Ik zal deze thread updaten met de Nederlandse info in de loop van de week.

Momenteel heb ik de Engelstalige tutorial klaar die je hier kan vinden:

http://miekiemoes.blogspot.com/2008/05/v...store.html

De tutorial is niet moeilijk om te begrijpen aangezien er screenshots bij staan.

If Dutch is not your native language and you found this site via Google or another Searchengine, then you can submit your HijackThislog for analysis in this forum: http://support.bluemedicine.be/mybb/foru...php?fid=62

Inleiding + Uitleg

* Om de uitleg van Goldun te lezen, Klik hier
* Om meteen naar de verwijderinstructies te gaan, Klik hier

We bespreken hier twee infecties die hetzelfde doel hebben en zich ongeveer hetzelfde gedragen, nl. Haxdoor en Goldun.
Gelukkig komt deze infectie in Nederland en België minder frequent voor, doch zijn er in de laatste 2 jaar toch aardig veel Nederlanders en Belgen ermee besmet geweest.
Dit gebeurt ofwel via een mail met een geïnfecteerde bijlage - of het bezoek aan illegale sites (cracksites vooral)

HaxDoor (ook gekend als Backdoor.Haxdoor - Troj/Haxdoor):

Haxdoor is een Trojan Horse die een backdoor opent op het besmette systeem. Via deze backdoor heeft men dus toegang tot je computer en gaat men gegevens stelen.
Haxdoor doelt dus vooral op paswoorden (van banken), maar het kan nog veel meer met je computer doen.
Een voorbeeld van zo'n Haxdoor backdoor is de toolkit "A-311 Death" die wordt gebruikt.


(image courtesy of F-Secure)

Zoals je ziet heeft deze Toolkit veel in zn mars.
Via deze Toolkit gaat men dus gegevens van de computer verzamelen en logs doorzenden naar de "hackers", die op hun beurt dan deze informatie online verkopen


(image courtesy of F-Secure)

Indien je met deze infectie te maken hebt is het belangrijk dat je je bank op de hoogte brengt (indien je dus aan online-banking doet) en je paswoorden zo snel mogelijk gaat veranderen éénmaal de infectie van je PC verwijderd is. Of, je kan de paswoorden via een andere "niet geïnfecteerde" computer wijzigen.

Kenmerken van deze infectie: GEEN

Ik bedoel hiermee, deze infectie gebruikt RootKit technieken, waar het dus de bedoeling heeft om niet opgemerkt te worden zodat het rustig zijn taak kan uitvoeren. Dus men gaat geen popups zien, men gaat niet doorverwezen worden naar andere sites, kortom, men merkt niet dat deze infectie aanwezig is.
Wel gebeurt het vaak dat er frequent BSODs ontstaan door de rootkit zelf.
Het probleem van een rootkit is, in de meeste gevallen worden deze dus ook niet gedetecteerd door een AntivirusScanner omdat ze verborgen zijn - doch vele scanners hebben tegenwoordig de optie om deze dan toch te detecteren. Alsook Rootkitscanners kunnen deze probleemloos detecteren.

Er zijn wel enkele aanwijzingen in een HijackThislog te zien:

Gekende varianten te zien in een HijackThislog:
(nota: In de meeste logs zal er dus (file missing) naast de hieronder aangegeven regels staan - dit komt omdat het bestand zelf in de meeste gevallen verborgen is en HijackThis die dus ook niet ziet.)

Haxdoor: ****32.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll
O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\pptp32.dll
O20 - Winlogon Notify: semd32 - C:\WINDOWS\SYSTEM32\semd32.dll
O20 - Winlogon Notify: mmxF32 - C:\WINDOWS\SYSTEM32\mmxF32.dll
O20 - Winlogon Notify: xmsk32 - C:\WINDOWS\SYSTEM32\xmsk32.dll
O20 - Winlogon Notify: regP32 - C:\WINDOWS\SYSTEM32\regP32.dll
O20 - Winlogon Notify: mmx432 - C:\WINDOWS\SYSTEM32\mmx432.dll
O20 - Winlogon Notify: sslx32 - C:\WINDOWS\SYSTEM32\sslx32.dll

Haxdoor: ****16.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll
O20 - Winlogon Notify: ppts16 - C:\WINDOWS\SYSTEM32\ppts16.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O20 - Winlogon Notify: skyu16 - C:\WINDOWS\SYSTEM32\skyu16.dll

Haxdoor: ****xt.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll

Haxdoor: ****tt.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll

Haxdoor: ****dx.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\wxtwdx.dll
O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll

Haxdoor: ****01.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: yvpp01 - C:\WINDOWS\SYSTEM32\yvpp01.dll
O20 - Winlogon Notify: yvbb01 - C:\WINDOWS\SYSTEM32\yvbb01.dll

Haxdoor: ****ax.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: vistax - C:\WINDOWS\SYSTEM32\vistax.dll

Haxdoor: ****3a.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: dvb03a - C:\WINDOWS\SYSTEM32\dvb03a.dll

Haxdoor: ****gs.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: sertgs - C:\WINDOWS\SYSTEM32\sertgs.dll
O20 - Winlogon Notify: seppgs - C:\WINDOWS\SYSTEM32\seppgs.dll
O20 - Winlogon Notify: xcttgs - C:\WINDOWS\SYSTEM32\xcttgs.dll

Haxdoor: ****hh.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: bmtdhh - C:\WINDOWS\SYSTEM32\bmtdhh.dll

Haxdoor ****44.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: winf44 - C:\WINDOWS\SYSTEM32\winf44.dll

Andere:

O20 - Winlogon Notify: lanmui - C:\WINDOWS\SYSTEM32\lanmui.dll
O20 - Winlogon Notify: twpkad - C:\WINDOWS\SYSTEM32\twpkad.dll
O20 - Winlogon Notify: debugg - C:\WINDOWS\SYSTEM32\debugg.dll
O20 - Winlogon Notify: yvsvga - C:\WINDOWS\SYSTEM32\yvsvga.dll
O20 - Winlogon Notify: xmm13g - C:\WINDOWS\SYSTEM32\xmm13g.dll
O20 - Winlogon Notify: mmx17g - C:\WINDOWS\SYSTEM32\mmx17g.dll
O20 - Winlogon Notify: yvprgb - c:\windows\system32\yvprgb.dll
O20 - Winlogon Notify: rxx5ot - C:\WINNT\SYSTEM32\rxx5ot.dll
O20 - Winlogon Notify: ydsvgd - C:\WINDOWS\SYSTEM32\ydsvgd.dll
O20 - Winlogon Notify: xopptp - C:\WINDOWS\SYSTEM32\xopptp.dll
O20 - Winlogon Notify: yvdrgb - C:\WINDOWS\SYSTEM32\yvdrgb.dll
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
O20 - Winlogon Notify: wnmicf - C:\WINDOWS\SYSTEM32\wnmicf.dll
O20 - Winlogon Notify: rmk8ot - C:\WINDOWS\SYSTEM32\rmk8ot.dll
O20 - Winlogon Notify: svkvpn - C:\WINDOWS\SYSTEM32\svkvpn.dll
O20 - Winlogon Notify: utgrbe - C:\WINDOWS\SYSTEM32\utgrbe.dll
O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O20 - Winlogon Notify: rgbopx - C:\WINDOWS\SYSTEM32\rgbopx.dll
O20 - Winlogon Notify: ewsmsg - C:\WINDOWS\SYSTEM32\ewsmsg.dll
O20 - Winlogon Notify: upsctl - C:\WINDOWS\SYSTEM32\upsctl.dll

O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe]

Hierboven werden enkel de zichtbare componenten in een HijackThislog besproken - Om een meer gedetailleerd overzicht te hebben van bovenstaande varianten en de rootkitcomponenten, Klik hier

* Om de uitleg van Goldun te lezen, Klik hier
* Om meteen naar de verwijderinstructies te gaan, Klik hier

Copyright © BlueMedicine.be
Gelieve bovenstaande info niet te kopieren zonder toestemming of verwijzing

Hoe IE Defender of Files Secure of "Malware Bell" of "IE Antivirus"popups verwijderen - Valse Alerts - Critical System Error

Uitleg van deze infectie

Indien deze uitleg je niet interesseert, sla deze over en ga meteen naar de verwijderinstructies hier

Ik heb een samenvatting gemaakt van alle varianten voor deze infectie aangezien de verschillende Alerts elkaar overlappen.
In de loop van de volgende weken zal ik enkel deze thread updaten ipv voor elke alert een nieuwe thread te starten.
De andere threads (oudere varianten) zal ik in de loop van de komende maanden verwijderen aangezien deze een samenvatting is.

Deze infectie wordt geïnstalleerd via een FAKE codec die wordt weergegeven en gevraagd wordt om te installeren om zo de inhoud te kunnen zien.



Installeer nooit gelijkaardige codecs. Je standaard mediaspeler moet normaal gezien al de codecs al bevatten om films online te bekijken, dus extra codecs die gevraagd worden tijdens het surfen om te installeren zijn altijd een risico.. tenzij je uiteraard zeker weet dat die codec OK is.
Via deze valse codec wordt de malware geïnstalleerd.

Alsook wordt deze infectie vaak geïnstalleerd wanneer men een bepaald filmpje online wil zien en men vraagt om je FlashPlayer te updaten. In dit geval is dit dus ook vaak een valse melding en bij het installeren van die zogezegde update wordt je geïnfecteerd.

Deze infectie wordt gekenmerkt door valse meldingen die het weergeeft met volgende valse meldingen:

* Trojan.Zlob-X.a
* Trojan.Win32.Agent.akk
* Trojan.Win32.Obfuscated.gx
* Trojan.Win32.LinkReplacer
* Trojan.Win32.StarField
* Trojan.Win32.Startpage.fq
* Trojan.Agent
* Trojan.Win32.Gorshok.a
* Worm.Win32.Sober
* Trojan.Vundo
* Trojan.KillAV
* Trojan.Win32.Patched
* Trojan.Win32.CP4000
* Trojan Win32/Qoologic
* Trojan Win32.Murlo
* unknown trojan
* dangerous trojan
* dangerous virus

Enkele voorbeelden van Alerts:

" Critical System Error!
Your computer was infected by Trojan.Win32.Obfuscated.gx
It's dangerous for your system, some files can be lost and your browser can be slow!
Click OK to download the antispyware program to clean your computer! (recommended) "



of

" Critical System Error!
Your computer was hijacked by Trojan.Win32.LinkReplacer
It's dangerous for your system, some files can be lost and your browser can be slow.
Click OK to download the antispyware program to clean your computer! (Recommended) "



of

" Critical System Error!
Your browser was hijacked by Trojan.Win32.Agent.akk
You need to clean your system immediately, in other case it can be crashed soon!
Click OK to download the high-tech antispyware protection software! (recommended) "



of

" Critical System Error!
Your computer was infected by Trojan.Win32.StarField
It's dangerous for your system, some files can be lost and your browser can be slow.
Click OK to download the antispyware program to clean your computer! (Recommended) "



" Critical System Error!
Your browser was hijacked by Trojan.Agent
It's dangerous for your system, some files can be lost and your browser can be slow!

Click OK to download the antispyware program to clean your computer! (Recommended) "

of



" Critical System Error!
Your browser was infected by Trojan.Vundo
It's dangerous for your system, some files can be lost!

Click OK to download the antispyware program to clean your system! (Recommended) "

Nota, deze thread wordt niet meer geupdate aangezien deze varianten elkaar overlappen. Voor de laatste versies van deze varianten en verwijderinstructies, lees hier

Deze infectie wordt geïnstalleerd via een FAKE codec die wordt weergegeven en gevraagd wordt om te installeren om zo de inhoud te kunnen zien.



Installeer nooit gelijkaardige codecs. Je standaard mediaspeler moet normaal gezien al de codecs al bevatten om films online te bekijken, dus extra codecs die gevraagd worden tijdens het surfen om te installeren zijn altijd een risico.. tenzij je uiteraard zeker weet dat die codec OK is.
Via deze valse codec wordt de malware geïnstalleerd.

Deze infectie wordt gekenmerkt door valse meldingen die het weergeeft met volgende inhoud:

Critical System Error!

Your browser was infected by Trojan.Win32.Startpage.fq
You need to clean your system immediately, in other case it can be crashed soon!

Click OK to download the high-tech anti spyware protection software! (Recommended)

Hier gaat het dus vragen om het programma IE Defender te downloaden en te installeren. Dit is een fake Scanner en gaat zeker je probleem niet gaan oplossen - integendeel. Alsook zal het vragen om te betalen om hetgeen te verwijderen wat het gevonden heeft. Dit is dus het doel van deze infectie in het algemeen, nl valse meldingen tonen zodat je hun programma koopt om die infectie te verwijderen. Oplichterij dus.

Verwijdermethode met behulp van HijackThis

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map geïnstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna in HijackThis, kijk of één van volgende regels aanwezig is (de CLSID kan varieren, maar de bestandsnamen blijven dezelfde), vink het aan en klik de "Fix Checked" knop onderaan:
(Zorg ervoor dat je Internet Explorer gesloten is bij het fixen in HijackThis!)

O2 - BHO: FireFox Viewer - {8883BBC2-E716-4C98-B12C-BB40B4A415ED} - C:\WINDOWS\corpol.dll

Daarna, herstart de Computer.
Na herstart, zoek naar volgend bestand op je computer (indien nog aanwezig) en verwijder die. (Het bestand komt dus overeen met de regel die je in HijackThis hebt aangevinkt en gefixt)

C:\WINDOWS\corpol.dll <== verwijder deze NIET uit de Windows\system32 - map !!

Kijk ook of volgende aanwezig zijn en verwijder die:

C:\WINDOWS\corpol.dll.bak

Normaal gezien, wanneer je de eerste stap hebt uitgevoerd (het aanvinken van de regel en fixen ervan in HijackThis), zal HijackThis het bestand al verwijderen.
Dus het is best mogelijk dat je het bestand niet meer vindt na het fixen in HijackThis. Doch het is aangeraden om extra te controleren.

NOTA: Het *kan eventueel gebeuren dat het bestand op je computer zich niet laat verwijderen. Redenen daarvoor zijn:

* Tijdens het aanvinken en fixen van die lijn in HijackThis ben je vergeten je Internet Explorer te sluiten.
* Je hebt je computer niet opnieuw opgestart na het aavinken en fixen van die bepaalde regel in HijackThis.

Meer Uitleg:

Het aanvinken en fixen van een lijn in HijackThis verwijdert vooral de sleutel in het register die verantwoordelijk is om het bestand te laten opstarten. In dit geval, aangezien het een O2 lijn is in HijackThis, zal HijackThis dus ook proberen om het bestand effectief te verwijderen. Maar in sommige gevallen kan HijackThis falen in het verwijderen van het bestand zelf.

In dat geval is het dus echt nodig om de computer daarna opnieuw op te starten, want eerder zal het bestand nog steeds in het geheugen geladen zijn, zelfs na het fixen in Hijackthis. Door de computer opnieuw op te starten na het fixen in HijackThis, zal het bestand niet meer in het geheugen geladen zijn aangezien je het opstartpunt eerder met HijackThis hebt verwijderd. Dus het verwijderen van het bestand zelf na het opnieuw opstarten van de computer zou geen probleem meer mogen zijn.

Indien je nog steeds problemen hebt met het verwijderen van het bestand na het opnieuw opstarten van de computer (wat in principe geen probleem meer zou mogen zijn), ga dan nog eens extra controleren of je wel het juiste bestand probeert te verwijderen en geen legitiem bestand in plaats. Kortom, het is belangrijk dat je geen "gelijkuitziende bestanden" gaat verwijderen, want deze kunnen wel eens legitiem zijn.

Indien je er zeker van bent dat dit inderdaad het slecht bestand is en je kan het niet verwijderen, doe dan het volgende..

* Open hijackthis, klik 'config' (rechts onderaan)
Kies de tab 'misc Tools' bovenaan.
Kies 'delete a file on reboot'
Een nieuw venster zal openen. Blader van daaruit naar het bestand die je wil verwijderen en selecteer het.
(of je kan gewoon het exacte pad naar het bestand in het veld kopieren en plakken, zoals bijvoorbeeld C:\WINDOWS\corpol.dll)

Klik open.
Hijackthis zal je zeggen dat dit bestand zal verwijderen worden na volgende reboot/herstart en of je nu wilt rebooten.
Klik ja/ok

Je pc zal nu rebooten en het bestand zou verwijderd moeten zijn.

Nota, deze thread wordt niet meer geupdate aangezien deze varianten elkaar overlappen. Voor de laatste versies van deze varianten en verwijderinstructies, lees hier

Deze infectie wordt gekenmerkt door valse meldingen die het weergeeft met volgende inhoud:

" Critical System Error!
Your computer was infected by Trojan.Win32.StarField
It's dangerous for your system, some files can be lost and your browser can be slow.
Click OK to download the antispyware program to clean your computer! (Recommended) "



Hier gaat het dus vragen om het programma IE Defender te downloaden en te installeren. Dit is een fake Scanner en gaat zeker je probleem niet gaan oplossen - integendeel. Alsook zal het vragen om te betalen om hetgeen te verwijderen wat het gevonden heeft. Dit is dus het doel van deze infectie in het algemeen, nl valse meldingen tonen zodat je hun programma koopt om die infectie te verwijderen. Oplichterij dus.

Verwijdermethode met behulp van HijackThis

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map ge�nstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna in HijackThis, kijk of ��n van volgende regels aanwezig is, vink het aan en klik de "Fix Checked" knop onderaan:
(Zorg ervoor dat je Internet Explorer gesloten is bij het fixen in HijackThis!)

O2 - BHO: Web Search - {6A719349-BDF5-4268-9019-4ACA0C2562D2} - C:\WINDOWS\websrc32.dll
O2 - BHO: Web Search - {B3E45A9B-7756-46A2-AB14-90175CD374F9} - C:\WINDOWS\websrc32.dll
O2 - BHO: Web Search - {D54F0577-8770-4A63-B926-6A640ED57F06} - C:\WINDOWS\websrc32.dll

Daarna, herstart de Computer.
Na herstart, zoek naar volgend bestand op je computer (indien nog aanwezig) en verwijder die. (Het bestand komt dus overeen met de regel die je in HijackThis hebt aangevinkt en gefixt)

C:\WINDOWS\websrc32.dll

Kijk ook of volgende aanwezig zijn en verwijder die:

C:\WINDOWS\websrc32.dll.bak

Normaal gezien, wanneer je de eerste stap hebt uitgevoerd (het aanvinken van de regel en fixen ervan in HijackThis), zal HijackThis het bestand al verwijderen.
Dus het is best mogelijk dat je het bestand niet meer vindt na het fixen in HijackThis. Doch het is aangeraden om extra te controleren.

NOTA: Het *kan eventueel gebeuren dat het bestand op je computer zich niet laat verwijderen. Redenen daarvoor zijn:

* Tijdens het aanvinken en fixen van die lijn in HijackThis ben je vergeten je Internet Explorer te sluiten.
* Je hebt je computer niet opnieuw opgestart na het aavinken en fixen van die bepaalde regel in HijackThis.

Meer Uitleg:

Het aanvinken en fixen van een lijn in HijackThis verwijdert vooral de sleutel in het register die verantwoordelijk is om het bestand te laten opstarten. In dit geval, aangezien het een O2 lijn is in HijackThis, zal HijackThis dus ook proberen om het bestand effectief te verwijderen. Maar in sommige gevallen kan HijackThis falen in het verwijderen van het bestand zelf.

In dat geval is het dus echt nodig om de computer daarna opnieuw op te starten, want eerder zal het bestand nog steeds in het geheugen geladen zijn, zelfs na het fixen in Hijackthis. Door de computer opnieuw op te starten na het fixen in HijackThis, zal het bestand niet meer in het geheugen geladen zijn aangezien je het opstartpunt eerder met HijackThis hebt verwijderd. Dus het verwijderen van het bestand zelf na het opnieuw opstarten van de computer zou geen probleem meer mogen zijn.

Indien je nog steeds problemen hebt met het verwijderen van het bestand na het opnieuw opstarten van de computer (wat in principe geen probleem meer zou mogen zijn), ga dan nog eens extra controleren of je wel het juiste bestand probeert te verwijderen en geen legitiem bestand in plaats. Kortom, het is belangrijk dat je geen "gelijkuitziende bestanden" gaat verwijderen, want deze kunnen wel eens legitiem zijn.

Indien je er zeker van bent dat dit inderdaad het slecht bestand is en je kan het niet verwijderen, doe dan het volgende..

* Open hijackthis, klik 'config' (rechts onderaan)
Kies de tab 'misc Tools' bovenaan.
Kies 'delete a file on reboot'
Een nieuw venster zal openen. Blader van daaruit naar het bestand die je wil verwijderen en selecteer het.
(of je kan gewoon het exacte pad naar het bestand in het veld kopieren en plakken, zoals bijvoorbeeld
C:\WINDOWS\websrc32.dll)

Klik open.
Hijackthis zal je zeggen dat dit bestand zal verwijderen worden na volgende reboot/herstart en of je nu wilt rebooten.
Klik ja/ok

Je pc zal nu rebooten en het bestand zou verwijderd moeten zijn.

Hoe AdRotator - IconAds - Rightonads verwijderen

Deze infectie kenmerkt zich door het tonen van popups tijdens het surfen waar je bijvoorbeeld "ads served by rightonads - rightonadz" of "ads served by superiorads" of "ads served by blingads.biz" ziet staan.

Verdere kenmerken zijn dat je browser vaak crasht tijdens het surfen en dat het verscheidene stopmeldingen geeft.

Alsook komt het heel frequent voor dat, wanneer er een Antispywarescanner voorheen al werd gebruikt en het al bepaalde componenten van deze infectie heeft verwijderd, dat het restanten in het register laat staan, met als gevolg dat je na het herstarten van je computer rundll32.exe foutmeldingen krijgt gerelateerd met gzmrotate.dll of gzmrt.dll of sprt_ads.dll

Eerst en vooral, deïnstalleer volgende programma's indien aanwezig via software > wijzigen/verwijderen:

Adssite Advanced Toolbar
Adssite Games Collection
Browser Optimizer Adssite
Browser Optimizer Dcads
Browser Optimizer Rightonadz
Browser Optimizer Superiorads
Dcads Games Collection
Enhancement Browser Tools Superiorads
MySidesearch Search Assistant
Search Assistant Adssite
Socialnetworking Helper Adssite
Socialnetworking Helper Dcads

Herstart je PC daarna.

Verwijderinstructies met behulp van HijackThis:

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map geïnstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna, in HijackThis, klik op "Scan".
Zoek in de lijst naar één van deze lijnen en vink deze aan:

O2 - BHO: blingads.biz extension - {6FA3DF44-D34D-4538-9B82-136D43126F30} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: blingads.biz extension - {DC043BC4-C1DD-4981-AD8F-683E737F6518} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: browser optimizer by rightonadz - {971C3384-F75E-4562-95B3-CBE7417529BC} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: superiorads - {4AD44D3E-7316-4251-B754-9B10EC96AF92} - C:\WINDOWS\system32\sprt_ads.dll
O2 - BHO: Tooltipizer - {C004D9F0-A742-4DC7-AFD0-BC29CE3FE04A} - C:\WINDOWS\system32\adssitesuggest.dll
O2 - BHO: Tooltipizer - {C004D9F0-A742-4DC7-AFD0-BC29CE3FE04A} - C:\WINDOWS\system32\dcadssuggest.dll
O2 - BHO: trafficninja.biz extension - {266A3562-AB67-480E-9F09-D54604FD817B} - C:\windows\system32\ninjaext.dll
O2 - BHO: optimizer by rightonadz - {AB71E94E-3DC4-41eb-BBD5-31E82C9FD1D4} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll
O2 - BHO: Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\dcads_sidebar.dll
O2 - BHO: MySidesearch Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\Windows\system32\mysidesearch_sidebar.dll

E�n van de volgende lijnen hieronder zullen ook aanwezig zijn, doch is er hier een klein verschil, want de bestandsnaam op het eind van de lijn zal telkens verschillend/random zijn, maar begint altijd met ns***.dll
De CLSIDs {********-****-****-****-************} en hetgeen ervoor staat is daarentegen niet random. Daarom zal je het ook makkelijk kunnen herkennen.

O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsp5.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nstEC.dll
O2 - BHO: adssite - {F31B3634-12AA-41ca-B021-0685C3B3E4CA} - C:\WINDOWS\system32\nsd1B.dll
O2 - BHO: dcads - {C7C90A5E-BE0A-44DD-83D2-1BE138460BAC} - C:\WINDOWS\system32\nsh26B.dll
O2 - BHO: dcads - {F173E53F-E042-49b6-BD46-983E93DA1B17} - C:\WINDOWS\system32\nsfE8.dll

Verdere lijnen die aanwezig kunnen zijn:

O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Adssite Advanced Toolbar\toolbar.dll
O3 - Toolbar: Dcads Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Dcads Advanced Toolbar\toolbar.dll

O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\sprt_ads.dll" DllStart

Klik onderaan op Fix checked.
(Zorg ervoor dat je Internet Explorer gesloten is bij het fixen in HijackThis!)

Daarna.. Herstart je computer.

Na herstart...

Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven. <== klik voor instructies.

Dan blader naar de volgende bestanden en verwijder deze:
(ik veronderstel hier dat je Windows op je C:\ is geïnstalleerd)

C:\WINDOWS\system32\rightonadz-uninst.exe
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\gzmrot-uninst.exe
C:\WINDOWS\system32\setup_rightonadz.exe
C:\WINDOWS\system32\ninjaext-uninstall.exe
C:\WINDOWS\SYSTEM32\dcads-remove.exe
C:\WINDOWS\system32\DcadsSocial-uninstall.exe
C:\WINDOWS\system32\superiorads-uninst.exe
C:\WINDOWS\system32\dcads-remove.exe
C:\WINDOWS\system32\adssite_sidebar_uninstall.exe
C:\WINDOWS\system32\AdssiteSocial-uninstall.exe

Voor de volgende bestanden is het mogelijk dat je ze niet meer zal terugvinden aangezien HijackThis standaard deze bestanden al verwijderd nadat je op Fix checked hebt geklikt, doch beter extra te controleren:

C:\WINDOWS\system32\adssite_sidebar.dll
C:\WINDOWS\system32\adssitesuggest.dll
C:\WINDOWS\system32\dcads_sidebar.dll
C:\WINDOWS\system32\dcadssuggest.dll
C:\WINDOWS\system32\gzmrotate.dll
C:\WINDOWS\system32\gzmrt.dll
C:\WINDOWS\system32\ninjaext.dll
C:\WINDOWS\system32\spads.dll
C:\WINDOWS\system32\sprt_ads.dll
C:\WINDOWS\system32\_sprt_ads.dll
C:\WINDOWS\system32\iebrowserc.dll
C:\Windows\system32\mysidesearch_sidebar.dll

Verwijder volgende mappen indien aanwezig:

C:\Documents and Settings\"jouw gebruikersnaam"\application data\Adssite Advanced Toolbar
C:\Documents and Settings\"jouw gebruikersnaam"\Application Data\Adssite Games Collection
C:\Documents and Settings\"jouw gebruikersnaam"\Application Data\Dcads Advanced Toolbar
C:\Documents and Settings\"jouw gebruikersnaam"\Application Data\Dcads Games Collection
C:\Program Files\Adssite Advanced Toolbar
C:\Program Files\Adssite Games Collection
C:\Program Files\Dcads Advanced Toolbar
C:\Program Files\Dcads Games Collection


Indien je problemen hebt bij het verwijderen van bepaalde bestanden, start je Computer op in Veilige mode en verwijder ze in Veilige mode.
Hoe de Computer opstarten in Veilige Modus <== klik hier voor instructies.

Deze infectie is een worm die zich via e-mail verspreid.
De mail heeft als onderwerp: "Essa voce precisa VER".
Een nieuwere variant heeft als onderwerp komt van de afzender: "INFKTCOMPUTERNAME"

Eénmaal geïnfecteerd met deze, dan gaat het zich naar iedereen vanuit je adresboek verder doorsturen.
Indien je dus deze mail van iemand ontvangt en je kent die persoon, breng die persoon dan ook zo vlug mogelijk op de hoogte van de aanwezigheid van die worm.

Hoe deze worm manueel verwijderen met behulp van HijackThis:

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map geïnstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna, in HijackThis, klik op "Scan".
Zoek in de lijst naar één van deze lijnen en vink deze aan:

O4 - HKLM\..\Run: [wTask] C:\WINDOWS\Media\LTaskup.exe
O4 - HKLM\..\Run: [wTask] C:\WINDOWS\Media\GTaskup.exe
O4 - HKLM\..\Run: [wTask] C:\Program Files\Wp\GTaskup.exe

Klik onderaan op Fix checked.

HijackThis zal zo het proces LTaskup.exe stoppen zodat je het bestand manueel kan verwijderen.

Daarna..

Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven. <== klik voor instructies.

Dan blader naar de volgende bestanden en verwijder deze:

(ik veronderstel hier dat je Windows op je C:\ is geïnstalleerd)

C:\WINDOWS\Media\LTaskup.exe
C:\WINDOWS\Media\GTaskup.exe
C:\Program Files\Wp\GTaskup.exe
C:\WINDOWS\lnk_dados_2.dll
C:\start.bat
C:\Documents and Settings\"jouw gebruikersnaam"\user.dat
C:\Documents and Settings\"jouw gebruikersnaam"\Emails.dat
C:\WINDOWS\Tasks\startt.job

Alsook kunnen de bestanden zich hier bevinden:

C:\Windows\system32\Emails.dat
C:\Windows\system32\user.dat
C:\Windows\media\user.dat

Noot voor Vista gebruikers:

In Windows Vista is de map C:\Documents and Settings vervangen door C:\Users, dus in dat geval kan je de bestanden hier vinden:

C:\Users\"jouw gebruikersnaam"\user.dat
C:\Users\"jouw gebruikersnaam"\Emails.dat

Alsook kunnen die bestanden zich hier ook bevinden:

C:\Windows\system32\Emails.dat
C:\Windows\system32\user.dat

Belangrijke NOTA!
Ga niet de ntuser.dat of user.exe verwijderen!!! Want deze zijn een onderdeel van je systeem!!!

Indien er meerdere gebruikersaccounts/gebruikersnamen zijn, zal je dus die user.dat en Email.dat onder elke gebruikersaccount moeten verwijderen.

Indien je problemen hebt bij het verwijderen van bepaalde bestanden, start je Computer op in Veilige mode en verwijder ze in Veilige mode.
Hoe de Computer opstarten in Veilige Modus <== klik hier voor instructies.

Nadat de infectie verwijderd is, moet je ook al je paswoorden wijzigen aangezien deze gekend kunnen zijn.

Nota, deze thread wordt niet meer geupdate aangezien deze varianten elkaar overlappen. Voor de laatste versies van deze varianten en verwijderinstructies, lees hier

Hoe de valse melding "Trojan.Win32.LinkReplacer" verwijderen:

Deze infectie wordt geïnstalleerd via een FAKE waarschuwing om je Macromedia Flash Player te updaten wanneer je een video wil zien.

Deze infectie wordt gekenmerkt door valse meldingen die het weergeeft met volgende inhoud:

" Critical System Error!
Your computer was hijacked by Trojan.Win32.LinkReplacer
It's dangerous for your system, some files can be lost and your browser can be slow.
Click OK to download the antispyware program to clean your computer! (Recommended) "



Hier gaat het dus vragen om het programma IE Defender te downloaden en te installeren. Dit is een fake Scanner en gaat zeker je probleem niet gaan oplossen - integendeel. Alsook zal het vragen om te betalen om hetgeen te verwijderen wat het gevonden heeft. Dit is dus het doel van deze infectie in het algemeen, nl valse meldingen tonen zodat je hun programma koopt om die infectie te verwijderen. Oplichterij dus.

Verwijdermethode met behulp van HijackThis

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map ge�nstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna in HijackThis, kijk of één van volgende regels aanwezig is, vink het aan en klik de "Fix Checked" knop onderaan:
(Zorg ervoor dat je Internet Explorer gesloten is bij het fixen in HijackThis!)

O2 - BHO: Video - {80590BC5-F4BA-4AD1-B216-C19EE86E2A77} - C:\WINDOWS\msvideo.dll
O2 - BHO: Video - {15EB9F40-D775-4463-B75B-8687B3C66BB7} - C:\WINDOWS\msvideo.dll
O2 - BHO: Video - {6D64B03B-3B93-4AF2-BFC6-01264A4C7F2A} - C:\WINDOWS\msvideo.dll

Daarna, herstart de Computer.
Na herstart, zoek naar volgend bestand op je computer (indien nog aanwezig) en verwijder die. (Het bestand komt dus overeen met de regel die je in HijackThis hebt aangevinkt en gefixt)

C:\WINDOWS\msvideo.dll <== verwijder NIET het bestand die in je C:\Windows\system32 - map staat!

Kijk ook of volgende aanwezig zijn en verwijder die:

C:\WINDOWS\msvideo.dll.bak

Normaal gezien, wanneer je de eerste stap hebt uitgevoerd (het aanvinken van de regel en fixen ervan in HijackThis), zal HijackThis het bestand al verwijderen.
Dus het is best mogelijk dat je het bestand niet meer vindt na het fixen in HijackThis. Doch het is aangeraden om extra te controleren.

NOTA: Het *kan eventueel gebeuren dat het bestand op je computer zich niet laat verwijderen. Redenen daarvoor zijn:

* Tijdens het aanvinken en fixen van die lijn in HijackThis ben je vergeten je Internet Explorer te sluiten.
* Je hebt je computer niet opnieuw opgestart na het aavinken en fixen van die bepaalde regel in HijackThis.

Meer Uitleg:

Het aanvinken en fixen van een lijn in HijackThis verwijdert vooral de sleutel in het register die verantwoordelijk is om het bestand te laten opstarten. In dit geval, aangezien het een O2 lijn is in HijackThis, zal HijackThis dus ook proberen om het bestand effectief te verwijderen. Maar in sommige gevallen kan HijackThis falen in het verwijderen van het bestand zelf.

In dat geval is het dus echt nodig om de computer daarna opnieuw op te starten, want eerder zal het bestand nog steeds in het geheugen geladen zijn, zelfs na het fixen in Hijackthis. Door de computer opnieuw op te starten na het fixen in HijackThis, zal het bestand niet meer in het geheugen geladen zijn aangezien je het opstartpunt eerder met HijackThis hebt verwijderd. Dus het verwijderen van het bestand zelf na het opnieuw opstarten van de computer zou geen probleem meer mogen zijn.

Indien je nog steeds problemen hebt met het verwijderen van het bestand na het opnieuw opstarten van de computer (wat in principe geen probleem meer zou mogen zijn), ga dan nog eens extra controleren of je wel het juiste bestand probeert te verwijderen en geen legitiem bestand in plaats. Kortom, het is belangrijk dat je geen "gelijkuitziende bestanden" gaat verwijderen, want deze kunnen wel eens legitiem zijn.

Indien je er zeker van bent dat dit inderdaad het slecht bestand is en je kan het niet verwijderen, doe dan het volgende..

* Open hijackthis, klik 'config' (rechts onderaan)
Kies de tab 'misc Tools' bovenaan.
Kies 'delete a file on reboot'
Een nieuw venster zal openen. Blader van daaruit naar het bestand die je wil verwijderen en selecteer het.
(of je kan gewoon het exacte pad naar het bestand in het veld kopieren en plakken, zoals bijvoorbeeld C:\WINDOWS\msvideo.dll)

Klik open.
Hijackthis zal je zeggen dat dit bestand zal verwijderen worden na volgende reboot/herstart en of je nu wilt rebooten.
Klik ja/ok

Je pc zal nu rebooten en het bestand zou verwijderd moeten zijn.

Nota, deze thread wordt niet meer geupdate aangezien deze varianten elkaar overlappen. Voor de laatste versies van deze varianten en verwijderinstructies, lees hier

Hoe de valse melding "Trojan.Win32.Agent.akk" of "Trojan.Win32.Obfuscated.gx" verwijderen:

Dit is een vervolg op deze infectie: http://support.bluemedicine.be/mybb/show...php?tid=72
Maar aangezien het nu andere alerts weergeeft, heb ik hiervoor dus een nieuwe thread gestart.
Aangezien deze alerts elkaar ook overlappen aangezien dezelfde bestanden een andere alert kunnen weergeven, bespreek ik hier twee alerts.

Deze infectie wordt geïnstalleerd via een FAKE codec die wordt weergegeven en gevraagd wordt om te installeren om zo de inhoud te kunnen zien.



Installeer nooit gelijkaardige codecs. Je standaard mediaspeler moet normaal gezien al de codecs al bevatten om films online te bekijken, dus extra codecs die gevraagd worden tijdens het surfen om te installeren zijn altijd een risico.. tenzij je uiteraard zeker weet dat die codec OK is.
Via deze valse codec wordt de malware geïnstalleerd.

Deze infectie wordt gekenmerkt door valse meldingen die het weergeeft met volgende inhoud:

" Critical System Error!
Your computer was infected by Trojan.Win32.Obfuscated.gx
It's dangerous for your system, some files can be lost and your browser can be slow!
Click OK to download the antispyware program to clean your computer! (recommended) "



of

" Critical System Error!
Your browser was infected by Trojan.Win32.Obfuscated.gx
You need to clean your system immediately, in other case it can be crashed soon!
Click OK to download the high tech antispy ware protection software! (Recommended) "



of

" Critical System Error!
Your browser was hijacked by Trojan.Win32.Agent.akk
You need to clean your system immediately, in other case it can be crashed soon!
Click OK to download the high-tech antispyware protection software! (recommended) "



Hier gaat het dus vragen om het programma IE Defender te downloaden en te installeren. Dit is een fake Scanner en gaat zeker je probleem niet gaan oplossen - integendeel. Alsook zal het vragen om te betalen om hetgeen te verwijderen wat het gevonden heeft. Dit is dus het doel van deze infectie in het algemeen, nl valse meldingen tonen zodat je hun programma koopt om die infectie te verwijderen. Oplichterij dus.

Verwijdermethode met behulp van HijackThis

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map geïnstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna in HijackThis, kijk of één van volgende regels aanwezig is (de CLSID kan varieren, maar de bestandsnamen blijven dezelfde), vink het aan en klik de "Fix Checked" knop onderaan:
(Zorg ervoor dat je Internet Explorer gesloten is bij het fixen in HijackThis!)

O2 - BHO: System DivX4 - {2FA3B736-1AC7-454D-8E94-8BA8158BF064} - C:\WINDOWS\system32\sysvideo32.dll
O2 - BHO: Video - {15FEB658-AACC-412E-BC13-D54CFD74A8F6} - C:\WINDOWS\stream32a.dll
O2 - BHO: Video - {D0995F82-90C7-4C78-9B4C-C1700FB8B120} - C:\WINDOWS\windivx.dll
O2 - BHO: IE plugin - {6F6D1C90-7BEE-4A15-8DAB-9C37A643FD3A} - C:\WINDOWS\pmspl.dll
O2 - BHO: Web Search - {D54F0577-8770-4A63-B926-6A640ED57F06} - C:\WINDOWS\websrc32.dll

Daarna, herstart de Computer.
Na herstart, zoek naar volgend bestand op je computer (indien nog aanwezig) en verwijder die. (Het bestand komt dus overeen met de regel die je in HijackThis hebt aangevinkt en gefixt)

C:\WINDOWS\system32\sysvideo32.dll
C:\WINDOWS\stream32a.dll
C:\WINDOWS\windivx.dll
C:\WINDOWS\pmspl.dll <== verwijder NIET het bestand die in je C:\Windows\system32 - map staat!
C:\WINDOWS\websrc32.dll

Kijk ook of volgende aanwezig zijn en verwijder die:

C:\WINDOWS\system32\sysvideo32.dll.bak
C:\WINDOWS\stream32a.dll.bak
C:\WINDOWS\windivx.dll.bak
C:\WINDOWS\pmspl.dll.bak
C:\WINDOWS\webscr32.dll.bak

Normaal gezien, wanneer je de eerste stap hebt uitgevoerd (het aanvinken van de regel en fixen ervan in HijackThis), zal HijackThis het bestand al verwijderen.
Dus het is best mogelijk dat je het bestand niet meer vindt na het fixen in HijackThis. Doch het is aangeraden om extra te controleren.

NOTA: Het *kan eventueel gebeuren dat het bestand op je computer zich niet laat verwijderen. Redenen daarvoor zijn:

* Tijdens het aanvinken en fixen van die lijn in HijackThis ben je vergeten je Internet Explorer te sluiten.
* Je hebt je computer niet opnieuw opgestart na het aavinken en fixen van die bepaalde regel in HijackThis.

Meer Uitleg:

Het aanvinken en fixen van een lijn in HijackThis verwijdert vooral de sleutel in het register die verantwoordelijk is om het bestand te laten opstarten. In dit geval, aangezien het een O2 lijn is in HijackThis, zal HijackThis dus ook proberen om het bestand effectief te verwijderen. Maar in sommige gevallen kan HijackThis falen in het verwijderen van het bestand zelf.

In dat geval is het dus echt nodig om de computer daarna opnieuw op te starten, want eerder zal het bestand nog steeds in het geheugen geladen zijn, zelfs na het fixen in Hijackthis. Door de computer opnieuw op te starten na het fixen in HijackThis, zal het bestand niet meer in het geheugen geladen zijn aangezien je het opstartpunt eerder met HijackThis hebt verwijderd. Dus het verwijderen van het bestand zelf na het opnieuw opstarten van de computer zou geen probleem meer mogen zijn.

Indien je nog steeds problemen hebt met het verwijderen van het bestand na het opnieuw opstarten van de computer (wat in principe geen probleem meer zou mogen zijn), ga dan nog eens extra controleren of je wel het juiste bestand probeert te verwijderen en geen legitiem bestand in plaats. Kortom, het is belangrijk dat je geen "gelijkuitziende bestanden" gaat verwijderen, want deze kunnen wel eens legitiem zijn.

Indien je er zeker van bent dat dit inderdaad het slecht bestand is en je kan het niet verwijderen, doe dan het volgende..

* Open hijackthis, klik 'config' (rechts onderaan)
Kies de tab 'misc Tools' bovenaan.
Kies 'delete a file on reboot'
Een nieuw venster zal openen. Blader van daaruit naar het bestand die je wil verwijderen en selecteer het.
(of je kan gewoon het exacte pad naar het bestand in het veld kopieren en plakken, zoals bijvoorbeeld C:\WINDOWS\stream32a.dll)

Klik open.
Hijackthis zal je zeggen dat dit bestand zal verwijderen worden na volgende reboot/herstart en of je nu wilt rebooten.
Klik ja/ok

Je pc zal nu rebooten en het bestand zou verwijderd moeten zijn.