In dit artikel gaan we er vanuit dat de computer vrij is van actieve malware, indien u hier niet zeker van bent of de malware infectie niet verwijderd krijgt doorloop dan dit stappenplan en maak in het sub-forum "Infectie problemen (HijackThis logs)" >klik< een nieuw onderwerp aan met uw probleem.
1. Controleren van de netwerk (LAN) instellingen.
2. DNS instellingen controleren & DNS Flush
3. Windows 'Hosts' bestand controleren.
4. Geïnstalleerde toolbars / extensions / Plugins, add-ons & wijzigingen van uw browser controleren.
5. Scannen op Rootkits.
1.) Controleren van de netwerk (LAN) instellingen.
- Ga naar start>uitvoeren of type het volgende commando in het zoekvenster van het startmenu "inetcpl.cpl"
- Open het tabblad "Verbindingen (connections)"
- Klik nu op de knop "LAN instellingen (LAN settings)"
- Haal het vinkje weg bij de "Proxy server" indien aanwezig.
- Klik op "Ok" om het venster te sluiten
2.) DNS instellingen controleren.
Windows XP
- Ga naar start>instellingen>configuratiescherm>netwerkverbindingen.
- Klik met de rechtermuisknop op de LAN verbinding en kies "eigenschappen"
- Selecteer de optie "Internet Protocol Versie 4 (TCP/Ipv4) en klik op de knop "eigenschappen"
- Verwijder hier de eventueel gewijzigde DNS gegevens en of stel de juiste DNS gegevens van de ISP (Internet Service Provider) in .
Windows Vista & 7
- Ga naar start>Configuratiescherm>Netwerk en internet>Netwerkcentrum>Adapter instellingen wijzigen.
- Klik met de rechtermuisknop op de LAN verbinding en kies "eigenschappen"
- Selecteer de optie "Internet Protocol Versie 4 (TCP/Ipv4) en klik op de knop "eigenschappen"
- Verwijder hier de eventueel gewijzigde DNS gegevens en of stel de juiste DNS gegevens van de ISP (Internet Service Provider) in .
- Ga naar start>uitvoeren of type het volgende commando in het zoekvenster van het startmenu CMD
- Typ in het zwarte scherm het volgende: ipconfig /flushdns gevolgd door enter.
3.) Windows 'Hosts' bestand controleren.
Windows XP verborgen mappen en bestanden weergeven.
- Open de verkenner ("Deze Computer") en kies Extra -> Mapopties...
- Controleer onder Weergave de volgende instellingen:
- Vink de onderstaande opties uit.
- Beveiligde besturingssysteembestanden verbergen (aanbevolen).
- Extensies voor bekende bestandstypen verbergen
- Vink de onderstaande opties aan.
- De inhoud van systeemmappen weergeven.
- Verborgen bestanden en mappen weergeven
- Klik nu op "toepassen" en "ok"
- Ga naar start>computer en klik in de menubalk op "organiseren"
- kies hier de optie "map en zoek opties" en klik op het tabblad "weergave"
- Haal nu het vinkje weg bij "Extensies voor bekende bestandstypen verbergen"
- Selecteer bij "verborgen bestanden en mappen" de optie "verborgen bestanden en mappen weergeven"
- Klik nu op "toepassen" en "ok"
- Navigeer naar C:\WINDOWS\system32\drivers\etc.
- Open het hosts bestand met "Kladblok" (Het klopt dat dit bestand geen extensie heeft.)
- Het originele "hosts bestand" van Windows hoort eruit te zien zoals op onderstaande afbeelding.
- Indien het "hosts bestand" bijvoorbeeld een reeks van de onderstaande regels heeft is dit niet in orde.
- 76.10.214.106 http://www.citibank.com.br" onclick="window.open(this.href);return false;
76.10.214.106 citibank.com.br
76.10.214.106 hxxp://www.citibank.com" onclick="window.open(this.href);return false;
95.154.237.107 hxxp://www.google.com.tr" onclick="window.open(this.href);return false;
95.154.237.107 hxxp://www.google.ca" onclick="window.open(this.href);return false;
95.154.237.107 hxxp://www.google.com.br" onclick="window.open(this.href);return false;
95.154.237.107 hxxp://www.google.com.ar" onclick="window.open(this.href);return false;
95.154.237.107 hxxp://www.google.com.my" onclick="window.open(this.href);return false;
- 76.10.214.106 http://www.citibank.com.br" onclick="window.open(this.href);return false;
- Met het programma "HostsXpert" kan het originele "hosts" bestand van Windows hersteld worden.
HostsXpert Foutmeldingen. **Hosts bestand herstellen**
1. Start Malwarebytes en klik op tabblad Meer functies tab
Klik hier op Fileassasin starten
Daarna zal een nieuw venster openen
Kopieer en plak het volgende in het veld bij bestandsnaam :
C:\WINDOWS\system32\drivers\etc\hosts
Klik daarna op openen en kies voor JA om het Hosts bestand te verwijderen. 2. Download HostsXpert
Unzip het programma naar je Bureaublad.
Open de map en dubbelklik op Hoster.exe
Klik op "Restore Microsofts Original Hosts File"
Klik op "OK" en sluit het programma.
4.) Geïnstalleerde toolbars / extensions / Plugins & add-ons van uw browser controleren.
Internet Explorer
- Ga naar extra>Invoegtoepassingen beheren (tools->Manage Add-ons)
- Verwijder hier alles dubieuze "toolbars" en "zoekmachines" (Toolbars en Search Providers)
- Verwijder via software de installaties hiervan indien aanwezig.
- Ga naar extra>Add-ons.
- Verwijder hier alle dubieuze "Extensies" en "Add-ons"
- Verwijder via software de installaties hiervan indien aanwezig.
In Firefox blijven na het verwijderen van toolbars zoals MyWebSearch / FunWebProducts nog resten achter waardoor u nog steeds die vervelende startpagina heeft.
De onderstaande DDS regels zijn een voorbeeld van MyWebSearch in Firefox
================= FIREFOX ===================
FF - prefs.js: browser.startup.homepage - hxxp://home.mywebsearch.com/index.jhtml?n=77C09F4F&ptnrS=GRxdm057YYDE&ptb=nw7XyM1DQ08CWXao5qXgAw" onclick="window.open(this.href);return false;
FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm057YYDE&ptb=nw7XyM1DQ08CWXao5qXgAw&psa=&ind=2010103002&ptnrS=GRxdm057YYDE&si=26370&st=kwd&n=77cfbcda&searchfor=" onclick="window.open(this.href);return false;
Start Firefox en type in de adresbalk about:plugins
Klik op de knop 'ik zal voorzichtig zijn, dat beloof ik'.
Kijk of er iets van MyWebSearch aanwezig is.
Via Extra > Add-ons tabblad Plugins kan je MyWebSearch verwijderen. Type nu in de adresbalk about:config
Klik op de knop 'ik zal voorzichtig zijn, dat beloof ik'. Navigeer naar "browser.startup.homepage" en dubbelklik op dit item en geef hier de volgende (vetgedrukte) waarde op.
- resource:/browserconfig.properties
Aanwezige mappen en bestanden verwijderen.
De onderstaande mappen zijn gewoon via de verkenner te verwijderen.
C:\Program Files\FunWebProducts
C:\Program Files\MyWebSearch
Andere resten die DDS bijvoorbeeld laat zien zijn de bestanden die behoren tot de plugin.
================= FIREFOX ===================
FF - plugin: c:\program files\mozilla firefox\plugins\npclntax_HotbarSA.dll
Dit soort bestanden zijn vaak niet te verwijderen omdat deze nog actief zijn, om deze te deregistreren voert u het onderstaande uit.
Ga naar start>uitvoeren en type het commando CMD
Geef nu de exacte path op plus de bestandsnaam [path] regsvr32 /u [bestandsnaam]
- C:\program files\mozilla firefox\plugins\ regsvr32 /u npclntax_HotbarSA.dll
5.) Scannen op Rootkits.
Nota::
Indien u geen ervaring heeft bij het verwijderen van "Rootkits" en of het gebruik van dit soort tools kunt u beter uw probleem / vraag op het forum stellen in het sub-forum "Infectie problemen (HijackThis logs)" >klik< en hier nieuw onderwerp aanmaken met uw probleem.
Meer informatie over "rootkits" zoals TDSS, TDL3, TDL4, Alureon leest u hier.
Met bijvoorbeeld het programma TDSSkiller van Kaspersky kunnen "Rootkits" verwijderd worden, maar zoals eerder vermeld kunt u beter eerst uw probleem voorleggen op het forum voordat u dit soort 'tools' gebruikt, zeker als u hier geen ervaring mee heeft.
Rootkit infectie (voorbeeld) Gebruik TDSSKiller
Download TDSSKiller en plaats het op je bureaublad.
- Pak de bestanden in tdsskiller.zip uit.
- Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
- Klik op de knop "Start Scan" en volg de instructies.
- Wanneer de scan klaar is klik je op de knop "Report".
- Er opent een kladblokbestand. Post de inhoud van dit bestand.