Toon posts:

Home Search Assistent verwijderen?

Pagina: 1
Acties:
  • 1.972 views sinds 30-01-2008
  • Reageer

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Hoi Mensen,

Ik hoop dat jullie hier nog geen last van hebben, maar op de pc van mijn ouders heeft zich "Home Search Assistent" genesteld.

Dit is een zeer goede hijack, en is niet te verwijderen via de standaard software tools hiervoor ;(

Zo wordt de startpagina van Internet Explorer automatisch iets in de richting van “res://vwslz.dll/index.html#44272”.
Verwijder je deze DLL, incl zijn zelfde genaamde *.Bat bestand, wordt de volgende keer dat Internet Explorer start weer een nieuwe rondom 5 letterige dll, en bat bestand aangemaakt, en is de startpagina van Internet Explorer weer veranderd. Ook kun je niet meer direct naar bijvoorbeeld “auto.pagina.nl” hiervoor dien je eerst http://auto.pagina.nl in te typen. Tevens krijg je Pop-Ups van porno sites, reclame sites en nog meer. Ook werkt Windows Media Player niet meer, maar ofdat hier ook wat mee te maken heeft weet ik niet.

Op:
http://www.computing.net/security/wwwboard/forum/12346.html

is er al een uitgebreid toppic over, maar het zijn allemaal vrij complexe en brute verwijderings methoden. Zoals alles wat maar lijkt op “home” uit het systeem register verwijderen, en diverse bestanden uit de windows en system32 directory verwijderen.

Dit soort methodes vindt ik persoonlijk vrij eng om op mijn ouders pc los te laten. Hebben jullie al een goeie oplossing voor dit *** :( programa?

Alvast bedankt!!
Mocht je meer info willen hebben, laat dat dan efkes weten!

Acties:
  • 0 Henk 'm!

  • cutter
  • Registratie: November 2000
  • Laatst online: 28-09 13:58

cutter

Wannabe i7 fanboy

Ga nooit zomaar dll's verwijderen, dat kan een hoop ellende (als in: windows kaput) veroorzaken. Lees de faq eens door, verwijder overbodige rommel in je Software configuratiescherm (KaZaa, Limewire, Gator en andere gratis rommel) Post dan hier je hijackthis log.

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Heb net SpyBot los gelaten op de pc en die verhelpt de problemen niet, zoals ookal op het forum wat ik hierboven noem vermeld wordt...

Mijn HijackThis Log ziet er alsvolgt uit:
Logfile of HijackThis v1.97.7
Scan saved at 14:31:22, on 21-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\javaxp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Arno\Mijn documenten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {095AE972-3DD7-8BEE-89A9-42A741DF2F69} - C:\WINDOWS\winks32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima...alInitialSetup1.0.0.8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A561DE2-333A-4FB4-836B-D5DE6DA9E70A}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A561DE2-333A-4FB4-836B-D5DE6DA9E70A}: NameServer = 212.142.28.66,212.142.28.130

Dit zijn o.a. de probleem files:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272

Die kun je verwijderen, heb zowel handmatig als met Hijackthis geprobeerd, maar krijgen dan gewoon een andere vijf letterige random naam en komen direct na overnieuw opstarten van internet explorer weer terug..

Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 30-09 09:48
code:
1
2
3
4
5
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE


deze kunnen volgens mij weg

code:
1
2
3
4
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O2 - BHO: (no name) - {095AE972-3DD7-8BEE-89A9-42A741DF2F69} - C:\WINDOWS\winks32.dll
O4 - Global Startup: Digital Line Detect.lnk = ?


dit is ook niet koosjer volgens mij

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • cutter
  • Registratie: November 2000
  • Laatst online: 28-09 13:58

cutter

Wannabe i7 fanboy

Ik zie te veel ie windows bij je open staan. Hou die dicht als je kan en herstart vooral veel tussen verwijderacties.

[ Voor 26% gewijzigd door cutter op 21-06-2004 15:34 ]


Acties:
  • 0 Henk 'm!

Verwijderd

O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
Dat is voor 99% zeker een Afcorevariant...Ik zou je willen aanraden een virusscanner te installeren..
Je hebt namelijk waarschijnlijk 1000en spammails zitten te versturen.

start, uitvoeren, cmd, neem dan het volgende over:
code:
1
rundll32 C:\WINDOWS\sdkqh32.dll, Uninstall

Dan zou je een melding moeten krijgen a la: "AF has been removed"

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Okey, hier efkes een update, bedankt voor jullie hulp tot dus ver _/-\o_
maar ik ben er nog lang niet :'( ....

Ik heb Norton Antivirus 2004 geinstalleerd staan, en vanochtend een volledige scan uitgevoerd, beetje jammer dat ie dan sdkqh32.dll niet detecteerd!! :/

Ik heb dat MyWebSearch zooitje gewoon via, configscherm/software kunnen verwijderen.

Dat sdkqh32.dll ook verwijderd via uitvoeren/cmd/...... etc. en vervolgens met Hijackthis, en vervolgens ook nog handmatig uit het systeem register verwijderd, aangezien er startup foutmeldingen bleven komen.

maargoed, dat Home Search Assistent is nog steeds niet dood te krijgen |:(

Heb wel nog wat meer info erover gevonden. 't is van de volgende website zo schijnt: http://looking-for.cc (Heb wel een goede virus scanner enzo, want deze site zit vol met SHIT!!!!)
In configscherm/software staan nog twee programma's die naar deze website verwijzen en niet te verwijderen zijn. Namelijk: Search Extender en Shopping Wizard, en natuurlijk ook Home Search Assistent staat daar tussen ;(

Hierbij eventjes mijn nieuwe log file (deze is na een reboot, zonder IE of iets dergelijks geopend te hebben):
Logfile of HijackThis v1.97.7
Scan saved at 16:44:01, on 21-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\javaxp.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\appjt.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Arno\Mijn documenten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {095AE972-3DD7-8BEE-89A9-42A741DF2F69} - C:\WINDOWS\winks32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appjt.exe] C:\WINDOWS\system32\appjt.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima...alInitialSetup1.0.0.8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A561DE2-333A-4FB4-836B-D5DE6DA9E70A}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A561DE2-333A-4FB4-836B-D5DE6DA9E70A}: NameServer = 212.142.28.66,212.142.28.130


Dit rijtje, veroorzaakt naar mijn mening de problemen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272

meer sugesties? ojah, en wat moet ik naast Norton installeren om geen last meer te krijgen van die sdkqh32.dll onzin?

[ Voor 12% gewijzigd door Verwijderd op 21-06-2004 16:46 ]


Acties:
  • 0 Henk 'm!

Verwijderd

ik heb ook dagen lopen ploeteren om dit er af te krijgen maar hier kan je een removal tool downloaden en hij werkt goed moet ik zeggen hoop dat jullie er iets aan hebben
http://www.majorgeeks.com/download4284.html

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Verwijderd schreef op 29 juni 2004 @ 17:32:
ik heb ook dagen lopen ploeteren om dit er af te krijgen maar hier kan je een removal tool downloaden en hij werkt goed moet ik zeggen hoop dat jullie er iets aan hebben
http://www.majorgeeks.com/download4284.html
De link die je hier noemt komt nergens, welke Tool heb je gebruikt? met AD-Aware gaat het bij mij nu 1 reboot goed.... daarna komt hij gewoon weer terug :'( Welke tool bedoelde jij met je link hierboven?

Acties:
  • 0 Henk 'm!

  • killercow
  • Registratie: Maart 2000
  • Laatst online: 29-09 11:15

killercow

eth0

Iemand al geluk met het verwijderen van deze lelijkerd?

Ik krijg morgen weer een pc binnen met dit probleem, de search bars (ind e startbalk is ondertussen weg enzo, maar zodra IE opstart maakt hij vrolijk weer nieuwe dll's aan en gaat hij deze weer runnen.

Onder SpybotSD vindt ik iedere keer na een reboot ook nog een DSO exploit.

openkat.nl al gezien?


Acties:
  • 0 Henk 'm!

  • Pendaco
  • Registratie: Augustus 2003
  • Laatst online: 23:06

Pendaco

Vogon Poetry FTW!

killercow schreef op 01 juli 2004 @ 15:42:
Iemand al geluk met het verwijderen van deze lelijkerd?

Ik krijg morgen weer een pc binnen met dit probleem, de search bars (ind e startbalk is ondertussen weg enzo, maar zodra IE opstart maakt hij vrolijk weer nieuwe dll's aan en gaat hij deze weer runnen.

Onder SpybotSD vindt ik iedere keer na een reboot ook nog een DSO exploit.
Wordt hieronder niet gewoon hetzelfde probleem besproken;
Yngwie- schreef op 24 juni 2004 @ 12:11:
Klopt, dit is een *errug* vervelende CWS variant. Adaware, Spybot en CWShredder krijgen hem (nog) niet verwijderd in ieder geval. Op deze site staan handmatige methodes om het te verwijderden:

http://www.spywareinfo.com/~merijn/

Dit is een linkje van een progje waarmee het mij gelukt is om het van een PC te verwijderen:

http://www.trojaner-info....download.cgi?file=sphjfix
Voor meer info over dat progje klik hier Wel in het Duits.
Ik zie wel net dat dat programmaatje er niet meer opstaat, miss is dat via google nog te vinden.

Zie ook;
http://gathering.tweakers.net/forum/list_messages/928515
http://gathering.tweakers.net/forum/list_messages/927772
http://gathering.tweakers.net/forum/list_messages/917222
[/url][/url][rml][ IEXPLORER] Last van adware - sp.html[/rml]

en hier ook nog een andere oplossing met wel werkende programma;
Mike Jarod schreef op 25 juni 2004 @ 19:43:
Dit is hetzelfde als de post van BoGhi, maar ik kwam daar dankzij dit draadje.

Samengevat:
Download dit progsel: klik (voor meer info klik).
Draai na herstarten de nieuwste versie van CWShredder.
edit:

En tijdens het verwijderen hiervan, GEEN explorer vensters openen!!


en voor die dso exploit, gebruik het programma in onderstaande link;
http://www.nsclean.com/dsostop.html

[ Voor 36% gewijzigd door Pendaco op 01-07-2004 19:30 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Wordt hieronder niet gewoon hetzelfde probleem besproken;
[...]
Zie ook;
http://gathering.tweakers.net/forum/list_messages/928515
http://gathering.tweakers.net/forum/list_messages/927772
http://gathering.tweakers.net/forum/list_messages/917222
[/url][/url][rml][ IEXPLORER] Last van adware - sp.html[/rml]
en hier ook nog een andere oplossing met wel werkende programma;
[...]
En tijdens het verwijderen hiervan, GEEN explorer vensters openen!! [/edit]

en voor die dso exploit, gebruik het programma in onderstaande link;
http://www.nsclean.com/dsostop.html
Hebben het hier dan toch echt over iets anders, want dit programmatje zegt gewoon dat mijn pc niet geinfecteerd is... ik krijg als startpagina iets in de richting van *abcde.dll*** en niet sp.html of iets in die richting. Dus volgens mij komen deze twee posts niet helemaal met elkaar overeen.

Maar dit probleem wordt momenteel wel gedeeltelijk dubbel besproken, volgens mij...

Acties:
  • 0 Henk 'm!

  • killercow
  • Registratie: Maart 2000
  • Laatst online: 29-09 11:15

killercow

eth0

De problemen die in dit topic besproken worden komen van een of andere browser helperobject.
Dit opbject past de homepage aan naar een XXXXX.dll file in de windows dir, waarin dan een html pagina zit.

Zodra ik de dll's uit zet, en de registry hiervoor clean (met adaware/spybot) dan staan komt hij net zo hard weer terug na een reboot (of zelfs IE opnieuw opstarten)

Zodra ik naar een http pagina ga in IE wordt hij gereroute via die dll, wat uiteraard erg vervelend is. (en ik kan dus ook niet internetten via IE), FTP werkt wel goed, dus het zou aan het http protocol kunnen liggen.

Ik heb er firefox opgezet om het een en andere te downloaden etc (en de klant moet maar gewoon switchen, hij heeft nu toch bewezen niet om te kunnen gaan met de problemen die IE geeft. en firefox heeft nergens last van, dus kan het niet gewoon de http handler van windows zelf zijn.

openkat.nl al gezien?


Acties:
  • 0 Henk 'm!

Verwijderd

Boot in veilige modus.

Haal vervolgens hijackthis erover vink de regels aan die weg kunnen. Als het goed is vind je een .dll en een .exe. Verwijder deze regels. Vervolgens zoek je in je register naar betreffende .dll en .exe waarden, verwijder deze overal!! Blijf net zolang op deze bestandnamen zoeken totdat regedit niks meer vind, ze zitten nml. op meerdere plaatsen.

Vervolgens kun je nog ff spybot en ad-aware erover heen halen om alles netjes op te ruimen.

Dit heeft bij mij 100% gewerkt!

Succes

Acties:
  • 0 Henk 'm!

Verwijderd

[b][R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vwslz.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vwslz.dll/sp.html#44272

O2 - BHO: (no name) - {095AE972-3DD7-8BEE-89A9-42A741DF2F69} - C:\WINDOWS\winks32.dll

O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
Begin maar 'ns met dit weghalen in veilige modus

OWJAH en verwijder dat appjt.exe ook maar, das ook de boosdoener.

[ Voor 10% gewijzigd door Verwijderd op 02-07-2004 11:24 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Nogsteeds geen succes, dacht hem klein gekregen te hebben door het volgende te doen:
in configscherm/software kun je ze verwijderen maar die links werken niet
handmatig intypen in IE werkte eerst ook niet maar nu wel dus volgende links downloaden (PAS OP, waarschijnlijk installeer je zo andere shit!!!)

http://www.looking-for.cc/uninstall/HomeSearchAssistant.html
http://www.looking-for.cc/uninstall/SearchExtender.html
http://www.looking-for.cc/uninstall/ShoppingWizard.html

Hierna AD-Aware gedraait en Hijackthis en alles wat met die DLL's etc. te maken heeft verwijderd.

Na reboot leek het te werken, Na volgende reboot ook....

Tot dat ik Windows Media Player opstarte.... (Overgens, oorspronkelijke WMplayer kon ik ookal niet meer opstarten)

Toen was alles weer klote :(

Windowns Media Player geuninstalled, en de windows media player directorie in veilige modus andere naam gegeven.

Reboot, en de bovenstaande stappen overnieuw uitgevoerd. en daarna windows media player gedownload van www.microsoft.com en overnieuw geinstalleerd, oude windows media directorie verwijderd...

Na reboot blijft alles klote :r :/ :'( eerste keer gaat goed, daarna alles weer mis... WMPlayer blijft gelukkig nu wel werken...

Eerste keer lijkt het dus te werken, maar door WMPlayer werd het weer verklooit, vervolgens WMPlayer overnieuw geinstalleerd en oude files verwijderd... En nou werkt het niet meer.... en blijft hij hardnekkig terug komen...

Iemand aanpassingen op deze stappen die wel succes geven?????

Acties:
  • 0 Henk 'm!

  • ParaNoiMia
  • Registratie: Mei 2000
  • Laatst online: 13-09 13:18
Ik ben net 4,5 uur bezig geweest bij een klant om het op de knieeen te krijgen.

Tip 4 uit dit draadje: [rml]Pendaco in "[ IEXPLORER] Last van adware - sp.html"[/rml]

Er stond bij mij een ittp.exe in de system32 map, iexplore.exe was vervangen, notepad.exe was vervangen.

Ik heb na het draaien van cwshredder, het fixtooltje, spywareblaster, spybot en adaware specifiek in de registry gezocht op die ittp.exe, maar ook op de termen Fun Web, Cool Web, Home enzovoorts en kwam een hele reut aan registrykeys tegen die al de anti-spyware proggies gemist hadden. En in de system.ini staat bij Shell explorer.exe met daarachter een vermelding van een netdx.exe.

Let er vooral op dat je in safe mode aan de gang gaat, anders zie je de netd* executables echt niet (en vermoedelijk ook andere zooi)!

Daarnaast heb ik met spywareblaster ook het wijzigen van de URL van de homepage van IE automatisch geblokkeerd, direct in het begin.

Acties:
  • 0 Henk 'm!

  • Pearl
  • Registratie: September 2002
  • Laatst online: 01-10 09:06
Eerst zelf lopen klooien met allerlei proggy's, zelf aan de schoonmaak gegaan, wat uiteindelijk gelukt was ( maar niet met die proggy's ), toen bij een kennis ( na eerst veel met Google gezocht te hebben ) AdwareAway gevonden en gebruikt, en dat werkte in één keer goed, prima proggy. :)

http://www.adwareaway.com/

Een specialist weet alles van niks en een generalist weet niks van alles.


Acties:
  • 0 Henk 'm!

Verwijderd

Ook IK had dit probleem. Makkelijk opgelost door Systeemherstel te doen. Tot nu toe (ff afkloppen) is alles nog goed.

Ginie

Acties:
  • 0 Henk 'm!

  • killercow
  • Registratie: Maart 2000
  • Laatst online: 29-09 11:15

killercow

eth0

bij mij was inderdaad ook de notepad.exe vervangen (erg handig dus als je aan het cleanen bent voor een klant en je dus af en toe notepad gebruikt.

Voortaan dus gewoon cleanen vanaf een knoppix live-cd.

je kunt zien of er bestanden zijn vervangen door te kijken of er nog een notepad.exe.bak naast staat.
het programma werkt nog wel gewoon, maar toen ik notepad opende hangelde het ineens met de registry edits, en nieuwe files. (altijd handig om zoeken op datum te gebruiken.)

openkat.nl al gezien?


Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 29 juni 2004 @ 17:32:
ik heb ook dagen lopen ploeteren om dit er af te krijgen maar hier kan je een removal tool downloaden en hij werkt goed moet ik zeggen hoop dat jullie er iets aan hebben
http://www.majorgeeks.com/download4284.html
Ik heb zelf even op majorgeeks gestuiterd. En kwam daar een bestandje dat heet HSRemove. Duurde alleen uren voordat het gedownload was. Maar eenmaal binnen werkt het perfect. (heb hem op mijn site gezet voor iedereen die denkt er wat aan te hebben [url=www.chivedev.com\hsremove.exe]Hier staat hij[/url])
Pagina: 1