Spyware niet weg te krijgen* - Privacy en beveiliging

donderdag 22 april 2004 14:53

Acties:

Verwijderd

Topicstarter

In het verleden wel eens last gehad van spysoftware: Foute werkbalken: Tot nu loste spybot en adaware deze problemen op.

Nu echter heb ik nog steeds spy software in mijn Windows XP Home editie (OEM) zitten. De volgende progjes geprobeerd: spybot,adaware,noadware,hijackthis, winsockxpfix en startuplist. Tot nu toe zonder resultaat.

Ik heb niet moeilijk gedaan en alle sleutels door de diverse tools laten verwijderen. Met als resultaat dat ik de sleutels van NAV verwijderd heb in mijn opstartmenu. Niet slim dat weet ik zelf ook. Alle foute werkbalken zijn inmiddels verwijderd, maar toch zit mijn systeem vol met spyware.

Een paar voorbeelden: *http://nkvd.us/1507/ *http://searchpage.cc/1507/

Hijackthis verwijderd de sleutels, maar na het opnieuw openen van IE keren ze direct terug.

Bij deze stuur ik mijn hijack-log:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Internet Explorer\iexplore.exe
I:\Spy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bnalaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/
O2 - BHO: (no name) - {6239F7C1-A9C2-4BC0-8439-643B5D33E6B6} - C:\WINDOWS\System32\bnalaa.dll
O13 - DefaultPrefix: http://www.nkvd.us/1507/
O13 - WWW Prefix: http://www.nkvd.us/1507/
O13 - Home Prefix: http://www.nkvd.us/1507/
O13 - Mosaic Prefix: http://www.nkvd.us/1507/

Zelf denk ik aan opnieuw installeren, hoewel dat wel de weg van de minste weerstand is.

Heeft iemand nog een andere oplossing voor me?

donderdag 22 april 2004 14:58

Acties:

pasta

Ondertitel

code:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bnalaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/
O2 - BHO: (no name) - {6239F7C1-A9C2-4BC0-8439-643B5D33E6B6} - C:\WINDOWS\System32\bnalaa.dll
O13 - DefaultPrefix: http://www.nkvd.us/1507/
O13 - WWW Prefix: http://www.nkvd.us/1507/
O13 - Home Prefix: http://www.nkvd.us/1507/
O13 - Mosaic Prefix: http://www.nkvd.us/1507/

Kan allemaal verwijderd worden.

Overigens, heb je enig idee wat

code:

1	C:\WINDOWS\system32\slserv.exe

code:

1	C:\Apps\ActivBoard\nhksrv.exe

doen? Ik kan er niks op google over vinden.

[ Voor 6% gewijzigd door pasta op 22-04-2004 14:59 ]

Signature

donderdag 22 april 2004 15:02

Acties:

Spider.007

* Tetragrammaton

Aan de topictitel te zien past deze beter in BV

SA > BV

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

donderdag 22 april 2004 15:06

Acties:

Verwijderd

Topicstarter

pastapappie.NET; Reactie op je vragen: Activ Board is software voor multimediatoetsen op het toetsenbord. slserv.exe weet ik zo ook niet.

Je geeft aan dat al die spy-shit verwijderd kan worden. Wil je aub aangeven hoe? Ik ben er 3 dagen mee bezig en wil er graag vanaf. Dus als je of iemand anders natuurlijk me een beetje in de goede richting kan helpen, dan hoor ik dat graag.

donderdag 22 april 2004 15:07

Acties:

Verwijderd

Topicstarter

Als ik deze post beter in beveiliging kan plaatsen, dan laat het maar weten, dan doe ik dat. Misschien beter dat hij dan hier gesloten wordt?

donderdag 22 april 2004 15:08

Acties:

pasta

Ondertitel

in HiJack This, aanvinken en Fix checked klikken. Die

C:\WINDOWS\System32\bnalaa.dll

kan je verwijderen in veilige modus.[edit]

Verwijderd schreef op 22 april 2004 @ 15:07:
Als ik deze post beter in beveiliging kan plaatsen, dan laat het maar weten, dan doe ik dat. Misschien beter dat hij dan hier gesloten wordt?

Hij is al verplaatst.. dat heeft Spin Bond (

) voor je gedaan.

[ Voor 55% gewijzigd door pasta op 22-04-2004 15:08 ]

Signature

donderdag 22 april 2004 15:09

Acties:

mikeoke

Heb je CWShredder ook al gedraaid?
Wel de laatste versie gebruiken

http://www.spywareinfo.com/~merijn/downloads.html

Ik zelf gebruik meestal eerst de CWSschredder en daarna hijackthis

Mike

donderdag 22 april 2004 15:13

Acties:

Verwijderd

Topicstarter

Cwshredder nog niet gedraaid. Komt me nu je het zegt wel bekend voor. Je probeert alles maar vergeet zo ook wel eens iets. Ik ga ff verder hobbyen met cwshredder en in de veilige modus.

Komen de sleutels van NAV overigens ook automatisch terug? Zo nee hoe doe ik dat handmatig?

donderdag 22 april 2004 15:22

Acties:

pasta

Ondertitel

De sleutels van NAV komen niet automatisch terug, kijk eens waar HiJackThis backups opslaat van verwijderde waarden, misschien dat je ze zo nog terug kunt krijgen op een makkelijke manier. Zo niet, in regedit twee nieuwe waardes aanmaken in: HKLM\Software\Microsoft\Windows\CurrentVersion\Run waarin je de volgende twee waardes aanmaakt:
Waarde 1: C:\Program Files\Norton AntiVirus\navapsvc.exe
Waarde 2: C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

Signature

donderdag 22 april 2004 15:59

Acties:

Verwijderd

Titelfix.

donderdag 22 april 2004 16:40

Acties:

Verwijderd

Topicstarter

Spyware probleem lijkt opgelost na 2x CWShredder gedraaid te hebben. Bedankt voor de tips tot zover!!!

Zoeken naar: bnalaa.dll leverde niets op.

Belangrijkste: Na het toevoegen van de 2 volgende sleutels voor NAV, komt het nog niet terug in het opstartmenu.

C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

Msconfig geeft bij item voor opstarten en bij opdract niets aan. Bij locatie staat dit:

HKLM\Software\Microsoft\Windows\CurrentVersion\
HKLM\Software\Microsoft\Windows\CurrentVersion\

Moet ik meer in het register aangeven en hangt het misschien af van welke versie NAV ik heb: NAV 2003 Professional Edition?

donderdag 22 april 2004 16:43

Acties:

pasta

Ondertitel

In het register bedoel ik dus dat je regedit op moet starten en dan naar HKEY_Local_machine\Software\Microsoft\Windows\Currentversion\Run moet gaan, en daar die 2 register sleutels aan moet maken.

Signature

donderdag 22 april 2004 17:16

Acties:

Verwijderd

Topicstarter

NAV probleem ook opgelost door het toevoegen van de volgende waarden:

C:\PROGRA~1\Norton~1\AdvTools\ADVCHK.EXE
"C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
"C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

(Gespiekt bij mijn buurman).

mikeoke en pastapappie.NET: Bedankt voor jullie hulp.

(Shit nou hoef ik Windhoos weer niet te installeren, wordt toch wel een keer tijd

vrijdag 23 april 2004 00:53

Acties:

Verwijderd

Topicstarter

En ja hoor, start net mijn systeem opnieuw op en wederom is die fucking (sorry voor mijn woordgebruik) spyware terug

Ik ga voor opnieuw installeren en eens goed zoeken hoe ik spyware kan voorkomen.

vrijdag 23 april 2004 08:49

Acties:

pasta

Ondertitel

Post eens je nieuwe HiJack This log; Misschien heb ik wat over het hoofd gezien. Doe overigens ook eens een volledige virusscan op je computer. Heb je geen virusscanner dan kan je ook een online virusscan uitvoeren. Overigens is de beste preventie een non-IE browser gebruiken, zoals Mozilla FireFox bijvoorbeeld. Als je toch IE wilt gebruiken kan je ook ActiveX e.d. uitzetten. Dit wil meestal ook nog wel eens schelen.

Signature

vrijdag 23 april 2004 23:41

Acties:

Verwijderd

Topicstarter

NAV (Norton Antivirus) heeft niets gevonden. Gisteren nog een volledige scan uitgevoerd.

nieuwe hijack log:

Logfile of HijackThis v1.97.7
Scan saved at 23:36:39, on 23-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Documents and Settings\Peter\Application Data\Microsoft\Internet Explorer\Quick Launch\IEXPLORE.EXE
C:\Documents and Settings\Peter\Application Data\Microsoft\Internet Explorer\Quick Launch\IEXPLORE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
I:\Gedownloade Progs\Spy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {7ACDA3B9-2FA2-4375-9E9A-D276DE704A4D} - C:\WINDOWS\System32\loc.dll
O4 - HKLM\..\Run: [ADVCHK] C:\PROGRA~1\Norton~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab27571.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab27571.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

Beetje n00b vraag, maar hoe plaats ik een log zoals jij (pastapappie.NET) dat hebt gedaan, zodat het wat overzichtelijker is?

Hopelijk heb je nog een oplossing voor me.

vrijdag 23 april 2004 23:57

Acties:

Occy74

Gooi deze er sowieso uit:

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\loc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {7ACDA3B9-2FA2-4375-9E9A-D276DE704A4D} - C:\WINDOWS\System32\loc.dll

Dit is Machine Debug Manager (wel van Microsoft maar vertraagt je pc), schakel die uit door de service te disablen in configuratiescherm-->systeembeheer-->services:

code:

1	C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

code:

1	C:\WINDOWS\system32\slserv.exe

SLServ.exe
(SmartLink) SmartLink’s User-Level Modem Service. This task runs on Windows NT4/2000/XP/2003 system – we are not yet sure as to what it does.

bron

Als je geen Smartlink modem hebt zou dat wel iets anders kunnen zijn wat jouw gedonder veroorzaakt..

[ Voor 21% gewijzigd door Occy74 op 24-04-2004 03:22 ]

Systeem Specs

zaterdag 24 april 2004 00:38

Acties:

Verwijderd

Een interessante thread...ik had dezelfde spyware en het is gelukt dat K**ding weg te krijgen. Alleen heeft CWShredder al mijn opstartprogramma's uit het geheugen gehaald!!! Kan ik dat snel weer terugkrijgen??? Want ik heb nu geen firewall en virusscanner alert staan. En mijn Nvidia progrmamatuur is er ook niet meer. Misschien dat iemand hier dezelfde problemen had en is de enige oplossing dus gewoon alles opnieuw installeren??

Groet
Maarten

zaterdag 24 april 2004 12:34

Acties:

Resistor

Niet meggeren!

Verwijderd schreef op 23 april 2004 @ 00:53:
En ja hoor, start net mijn systeem opnieuw op en wederom is die fucking (sorry voor mijn woordgebruik) spyware terug

Ik ga voor opnieuw installeren en eens goed zoeken hoe ik spyware kan voorkomen.

Spyware etc voorkomen
[rml][ Spyware] Hoe preventief tegengaan?[/rml]

2 handige topics daar over

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 24 april 2004 13:59

Acties:

Verwijderd

Topicstarter

CWshreader verwijdert constant het volgende: CWS.Searchx, maar "aboutblank" en die searchpagina komen na 1 of 2x IE opstarten constant terug. En het vertraagt mijn systeem.

Drunkfux: Ik heb wel degelijk een smartlinkmodem maar die is gelukkig niet aangesloten. Je zou toch wel eens gelijk kunnen hebben, want de modemsoftware wordt sinds kort automatisch geactiveerd.

Meanrat: Zoals je bovenstaand in deze post kan lezen, zijn opstartprogramma's wel degelijk terug te zetten. Ik had ook de "makkelijkste" manier gekozen en alle sleutels door hijackthis weg laten halen. Je kan daar zelf kiezen om sleutels te laten staan. Het beste wat je nu kan doen is in het register van anderen speaken met de zelfde opstartprogramma's die jij had. Ook makkelijk om een screenshot te maken van een goed register of het uit te printen. Zodoende kun je die sleutels zelf tergugzetten in je startmenu.

Resistor: Ik heb al veel van die topics doorgenomen. Ik ben er inmiddels ook al een week mee bezig. Topic geeft ook aan dat als spybot, hijackthis en cwshreader het probleem niet oplossen dat je dan het beste je hijackthis log kan posten. Dat heb ik dan dus ook gedaan. Maar ik zal me nog verder in deze materie verdiepen. Ik kan er alleen maar van leren. Toch is het m.i. altijd goed om anderen om advies te vragen.

zaterdag 24 april 2004 14:09

Acties:

Verwijderd

Topicstarter

Drunkfux: Voor de duidelijkheid: ik heb hijack this in 1ste instantie dus alle sleutels laten verwijderen. Maar na 2x IE opstarten, staan ze allemaal weer terug

zaterdag 24 april 2004 14:16

Acties:

Norjee

Probeer je systeem te scannen met kav, en dan de extended db gebruiken. Ik heb dit (geloof ik) ook gehad, random genaamde dll's die je wel een keer kon verwijderen, wat ook even hielp, maar die telkens terug komen.

Of probeer deze Klez remove utility: ftp://ftp.kaspersky.ru/utils/clrav.zip

[ Voor 24% gewijzigd door Norjee op 24-04-2004 14:19 ]

zaterdag 24 april 2004 18:57

Acties:

Occy74

Verwijderd schreef op 24 april 2004 @ 14:09:
Drunkfux: Voor de duidelijkheid: ik heb hijack this in 1ste instantie dus alle sleutels laten verwijderen. Maar na 2x IE opstarten, staan ze allemaal weer terug

de regel:

code:

1	HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

zet IE er zelf weer in als je ze allemaal verwijderd hebt want ja zeg nou zelf.
Er zal toch een startpagina moeten zijn al is het maar about:blank waarbij hij dus een blanco pagina opent.

Systeem Specs

zondag 25 april 2004 03:11

Acties:

Verwijderd

Topicstarter

Drunkfux: Hij opent geen blanco pagina, maar http://searchpage.cc/1507. In de adresbalk komt wel about blank te staan de eerste keer en daarna dus: http://searchpage.cc/1507.

Inmiddels mijn pc opnieuw geinstalleerd en hij loopt nu weer lekker zoals het hoort.

Mijn conclusie is dat spyware steeds grondiger in je Windhoos Windows register en op andere plaatsen komt te zitten. Momenteel is men aan het discussieren of spam verboden moet worden. Maar m.i. valt spyware dus ook onder spam. En dit zou dus zeker verboden moeten worden. Zal met ons poldermodel nog wel 10 jaar discussieren worden voor men er echt iets aan doet.

iig iedereen bedankt voor zijn bijdrage.

Edit: Laat die verbasteringen aub. achterwege

[ Voor 8% gewijzigd door Verwijderd op 25-04-2004 11:43 ]

zondag 25 april 2004 03:50

Acties:

Occy74

Liever 1000 spammailtjes per dag in mn mailbox dan de pc weer eens naar de klote door niet verwijderbare spyware...

Systeem Specs

maandag 26 april 2004 22:56

Acties:

depol99

Jep ik had hetzelfde (http://nkvd.us/1507/)
een halve dag naar moeten zoeken

in mijn situatie was de sleutel
dat er ook meerdere dlls met een random naam werden gemaakt in de map c:\windows\system32\
met als bestandsgrootte 766 ofzo (weet ik niet meer exact)
opvallend is dat de datum exact overeenkomt met de datum van besmetting

Door internet explorer op te starten, werden de dlls opgeladen en de registersleutels terug herzet.

Mijn oplossing was (denk ik toch ongeveer)
-> BWO verwijderen
-> die dlls zoeken en verwijderen
-> CWshreader + spybot/adaware
-> heropstarten
-> CWshreader + spybot/adaware
-> heropstarten
-> CWshreader (normaal zou er niets meer te vinden zijn)

(in mijn geval vond spybot en adaware niet veel nuttigs)

maar zeker NIET internet explorer opstarten tijdens deze procedure

D@nny

donderdag 6 mei 2004 17:18

Acties:

Verwijderd

Hoe kom je trouwens aan het IP adres van http://nkvd.us/1507/
Ik heb ook last van die debielen, en ik wil ze met hun IP in mijn firewall
blokkeren.

donderdag 6 mei 2004 23:37

Acties:

Chillmeister

http://searchx.cc/search.php?pin=8&ww=europe

deze domein heb ik het probleem, krijg ik ook nog een pop-up van de site in mijn about:blank; 'Je hebt spyware'.

JE MEENT HET!!!

EDIT: CWshredder heeft het probleem voor mij opgelost

[ Voor 18% gewijzigd door Chillmeister op 06-05-2004 23:40 ]

donderdag 6 mei 2004 23:45

Acties:

Pendaco

Vogon Poetry FTW!

Verwijderd schreef op 25 april 2004 @ 03:11:
Drunkfux: Hij opent geen blanco pagina, maar http://searchpage.cc/1507. In de adresbalk komt wel about blank te staan de eerste keer en daarna dus: http://searchpage.cc/1507.

Inmiddels mijn pc opnieuw geinstalleerd en hij loopt nu weer lekker zoals het hoort.

Had deze pagina je niet van het probleem af kunnen helpen?

http://searchpage.cc/uninstall.htm
of had je dit al geprobeert, het is nou toch achteraf aangezien je je pc opnieuw hebt geinstalleerd

Verwijderd schreef op 06 mei 2004 @ 17:18:
Hoe kom je trouwens aan het IP adres van http://nkvd.us/1507/
Ik heb ook last van die debielen, en ik wil ze met hun IP in mijn firewall
blokkeren.

bij mij geeft ie;
| 81.211.105.25 | als ip-adres van die site

[ Voor 54% gewijzigd door Pendaco op 06-05-2004 23:49 ]

vrijdag 7 mei 2004 09:42

Acties:

Verwijderd

Bedankt, ik heb hem gelijk geblokkerd

donderdag 13 mei 2004 17:37

Acties:

Verwijderd

heb de key {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} gezocht onder browser helper objects, maar die zit er niet bij.
Weet iemand of dit belangrijke keys zijn of kan ik ze gewoon allemaal deleten

vrijdag 14 mei 2004 08:53

Acties:

Verwijderd

Ik word de hele tijd gepingd door issacs.com Heb even gezocht en op dit adres : www.issacs.com krijg je dezelfde page.

en guess what? deze charles issacs is een docent webdesign gespecialiseerd in Java applets e.d.
Deze man zit kennelijk in zijn vrije tijd ook allerlei virussen in elkaar te klussen....

klik maar eens op deze link: http://www.ccscmh.org/news/newspdf/0204.pdf

even doorscrollen, dan zien je hem staan met z'n klasje!

vrijdag 14 mei 2004 09:12

Acties:

smvs

nog ff over die about:blank startpage. die heb ik succesvol verwijderd op de volgende manier:

Ok this revised solution seems to work the best.

Updated Solution, people were having problems deleting the .dll file from safe mode/Command Prompt Only
1. Download reglite
2. install "Reglite" and run it, enter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs into the address bar.
3. Double click on AppInit_DLLs to open a "Data Editor" properties window, if the bottom textfield named "Value" contains a .dll file; then this is the hidden file you need to get rid off.
4. You should not be able to delete this file if you try to clear the value field, IMPORTANT: take note of the path and name of the .dll file. Write it down so you do not forget it.
5. Rename the Folder "Windows" (This is a purple "highlighted" folder in the left hand window) to NOTWINDOWS. Simply click on the folder, click on "Edit" in the menu bar and select "Rename".
6. Click AppInit_DLLs again and clear the value containing the .dll and ok it. This should have removed the .dll
7. Rename the windows folder back to its original name "Windows".
8. Run SpyBot, Ad-Aware and CWShredder
9. Check the following three links for instructions on downloading and running the applications listed:
o How to use Spybot to remove Spyware
o How to use Ad-Aware to remove Spyware
o How to Remove CoolWebSearch with CoolWeb Shredder
10. Next step will be to remove this dll file so make sure you have it noted down.
11. Step 1
12. Download KillBox
13. Unzip and start the application
14. Paste in the dir <path and name of dll as found in the appinit value box> i.e C:\Windows\System32\nameofdll.dll
15. Menu Select Action -> Delete on Reboot
16. Select File -> Add file <It should add the path automatically>
17. <Same Window> Select Action -> Process and Reboot
18. If Step 1 didn't work
19. Step 2
20. Click "Start" => "Run" and type in "cmd" (Without the quotations) and click on "Okay".
21. This will open a command window I will assume you have a basic knowledge of DOS if you have any problems at this point just write back I will outline the commands.
22. Type in dir <path and name of dll as found in the appinit value box> and press "Enter". You should see the name of the file listed.
23. Go to the system32 folder (This is where the .dll file will typically reside) and type attrib -R "nameofdll".dll
24. Carry out Step 1 again
25. Restart your computer in safemode
26. Open cmd window again as before
27. Type dir <path and name of dll as found in the appinit value box> and locate the dll name the dll should now have been removed and will not be listed.
28. While in safe mode (How do I boot into "Safe" mode?), run the 3 ad-removal programs again, just to make sure all traces are gone.
29. Boot up pc as normal and you should be trouble free.

overigens staat er soms niks in het register bij appinit. dat is dan blijkbaar een minder heftige variant.

[ Voor 7% gewijzigd door smvs op 14-05-2004 09:13 ]

Pagina: 1

Reageer