/u/64936/crop560fa53296a1c.png?f=community)
Hoi,
De laatste tijd komen er in Beveiliging & Virussen redelijk veel topics voorbij over een Look2Me infectie. De infectie valt vrijwel niet te cleanen met de meest bekende anti-spyware programma's, en de uninstaller die Look2Me levert zorgt weer voor een andere malware infectie. Zo kom je er echt vanaf.
Hoe kan ik zien of ik hiermee geïnfecteerd ben?
Je hebt last van popups (
), en in je HijackThis-log komt de volgende regel voor
Hoe los ik het dan op?
[list]• Installeer Kaspersky AntiVirus 6. Reboot na de installatie en selecteer de 'Extended Bases' (deze vallen te vinden onder Settings -> Threats and exclusions). Reboot nu nogmaals en ga de safe-mode in (F8 tussen het einde van de BIOS, begin van het Windows-logo).
• Zodra je ingelogd bent, navigeer je naar %systemroot%\system32 en sorteer je de bestanden op 'Date Modified'. Scan ong. de nieuwste 20 files. Verwijder de .dll-files die herkend worden als malware. Waarschijnlijk blijven er nu ongeveer 3 .dll-files en een bestand genaamd guard.tmp over.
• Vervolgens moet je de NTFS-rechten van deze bestanden wijzigen, dit kan je doen door de eigenschappen van een bestand op te vragen en naar de 'Security' tab te gaan. Let op hoe de rechten stonden, je zult ze later weer terug moeten zetten. Wijzig hier alle rechten naar Deny. Zorg ervoor dat je guard.tmp als laatste wijzigt.
• Reboot nu, je zult tijdens het afsluiten eerst een error krijgen van winlogon.exe, om daarna een BSOD te krijgen. Deze kun je gewoon beiden negeren.
• Als je weer ingelogd bent, start je regedit (Start > Uitvoeren.. > regedit.exe) en navigeer je naar
• Je zult nu een aantal keys met als waarde 'DllName' zien. Kijk in je system32 directory hoe de bestanden nu weer heten en verwijder de key die naar 1 van deze bestanden wijst. Sluit regedit af en navigeer weer naar je system32 directory (mits deze nog niet open stond natuurlijk). Zet de rechten op de files weer goed en verwijder de bestanden.
• Je bent nu klaar, alhoewel een volledige scan uitvoeren met KAV evengoed nog wel aan te raden zou zijn.
Met dank aan Schouw, zie voor de originele howto: [rml]Schouw in "[ Spyware] Popups niet weg te krijgen*"[/rml]
De laatste tijd komen er in Beveiliging & Virussen redelijk veel topics voorbij over een Look2Me infectie. De infectie valt vrijwel niet te cleanen met de meest bekende anti-spyware programma's, en de uninstaller die Look2Me levert zorgt weer voor een andere malware infectie. Zo kom je er echt vanaf.
Hoe kan ik zien of ik hiermee geïnfecteerd ben?
Je hebt last van popups (
), en in je HijackThis-log komt de volgende regel voor code:
De filename verandert iedere keer, die hoeft dus niet gelijk te zijn aan het voorbeeld hier gebruikt 1
| O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\q0rqla951d.dll |
Hoe los ik het dan op?
[list]• Installeer Kaspersky AntiVirus 6. Reboot na de installatie en selecteer de 'Extended Bases' (deze vallen te vinden onder Settings -> Threats and exclusions). Reboot nu nogmaals en ga de safe-mode in (F8 tussen het einde van de BIOS, begin van het Windows-logo).
• Zodra je ingelogd bent, navigeer je naar %systemroot%\system32 en sorteer je de bestanden op 'Date Modified'. Scan ong. de nieuwste 20 files. Verwijder de .dll-files die herkend worden als malware. Waarschijnlijk blijven er nu ongeveer 3 .dll-files en een bestand genaamd guard.tmp over.
• Vervolgens moet je de NTFS-rechten van deze bestanden wijzigen, dit kan je doen door de eigenschappen van een bestand op te vragen en naar de 'Security' tab te gaan. Let op hoe de rechten stonden, je zult ze later weer terug moeten zetten.
Wijzig hier alle rechten naar Deny. Zorg ervoor dat je guard.tmp als laatste wijzigt.• Reboot nu, je zult tijdens het afsluiten eerst een error krijgen van winlogon.exe, om daarna een BSOD te krijgen. Deze kun je gewoon beiden negeren.
• Als je weer ingelogd bent, start je regedit (Start > Uitvoeren.. > regedit.exe) en navigeer je naar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
• Je zult nu een aantal keys met als waarde 'DllName' zien. Kijk in je system32 directory hoe de bestanden nu weer heten en verwijder de key die naar 1 van deze bestanden wijst. Sluit regedit af en navigeer weer naar je system32 directory (mits deze nog niet open stond natuurlijk
). Zet de rechten op de files weer goed en verwijder de bestanden.• Je bent nu klaar, alhoewel een volledige scan uitvoeren met KAV evengoed nog wel aan te raden zou zijn.
Met dank aan Schouw, zie voor de originele howto: [rml]Schouw in "[ Spyware] Popups niet weg te krijgen*"[/rml]
Signature
Dit topic is gesloten.