User Tools

Site Tools


wiki:virussen_spyware_malware:windows_recovery

Windows Recovery

Deze pagina beschrijft het verwijderen van de Windows Recovery malware/scareware.

Processen beëindigen

Voordat Windows Recovery verwijderd kan worden moet de bijbehorende processen worden beëindigd. Download de applicatie RKill en start deze.

Automatisch verwijderen met Malware Bytes

Download en installeer Malware Bytes en verwijder alle bestanden en registersleutels die worden gevonden.

Handmatig verwijderen

Verwijder de onderstaande bestanden en register sleutels:

Windows Vista & 7

  • %AllUsersProfile%\~<random>
  • %AllUsersProfile%\~<random>r
  • %AllUsersProfile%\<random>.dll
  • %AllUsersProfile%\<random>.exe
  • %AllUsersProfile%\<random>
  • %AllUsersProfile%\<random>.exe
  • %UserProfile%\Desktop\Windows Recovery.lnk
  • %UserProfile%\Start Menu\Programs\Windows Recovery\
  • %UserProfile%\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk
  • %UserProfile%\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk

Windows XP

  • %AllUsersProfile%\Application Data\~<random>
  • %AllUsersProfile%\Application Data\~<random>r
  • %AllUsersProfile%\Application Data\<random>.dll
  • %AllUsersProfile%\Application Data\<random>.exe
  • %AllUsersProfile%\Application Data\<random>
  • %AllUsersProfile%\Application Data\<random>.exe
  • %UserProfile%\Desktop\Windows Recovery.lnk
  • %UserProfile%\Start Menu\Programs\Windows Recovery\
  • %UserProfile%\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk
  • %UserProfile%\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk

Register sleutels

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “<random>.exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “<random>”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = '0'
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnonBadCertRecving” = '0'
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallPaper” = '1'
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = '/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:'
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = '1'
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = '1'
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system “DisableTaskMgr” = '1'
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = 'no'
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “Use FormSuggest” = 'yes'
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “Hidden” = '0'
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “ShowSuperHidden” = 0'

Verborgen bestanden herstellen

Als alle bestanden verborgen zijn kan dit hersteld worden met het programma Unhide.

Of doe dit handmatig met het commando attrib vanaf de commandline:

attrib -h -r c:\* /S /D

Meer informatie

wiki/virussen_spyware_malware/windows_recovery.txt · Last modified: 2014/08/14 15:21 by jboelen