SpySheriff / Smitfraud / Quicknavigate / Virtual Maid Malware /SpyAxe
İnfeksiyon masaüstünüzü değiştirir ve bir antispyware kullanmanız için sizi uyarır.
Öncelikle
BİLİNEN HİÇ BİR ANTIVIRUS/SPY/MALWARE PROGRAMI henüz bu belayı temizlememektedir.
Smitfraud Masa üstü görüntüsü
SpySheriff Masaüstü GörüntüsüGEREKEN ARAÇLAR: •
HijackThis •
Smitfraud.reg •
Cleanup! •
Ewido Security Suite •
http://www.pandasoftware.com/activescan/Temizlik Yöntemi: 1. PC’yi açıp-kapatmanız gerekeceğinden bu açıklamaları yazdırın.
2. HijackThis’i çekin ve zip dosyasını c:\hijackthis klasörü içine açın, ancak henüz kullanmayın.
3.
smitRem.exe dosyasını çekin ve masa üstüne kaydedin.
4. Dosyaya çift tıklayıp c:\smitrem içine açın.
5. Masaüstüne Panda ActiveScan için bir kısayol yerleştirin.
6. Ewido Security Suite’i buradan çekin:
http://www.ewido.net/en/download/7. Ewido’yu kurun.
8. Ewido’yu çalıştırıp UPDATE edin. Henüz tarama (scan) yapmayın.
9. Yüklü değil ise Ad-Aware SE 1.06 çekip yükleyin, güncelleyin. Henüz tarama yaptırmayın
10. Bilgisayarı güvenli moda başlatın. Bunun için PC açılırken F8 tuşuna Windows ikonu çıkmadan peşpeşe basın. Çıkan menüden güvenli modu seçin.
11. Masa üstü açıldığında bütün açık pencereleri kapatın.
12. Bilgisayarımdan
C:\HijackThis klasörüne gidin ve
HijackThis.exe yi çalıştırın.
13. Program başladığında
Scan tuşuna basın. Eğer varsa aşağıdaki listede gördüğünüz her girdinin yanına işaret koyun:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http:://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =http:://www.quicknavigate.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http:://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:://www.startsearches.net/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp6DD8.tmp
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe
O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\ZLOADER3.EXE
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKLM\..\Run: [AntivirusGold] C:\Program Files\AntivirusGold\AntivirusGold.exe /h
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\hookdump.exe
O4 - HKLM\..\Run: [AdwareDelete] C:\Program Files\AdwareDelete\adwaredelete.exe /h
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
O9 - Extra button: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra button: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll (HKCU)
14. İşaretleme bitince
Fix düğmesine tıklayın ve programı kapatın.
15.
c:\smitrem klasörüne gidin ve
RunThis.bat çalıştırın.
16. Ekrandaki yönergeleri izleyip programın işini bitirmesini bekleyin.
17. Program bittiğinde
C: kök dizininde “
smitfiles.txt” isimli bir kütük dosyası oluşturacak, bu dosyayı inceleyerek temizliğin yapıldığını görebilirsiniz.
18. Ad-aware tarama yaptırıp bulduklarını temizletin.
19. Ewido’yu çalıştırıp
scan tuşuna tıklayın. Ewido bazı sağlam dosyaları zararlı olarak bildirebilmektedir. (P2P gibi) Bu yüzden temizlemeyi tek tek yapın. Eğer sorunsuz olduğunu bildiğiniz bir dosyayı bildirirse işlem olarak “
none” seçin. "
Perform action on all infections" seçmeyin. İşlem bitince Ewido’yu kapatın.
20. Denetim Masası>Görüntü > Masaüstü > Masaüstünü Özelleştir > Web > Güvenlik Bilgisi işaretli ise işareti kaldırın.
21. Windows’u yeniden başlatın, Panda ActiveScan tıklayıp full system scan yapın.
NOT: Panda, Ewido ve Ad-Aware temizlik işlemi için şart değildir, ancak kullanılırsa iyi olur.Artık Smitfraud bulaşığından kurtulmuş olmalısınız.
SPYSHERIFF ALTERNATİF TEMİZLİK YÖNTEMİ1. Bu yönergeleri yazdırın.
2.
CleanUp! Çekip yükleyin ama çalıştırmayın.
*NOT* Cleanup
temp/temporary klasörlerindeki her şeyi siler ve yedek almaz!
3. Yukarıda anlatıldığı gibi Ewido Security Suite çekip yükleyin, çalıştırın, UPDATE tuşuna tıklayıp güncelleyin.
4. Güncelleme bitince programdan çıkın.
5. Yukarıda anlatıldığı gibi “GÜVENLİ MODDA PC’yi açın.
6. Cleanup! Programını çift tıklayıp çalıştırın, programı şu şekilde ayarlayın:
A. Options... tıklayın
B. Custom CleanUp! Gelin.
C. Aşağıdakilerin yanını işaretleyin:
Empty Recycle Bins
Delete Cookies
Delete Prefetch files
Scan local drives for temporary files
Cleanup! All Users
D. OK tıklayın
E. CleanUp! Tuşuna tıklayıp programı başlatın!
7. Cleanup! bitince Ewido Security Suite ‘i çalıştırın, taratın, temizleyin. (Yukarıda var)
8. İşlem bitince PC’yi normal olarak başlatın.
9. Başlat> Denetim Masası> Program Ekle/Kaldır.
10. SpySheriff programını kaldırın.
11.
Aşağıdaki klasörler ve dosyalar varsa silin:
C:\Documents and Settings\
kullanıcı\Start Menu\Programs\
SpySheriff <-Tüm klasör
C:\Documents and Settings\
kullanıcı\Application Data\Install.dat
C:\Program Files\
SpySheriff <-Tüm Klasör
C:\Windows\
Desktop.htmlC:\
winstall.exeC:\Program Files\
Daily Weather Forecast\*NOT* KULLANICI klasörün gerçek adı değildir. Kullandığınız profil ismidir. 12. Yukarıdaki gibi HijackThis çekip yükleyin.
13. Internet bağlantınızı kesin, tüm açık programları ve pencereleri kapatın.. HijackThis çalıştırıp Scan tuşuna basın. Aşağıdakilerden bulunan olursa yanına işaret koyup FIX CHECKED tıklayın.
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
14. HiJackThis kapatın
15. smitfraud reg dosyasını çekip masaüstünüze kaydedin.
16. smitfraud.reg dosyasına çift tıklayıp soruya EVET/YES yanıtı verin.
17. İşlem bitince aşağıdaki klasöre gidin:
C:\Windows\Prefetch18. Prefetch klasöründe dosya varsa HEPSİNİ silin. (Klasörün kendini silmeyin.. sadece dosyaları...)
19. Bilgisayarı yeniden Başlatın..
20. Evet, sonunda bitti...
www.bleepingcomputer.com/forums dan çeşitli kısımlardan derlenmiştir.
SPYAXE temizliği biraz daha farklı olmakla birlikte 1. yöntemle temizlenir