Haxfix Version 5.0.17

Version 5.017
2008 09 11

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMedia16"="wmedia16.exe"

%windir%\system32\wmedia16.exe
%windir%\wmedia16.exe


Use haxfix to remove this infection.
Removalinstructions for this infection, you can find here or here.

Haxfix Version 5.0.16

Version 5.016
2008 09 10

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hinet
hinet.dll
ddram.sys


Use haxfix to remove this infection.
Removalinstructions for this infection, you can find here or here.

Haxfix version 5.0.15

Version 5.015
2008 09 07

Added:
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\spndt.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\spndt.sys]


Fixed a bug with some of the newer goldunvariants that use the notifykey.
Sometimes this notifykey is hidden.


Added detection for these browser helper objects:
{92617934-9abc-def0-0fed-fad682644311}
{68397934-9abc-def0-0fed-fad682644311}
{61468245-A343-CF27-3452-44DF4679BDF1}
{56262124-6251-5625-3072-548536364311}
{46278903-5678-2464-3452-545679092D31}
{68363724-9ABC-DEF0-0FED-FAD682644311}
{92617934-9ABC-DEF0-0FED-FAD48C654321}
{5240864B-FDFE-4563-3514-463926792311}
{13146842-6251-5625-3072-548536364311}
{62457936-6381-6170-3572-468926792311}
{5FCA4D4F-CBDD-4263-3814-463926792311}
{65194BCE-CBDD-4263-3814-463926792311}
{BCD2AF6E-4271-6572-6429-A63F26792311}
{80523A67-ABCD-CF37-3352-54DF4479BDF1}
{4A26217C-5521-3459-2345-AB36721975AF}
{78934132-3451-67A2-8919-678931572311}
{7548953E-4371-6552-6419-A43F26792311}
{73468251-2534-8760-3685-423479197575}
{81463526-1357-4638-2418-538263794561}
{0033669F-AADD-AA59-AA7D-AA4B78888000}
{00534B55-3155-CA4F-B41D-0E922121D03C}
{92617934-9ABC-DEF0-0FED-FAD48C654321}
{00534B55-3155-CA4F-B41D-0E922121D03C}
{BF468356-BB7E-42D7-9F15-4F3B9BCFCED2}
{DABCE839-3831-3818-AF3A-3837BCD324D2}
{DABCE839-3831-3818-AF3A-47D47A738D32}
{DABFC839-F831-3D1A-A33A-A7D4BA7C8D3D}
{0000AC13-3487-1583-C4BE-BE6A839DB000}
{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8}

Haxfix deletes the clsid and the file.


Added detection for goldunvariants that use the appinitkey.
Detection is done by MD5 check: 21 different MD5's at this moment.

Matching files that are not detected by MD5 check, will be enumerated.
May I ask you to upload these file in my bleeping channel: http://www.bleepingcomputer.com/submit-malware.php?channel=11


Use haxfix to remove this infection.
Removalinstructions for this infection, you can find here or here.

Haxfix Version 5.0.14

Version 5.014
2008 08 30

Files:
berzk.dll
core3.sys
irptp.sys
meth.bin
meth.plg
powerxt.dll
spndt.sys
xatcore.dll

Notifykeys:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\powerxt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xatcore

Services:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\core3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irptp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spndt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\core3.sys


Use haxfix to remove this infection.
Removalinstructions for this infection, you can find here or here.

Haxfix version 5.0.13

Version 5.013
2008 08 26

Files:
windows\servicez.exe
windows\nvchost.exe
windows\winlogon.exe
system32\alog.txt
system32\crypto64.dll
system32\csrcli32.dll
system32\dpl.txt
%System%\info.txt
system32\NGIX.bin
system32\ntld.bin
system32\preved.bat
system32\ps1.dat
system32\rc.dat
system32\rdata.bin
system32\rhs.bin
system32\scrcwi32.dll
system32\sms.bat
system32\sys32time.dll
system32\winsms.bat
system32\winsms.dll
system32\cryptmd5.dll
system32\datcom.dll
system32\datmps.dll
system32\droute.dll
system32\dwave.sys
system32\dx9sr.sys
system32\emulx86.sys
system32\hdtvu6.dll
system32\hooka.sys
system32\ke64boot.dll
system32\kteproc.sys
system32\mcrwave.dll
system32\necsopp.sys
system32\nkudpn1.sys
system32\pcixm.sys
system32\pcixmm.dll
system32\pemulx86.dll
system32\routew.dll
system32\rotw.sys
system32\stfilter.dll
system32\syncm.sys
system32\syslink.dll
system32\tehlink0.dll
system32\tehlink5.sys
system32\wlite.sys

Notifykeys:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptmd5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datcom
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\droute
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hdtvu6
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ke64boot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcrwave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pcixmm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pemulx86
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\routew
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\stfilter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\syslink
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tehlink0

Services:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dwave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dx9sr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\emulx86
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hooka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kteproc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\necsopp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nkudpn1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcixm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rotr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rotw
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\syncm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tehlink5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wlite


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\syncm.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\syncm.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wlite.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wlite.sys

Runkeys:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nvchost"
"winlogon"
"Windows Services"
"KIT3"


Use haxfix to remove this infection.
Removalinstructions for this infection, you can find here or here.

Niets voor niets!

Veel computergebruikers maken gebruik van cracks, patches of keygenerators om dat ene progje waar men niet wil voor betalen, toch maar werkend te krijgen.
Niets voor niets, is ook hier de boodschap.

De meeste trucjes die 'gratis' verkrijgbaar zijn op het internet om niet-gratis software toch werkend te krijgen zijn, zijn helemaal niet gratis. Zonder medeweten van de gebruiker wordt immers malware mee op de computer geïnstalleerd.
Malware die weer andere malware downloadt en installeert.
Malware die je de nodige problemen bezorgd onder de vorm van ongevraagde advertenties.
Deze advertenties zijn vaak vervelend, ze duiken te pas en te onpas op.
Zoekmachines geven niet meer de gewenste zoekresultaten.
Allemaal geen onoverkomelijke problemen, sommigen kunnen er mee leven, anderen niet.
Malware is vaak ook slecht geprogrammeerd, en kan de computer onstabiel en traag maken: de computer is nog nauwelijks werkbaar.
Een hoge prijs die je betaalt om dat ene programma waar je niet wenst voor te betalen toch werkend te krijgen.
De problemen laten oplossen door het computerwinkeltje om de hoek, kost je vaak een aardige duit. Vaak meer dan indien je het programma wat je illegaal wenste te gebruiken, toch zou kopen.


Nog niet overtuigd?
Met de eerder genoemde nevenwerkingen van cracks en keygenerators houdt het vaak niet op.
De tijd dat malwaremakers je alleen maar brachten naar 'hun favoriete' websites is al lang voorbij.
Indien jouw computer geïnfecteerd is met malware, kan afhankelijk van de infectie, deze ingezet worden in botnetwerken. Je computer kan onder meer gebruikt worden voor het het uitvoeren van DDos aanvallen, of voor het versturen van (massa's) hoeveelheden spam.
Anderen hebben meer controle over de computer dan jij zelf...
Ook kan bepaalde malware zich doorsturen naar jouw contactpersonen die jij dan ook weer de nodige problemen bezorgt.

Malwaremakers willen echter nog meer.
Men is uit op jouw persoonlijke informatie, jouw gegevens die je op het internet gebruikt om bijvoorbeeld te internetbankieren.
Op diverse manieren probeert men deze informatie van jou te achterhalen en de methoden die men hiervoor gebruikt gaan ver, heel ver.
Doe je niet aan internetbankieren op deze computer, maar misschien wel op een andere computer in het netwerk, geen probleem hoor. De malware kan zich via je netwerk of via draagbare media ook op andere computers nestelen.


Dit hele verhaal draait om geld.
Geld dat jij niet wil betalen voor bepaalde software. De andere kant van het verhaal draait ook om geld. Men wil je producten laten kopen, door je verleidelijke advertenties te tonen en in het slechtste geval wil men jouw bankgegevens om geld te halen van jouw bankrekening...


Het gebruik van illegale verkregen software zorgt altijd voor problemen.
Niet alleen voor jou, maar ook voor andere gebruikers van het internet.
Jij als medegebruiker hebt ook je verantwoordelijkheden om het World Wide Web leefbaar te houden en om de verspreiding van malware tegen te gaan.


Gebruik van illegaal verkregen software is niet netjes tegenover de makers van deze programma's. Zij steken er tijd en geld in om deze software te ontwikkelen, en daar mag best wat tegenover staan.
Wens je toch niet te betalen voor software, zoek dan naar gratis alternatieven, want die zijn er echt wel.

Gebruik van legaal verkregen software, kan je veel problemen besparen!

Haxfix version 5.0.12

2008 07 10
Version 5.0.12
O20 - Winlogon Notify: lstream - C:\WINDOWS\SYSTEM32\lstream.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lstream
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fsxxd
XD FileSystemDriver: \??\C:\WINDOWS\System32\fsxxd.sys (system)
lstream.dll
fsxxd.sys


Use haxfix to remove this infection.
Removalinstructions for this infection, you can find here or here.