Hoe de valse melding "Trojan.Win32.Startpage.fq" verwijderen

[miekiemoes]

Nota, deze thread wordt niet meer geupdate aangezien deze varianten elkaar overlappen. Voor de laatste versies van deze varianten en verwijderinstructies, lees hier

Deze infectie wordt geïnstalleerd via een FAKE codec die wordt weergegeven en gevraagd wordt om te installeren om zo de inhoud te kunnen zien.



Installeer nooit gelijkaardige codecs. Je standaard mediaspeler moet normaal gezien al de codecs al bevatten om films online te bekijken, dus extra codecs die gevraagd worden tijdens het surfen om te installeren zijn altijd een risico.. tenzij je uiteraard zeker weet dat die codec OK is.
Via deze valse codec wordt de malware geïnstalleerd.

Deze infectie wordt gekenmerkt door valse meldingen die het weergeeft met volgende inhoud:

Critical System Error!

Your browser was infected by Trojan.Win32.Startpage.fq
You need to clean your system immediately, in other case it can be crashed soon!

Click OK to download the high-tech anti spyware protection software! (Recommended)

Hier gaat het dus vragen om het programma IE Defender te downloaden en te installeren. Dit is een fake Scanner en gaat zeker je probleem niet gaan oplossen - integendeel. Alsook zal het vragen om te betalen om hetgeen te verwijderen wat het gevonden heeft. Dit is dus het doel van deze infectie in het algemeen, nl valse meldingen tonen zodat je hun programma koopt om die infectie te verwijderen. Oplichterij dus.

Verwijdermethode met behulp van HijackThis

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map geïnstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna in HijackThis, kijk of één van volgende regels aanwezig is (de CLSID kan varieren, maar de bestandsnamen blijven dezelfde), vink het aan en klik de "Fix Checked" knop onderaan:
(Zorg ervoor dat je Internet Explorer gesloten is bij het fixen in HijackThis!)

O2 - BHO: FireFox Viewer - {8883BBC2-E716-4C98-B12C-BB40B4A415ED} - C:\WINDOWS\corpol.dll

Daarna, herstart de Computer.
Na herstart, zoek naar volgend bestand op je computer (indien nog aanwezig) en verwijder die. (Het bestand komt dus overeen met de regel die je in HijackThis hebt aangevinkt en gefixt)

C:\WINDOWS\corpol.dll <== verwijder deze NIET uit de Windows\system32 - map !!

Kijk ook of volgende aanwezig zijn en verwijder die:

C:\WINDOWS\corpol.dll.bak

Normaal gezien, wanneer je de eerste stap hebt uitgevoerd (het aanvinken van de regel en fixen ervan in HijackThis), zal HijackThis het bestand al verwijderen.
Dus het is best mogelijk dat je het bestand niet meer vindt na het fixen in HijackThis. Doch het is aangeraden om extra te controleren.

NOTA: Het *kan eventueel gebeuren dat het bestand op je computer zich niet laat verwijderen. Redenen daarvoor zijn:

* Tijdens het aanvinken en fixen van die lijn in HijackThis ben je vergeten je Internet Explorer te sluiten.
* Je hebt je computer niet opnieuw opgestart na het aavinken en fixen van die bepaalde regel in HijackThis.

Meer Uitleg:

Het aanvinken en fixen van een lijn in HijackThis verwijdert vooral de sleutel in het register die verantwoordelijk is om het bestand te laten opstarten. In dit geval, aangezien het een O2 lijn is in HijackThis, zal HijackThis dus ook proberen om het bestand effectief te verwijderen. Maar in sommige gevallen kan HijackThis falen in het verwijderen van het bestand zelf.

In dat geval is het dus echt nodig om de computer daarna opnieuw op te starten, want eerder zal het bestand nog steeds in het geheugen geladen zijn, zelfs na het fixen in Hijackthis. Door de computer opnieuw op te starten na het fixen in HijackThis, zal het bestand niet meer in het geheugen geladen zijn aangezien je het opstartpunt eerder met HijackThis hebt verwijderd. Dus het verwijderen van het bestand zelf na het opnieuw opstarten van de computer zou geen probleem meer mogen zijn.

Indien je nog steeds problemen hebt met het verwijderen van het bestand na het opnieuw opstarten van de computer (wat in principe geen probleem meer zou mogen zijn), ga dan nog eens extra controleren of je wel het juiste bestand probeert te verwijderen en geen legitiem bestand in plaats. Kortom, het is belangrijk dat je geen "gelijkuitziende bestanden" gaat verwijderen, want deze kunnen wel eens legitiem zijn.

Indien je er zeker van bent dat dit inderdaad het slecht bestand is en je kan het niet verwijderen, doe dan het volgende..

* Open hijackthis, klik 'config' (rechts onderaan)
Kies de tab 'misc Tools' bovenaan.
Kies 'delete a file on reboot'
Een nieuw venster zal openen. Blader van daaruit naar het bestand die je wil verwijderen en selecteer het.
(of je kan gewoon het exacte pad naar het bestand in het veld kopieren en plakken, zoals bijvoorbeeld C:\WINDOWS\corpol.dll)

Klik open.
Hijackthis zal je zeggen dat dit bestand zal verwijderen worden na volgende reboot/herstart en of je nu wilt rebooten.
Klik ja/ok

Je pc zal nu rebooten en het bestand zou verwijderd moeten zijn.

------------------------------------------

De infectie zou nu verwijderd moeten zijn.

Indien dit niet het geval is, of je durft deze infectie niet op eigen houtje gaan verwijderen aangezien je niet zeker bent, registreer je gratis op dit forum en klik daarna op deze link om je HijackThislog te plaatsen. Want in dit geval kan het zijn dat je met een nieuwe variant te maken hebt. Geef een duidelijke omschrijving in de titel en je bericht welk probleem je hebt. Dan zal iemand je zo snel mogelijk helpen - de hulp die hier gegeven wordt is ook gratis.
Voor instructies in verband met HijackThis, lees hier.