Malware Removal Information

Ga naar de inhoud

Hoofdmenu

WAIE

Infecties > Archief T - Z

Windows AFA Internet Enhancement.

Deze infectie gaat gepaard met popups.
Tik je een foute url in dan word je doorverwezen naar: http:://www.adsourcecorp.com/404_not_found.htm



In een Hijackthislog zie je:

C:\WINDOWS\system\pbukwx.exe

O2 - BHO: (no name) - {C370527A-24A7-4583-BE01-72E59000EB17} - C:\WINDOWS\system32\n.dll
O4 - HKLM\..\Run: [C:\WINDOWS\VCMnet11.exe] C:\WINDOWS\VCMnet11.exe

De BHO en de opstartsleutel lijken dezelfde, maar de .exe die in de processenlijst verschijnt is willekeurig. (deze staat in de system-map)

Hoe verwijderen:

Ga naar Configuratiescherm - Software - Programma's toevoegen en verwijderen en deïnstalleer "Windows AFA Internet Enhancement".
Sluit alle open vensters. Start HijackThis en laat volgende items fixen:
O2 - BHO: (no name) - {C370527A-24A7-4583-BE01-72E59000EB17} - C:\WINDOWS\system32\n.dll
O4 - HKLM\..\Run: [C:\WINDOWS\VCMnet11.exe] C:\WINDOWS\VCMnet11.exe

Verwijder de volgende bestanden:
C:\WINDOWS\VCMnet11.exe
c:\WINDOWS\system\QBUninstaller.exe

Bijkomende info over deze infectie:

Bij infectie worden volgende registersleutels en waarden aangemaakt:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"pbukwx.exe"="C:\WINDOWS\system\pbukwx.exe"

De waarde pbukwx.exe is willekeurig en verwijst naar het bestand dat in de processenlijst verschijnt.

[HKEY_CLASSES_ROOT\CLSID\{C370527A-24A7-4583-BE01-72E59000EB17}\InprocServer32]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\n.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C370527A-24A7-4583-BE01-72E59000EB17}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\WINDOWS\\VCMnet11.exe"="C:\\WINDOWS\\VCMnet11.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WAFAIE]
"DisplayName"="Windows AFA Internet Enhancement"
"UninstallString"="\"C:\\WINDOWS\\system\\QBUninstaller.exe\""


Toegevoegde bestanden:

c:\WINDOWS\VCMnet11.exe               
Size: 39.835 bytes
Kaspersky: Trojan.Win32.Registrator.b, Trojan-Downloader.Win32.Small.aly

c:\WINDOWS\system\pbukwx.exe               
Size: 11.264 bytes
Kaspersky: Trojan-Downloader.Win32.Small.aly

c:\WINDOWS\system32\n.dll               
Size: 4.608 bytes
Kasperksy: Trojan.Win32.StartPage.yq

c:\WINDOWS\system\QBUninstaller.exe       
Size: 3.584 bytes


De uninstaller (QBUninstaller.exe) verwijdert deze registersleutels:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WAFAIE]
"DisplayName"="Windows AFA Internet Enhancement"
"UninstallString"="\"C:\\WINDOWS\\system\\QBUninstaller.exe\""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"pbukwx.exe"="C:\WINDOWS\system\pbukwx.exe"

Volgend bestand wordt verwijderd bij het deïnstallatieproces:

C:\WINDOWS\system\pbukwx.exe
Waarbij pbukwx.exe het bestand is met de willekeurig gekozen naam dat verschijnt in de processenlijst.


De installer van deze infectie, VCMnet11.exe, wordt niet verwijderd. Daarom moet je na deïnstallatie van Windows AFA Internet Enhancement de volgende sleutels laten fixen door HijackThis.
O2 - BHO: (no name) - {C370527A-24A7-4583-BE01-72E59000EB17} - C:\WINDOWS\system32\n.dll
O4 - HKLM\..\Run: [C:\WINDOWS\VCMnet11.exe] C:\WINDOWS\VCMnet11.exe

Doe je dit niet dan wordt na een herstart de computer opnieuw geïnfecteerd.

Terug naar de inhoud | Terug naar het hoofdmenu