Toon posts:

[malware] Look2Me infectie, oplossing inside

Pagina: 1
Acties:
  • 890 views sinds 30-01-2008

  • pasta
  • Registratie: september 2002
  • Laatst online: 15-09 01:11
Hoi,

De laatste tijd komen er in Beveiliging & Virussen redelijk veel topics voorbij over een Look2Me infectie. De infectie valt vrijwel niet te cleanen met de meest bekende anti-spyware programma's, en de uninstaller die Look2Me levert zorgt weer voor een andere malware infectie. Zo kom je er echt vanaf. ;)

Hoe kan ik zien of ik hiermee geïnfecteerd ben? :?

Je hebt last van popups (:P), en in je HijackThis-log komt de volgende regel voor
code:
1
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\q0rqla951d.dll
De filename verandert iedere keer, die hoeft dus niet gelijk te zijn aan het voorbeeld hier gebruikt ;)

Hoe los ik het dan op? :?

[list]• Installeer Kaspersky AntiVirus 6. Reboot na de installatie en selecteer de 'Extended Bases' (deze vallen te vinden onder Settings -> Threats and exclusions). Reboot nu nogmaals en ga de safe-mode in (F8 tussen het einde van de BIOS, begin van het Windows-logo).

• Zodra je ingelogd bent, navigeer je naar %systemroot%\system32 en sorteer je de bestanden op 'Date Modified'. Scan ong. de nieuwste 20 files. Verwijder de .dll-files die herkend worden als malware. Waarschijnlijk blijven er nu ongeveer 3 .dll-files en een bestand genaamd guard.tmp over.

• Vervolgens moet je de NTFS-rechten van deze bestanden wijzigen, dit kan je doen door de eigenschappen van een bestand op te vragen en naar de 'Security' tab te gaan. Let op hoe de rechten stonden, je zult ze later weer terug moeten zetten. ;) Wijzig hier alle rechten naar Deny. Zorg ervoor dat je guard.tmp als laatste wijzigt.

• Reboot nu, je zult tijdens het afsluiten eerst een error krijgen van winlogon.exe, om daarna een BSOD te krijgen. Deze kun je gewoon beiden negeren. ;)

• Als je weer ingelogd bent, start je regedit (Start > Uitvoeren.. > regedit.exe) en navigeer je naar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify


• Je zult nu een aantal keys met als waarde 'DllName' zien. Kijk in je system32 directory hoe de bestanden nu weer heten en verwijder de key die naar 1 van deze bestanden wijst. Sluit regedit af en navigeer weer naar je system32 directory (mits deze nog niet open stond natuurlijk :P). Zet de rechten op de files weer goed en verwijder de bestanden.

• Je bent nu klaar, alhoewel een volledige scan uitvoeren met KAV evengoed nog wel aan te raden zou zijn. ;)

Met dank aan Schouw, zie voor de originele howto: [rml]Schouw in "[ Spyware] Popups niet weg te krijgen*"[/rml] :)

Signature


  • pasta
  • Registratie: september 2002
  • Laatst online: 15-09 01:11
En weer sticky af. :)

Signature


Dit topic is gesloten.



Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee