[spyware] Browser Hijack, Malware?*

Ik heb vermoedelijk een soort Malware opgelopen genaamd "CoolWebSearch" (volgens Adaware) maar ik kan deze niet verwijderen.(niet met Spybot of Adaware)

Dit meldt Adaware:

Start scan register
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

CoolWebSearch Object herkend!
Typ : Reg.waarde
Data :
Categorie : Malware
Commentaar : "HOMEOldSP"
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Waarde : HOMEOldSP

Mijn startpagina staat iedere keer weer op een soort zoekpagina (about:blank)

Ik vermoed dus een spybot, in een soort stealthmode, wat dat ding neemt 80 mb uit m'n resouces.

Is dat kreng te verwijderen? Handmatig het register legen helpt niet, hij komt er iedere keer weer in, waarschijnlijk uit een ander (stealth) bestand.

[ Voor 25% gewijzigd door edward2 op 07-05-2004 23:42 ]

Miki schreef op 08 mei 2004 @ 00:14:
Hey die edward, zat je weer naar benchmarks van de R420 en NV40 te koekeloeren... viespeuk

Ontopic, ik vermoed dat dit tooltje jouw probleem oplost: http://www.spywareinfo.com/~merijn/files/CWShredder.exe

deze viespeuk gaat dat eens proberen, thanx!

edit, dat is een dosprog neem ik aan?

[ Voor 6% gewijzigd door edward2 op 08-05-2004 00:39 ]

Miki schreef op 08 mei 2004 @ 00:44:
[...]


Neuh, als het goed is moet je gewoon vanuit windows kunnen starten. Het is gemaakt door diegene die ook zich heeft bezig gehouden met hijack this en is speciaal bedoelt voor CWS malware.

Zie hier voor meer info: http://www.spywareinfo.com/~merijn/downloads.html

DAP maakt de download niet compleet af, dus hij startte niet zonder DAP no problem, bedankt nogmaals, het is eindelijk opgelost, ik was in staat te formateren (heb weinig geduld met die dingen

[ Voor 3% gewijzigd door edward2 op 08-05-2004 01:35 ]

Ik geloof dat ik gek wordt, maar hij is er weer, nu gaat de botte bijl erover

DE.50 schreef op 08 mei 2004 @ 16:57:
dus eens een file search in je computer voor die naam of afgeleiden ervan

sommige van die sites maken een mapje aan

ff alle browsers afsluiten en mapje deleten

Ik heb al gezocht op Cool Web search, etc maar nog niets gevonden..

Zodra ik i-explorer start, staat die reg (coolwebserach) er weer in.

[ Voor 11% gewijzigd door edward2 op 08-05-2004 19:28 ]

Done!
Removed from your system:
- CWS.Searchx
- 6 infected IE registry values

Deze staat er iedere keer weer in, krijg hem er niet def. uit.

Logfile of HijackThis v1.97.7
Scan saved at 16:08:19, on 9-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Documents and Settings\Edward\Mijn documenten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pjcni.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pjcni.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pjcni.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pjcni.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pjcni.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pjcni.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D6187086-B2A6-4895-BB94-1E596C86CF3C} - C:\WINDOWS\System32\pjcni.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.tweakzone.nl/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...iuctl.CAB?38094.238287037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

Miki schreef op 09 mei 2004 @ 16:59:
Zo kijkend naar je log, kan ik niet veel meer bijzonders ontdekken..(PLZ note i am not an expert!!) behalve dat je geen antivirus draait nog een firewall.

Mocht je het niet vertrouwen dan kun je je bak eens helemaal scannen met Kaspersky antivirus 5 trial. Gebruik bij het updaten van KAV de extended bases.

Tsja ik ben zo iemand die altijd zo min mogelijk processen op de achtergrond wil laten draaien, maar nou betaal ik de prijs daarvoor. Toch maar eens een firewall en viruscanner overwegen.