My Tools

On Line Scanners

File Scanners

Extra


Verwijderen van...

Rogues zijn "valse" antivirus tools die op je PC geplaatst worden.
Security Tools, Think Point en Security Suit zijn zulke rogues.
Vaak gebeurt dit met een melding dat je PC wordt gescand en dat je dit tool moet downloaden.
Niet doen dus.

Hieronder vind je een lijstje van de meest voorkomende infecties en hoe je ze kan verwijderen.

Dit verwijderen gebeurt echter steeds op eigen risico en ik wens erop te wijzen dat assistentie van
een gekwalificeerd helper steeds aangewezen is.

Wanneer je de richtlijnen hebt gevolgd en alles "lijkt" in orde te zijn, is het nog steeds een goed idee
om een Hijackthis log ter controle aan te bieden op een Hijackthis forum.

Vermeldt dan tevens wat je reeds hebt gedaan.

 

Voor alle procedures geldt:

Indien je Vista of Windows 7 hebt, steeds rechtsklikken en Uitvoeren als administrator kiezen.

 

Verwijder (Removal) Lijst

 

Verwijderen (removal) van Security Tool

INFO

Kenmerken in Hijackthis:

O4 - HKLM\..\Run: [5142550101] %UserProfile%\Application Data\5142550101\5142550101.exe
O4 - HKCU\..\Run: [Install] %UserProfile%\Application Data\5142550101\5142550101.bat

 

Bestanden die kunen aanwezig zijn:

%AppData%\5142550101
%AppData%\5142550101\5142550101.bat
%AppData%\5142550101\5142550101.cfg
%AppData%\5142550101\5142550101.exe
%UserProfile%\Desktop\Security Tool.lnk
%UserProfile%\Start Menu\Programs\Security Tool.lnk

 

Registerwaarden die kunnen aanwezig zijn:

HKEY_CURRENT_USER\Software\Security Tool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "5142550101"

 

Opmerking: De waarden/namen van bestanden en/of mappen zijn volledig random (=willekeurig)

Verwijder instructies

  1. Print deze instructies uit omdat we later alle vensters zullen moeten sluiten.
  2. De mogelijkheid bestaat, dat deze infectie je niet toelaat om tools te downloaden.
    In dat geval is het aangewezen om een tweede pc te gebruiken en de bestanden die we nodig
    hebben over te dragen via usb of CD/DVD.
  3. Download rkill.com naar je bureaublad.
  4. Omdat deze infectie het bureaublad kan verbergen, moeten we deze eerst terug te voorschijn halen:
  1. Je ziet nu een venster dat je bureaublad pictogrammen bevat, daar zou je ook rkill.com moeten tussen zien staan.
  2. Dubbelklik op rkill.com en laat het tool rustig zijn werk doen.
    Tijdens het uitvoeren van rkill.com kan er een melding tevoorschijn komen dat rkill.com een virus is.
    Klik niet op deze melding, sluit ze niet. Dit is een valse melding van Security Tools.
    Laat deze melding dus rustig staan en dubbelklik terug op rkill.com.
    Dit doe je totdat deze melding niet meer komt.
  3. Herstart je pc NIET nadat rkill.com zijn werk heeft gedaan.
  4. Download MBAM (de gratis versie) naar je bureaublad en hernoem mbam-setup.exe naar jouw_naam.exe.
 
  1. Download Hostsperm.bat naar je bureaublad en dubbelklik erop.
  2. Het tool gaat zéér snel te werk en je zal nu terug over je Hostfile kunnen beschikken.
  3. Vervolgens download je HostsXpert naar je bureaublad en start deze op.
  1. Verwijder de tools die we gebruikt hebben en herstart je PC.
  2. Einde.

Top

 

Verwijderen (removal) van Security Suit

INFO

Kenmerken in Hijackthis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522

O4 - HKLM\..\Run: [<random>] C:\Documents and Settings\Myself\Local Settings\Application Data\<random>\<random>shdw.exe

O4 - HKCU\..\Run: [<random>] C:\Documents and Settings\Myself\Local Settings\Application Data\<random>\<random>shdw.exe

 

Bestanden die kunen aanwezig zijn:

%UserProfile%\Local Settings\Application Data\<random>\
%UserProfile%\Local Settings\Application Data\<random>\<random>shdw.exe

 

Registerwaarden die kunnen aanwezig zijn:

HKEY_CURRENT_USER\Software\wnxmal
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter "Enabled" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyOverride" = ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:6522"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "%UserProfile%\Desktop\flash_player_installer\flash_player_installer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyEnable" ="1"

 

Verwijder instructies

Print deze instructies uit omdat we later alle vensters zullen moeten sluiten.

De mogelijkheid bestaat, dat deze infectie je niet toelaat om tools te downloaden.
In dat geval is het aangewezen om een tweede pc te gebruiken en de bestanden die we nodig
hebben over te dragen via usb of CD/DVD

  1. Herstart je pc in Veilige Modus met Netwerkondersteuning.
  2. Open Internet Explorer.
    • Ga naar Extra > Internetopties > Tabblad Verbindingen.
    • Klik op LAN-instellingen.
    • Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.
    • Onder Proxyserver mag er niets aangevinkt zijn.
    Sluiten door OK > Toepassen > OK
  3. Download rkill.com naar je bureaublad en dubbelklik erop. Dit zal de processen stoppen.
    Wees geduldig want dit kan een beetje tijd in beslag nemen.

    Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon. Het is namelijk een vals alarm van Security Suite.

    Wanneer je hiermee problemen blijft houden , download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.

    Herstart je PC niet na het uitvoeren van rkill.com !

  4. Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
  5. Dubbelklik op mbam-setup.exe om het programma te installeren.
    Zorg dat er na de installatie een vinkje is geplaatst bij:
  1. Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
  2. Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
  3. Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
  4. Ga naar het tabblad "Updates" en Update MBAM.
  5. Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".
  6. Druk vervolgens op "Scannen" om de scan te starten.
  7. Het scannen kan een tijdje duren, dus wees geduldig.
  8. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  9. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
  10. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
    Indien MBAM vraagt om een herstart, doe dit dan ook.

    Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.
  11. Deze infectie gaat gewoonlijk samen met een TDL3 infectie. Daarom zetten we TDDSKiller in.


    Download TDSSKiller en plaats het op je bureaublad.
    Pak de bestanden in tdsskiller.zip uit.
    Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
    Klik op de knop "Start Scan" en volg de instructies.

    Als er een Reboot (herstart) wordt gevraagt, dan klik je op Reboot Now.
    Anders klik je op Report.
    Kopiëer en bewaar de logfile die tevoorschijn komt.


    Opmerking:

    Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt
  12. Verwijder de tools die we gebruikt hebben en herstart je PC in Normale Modus.
  13. Einde

Top


 

Verwijderen (removal) van Think Point

INFO

Bestanden die kunen aanwezig zijn:

%UserProfile%\Application Data\completescan
%UserProfile%\Application Data\hotfix.exe
%UserProfile%\Application Data\install

 

Registerwaarden die kunnen aanwezig zijn:

HKCU\Software\Microsoft\Windows NT\CurrentConfiguration\Winlogon\\Shell = %AppData%\hotfix.exe

 

Verwijder instructies

De ThinkPoint infectie zal naar alle waarschijnlikheid toegang tot je bureaublad weigeren.

Wanneer dit het geval is, zal je de benodigde bestanden vanop een andere pc moeten downloaden en overzetten naar de geinfecteerde pc.
Wanneer je je pc opstart zal je waarschijnlijk onderstaand scherm te zien krijgen:

 

ThinkPoint

Klik op geen enkel knop !!!

 

Druk Ctrl+Alt+Delete tegelijkertijd om Taakbeheer te starten.
Druk op het Tabblad Processen.
Selecteer hier: hotfix.exe en klik op Proces beindigen.
Nogmaals bevestigen zal dit process eindigen.

Klik nu op het tabblad Toepassingen en vervolgens, rechtsonderaan op Nieuwe taak...
In het venstertje dat opengaat typ je nu: explorer.exe en vervolgens klik je op OK .

 

Taakbeheer

 

Je zou nu je Bureaublad moeten terug hebben.

 

Vervolgens download je Shell.reg naar je bureaublad.
Dubbelklik erop en laat toe dat het samengevoegd word.
(Heb je moeilijkheden met dit te downloaden, dan rechtsklik je erop en kies Opslaan als...)

Download rkill.com naar je bureaublad en dubbelklik erop.
Dit zal de processen stoppen. Wees geduldig want dit kan een beetje tijd in beslag nemen.
Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon.
Wanneer je echter blijft problemen hebben hiermee, download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.

ZEER BELANGRIJK !!!! Herstart je PC niet na het uitvoeren van rkill.com

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.

SLUIT ALLE PROGRAMMA'S !!

Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:

Klik daarna op Voltooien .
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Mocht MBAM vragen om te herstarten op dit punt, dan doe je dit NIET .

Zodra het programma gestart is, ga je naar het tabblad Instellingen.

Indien MBAM vraagt om een herstart, doe dit dan ook.

 

Top

 

Verwijderen van de rogue AVG Antivirus 2011

INFO (Skip INFO en ga naar Verwijderen)

De fake AVG

De echte AVG Antivirus 2011

AVG Real

 

Dit is een kwaaie in die zin dat het gemakkelijk kan verward worden met de legale AVG Antivirus 2011
(zie screenshots boven)

De legale AVG Anti-Virus Free Edition 2011 kan (moet) je hier vandaan downloaden.

Eerlijk gezegd raad ik aan om AVG niet te installeren en bievoorbeeld de gratis Avira Antivir in de plaats te installeren (zie MyTools of Tools bovenaan).

Gezien de perikelen van AVG de laatste tijd is dit zeker géén slechte keuze.

 

In Hijackthis kan je dit item zien

O4 - HKCU\..\Run: [AVG Antivirus 2011] C:\Program Files\AVG Antivirus 2011\avg.exe

 

Bestanden die kunnen aanwezig zijn:

c:\Documents and Settings\All Users\Start Menu\AVG Antivirus 2011\
c:\Documents and Settings\All Users\Start Menu\AVG Antivirus 2011\AVG Antivirus 2011.lnk
c:\Documents and Settings\All Users\Start Menu\AVG Antivirus 2011\Uninstall.lnk
c:\Program Files\AVG Antivirus 2011\
c:\Program Files\AVG Antivirus 2011\avg.exe
c:\WINDOWS\system32\iesafemode.exe
%UserProfile%\Desktop\AVG Antivirus 2011.lnk
%Temp%\OQ4C92F6.exe

 

Registersleutels die kunnen aanwezig zijn:

HKEY_CURRENT_USER\Software\A88246
HKEY_CURRENT_USER\Software\Mon246
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AVG Antivirus 2011" = 'C:\Program Files\AVG Antivirus 2011\avg.exe'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform "WinNT-A8I 28.01.2011"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe "Debugger" = 'iesafemode.exe -sb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe "Debugger" = 'iesafemode.exe -sb'

 

Verwijder (removal) AVG Antivirus 2011 (fake) instructies

  1. Herstart je pc in Veilige Modus met Netwerkondersteuning.
  2. Download rkill.com naar je bureaublad en dubbelklik erop. Dit zal de processen stoppen.
    Wees geduldig want dit kan een beetje tijd in beslag nemen.

    Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon. Het is namelijk een vals alarm van Security Suite.

    Wanneer je hiermee problemen blijft houden , download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.

    Herstart je PC niet na het uitvoeren van rkill.com !

  3. Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
    Dubbelklik op mbam-setup.exe om het programma te installeren.

    Zorg dat er na de installatie een vinkje is geplaatst bij:
    • Update MalwareBytes' Anti-Malware
    • Start MalwareBytes' Anti-Malware
    • Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
    • Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
    • Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
    • Ga naar het tabblad "Updates" en Update MBAM.
    • Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".
    • Druk vervolgens op "Scannen" om de scan te starten.
    • Het scannen kan een tijdje duren, dus wees geduldig.
    • Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
    • Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
    • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
    Indien MBAM vraagt om een herstart, doe dit dan ook.

    Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Top