe je het volgende:
Klik op de knop "Clean System".
Start de computer opnieuw.
Scan de computer met een geupdate Ad-Aware.
Verwijder alle VX2 objecten die gevonden worden.
Start de computer opnieuw.
Gebruik opnieuw de VX2 Cleaner om te controleren of alle bestanden verwijderd zijn.


Note:

Versie 126 van VX2 maakt geen gebruik meer van de Guardian-sleutel maar maar neemt een naam uit het register en kopieert deze onder "Notify". Deze registersleutel wordt gebruikt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Versie 126 van VX2-Finder detecteert alleen de geupdate Look2Me bestanden. Zie je in de log van VX2-finder 126 onder "Notify" toch een Guardian#### sleutel maar geen bestanden bij "Files Found", dan gebruik je best de oudere versie van VX2-finder.
Download voor Windows 2000/XP.   
Download voor Windows 9.x.     

Terug naar de inhoud | Terug naar het hoofdmenu