Pagina's

woensdag 8 juni 2011

XP Antivirus 2012.

XP Antivirus 2012 verwijderen.


Sypmtomen van deze infectie.
* pop-ups van nep beveiligings centrum;
= FireWall is uitgeschakeld.
= Antivirus is uitgeschakeld.
= Automatische updates zijn uitgeschakeld.
= Infectie gevaar meldingen bijvoorbeeld deze 'system hacked!' melding:

 




= Internet wordt geblokkeerd.

 











= Malwarebytes start niet op gebruik hiervoor Rkill

Overige afbeeldingen:











Gevonden bestanden:
C:\Documents and Settings\Test1\Local Settings\Application Data\3 random letters.exe

bijvoorbeeld:
C:\Documents and Settings\Test1\Local Settings\Application Data\xsf.exe
C:\Documents and Settings\Test1\Local Settings\Application Data\cwk.exe

Malwarebytes resultaten:

Registerdata geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Test1\Local Settings\Application Data\cwk.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.


Removal instructies:

1.
Download rkill via één van de onderstaande links naar het bureaublad.


[*] rkill (exe)
[*] rkill (com)
[*] rkill (scr)
[*] rkill (pif)


Dubbelklik op "rkill" om het te starten


Dit kan een beetje tijd in beslag nemen.

Indien er een melding komt dat rkill een infectie is kunt u dit negeren, het is namelijk een vals alarm.
Indien u problemen blijft houden qua meldingen download dan iExplorer.exe; een hernoemde rkill versie naar uw bureaublad en voer deze uit.


Let op!!! Herstart niet de computer na het gebruik van rkill.

2.
Malwarebytes anti' Malware uitvoeren.
Gepost door op 1 opmerking:

dinsdag 7 juni 2011

WhiteSmoke verwijderen.

WhiteSmoke verwijderen.

WhiteSmoke is vervelende adware. Het veranderd je startpagina, stelt de search conduit zoekmachine in als standaard en installeerd de WhiteSmoke toolbar.

Voorbeelden:






Een HijackThis logje kan het volgende tonen:

Running Processes:
* C:\Program Files\WhiteSmoke\WSEnrichment.exe

Regels:
* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1369718
* R3 - URLSearchHook: WhiteSmoke Tools Toolbar - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Program Files\WhiteSmoke_Tools\prxtbWhit.dll
* O2 - BHO: WhiteSmoke Tools - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Program Files\WhiteSmoke_Tools\prxtbWhit.dll
* O3 - Toolbar: WhiteSmoke Tools Toolbar - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Program Files\WhiteSmoke_Tools\prxtbWhit.dll
* O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
* O4 - S-1-5-20 Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe (User 'Netwerkservice')
* O4 - S-1-5-18 Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe (User 'SYSTEM')
* O4 - .DEFAULT Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe (User 'Default user')


VirusTotal geeft geen resultaten en ook MBAM vind geen geinfecteerde bestanden:
http://www.virustotal.com/file-scan/report.html?id=d1000571bad790294d03eb3fdfd6814c76c40de0afa19ff41ad3f5cdeea72374-1307459050

Overige:
* c:\program files\Conduit
* c:\documents and settings\test1\local settings\application data\WhiteSmoke_Tools
* c:\documents and settings\test1\local settings\application data\conduitEngine
* c:\windows\system32\ConduitEngine.tmp
* c:\program files\ConduitEngine
* c:\documents and settings\test1\local settings\application data\Conduit
* c:\program files\WhiteSmoke_Tools


Hoe te verwijderen:

Gelukkig is deze eenvoudig via het configuratiescherm te verwijderen.

Selecteer de conduit search engine en klik op verwijderen:

Selecteer de WhiteSmoke applicatie en klik op verwijderen:


Herstart de computer.

(Indien nog aanwezig) Verwijder de bovenstaande mappen bij 'overige' en verwijder ConduitEngine.tmp uit de system32 map. Stel zelf weer je gewenste startpagina in en klaar!


(NOOT!! Mocht je toch nog problemen ondervinden dan is er wellicht nog meer aan de hand.
Scan de computer met een geupdate databaseversie van Malwarebytes anti'Malware en twijfel niet om hulp te vragen.)
Gepost door op 4 opmerkingen:
Abonneren op: Posts (Atom)