Sinds vandaag de pc van m'n ouders dan maar eens opschonen want het was nu echt goed raak. Popups werden eindeloos geopend, en als die pc van m'n ouders aanstond kon de rest in huis niet meer internetten! Ik heb al een vrij lange tijd ervaring in het verwijderen van spyware omdat er zoveel familie/buren/vrienden zijn die iedere keer weer hetzelfde gezeik hebben en iedere keer weer word je er doodmoe van. Ik heb gaandeweg behoorlijk wat truukjes geleerd, maar ik kom er deze keer echt niet uit. Wat ik heb gedaan:
Ik ben begonnen met Ad-Aware, deze uiteraard geupdate, en een scan laten doen. Alles verwijderd en pc opnieuw opgestart en de resterende geinfecteerde files laten verwijderen. Dan is het haast nooit klaar, dus ik Spybot: S&D gebruikt, ook deze geupdate, en hij vond nogal wat. Allerlei Coolwebsearch varianten en die samen met de rest allemaal verwijderd. Nog steeds hoop gezeik als ik weer terugkwam in windows. Aangezien ik nogal wat CWS varianten zag ben ik CWShredder erop los gaan laten, en uiteraard ook deze geupdate (hoewel ik het idee heb dat deze de laatste tijd nauwelijks geupdate wordt). CWShredder vond bijzar genoeg niets, en dat was dan ook einde verhaal. Mijn laatste hoop was HijackThis, ook meteen de nieuwste versie gedownload.
En toen kwam het gezeik. HijackThis vond verschillende hits, maar enkele keren steeds weer terug. Dit zijn 2 'simpele' value's voor iets van "Favorite Search Page = ...." maar die blijft leeg, daar was ik al blij mee (al keerd die wel steeds terug). Tevens komt er een netwerk bestandje terug (Network Service) welke als bestandsnaam de naam sysgf32.exe heeft. Ook deze keert steeds terug. Het ergste dan is dat er nog een BLO file is, die steeds een _random_ .dll file genereerd. Normaal gesproken als steeds zo'n file terugkeerd (en HijackThis hem dus niet kan verwijderen) boot ik in veilige modus, en ga daar files verwijderen als administrator (zodat files die je in windows niet kunt verwijderen, nu wel weg gaan). Bij een hoop dingen is dit nu gelukt, maar bij de file sysgf32.exe lukt dit niet, en ik denk dat nét dit NT bestandje samen met de random .dll file ervoor zorgen dat HijackThis steeds dingen blijft terugvinden.
Daarvoor ben ik toen dus aan het zoeken gegaan hier @ GoT en las in een topic waar wel enkele dingen terugkwamen die ook ik heb, en kwam zo bij het programmatje About:Buster. Programma nog nooit gezien maar deed z'n werk goed en vond een hele lijst met verkeerde data streams, die die allemaal netjes kon verwijderen.
Als laatste dus de feiten: Zogoed als alles is clean nu (ad-aware vindt niets) maar een paar dingen blijven steeds terugkomen:
- SpyBot: S&D geeft steeds 1 CoolWWWSearch variant: CoolWWWSearch.aff.Winshaw en Startpagge-EH als entry
- HijackThis geeft steeds een random .ddl file en het NT service bestand sysgf32.dll tevens vindt het URLSearchHook.Atlp2
- Tevens geeft About:Buster telkens één data stream: zgcuo.dat:zgrpj
Ik weet nu echt niet hoe het weg te krijgen behalve een format maar dat is niet de bedoeling! Iemand ideeen?
Ik ben begonnen met Ad-Aware, deze uiteraard geupdate, en een scan laten doen. Alles verwijderd en pc opnieuw opgestart en de resterende geinfecteerde files laten verwijderen. Dan is het haast nooit klaar, dus ik Spybot: S&D gebruikt, ook deze geupdate, en hij vond nogal wat. Allerlei Coolwebsearch varianten en die samen met de rest allemaal verwijderd. Nog steeds hoop gezeik als ik weer terugkwam in windows. Aangezien ik nogal wat CWS varianten zag ben ik CWShredder erop los gaan laten, en uiteraard ook deze geupdate (hoewel ik het idee heb dat deze de laatste tijd nauwelijks geupdate wordt). CWShredder vond bijzar genoeg niets, en dat was dan ook einde verhaal. Mijn laatste hoop was HijackThis, ook meteen de nieuwste versie gedownload.
En toen kwam het gezeik. HijackThis vond verschillende hits, maar enkele keren steeds weer terug. Dit zijn 2 'simpele' value's voor iets van "Favorite Search Page = ...." maar die blijft leeg, daar was ik al blij mee (al keerd die wel steeds terug). Tevens komt er een netwerk bestandje terug (Network Service) welke als bestandsnaam de naam sysgf32.exe heeft. Ook deze keert steeds terug. Het ergste dan is dat er nog een BLO file is, die steeds een _random_ .dll file genereerd. Normaal gesproken als steeds zo'n file terugkeerd (en HijackThis hem dus niet kan verwijderen) boot ik in veilige modus, en ga daar files verwijderen als administrator (zodat files die je in windows niet kunt verwijderen, nu wel weg gaan). Bij een hoop dingen is dit nu gelukt, maar bij de file sysgf32.exe lukt dit niet, en ik denk dat nét dit NT bestandje samen met de random .dll file ervoor zorgen dat HijackThis steeds dingen blijft terugvinden.
Daarvoor ben ik toen dus aan het zoeken gegaan hier @ GoT en las in een topic waar wel enkele dingen terugkwamen die ook ik heb, en kwam zo bij het programmatje About:Buster. Programma nog nooit gezien maar deed z'n werk goed en vond een hele lijst met verkeerde data streams, die die allemaal netjes kon verwijderen.
Als laatste dus de feiten: Zogoed als alles is clean nu (ad-aware vindt niets) maar een paar dingen blijven steeds terugkomen:
- SpyBot: S&D geeft steeds 1 CoolWWWSearch variant: CoolWWWSearch.aff.Winshaw en Startpagge-EH als entry
- HijackThis geeft steeds een random .ddl file en het NT service bestand sysgf32.dll tevens vindt het URLSearchHook.Atlp2
- Tevens geeft About:Buster telkens één data stream: zgcuo.dat:zgrpj
Ik weet nu echt niet hoe het weg te krijgen behalve een format maar dat is niet de bedoeling! Iemand ideeen?
[ Voor 4% gewijzigd door Niles op 31-03-2005 22:40 ]
/u/18178/logo-60x60.png?f=community){kind=logo}
/u/25808/avatar_60.png?f=community){kind=avatar}