| *LSPFix
Indien je met malware werd besmet en je winsock werd aangetast is het aangeraden om na het verwijderen van de desbetreffende malware je winsock terug te herstellen, dit kan je doen met LSPFix of Winsockfix
*Autoruns
Dit is een tooltje die heel nauwkeurig de programma's die opgestart zijn met je systeem weergeeft.
*APM
Ook gekend als advanced process manupulation is een handig tooltje die je runnende processen controleert, waar je ze kan manipuleren, dll's unloaden... (heel handige als bepaalde spyware en virussen moeilijk te verwijderen zijn)
*BHO Demon
Is een handig tooltje die je in de achtergrond kan laten draaien en die je BHO's (Browser Helper Objects) in de gaten houdt, aangeeft wanneer een BHO geïnstalleerd wordt (dit doet vnl spyware) en je hebt de optie om de verschillen BHO's afzonderlijk te verwijderen.
*DSO Exploit fix
Een DSO Exploit (Data Source Object Exploit) is een vorm van spyware die voordeel haalt uit data binding om zo toegang te winnen tot de hard drive van een pc die geconnecteerd is met het internet. Ook komt het vaak voor dat Spybot S&D deze items aangeeft na het scannen, maar er niks aan veranderd, met als gevolg dat bij een volgende scan dezelfde items terugkomen. Daarom deze DSO Exploit fix.
*DSOStop
Dit is een tooltje die je pc beschermt tegen DSO-Exploits. Het zoekt in je register of er bepaalde instellingen onveilig zijn en zet deze op veilig.
ABOUT:BLANK Hijack
1:Sphjfix
Deze fix wordt aangeraden bij de about:blank hijack. Dit is een zeer hardnekkige hijack die heel moeilijk te verwijderen is omdat het gebruik maakt van een verborgen dll-file. Dus, de verkenner zal deze file niet terugvinden, zelfs al zijn je verborgen bestanden weergegeven. De reden hiervan is dat deze hijacker gebruik maakt van een registertweak, zodat telkens wanneer de dll gewist wordt door een antispywarescanner, na een reboot de onzichtbare dll terug wordt aangemaakt, dus de hijacker is terug.
dit ziet er zo ongeveer uit in een hijackthislog:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Ik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Ik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Ik\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Ik\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Ik\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Ik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about : blank
Sphj-fix werkt helaas alleen maar bij windows 2000 en winXP
2. Appinit.bat
Dit is ook een methode om van die about:blank hijackt verlost te geraken. Download appinit.bat, zet(save) deze op je bureablad en dubbelklik erop. Deze creeert een file op je bureaublad met de naam windows.txt.
Dit ziet er ongeveer zo uit:
regf�������Pugfhbin�¨ÿÿÿnk,�rj:¡XÄ�ÿÿÿÿÿÿÿÿÿÿÿÿ��xÿÿÿÿ08am�
WindowsÈþÿÿskxx�����”�����ì
������!��€���!�������#�
�€���#��?������������?�����
�������?�����
�������������Ðÿÿÿvk��à���ÀUDeviceNotSelectedTimeoutðÿÿÿ15
�Ø(ÍW�°�Ðÿÿÿvk��€�'���zGDIProcessHandleQuota"�þðÿÿÿ90�!�àÿÿÿvk
��X���°ºSpooler2ðÿÿÿyesÀ��àÿÿÿvk��€��=pswapdisk�°�ø�8�h��
Ðÿÿÿvk��(���R¿TransmissionRetryTimeoutÐÿÿÿvk��€�'��USERProcessHandleQuotaeàÿÿÿ°
�ø�8�h��Ð��Øÿÿÿvk8H���AppInit_DLLsÃ9ÀÿÿÿC:\WINDOWS\System32\res.dllWjx
deze file maakt dus de onzichtbare dll zichtbaar.. in dit voorbeeld is dit dus C:\WINDOWS\System32\res.dll Daarna download je
CWShredder en hiving.bat en zet/save het ook op je desktop. Verbreek de connectie met het internet (je kan daarvoor je firewall gebruiken). Dubbelklik daarna op hiving.bat. Reboot. Als je een scriptblocker hebt aanstaan, zal je een waarschuwing krijgen... negeer deze waarschuwing en sta het script toe. Na de reboot zal de verborgen dll.file zichtbaar zijn die je eerder met appinit.bat hebt opgespoord.
Zoek het bestand op, zoals hier in het voorbeeld C:\WINDOWS\System32\res.dll (dit is enkel een voorbeeld, is dus bij iedereen verschillend na het runnen van appinit.bat) en maak jezelf eigenaar van het bestand. (dit geldt enkel voor gebruikers van een nfts-bestandssysteem) Indien je een fat32 hebt zal het volstaan om op het bestand rechts te klikken en het alleen lezen uit te schakelen. Hernoem daarna het bestand res.dll (xxx.dll) naar oldres.txt (oldxxx.txt) (de xxx is dus de naam van het dll-bestand die aangegeven is door appiniit.bat) en verwijder het bestand.
Daarna start je cwshredder. Als het niet lukt moet je nog eens dezelfde procedure uitvoeren in veilige mode. Reboot je pc terug normaal en laat hijackthis de verwijzing naar about:blank fixen.
3. Win98.fix
Dit geldt voor de about:blank hijack op win98 systemen. Download
Win98.fix en
StartDreck
Dubbelklik op startdreck.exe en klik op config. Klik daarna op Unmark all. Kies alleen
Registry->run keys en System/drivers> Running processes en klik daarna op ok. Daarna krijg je enkele entries te zien. Deze entry moet je in de gaten houden:
"Local Machine
"RunServicesOnce
**ozkc=rundll32 C:\WINDOWS\SYSTEM\XXX.DLL,StreamingDeviceSetup
deze XXX.dll is het bestand dat we zoeken (XXX is aangegeven voor de naam van de dll hier)
Unzip de bestanden van de win98.fix en daarin zou je RunFix moeten vinden. Dubbelklik daarop en klik daarna op 'yes'.
Reboot je pc. Na het opnieuw opstarten zal het verborgen dll.bestand die je zonet hebt gevonden met startdreck zichtbaar moeten zijn. Zoek het bestand op en verwijder het.
*ServiceFilter
Deze geeft de 'ongewone' services weer.
*AboutBuster
Aboutbuster verwijdert de hijacker die je startpagina heeft omgezet in zoiets als res:///
*Lop.com Uninstall
Heb je de beruchte toolbars onderaan in je explorer van lop.com en zie je in je hijackthislog bij de R0 zoiets als onderstaande met een lange en onduidelijke url, dan heb je te maken met de lop.com-infectie.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bnpvivscmmpmjhofk.org/zWGILD6/VYaUbB1gPEm
716cdmsH5cVvtffcauJ9lZnb16eTcS0TunR/DU7R01QG.html
Messenger Plus werd hier blijkbaar met het sponserpakker geïnstalleerd. Het wordt dus aangeraden om deze terug te deïnstalleren.
Die kan je wanneer je systeem terug clean is terug installeren, maar deze keer zonder sponsers. (Deze optie kan je kiezen bij het begin van de installatie).
Tijdens de uninstall ervan zal je een sponservenster krijgen zoals je hier een voorbeeld ziet: http://www.msgplus.net/images/sponsor_uninstall.jpg
Als je deze niet ziet, kijk dan eens in je taakbar. In dat venster typ je de code in die je te zien krijgt en klik op uninstall.
Dan gewoon verdere instructies opvolgen die gegeven worden.
Nadat dit gedaan is, reboot je je pc.
Het is best mogelijk dat die toolbars er nog altijd aanwezig zullen zijn nadat dit uitgevoerd te hebben. Indien wel, doe dan volgende stap:
Voer deze uninstaller uit: http://lop.com/new_uninstall.exe
Indien je niet op die site geraakt.. download die uninstaller van hier: http://members.rogers.com/rjmac/new_uninstall.exe
*NewDotNet-uninstall
Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of NewDotNet aanwezig is en deïnstalleer die.
Is die niet aanwezig, kijk of er een uninstaller staat in de map Program Files\NewDotNet.
Die uninstaller heeft als bestandsnaam uninstallX_XX.exe, de X'en staan voor cijfers (afhankelijk van de versie van New.net die op je systeem staat).
Kan je die uninstaller daar ook niet vinden, kijk dan of er een uninstaller staat in C:\Windows of C:\Winnt. Die uninstaller heet dan NDNuninstallX_XX.exe.
Vind je die ook niet, dan kun je de volgende uninstaller gebruiken: http://www.new.net/support/uninstall6_38.exe *VX2.BetterInternet Finder XP/2k
*VX2.BetterInternet Finder 9x
Wanneer geïnfecteerd met Look2Me/Abetterinternet/VX2... Vooral te herkennen aan volgende items in een hijackthislogje.. voorbeeld:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://allaboutsearching.com/searchbar.html
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.zestyfind.com/app/AX/AX.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...19119/flash.cab
Doch, niet altijd zijn er sporen aanwezig in een log.
*Peper Fix
Fix voor de Peper Trojan. Deze kan je vooral herkennen aan volgende items in een log.. bv:
O4 - HKLM\..\Run: [3XJA2YY4H3DEF#] C:\WINDOWS\SYSTEM32\SZEPW5LN.EXE
O4 - HKLM\..\Run: [2MS228J2SBLWS6] C:\WINDOWS\System32\Dpsy6V9.exe
O4 - HKLM\..\Run: [2MS228J2SBLWS6] C:\WINDOWS\System32\Dqk5Y.exe
O4 - HKLM\..\Run: [47MSJ2W3J7PQJE] C:\WINDOWS\SYSTEM\Bin9.exe
O4 - HKLM\..\Run: [5WGM3LK4CE4EC3] C:\WINDOWS\SYSTEM\Fmr0j.exe
O4 - HKLM\..\Run: [2N85L533MR#GJT] C:\WINDOWS\System32\Nta7i0h.exe
C:\WINDOWS\System32\Cpc5Y.exe
C:\WINDOWS\System32\Aazr.exe
C:\WINDOWS\System32\KexvAB.exe
C:\WINDOWS\SYSTEM\IMR4FM.EXE
C:\WINDOWS\SYSTEM\EEMLF7.EXE
C:\WINDOWS\SYSTEM\ZKKR5H.EXE
*Killbox
Dit wordt vooral gebruikt bij items die moeilijk te verwijderen zijn. Het volstaat om de dir in te geven die je wilt verwijderen in het desbetreffende veld daarvoor aangegeven. Indien dit geen effect geeft, wordt het aangeraden om dit in veilige mode uit te voeren, zoals bv bij Virtumunde.
|