Behandelmethode browser-hijacker Plus18Point

Behandelmethode browser-hijacker Plus18Point

Heb je last van een irritante, niet te veranderen startpagina, en wel "C:/Program Files/Plus18Point/Portal/portal.html"? Voer dan de volgende instructies uit om daar vanaf te komen.

• Voer allereerst de instructies uit die op deze pagina staan:
  http://home.filternet.nl/~hansp21/plus18point.html

Zoals ook op bovenstaande pagina staat:
Als het de eerste variant is, volg dan de instructies op die hier direct onder staan (onder "SRV.EXE"). Als het de tweede is, voer dan de instructies uit die aan het einde van deze post staan (na de scheiding, onder "SRV2.EXE"). Voor de nieuwe variant kijk je onder "INTL.EXE". Voor de huidige variant kijk je onder "INT1.EXE".

SRV.EXE

• Mocht u per ongeluk HijackThis afgesloten hebben, start deze dan opnieuw op. Vink de onderstaande aan in HijackThis (dus zoek ze op in HijackThis, en klik in het witte vakje voor de betreffende entry):
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  
  O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\srv.exe
  
• Start nu opnieuw op in veilige modus (Weet je niet hoe je dat moet doen? Kijk dan op deze pagina)
  
  Verwijder in veilige modus:
  C:\Program Files\Plus18Point << deze map
  C:\WINDOWS\System32\srv.exe << dit bestand
  
• Start hierna opnieuw op in normale modus. Ga naar Internet Explorer | Extra | Internet Opties, en stel de gewenste startpagina in.

================================================================================

SRV2.EXE

• Mocht je per ongeluk HijackThis afgesloten hebben, start deze dan opnieuw op. Vink de onderstaande aan in HijackThis (dus zoek ze op in HijackThis, en klik in het witte vakje voor de betreffende entry):
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  
  O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\srv2.exe
  
• Start nu opnieuw op in veilige modus (Weet je niet hoe je dat moet doen? Kijk dan op deze pagina)
  
  Verwijder in veilige modus:
  C:\Program Files\Plus18Point << deze map
  C:\WINDOWS\System32\srv2.exe << dit bestand
  
• Start hierna opnieuw op in normale modus. Ga naar Internet Explorer | Extra | Internet Opties, en stel de gewenste startpagina in.

================================================================================

INTL.EXE

• Mocht je per ongeluk HijackThis afgesloten hebben, start deze dan opnieuw op. Vink de onderstaande aan in HijackThis (dus zoek ze op in HijackThis, en klik in het witte vakje voor de betreffende entry):
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  
  O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\intl.exe
  
• Start nu opnieuw op in veilige modus (Weet je niet hoe je dat moet doen? Kijk dan op deze pagina)
  
  Verwijder in veilige modus:
  C:\Program Files\Plus18Point << deze map
  C:\WINDOWS\System32\intl.exe << dit bestand
  
• Start hierna opnieuw op in normale modus. Ga naar Internet Explorer | Extra | Internet Opties, en stel de gewenste startpagina in.

================================================================================

INT1.EXE

• Mocht je per ongeluk HijackThis afgesloten hebben, start deze dan opnieuw op. Vink de onderstaande aan in HijackThis (dus zoek ze op in HijackThis, en klik in het witte vakje voor de betreffende entry):
  
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
  
  O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\int1.exe
  
• Start nu opnieuw op in veilige modus (Weet je niet hoe je dat moet doen? Kijk dan op deze pagina)
  
  Verwijder in veilige modus:
  C:\Program Files\Plus18Point << deze map
  C:\WINDOWS\System32\int1.exe << dit bestand
  
• Start hierna opnieuw op in normale modus. Ga naar Internet Explorer | Extra | Internet Opties, en stel de gewenste startpagina in.

NOTE: Graag geen HijackThis logjes in deze topic plaatsen. Daar is DEZE pagina voor

Vragen of opmerkingen met betrekking tot de methode zelf zijn altijd welkom

Andere leden van dezelfde familie zijn: MS-Connect, StartPortal, QuickPage, NowOnline, FirstEnter en First2Enter.

Zie hier de verwijderinstructies voor alle familieleden (voor zover we die nu kennen): http://users.pandora.be/marcvn/spyware/1017921.htm

Zie ook de uitleg bij onze collega's van Beginnersweb.

Is het bekend welke websites de grootste kans geven dat je Plus18Point\ op je startpagina krijgt ?

Warez site's; site's met mensen (zoals buffy het zo leuk verwoordde) "mensen met amper kleding aan in rare houdingen", etc..

Naar mijn wete is er niet echt één site of zijn er een aantal site's.
In ieder geval zijn de site's die SpywareBlaster toevoegt aan je geblokkeerde lijst ook niet braaf.

Als iemand nog site's heeft die echt tricky zijn..

En gewoon goed op blijven letten he; niet zomaar yes/ja klikken om vd melding af te zijn.

Er is zojuist een nieuwe variant van Plus18Point gesignaleerd, en wel:

"O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\intl.exe "

Morgenochtend zullen de verwijder-instructies hier toegevoegd worden (aan de eerste post).

(Graag hier geen onzinnige reacties op als "Oh nee niet weer een nieuwe variant, en dergelijke)

Oh nee niet weer een nieuwe variant, en dergelijke


sorry

====
Zonder onzin:

Heb je ook een bron?

Op die fiets. Ik zag het zojuist.

En is dit al bekend bij "de grotere"?

Dus wat ook het allereerste inifiatief was van de HMTSO topics?

Op Beginnersweb (niet bepaald groot nee) werd ie ook gister gesignaleerd.

**** Er zijn opeens wat problemen met mijn site zie ik.... Ik kan niet eens meer inloggen op mijn eigen server >> foutmelding dat mijn inlog gegevens fout zijn???? Terwijl hij het met dezelfde gegevens hiervoor wel gedaan heeft :8-0:

//edit: Pfieeeew geluk bij ongeluk... hij doet het weer... snel al mijn pagina's backupppen voordat het weer gebeurd

>>> toegevoegd

:thumb: rogier