*LSPFix
Indien je met malware werd besmet en je winsock werd aangetast is het aangeraden om na het verwijderen van de desbetreffende malware je winsock terug te herstellen, dit kan je doen met LSPFix of Winsockfix Dit is een tooltje die heel nauwkeurig de programma's die opgestart zijn met je systeem weergeeft. Ook gekend als advanced process manupulation is een handig tooltje die je runnende processen controleert, waar je ze kan manipuleren, dll's unloaden... (heel handige als bepaalde spyware en virussen moeilijk te verwijderen zijn) Is een handig tooltje die je in de achtergrond kan laten draaien en die je BHO's (Browser Helper Objects) in de gaten houdt, aangeeft wanneer een BHO geïnstalleerd wordt (dit doet vnl spyware) en je hebt de optie om de verschillen BHO's afzonderlijk te verwijderen. Een DSO Exploit (Data Source Object Exploit) is een vorm van spyware die voordeel haalt uit data binding om zo toegang te winnen tot de hard drive van een pc die geconnecteerd is met het internet. Ook komt het vaak voor dat Spybot S&D deze items aangeeft na het scannen, maar er niks aan veranderd, met als gevolg dat bij een volgende scan dezelfde items terugkomen. Daarom deze DSO Exploit fix. Dit is een tooltje die je pc beschermt tegen DSO-Exploits. Het zoekt in je register of er bepaalde instellingen onveilig zijn en zet deze op veilig. ABOUT:BLANK Hijack Deze fix wordt aangeraden bij de about:blank hijack. Dit is een zeer hardnekkige hijack die heel moeilijk te verwijderen is omdat het gebruik maakt van een verborgen dll-file. Dus, de verkenner zal deze file niet terugvinden, zelfs al zijn je verborgen bestanden weergegeven. De reden hiervan is dat deze hijacker gebruik maakt van een registertweak, zodat telkens wanneer de dll gewist wordt door een antispywarescanner, na een reboot de onzichtbare dll terug wordt aangemaakt, dus de hijacker is terug. dit ziet er zo ongeveer uit in een hijackthislog: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Ik\LOCALS~1\Temp\sp.html Sphj-fix werkt helaas alleen maar bij windows 2000 en winXP Dit is ook een methode om van die about:blank hijackt verlost te geraken. Download appinit.bat, zet(save) deze op je bureablad en dubbelklik erop. Deze creeert een file op je bureaublad met de naam windows.txt. Dit ziet er ongeveer zo uit: regfPugfhbin¨ÿÿÿnk,rj:¡XÄÿÿÿÿÿÿÿÿÿÿÿÿxÿÿÿÿ08am deze file maakt dus de onzichtbare dll zichtbaar.. in dit voorbeeld is dit dus C:\WINDOWS\System32\res.dll Daarna download je CWShredder en hiving.bat en zet/save het ook op je desktop. Verbreek de connectie met het internet (je kan daarvoor je firewall gebruiken). Dubbelklik daarna op hiving.bat. Reboot. Als je een scriptblocker hebt aanstaan, zal je een waarschuwing krijgen... negeer deze waarschuwing en sta het script toe. Na de reboot zal de verborgen dll.file zichtbaar zijn die je eerder met appinit.bat hebt opgespoord. Zoek het bestand op, zoals hier in het voorbeeld C:\WINDOWS\System32\res.dll (dit is enkel een voorbeeld, is dus bij iedereen verschillend na het runnen van appinit.bat) en maak jezelf eigenaar van het bestand. (dit geldt enkel voor gebruikers van een nfts-bestandssysteem) Indien je een fat32 hebt zal het volstaan om op het bestand rechts te klikken en het alleen lezen uit te schakelen. Hernoem daarna het bestand res.dll (xxx.dll) naar oldres.txt (oldxxx.txt) (de xxx is dus de naam van het dll-bestand die aangegeven is door appiniit.bat) en verwijder het bestand. Daarna start je cwshredder. Als het niet lukt moet je nog eens dezelfde procedure uitvoeren in veilige mode. Reboot je pc terug normaal en laat hijackthis de verwijzing naar about:blank fixen. Dit geldt voor de about:blank hijack op win98 systemen. Download Win98.fix en StartDreck Dubbelklik op startdreck.exe en klik op config. Klik daarna op Unmark all. Kies alleen Registry->run keys en System/drivers> Running processes en klik daarna op ok. Daarna krijg je enkele entries te zien. Deze entry moet je in de gaten houden: "Local Machine "RunServicesOnce **ozkc=rundll32 C:\WINDOWS\SYSTEM\XXX.DLL,StreamingDeviceSetup deze XXX.dll is het bestand dat we zoeken (XXX is aangegeven voor de naam van de dll hier) Unzip de bestanden van de win98.fix en daarin zou je RunFix moeten vinden. Dubbelklik daarop en klik daarna op 'yes'. Reboot je pc. Na het opnieuw opstarten zal het verborgen dll.bestand die je zonet hebt gevonden met startdreck zichtbaar moeten zijn. Zoek het bestand op en verwijder het. Deze geeft de 'ongewone' services weer. Aboutbuster verwijdert de hijacker die je startpagina heeft omgezet in zoiets als res:/// *Lop.com Uninstall Heb je de beruchte toolbars onderaan in je explorer van lop.com en zie je in je hijackthislog bij de R0 zoiets als onderstaande met een lange en onduidelijke url, dan heb je te maken met de lop.com-infectie. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bnpvivscmmpmjhofk.org/zWGILD6/VYaUbB1gPEm 716cdmsH5cVvtffcauJ9lZnb16eTcS0TunR/DU7R01QG.html Messenger Plus werd hier blijkbaar met het sponserpakker geïnstalleerd. Het wordt dus aangeraden om deze terug te deïnstalleren. Die kan je wanneer je systeem terug clean is terug installeren, maar deze keer zonder sponsers. (Deze optie kan je kiezen bij het begin van de installatie).Tijdens de uninstall ervan zal je een sponservenster krijgen zoals je hier een voorbeeld ziet: http://www.msgplus.net/images/sponsor_uninstall.jpg Voer deze uninstaller uit: http://lop.com/new_uninstall.exe *NewDotNet-uninstall Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of NewDotNet aanwezig is en deïnstalleer die. http://www.new.net/support/uninstall6_38.exe *VX2.BetterInternet Finder XP/2k Wanneer geïnfecteerd met Look2Me/Abetterinternet/VX2... Vooral te herkennen aan volgende items in een hijackthislogje.. voorbeeld: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://allaboutsearching.com/searchbar.html O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.zestyfind.com/app/AX/AX.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...19119/flash.cab Doch, niet altijd zijn er sporen aanwezig in een log. Fix voor de Peper Trojan. Deze kan je vooral herkennen aan volgende items in een log.. bv: O4 - HKLM\..\Run: [3XJA2YY4H3DEF#] C:\WINDOWS\SYSTEM32\SZEPW5LN.EXE C:\WINDOWS\System32\Cpc5Y.exe Dit wordt vooral gebruikt bij items die moeilijk te verwijderen zijn. Het volstaat om de dir in te geven die je wilt verwijderen in het desbetreffende veld daarvoor aangegeven. Indien dit geen effect geeft, wordt het aangeraden om dit in veilige mode uit te voeren, zoals bv bij Virtumunde.
|