[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

Hoe verwijderen: Download { HYPERLINK "http://www.niksoft.at/php/dl.php?f=startdreck.zip" \t "_blank" }. Dubbelklik op 'StartDreck.exe'. Klik op "Config" en vervolgens op "Unmark all". Selecteer alleen de volgende: - Bij Registry: run keys. - Bij System/drivers: Running processes. Klik op OK. Er wordt een logje gemaakt. In dit logje kijk je bij de sleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce naar een waarde als deze: **qx=rundll32 C:\WINDOWS\ANTWOOJD.TXT,DllGetClassObject Het gedeelte voor DllGetClassObject is willekeurig (uitgezonderd rundll32). Dus: **XX=rundll32 C:\WINDOWS\xxxxxxxxx.xxx,DllGetClassObject Het bestand dat we moeten kwijtspelen is C:\WINDOWS\XXXXXXXX.XXX. Dit is een willekeurig bestand dat lijkt op een legaal windowsbestand, en is enkel zichtbaar in DOS-modus. Het bestand wordt blijkbaar geladen door elke.exe die in de processenlijst voorkomt. De beste manier om dit bestand uit te schakelen, is door de computer te starten van een opstartdiskette en vervolgens het bestand te verwijderen of te hernoemen. Achter de prompt geef je in: c: <ENTER> cd windows <ENTER> del XXXXXXXX.XXX <ENTER> (of ren XXXXXXXX.XXX aaa.old <ENTER>) Herstart vervolgens de computer. Als het goed is krijg je een foutmelding die verwijst naar het bestand dat we zo juist verwijderd hebben. Om dit probleem op te lossen moet je de volgende registersleutel verwijderen, en nadien weer aanmaken: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce Dit kan je doen met { HYPERLINK "http://users.telenet.be/marcvn/regfiles/runoncefix.zip" \t "_blank" } regfiltje. Code van de regfile: REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] Kort: Spoor de installer op via Startdreck. Fix de bijbehorende sleutels met HijackThis. Start van de opstardiskette en verwijder of hernoem de installer. Herstart en run de regfile. Herstart en controleer met Startdreck of de installer weg is. About:blank met verborgen installer. De about:blank hijack is een moeilijk te verwijderen hijack. Deze hijacker maakt gebruik van 2 DLL files: een zichtbare en een onzichtbare. De zichtbare DLL verschijnt als een Browser Helper Object in de HijackThislog (O2-item), en heeft een willekeurig gekozen naam. Andere kenmerken zijn de R0 en R1 entries in een hijackthislog die lijken op onderstaande. De DLL-files worden willekeurig gekozen. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\system32\hfppbeb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://c:\windows\system32\hfppbeb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://c:\windows\system32\hfppbeb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\system32\hfppbeb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://c:\windows\system32\hfppbeb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {42743767-5659-4140-9D5C-F5A37B5F6E28} - C:\WINDOWS\System32\fodc.dll Hoe werkt deze hijack? Zoals reeds gezegd maakt deze hijacker gebruik van een verborgen DLL-file. Zelfs als alle verborgen bestanden weergeven ingeschakeld is, zal de bewuste DLL-file niet zichtbaar zijn in je verkenner. De reden hiervoor is dat er gebruik gemaakt wordt van een registertweak, waardoor dit bestand verborgen blijft. Deze key in het register bevat de verwijzing naar de verborgen DLL: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.

CWShredder en Ad-aware kunnen de zichtbare DLL file verwijderen. Maar bij een reboot wordt deze door de onzichtbare DLL telkens terug aangemaakt. Gevolg is dat de hijacker blijft terugkomen. Soms gaat het even goed, maar na een (aantal) reboot(s) komt hij plots weer opdagen. Hoe deze hijack verwijderen? Er bestaan verschillende methodes om deze hijacker te verwijderen, maar allemaal komen ze op hetzelfde neer. de verborgen DLL-file opsporen. de verborgen DLL-file zichtbaar maken. de DLL definitief van het systeem verwijderen. met Ad-aware of CWShredder de zichtbare DLL-file verwijderen. met HijackThis de resterende entries fixen die nog naar deze hijacker verwijzen. Kijk uit wat je doet wanneer je deze hijacker wil verwijderen. Bij twijfel roep je best deskundige hulp in. Methode 1: SPHJFIX Dit is de makkelijkste manier. Jammer genoeg werkt deze methode niet altijd. SPHJFIX werkt ook enkel en alleen voor Windows 2000 en Windows XP systemen. Dowload { HYPERLINK "http://www.rokop-security.de/main/download.php?op=getit&lid=59" \t "_blank" }. Unzip het programma en start het. Na een automatische reboot run je CWShredder. Reboot opnieuw, run HijackThis en verwijder alle entries die betrekking hebben op de about:blanc hijack. Methode 2: Download { HYPERLINK "http://www.resplendence.com/download/reglite.exe" \t "_blank" }. Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs. Druk op Enter. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld "Value". Als dit veld een.dll bevat, dan is dit de verborgen dll file die we kwijt moeten raken. Schrijf de volledige naam van het pad op waar deze dll file zich bevindt. (copy/paste het eventueel in txt-bestand.) Sluit Registrar Lite. Maak op de c-schijf een nieuwe map aan met de naam registerbackup. (c:\registerbackup) Start Registrar Lite opnieuw. Bij Adress geef je het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Druk op Enter. De map Windows in het linkerscherm van Registrar Lite is paars geselecteerd. Als dit het geval is, dan kies je in het menu File voor Export. Bij "Bestandsnaam" geef je in winkey.reg. Bij "Opslaan als type" kies je voor Regedit4 standard.reg files (*.reg) Sla het bestand winkey.reg op in de map c:\registerbackup. Zorg dat de map Windows in het linkerscherm van Registrar Lite nog steeds paars geselecteerd is. Kies in het menu File voor Export. Bij "Bestandsnaam" geef je in winkey.hiv. Bij "Opslaan als type" kies je voor Regedt32/WinApi hive files (*.hiv,*.dat, *.*) Sla het bestand winkey.hiv op in de map c:\registerbackup. In het linkerscherm van Registrar Lite is de map Windows nog steeds paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows. Klik op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de dll file, en verwijder het. Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows. Het verborgen.dll bestand zou nu zichtbaar moeten zijn. Herstart de computer in veilige modus, en verwijder het dll bestand. Herstart de computer in normale modus. Ga naar de map c:\registerbackup en dubbelklik op winkey.reg.

Start Registrar Lite. Bij Adress geef je het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Druk op enter. In het linkerscherm zou nu de map Windows paars geselecteerd moeten zijn. Als dit zo is ga je in het menu File naar Import. Navigeer naar de map c:\registerbackup en selecteer winkey.hiv. Klik op Openen. In het rechtse venster klik je op AppInit_DLLs en verwijder je in het veld value de waarde naar het.dll bestand. Sluit Registrar Lite. Scan met CWShredder. Doe een online-scan: { HYPERLINK "http://housecall.trendmicro.com/" \t "_blank" } { HYPERLINK "http://www.pandasoftware.com/activescan/" \t "_blank" } Scan met een geupdate { HYPERLINK "http://users.telenet.be/marcvn/spyware/1414188.htm" \t "_blank" }. Methode 3: Download { HYPERLINK "http://users.pandora.be/marcvn/tools/appinit.zip" \t "_blank" }. Run het bestand niet uit de zip-map, maar unzip het naar je desktop. Even verschijnt er een dosbox en dan wordt er een bestandje aangemaakt dat windows.txt noemt. Dit bestandje bevat de naam van de verborgen DLL. Deze DLL noemen we vanaf nu xxxx.dll. Download { HYPERLINK "http://cwshredder.net/bin/cwshredder.exe" } maar gebruik het programma nog niet. Download { HYPERLINK "http://computercops.biz/modules.php?name=forums&file=download&id=1183" \t "_blank" }. Lees ook dit even door: { HYPERLINK "http://support.microsoft.com/?kbid=308421" \t "_blank" }. Verbreek de connectie met het internet tot de verwijderprocedure achter de rug is. Dubbelklik op hiving.bat om het te starten. Na een reboot zou de verborgen installer (xxxx.dll) die we met appinit.bat opgespoord hebben, zichtbaar moeten zijn. Zoek het bestand c:\windows\system32\xxxx.dll op via de verkenner en maak jezelf eigenaar van dit bestand. Dit geldt enkel voor gebruikers van het NTFS-bestandsysteem. Gebruik je FAT32 als bestandssysteem dan moet het volstaan om het Alleen lezen attribuut uit te schakelen. Hernoem het bestand xxxx.dll naar noxxxx.txt en verwijder dit bestand. (Lukt het niet dan kan je deze procedure herhalen in veilige modus.) Run CWShredder. Reboot de computer in normale modus. Run HijackThis en laat eventuele verwijzingen naar about:blank nog fixen. Fix voor Windows 98: Download de volgende bestanden { HYPERLINK "http://www10.brinkster.com/expl0iter/freeatlast/pvtool.htm" \t "_blank" }. { HYPERLINK "http://members.blackbox.net/hp_links/21/nikolaus.rameis/download/frames.htm?http://members.blac kbox.net/hp_links/21/nikolaus.rameis/download/startdreck.htm" \t "_blank" }. Pak de bestanden uit. Eerst gaan we het bestand dat deze hijack veroorzaakt opsporen. Dubbelklik op 'StartDreck.exe'. Klik op config. Klik op Unmark all. Selecteer alleen het volgende: Registry->run keys en System/drivers> Running processes. Klik op OK. Kijk specifiek voor de volgende entry in het log: "Local Machine "RunServicesOnce **ozkc=rundll32 C:\WINDOWS\SYSTEM\XXXXX.DLL,StreamingDeviceSetup XXXXX.DLL is het bestand dat we zochten. Dubbelklik nu op het bestand RunFix.reg.

Klik op 'yes'. Herstart de computer! Het DLL-bestand zou nu zichtbaar moeten zijn. Zoek het bewuste bestand (XXXXX.DLL ) op en verwijder het. Tip: zorg er eerst voor dat je een backup heb van het StartDreck log, zodat je het bestand altijd later kan vinden! Als je het kwijt bent (aangezien niets anders het vindt, als het niet meer aan een entry is verbonden) Gewoon de "who.bat", bestand draaien en dan kan het gevonden worden in Badfile.txt. Scan nadien met { HYPERLINK "http://users.telenet.be/marcvn/spyware/1551868.htm" \t "_blank" } en geupdate { HYPERLINK "http://users.telenet.be/marcvn/spyware/1414188.htm" \t "_blank" }. Doe ook een online-scan: { HYPERLINK "http://housecall.trendmicro.com/" \t "_blank" } { HYPERLINK "http://www.pandasoftware.com/activescan" \t "_blank" } About:blank variant - sp.html: Deze variant maakt geen gebruik van een verborgen installer. In een HijackThislog ziet dit er zo uit: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\docume~1\a\locals~1\temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\docume~1\a\locals~1\temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\docume~1\a\locals~1\temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\docume~1\a\locals~1\temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\docume~1\a\locals~1\temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\docume~1\a\locals~1\temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {FD90346B-9BF1-4018-A409-6F86439A7333} - C:\WINDOWS\System32\jbpoe.dll Hoe verwijderen? Download en installeer { HYPERLINK "http://www.diamondcs.com.au/index.php?page=apm" \t "_blank" }. Start het programma APM. In het bovenste venster selecteer je explorer.exe In het onderste venster zoek je DLL uit de log die in O2 te zien is. Rechtsklik op deze DLL en kies voor Unload. Klik op OK. Sluit alle open vensters behalve dat van HijackThis. Laat HijackThis het volgende repareren: De kwaadaardige R0 en R1 items De BHO (O2 in de log) met de kwaadaardige DLL Reboot en scan vervolgens met een geupdate { HYPERLINK "http://users.telenet.be/marcvn/spyware/1414188.htm" }. Deze fix werkt enkel voor Windows 2000 / Windows XP. Note: Momenteel zijn er gevallen bekend dat deze hijacker terugkomt na de fix en dan gebruikt maakt van de verborgen installer (AppInit_DLLs). Verwijdering: zie de about:blank hijack hierboven. About:blank hijack met gebruik extra protocol: In een HijackThislog zie je: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\docume~1\[gebruiker]\locals~1\temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\docume~1\[gebruiker]\locals~1\temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\docume~1\[gebruiker]\locals~1\temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\docume~1\[gebruiker]\locals~1\temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\docume~1\[gebruiker]\locals~1\temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\docume~1\[gebruiker]\locals~1\temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {419234C5-C8C3-49CA-83DE-71698A12F5DE} - C:\WINDOWS\System32\akajida.dll O18 - Filter: text/html - {518D797E-2451-43D9-81E8-6F2B2D7A1B1C} - C:\WINDOWS\System32\akajida.dll

O18 - Filter: text/plain - {518D797E-2451-43D9-81E8-6F2B2D7A1B1C} - C:\WINDOWS\System32\akajida.dll Hoe verwijderen? Fix de hierboven genoemde items met hijackthis en verwijder het bijbehorende.dll bestand in veilige modus. De CLSID en.dll file zijn willekeurig. HomeSearch - res://<random.dll Fix voor Windows 2000 / windows XP: Deze hijacker maakt gebruik van 2 random gekozen exe's en van 2 random gekozen DLL's. In een HijackThislog ziet dit er zo uit: C:\WINDOWS\system32\javapm.exe C:\WINDOWS\system32\sysmc32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://c:\windows\usufr.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://usufr.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://usufr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://c:\windows\usufr.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://usufr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://c:\windows\usufr.dll/sp.html#96676 O2 - BHO: (no name) - {9F9A9343-3D33-369A-6197-FBD7AB9B0FBC} - C:\WINDOWS\system32\sysrm.dll O4 - HKLM\..\Run: [sysmc32.exe] C:\WINDOWS\system32\sysmc32.exe Soms zie je bij de O4-items ook random exe's verschijnen onder de runonce-opstartsleutels. De tweede exe-file wordt uitgevoerd als een service. De service installeert de DLL van de Browser Helper Object, die op zijn beurt bij het openen van Internet Explorer, de R0 en R1 items toevoegt die in de log voorkomen. De Displayname of de weergavenaam van de service die deze hijacker veroorzaakt is variërend. Momenteel wordt gebruik gemaakt van de volgende namen: Network Security Service Workstation Netlogon Service Remote Procedure Call (RPC) Helper Network Security Service (NSS) Deze namen lijken erg op andere legale aanwezige services. Kijk dus goed uit wat je doet. Om deze hijacker te kunnen verwijderen, moeten we weten welke service hiervoor verantwoordelijk is, onder welke servicenaam deze service in het register staat en wat het pad is naar het uitvoerbaar bestand. Hijackthis toont ons onder de O23-items reeds een overzicht van de actieve niet-microsoft processen. De service stoppen kan met Hijackthis. Wil je ook alles uit het register verwijderen dan kan je best { HYPERLINK "http://www.bleepingcomputer.com/files/windows/servicefilter.zip" \t "_blank" } gebruiken. Dit script toont je ook de servicenaam. HijackThis toont dit: O23 - Service: Network Security Service (NSS) - Unknown - C:\Windows\syskm32.exe Servicefilter geeft dit: Unknown Service # 1 Service Name: O?- ŽrtñåÈ²$Ó Display Name: Network Security Service (NSS) Start Mode: Auto Start Name: LocalSystem Description: Network Security Service... Service Type: Share Process Path: c:\windows\syskm32.exe State: Stopped Process ID: 0 Started: Onwaar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Onwaar De Displaynaam of Weergavenaam is Network Security Service (NSS) De Servicenaam is O?- ŽrtñåÈ²$Ó Het uitvoerbaar bestand is c:\windows\syskm32.exe

Hoe verwijderen? 1. Kopieer onderstaande (tussen de streepjes) in een kladblokbestand en sla het op je bureaublad op als HSfix.reg. Hierin vervang je SERVICENAAM nog door de servicenaam die je via de hierboven genoemde procedure gevonden hebt. ------ REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SERVICENAAM] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SERVICENAAM] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SERVICENAAM] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SERVICENAAM] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAAM] ------ Je kan ook { HYPERLINK "http://users.pandora.be/marcvn/tools/hsfix.zip" \t "_blank" } regfiletje proberen. 2. Download { HYPERLINK "http://cwshredder.net/bin/cwshredder.exe" \t "_blank" }. Gebruik het programma nog niet. 3. Download { HYPERLINK "http://tools.zerosrealm.com/aboutbuster.zip" \t "_blank" }. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze. 4. Zorg dat alle verborgen bestanden weergegeven worden. Instructies vind je { HYPERLINK "http://users.pandora.be/marcvn/spyware/1117602.htm" \t "_blank" }. 5. Start de computer in { HYPERLINK "http://users.pandora.be/marcvn/spyware/1378056.htm" \t "_blank" }. 6. Open Windows Taakbeheer door op CTRL+ALT+DEL te drukken. Ga naar het tabblad processen. Kijk naar de random procesnamen en ook naar de naam van het uitvoerbare bestand dat bij verantwoordelijke service hoort. Beëindig deze processen. 7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren: De slechte R0 en R1 items. BHO Entrie met de random DLL (in de log onder O2). De random exe's (in de log onder O4). De service verantwoordelijk voor deze hijack (in de log onder O23). 8. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen. 9. Als extra controle, of mocht het aangemaakte regfile niet werken: Open de registereditor via Start - Uitvoeren - tik in: regedit Navigeer in het register naar de volgende sleutels: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_servicenaam Verwijder daar de entry die de servicenaam bevat. (Let op: zoeken naar de servicenaam, niet zoeken naar de weergavenaam!!) Vind je zo een entry met de bewuste servicenaam, rechtsklik er dan op en kies voor verwijderen. Gebruik eventueel de zoekfunctie van het register om nog andere entries met die servicenaam op te sporen. 10. Verwijder de volgende bestanden: De DLL die voorkomt in de log onder R0 en R1. De DLL die voorkomt in de log onder O2. De slechte random exe-bestanden die als O4 voorkomen.

Het uitvoerbaar bestand voor de service. Note: Bestanden waarbij de exe eindigt op een dubbel punt en een willekeurig gekozen naam mag je niet verwijderen (vb C:\WINDOWS\EXPLORER.EXE:cfmnf /s). Dit betekent dat ADS actief is (Alternate Data Stream). 11. Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP% 12. Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. 13. Herstel je webinstellingen: ga naar Configuratiescherm - Internetopties - tabblad Programma's. Klik op de knop Webinstellingen herstellen. 14. Start CWShredder en klik op de fix-knop. 15. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit. 16. Reboot de computer nu in normale modus. 17. Doe een { HYPERLINK "http://housecall.trendmicro.com/housecall/start_corp.asp" \t "_blank" }. 18. Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer na de fix of volgende bestanden nog aanwezig zijn: Control.exe: Download { HYPERLINK "http://www.spywareinfo.com/~merijn/winfiles.html" \l "control" \t "_blank" } indien nodig de control.exe die bij je besturingssysteem hoort. Gebruik je windows 2000 dan plaats je dit bestand in c:\winnt\system32\, gebruik je XP dan plaats je het in c:\windows\system32\ Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je { HYPERLINK "http://members.aol.com/toadbee/hoster.zip" \t "_blank" }. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. Goede vervangers van hosts vind je ook { HYPERLINK "http://www.mvps.org/winhelp2002/hosts.htm" \t "_blank" } en { HYPERLINK "http://webpages.charter.net/hpguru/hosts/hosts.html" \t "_blank" }. SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download { HYPERLINK "http://www.spywareinfo.com/~merijn/winfiles.html" \l "sdhelper" \t "_blank" }. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy. Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map. Note: Deze procedure kan je best uitprinten. Voer de procedure vanaf stap 5 tot en met stap 16 in één keer uit en maak ondertussen geen connectie met het net. CWS Holax Kenmerken van deze infectie: Als startpagina verschijnt in de adresbalk van Internet Explorer about:blank De website die je te zien krijgt is Search the Web. ({ HYPERLINK "http://users.telenet.be/marcvn/foto/searchtheweb.jpg" \t "_blank" }) In een HijackThislog zie je niks merkwaardig. Wat doet deze infectie: Deze infectie tast willekeurig gekozen uitvoerbare bestanden aan van legitieme programma's. Elke keer wanneer de computer opstart, wordt de infectie opnieuw uitgevoerd. Hoe deze infectie verwijderen: Doe de { HYPERLINK "http://www3.ca.com/securityadvisor/virusinfo/scan.aspx" \t "_blank" }. Laat de volledige harde schijf scannen. Wanneer de scan klaar is, krijg je een rapport van alle geïnfecteerde bestanden. Zoek in de log naar een bestand dat start met ms0*.dll. Deze is verantwoordelijk voor de infectie. Verwijder geen andere geïnfecteerde bestanden, aangezien ook legitieme.exe bestanden geïnfecteerd kunnen of zullen zijn als je last hebt van deze infectie. Verwijder met Pocket Killbox de volgende bestanden: ms0*.dll ms0*.da0

ms0*.cfg Deze bevinden zich allen in de system32 map. Meestal zijn dit de bestanden ms0b920b.dll, ms0b920b.da0 en ms0b920b.cfg Als de computer opnieuw start ga je een aantal foutmeldingen krijgen. Dit komt omdat je het verantwoordelijke bestand voor de infectie verwijderd hebt met Killbox, en omdat een aantal legitieme.exe bestanden ook door deze infectie aangetast zijn. Doe een nieuwe { HYPERLINK "http://www3.ca.com/securityadvisor/virusinfo/scan.aspx" \t "_blank" }. Als de scan klaar is klik je op "cure files". Herstart de computer. De foutmeldingen zouden verdwenen moeten zijn. Bron: SWI About:blank infectie door PPC Advertor Kemerken van deze infectie In een HijackThislog blijven deze sleutels terugkomen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank De startpagina is geen blanco startpagina maar een startpagina van Search the Web. ({ HYPERLINK "http://users.telenet.be/marcvn/foto/searchtheweb2.jpg" \t "_blank" }) Deze infectie past elke keer weer je hosts file aan telkens Internet Explorer wordt geopend. Hoe verwijderen Controleer of de map PPC Advertor aanwezig is. (waarschijnlijk C:\Program Files\PPC Advertor). Indien aanwezig verwijder je deze map bij voorkeur in veilige modus. Oorzaak van de infectie is het bestand ppc.dll dat geïnfecteerd is met Trojan.StartPage SE. Plaats een nieuwe hosts file. { IN CL U D EP IC T U RE "ht tp: //u ser s.t ele { IN CL U D EP IC T U RE "ht tp: //u ser s.t ele

31. pn g" \* M ER G EF O R M A TI N ET } 33. pn g" \* M ER G EF O R M A TI N ET }