Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

WAIE

Infecties > Archief T - Z

Windows AFA Internet Enhancement.

Deze infectie gaat gepaard met popups.
Tik je een foute url in dan word je doorverwezen naar: http:://www.adsourcecorp.com/404_not_found.htm

In een Hijackthislog zie je:
C:\WINDOWS\system\pbukwx.exe

O2 - BHO: (no name) - {C370527A-24A7-4583-BE01-72E59000EB17} - C:\WINDOWS\system32\n.dll
O4 - HKLM\..\Run: [C:\WINDOWS\VCMnet11.exe] C:\WINDOWS\VCMnet11.exe

De BHO en de opstartsleutel lijken dezelfde, maar de .exe die in de processenlijst verschijnt is willekeurig. (deze staat in de system-map)

Hoe verwijderen:
Ga naar Configuratiescherm - Software - Programma's toevoegen en verwijderen en deïnstalleer "Windows AFA Internet Enhancement".
Sluit alle open vensters. Start HijackThis en laat volgende items fixen:
O2 - BHO: (no name) - {C370527A-24A7-4583-BE01-72E59000EB17} - C:\WINDOWS\system32\n.dll
O4 - HKLM\..\Run: [C:\WINDOWS\VCMnet11.exe] C:\WINDOWS\VCMnet11.exe

Verwijder de volgende bestanden:
C:\WINDOWS\VCMnet11.exe
c:\WINDOWS\system\QBUninstaller.exe

Bijkomende info over deze infectie:
Bij infectie worden volgende registersleutels en waarden aangemaakt:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"pbukwx.exe"="C:\WINDOWS\system\pbukwx.exe"

De waarde pbukwx.exe is willekeurig en verwijst naar het bestand dat in de processenlijst verschijnt.

[HKEY_CLASSES_ROOT\CLSID\{C370527A-24A7-4583-BE01-72E59000EB17}\InprocServer32]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\n.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C370527A-24A7-4583-BE01-72E59000EB17}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\WINDOWS\\VCMnet11.exe"="C:\\WINDOWS\\VCMnet11.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WAFAIE]
"DisplayName"="Windows AFA Internet Enhancement"
"UninstallString"="\"C:\\WINDOWS\\system\\QBUninstaller.exe\""

Toegevoegde bestanden:
c:\WINDOWS\VCMnet11.exe
Size: 39.835 bytes
Kaspersky: Trojan.Win32.Registrator.b, Trojan-Downloader.Win32.Small.aly

c:\WINDOWS\system\pbukwx.exe
Size: 11.264 bytes
Kaspersky: Trojan-Downloader.Win32.Small.aly

c:\WINDOWS\system32\n.dll
Size: 4.608 bytes
Kasperksy: Trojan.Win32.StartPage.yq

c:\WINDOWS\system\QBUninstaller.exe
Size: 3.584 bytes

De uninstaller (QBUninstaller.exe) verwijdert deze registersleutels:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WAFAIE]
"DisplayName"="Windows AFA Internet Enhancement"
"UninstallString"="\"C:\\WINDOWS\\system\\QBUninstaller.exe\""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"pbukwx.exe"="C:\WINDOWS\system\pbukwx.exe"

Volgend bestand wordt verwijderd bij het deïnstallatieproces:
C:\WINDOWS\system\pbukwx.exe
Waarbij pbukwx.exe het bestand is met de willekeurig gekozen naam dat verschijnt in de processenlijst.

De installer van deze infectie, VCMnet11.exe, wordt niet verwijderd. Daarom moet je na deïnstallatie van Windows AFA Internet Enhancement de volgende sleutels laten fixen door HijackThis.
O2 - BHO: (no name) - {C370527A-24A7-4583-BE01-72E59000EB17} - C:\WINDOWS\system32\n.dll
O4 - HKLM\..\Run: [C:\WINDOWS\VCMnet11.exe] C:\WINDOWS\VCMnet11.exe

Doe je dit niet dan wordt na een herstart de computer opnieuw geïnfecteerd.