Verwijderen van...
Rogues zijn "valse" antivirus tools die op je PC geplaatst worden.
Security Tools, Think Point en Security Suit zijn zulke rogues.
Vaak gebeurt dit met een melding dat je PC wordt gescand en dat je dit tool moet downloaden.
Niet doen dus.
Hieronder vind je een lijstje van de meest voorkomende infecties en hoe je ze kan verwijderen.
Dit verwijderen gebeurt echter steeds op eigen risico en ik wens erop te wijzen dat assistentie van
een gekwalificeerd helper steeds aangewezen is.
Wanneer je de richtlijnen hebt gevolgd en alles "lijkt" in orde te zijn, is het nog steeds een goed idee
om een Hijackthis log ter controle aan te bieden op een Hijackthis forum.
Vermeldt dan tevens wat je reeds hebt gedaan.
Voor alle procedures geldt:
Indien je Vista of Windows 7 hebt, steeds rechtsklikken en Uitvoeren als administrator kiezen.
Verwijder (Removal) Lijst
Verwijder (remove) Security Tool
Verwijder (remove) Security Suite
Verwijder (remove) Think Point
Verwijder (remove) AVG Antivirus 2011
Verwijder Sinowal (Nu.nl infectie)
Verwijder FCCU Ransomeware (politie melding)
Verwijderen (removal) van Security Tool
INFO
Kenmerken in Hijackthis:
O4 - HKLM\..\Run: [5142550101] %UserProfile%\Application Data\5142550101\5142550101.exe
O4 - HKCU\..\Run: [Install] %UserProfile%\Application Data\5142550101\5142550101.bat
Bestanden die kunen aanwezig zijn:
%AppData%\5142550101
%AppData%\5142550101\5142550101.bat
%AppData%\5142550101\5142550101.cfg
%AppData%\5142550101\5142550101.exe
%UserProfile%\Desktop\Security Tool.lnk
%UserProfile%\Start Menu\Programs\Security Tool.lnk
Registerwaarden die kunnen aanwezig zijn:
HKEY_CURRENT_USER\Software\Security Tool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "5142550101"
Opmerking: De waarden/namen van bestanden en/of mappen zijn volledig random (=willekeurig)
Verwijder instructies
- Print deze instructies uit omdat we later alle vensters zullen moeten sluiten.
- De mogelijkheid bestaat, dat deze infectie je niet toelaat om tools te downloaden.
In dat geval is het aangewezen om een tweede pc te gebruiken en de bestanden die we nodig
hebben over te dragen via usb of CD/DVD. - Download rkill.com naar je bureaublad.
- Omdat deze infectie het bureaublad kan verbergen, moeten we deze eerst terug te voorschijn halen:
- Windows XP:
- Klik op start, daarna Uitvoeren...
- Vervolgens typ je : %UserProfile%\desktop en [Enter]
- Windows Vista en Windows 7:
- Klik op start.
- In het Zoekopdracht venster typ je %UserProfile%\desktop en [Enter]
- Je ziet nu een venster dat je bureaublad pictogrammen bevat, daar zou je ook rkill.com moeten tussen zien staan.
- Dubbelklik op rkill.com en laat het tool rustig zijn werk doen.
Tijdens het uitvoeren van rkill.com kan er een melding tevoorschijn komen dat rkill.com een virus is.
Klik niet op deze melding, sluit ze niet. Dit is een valse melding van Security Tools.
Laat deze melding dus rustig staan en dubbelklik terug op rkill.com.
Dit doe je totdat deze melding niet meer komt. - Herstart je pc NIET nadat rkill.com zijn werk heeft gedaan.
- Download MBAM (de gratis versie) naar je bureaublad en hernoem mbam-setup.exe naar jouw_naam.exe.
- Sluit nu ALLE openstaande vensters en tools, ook deze.
- Dubbelklik nu op jouw_naam.exe (= de hernoemde mbam setup) .
- Op het einde van de installatie UNCHECK : Update MBAM en Start MBAM.
- Mocht je een error code 2 krijgen dan doe je het volgende:
- download Malwarebytes' EXE en plaats je deze in de C:\program files\Malwarebytes' Anti-Malware\ map.
- Noteer ook even de random (=willekeurige) naam van dit bestand want je zult deze straks nodig hebben.
- Dubbelklik nu op het juist gedownloade bestand .
- Klik op tab Update en vervolgens Controleer op updates.
- Klik op tab Scanner en kies voor Volledige scan.
- Op het einde van de scan klik je op Toon resultaten en vervolgens selecteer je alle gevonden items.
- Klik op Verwijder geselecteerde items.
- Wanneer MBAM vraagt om een reboot dan sta je dit toe.
- De MBAM log kan je later terugvinden onder het tabblad Logbestanden.
De mogelijkheid bestaat dat Security Tools je Hostfile eveneens heeft gecompromiteert.
Security Tools veranderdt de permissies van je Hostfile zodat je hem niet kan verwijderen en/of veranderen.
Je Hostfile vind je in C:\Windows\System32\Drivers\etc\HOSTS.
Je moet hiervoor wel je verborgen mappen zichtbaar maken.
- Download Hostsperm.bat naar je bureaublad en dubbelklik erop.
- Het tool gaat zéér snel te werk en je zal nu terug over je Hostfile kunnen beschikken.
- Vervolgens download je HostsXpert naar je bureaublad en start deze op.
- Je krijgt je Hostfile te zien en nu moet je links klikken op Restore MS Hostfile.
-
Deze zou er nu zo moeten uitzien:
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names.
# Each # entry should be kept on an individual line.
# The IP address should # be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one # space.
#
# Additionally, comments (such as these) may be inserted on individual # lines or following
the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com
# source server # 38.25.63.10 x.acme.com
# x client host 127.0.0.1
localhost ::1 localhost
-
- Verwijder de tools die we gebruikt hebben en herstart je PC.
- Einde.
Verwijderen (removal) van Security Suit
INFO
Kenmerken in Hijackthis:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
O4 - HKLM\..\Run: [<random>] C:\Documents and Settings\Myself\Local Settings\Application Data\<random>\<random>shdw.exe
O4 - HKCU\..\Run: [<random>] C:\Documents and Settings\Myself\Local Settings\Application Data\<random>\<random>shdw.exe
Bestanden die kunen aanwezig zijn:
%UserProfile%\Local Settings\Application Data\<random>\
%UserProfile%\Local Settings\Application Data\<random>\<random>shdw.exe
Registerwaarden die kunnen aanwezig zijn:
HKEY_CURRENT_USER\Software\wnxmal
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter "Enabled" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyOverride" = ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:6522"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "%UserProfile%\Desktop\flash_player_installer\flash_player_installer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyEnable" ="1"
Verwijder instructies
Print deze instructies uit omdat we later alle vensters zullen moeten sluiten.
De mogelijkheid bestaat, dat deze infectie je niet toelaat om tools te downloaden.
In dat geval is het aangewezen om een tweede pc te gebruiken en de bestanden die we nodig
hebben over te dragen via usb of CD/DVD
- Herstart je pc in Veilige Modus met Netwerkondersteuning.
- Open Internet Explorer.
- Ga naar Extra > Internetopties > Tabblad Verbindingen.
- Klik op LAN-instellingen.
- Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.
- Onder Proxyserver mag er niets aangevinkt zijn.
- Download rkill.com naar je bureaublad en dubbelklik erop. Dit zal de processen stoppen.
Wees geduldig want dit kan een beetje tijd in beslag nemen.
Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon. Het is namelijk een vals alarm van Security Suite.
Wanneer je hiermee problemen blijft houden , download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.
Herstart je PC niet na het uitvoeren van rkill.com !
- Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
- Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:
- Update MalwareBytes' Anti-Malware
- Start MalwareBytes' Anti-Malware
- Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
- Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
- Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
- Ga naar het tabblad "Updates" en Update MBAM.
- Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".
- Druk vervolgens op "Scannen" om de scan te starten.
- Het scannen kan een tijdje duren, dus wees geduldig.
- Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
- Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
- Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Indien MBAM vraagt om een herstart, doe dit dan ook.
Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma. - Deze infectie gaat gewoonlijk samen met een TDL3 infectie. Daarom zetten we TDDSKiller in.
Download TDSSKiller en plaats het op je bureaublad.
Pak de bestanden in tdsskiller.zip uit.
Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
Klik op de knop "Start Scan" en volg de instructies.
Als er een Reboot (herstart) wordt gevraagt, dan klik je op Reboot Now.
Anders klik je op Report.
Kopiëer en bewaar de logfile die tevoorschijn komt.
Opmerking:
Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt - Verwijder de tools die we gebruikt hebben en herstart je PC in Normale Modus.
- Einde
Verwijderen (removal) van Think Point
INFO
Bestanden die kunen aanwezig zijn:
%UserProfile%\Application Data\completescan
%UserProfile%\Application Data\hotfix.exe
%UserProfile%\Application Data\install
Registerwaarden die kunnen aanwezig zijn:
HKCU\Software\Microsoft\Windows NT\CurrentConfiguration\Winlogon\\Shell = %AppData%\hotfix.exe
Verwijder instructies
De ThinkPoint infectie zal naar alle waarschijnlikheid toegang tot je bureaublad weigeren.
Wanneer dit het geval is, zal je de benodigde bestanden vanop een andere pc moeten downloaden en overzetten naar de geinfecteerde pc.
Wanneer je je pc opstart zal je waarschijnlijk onderstaand scherm te zien krijgen:
Klik op geen enkel knop !!!
Druk Ctrl+Alt+Delete tegelijkertijd om Taakbeheer te starten.
Druk op het Tabblad Processen.
Selecteer hier: hotfix.exe en klik op Proces beindigen.
Nogmaals bevestigen zal dit process eindigen.
Klik nu op het tabblad Toepassingen en vervolgens, rechtsonderaan op Nieuwe taak...
In het venstertje dat opengaat typ je nu: explorer.exe en vervolgens klik je op OK .
Je zou nu je Bureaublad moeten terug hebben.
Vervolgens download je Shell.reg naar je bureaublad.
Dubbelklik erop en laat toe dat het samengevoegd word.
(Heb je moeilijkheden met dit te downloaden, dan rechtsklik je erop en kies Opslaan als...)
Download rkill.com naar je bureaublad en dubbelklik erop.
Dit zal de processen stoppen. Wees geduldig want dit kan een beetje tijd in beslag nemen.
Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon.
Wanneer je echter blijft problemen hebben hiermee, download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.
ZEER BELANGRIJK !!!! Herstart je PC niet na het uitvoeren van rkill.com
Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
SLUIT ALLE PROGRAMMA'S !!
Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:
- Update MalwareBytes' Anti-Malware
- Start MalwareBytes' Anti-Malware
Klik daarna op Voltooien .
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
Mocht MBAM vragen om te herstarten op dit punt, dan doe je dit NIET .
Zodra het programma gestart is, ga je naar het tabblad Instellingen.
- Vink hier aan: Sluit Internet Explorer tijdens verwijdering van malware.
- Ga naar het tabblad Updates en Update MBAM.
- Ga daarna naar het tabblad Scanner, kies hier voor VOLLEDIGE Scan.
- Druk vervolgens op Scannen om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig. - Wanneer de scan voltooid is, klik op OK, daarna Bekijk Resultaten om de resultaten te zien.
- Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
- Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Indien MBAM vraagt om een herstart, doe dit dan ook.
Verwijderen van de rogue AVG Antivirus 2011
INFO (Skip INFO en ga naar Verwijderen)
De fake AVG
De echte AVG Antivirus 2011
Dit is een kwaaie in die zin dat het gemakkelijk kan verward worden met de legale AVG Antivirus 2011
(zie screenshots boven)
De legale AVG Anti-Virus Free Edition 2011 kan (moet) je hier vandaan downloaden.
Eerlijk gezegd raad ik aan om AVG niet te installeren en bievoorbeeld de gratis Avira Antivir in de plaats te installeren (zie MyTools of Tools bovenaan).
Gezien de perikelen van AVG de laatste tijd is dit zeker géén slechte keuze.
In Hijackthis kan je dit item zien
O4 - HKCU\..\Run: [AVG Antivirus 2011] C:\Program Files\AVG Antivirus 2011\avg.exe
Bestanden die kunnen aanwezig zijn:
c:\Documents and Settings\All Users\Start Menu\AVG Antivirus 2011\
c:\Documents and Settings\All Users\Start Menu\AVG Antivirus 2011\AVG Antivirus 2011.lnk
c:\Documents and Settings\All Users\Start Menu\AVG Antivirus 2011\Uninstall.lnk
c:\Program Files\AVG Antivirus 2011\
c:\Program Files\AVG Antivirus 2011\avg.exe
c:\WINDOWS\system32\iesafemode.exe
%UserProfile%\Desktop\AVG Antivirus 2011.lnk
%Temp%\OQ4C92F6.exe
Registersleutels die kunnen aanwezig zijn:
HKEY_CURRENT_USER\Software\A88246
HKEY_CURRENT_USER\Software\Mon246
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AVG Antivirus 2011" = 'C:\Program Files\AVG Antivirus 2011\avg.exe'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform "WinNT-A8I 28.01.2011"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe "Debugger" = 'iesafemode.exe -sb'
Verwijder (removal) AVG Antivirus 2011 (fake) instructies
- Herstart je pc in Veilige Modus met Netwerkondersteuning.
- Download rkill.com naar je bureaublad en dubbelklik erop. Dit zal de processen stoppen.
Wees geduldig want dit kan een beetje tijd in beslag nemen.
Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon. Het is namelijk een vals alarm van Security Suite.
Wanneer je hiermee problemen blijft houden , download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.
Herstart je PC niet na het uitvoeren van rkill.com !
- Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:- Update MalwareBytes' Anti-Malware
- Start MalwareBytes' Anti-Malware
- Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
- Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
- Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
- Ga naar het tabblad "Updates" en Update MBAM.
- Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".
- Druk vervolgens op "Scannen" om de scan te starten.
- Het scannen kan een tijdje duren, dus wees geduldig.
- Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
- Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
- Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.