[IEXPLORER] Last van adware - sp.html - Privacy en beveiliging

woensdag 23 juni 2004 20:41

Acties:

0 Henk 'm!

Anoniem: 94282

Topicstarter

Ik heb net zoek gebruikt, maar kan geen gelijke vraag vinden.

Ik heb namelijk (volgens mij) last van adware. De startpagina word opnieuw ingesteld, en er springen popups in beeld, die mij vertellen dat mn comp besmet is met spy en adware. Ook wordt er een link neergezet, waar ik dan op moet klikken.

Allemaal leuk en aardig, maar (*)&&^^%%$$ irritant!.

Ik heb Add-aware gedraait, maar bij verwijdering van gevonden adware, en na gereboot te hebben is er verder niks veranderd.

Ook Hijack this heb ik gedraait met dit als uitkomst:

Afbeeldingslocatie: http://members.chello.nl/~j.wit22/add.jpg

Afbeeldingslocatie: http://members.chello.nl/~j.wit22/add.jpg

De bovenstaande zijn volgens mij de veroorzakers. Maar bij verwijdering en restart, blijven ze terug keren. Ook heb ik het bestandje Ebodb.dll proberen te verwijderen. Dit lukt niet, omdat het bestand voor windows in gebruik is.

weet iemand een oplossing hiervoor?

woensdag 23 juni 2004 20:44

Acties:

0 Henk 'm!

13art

Moderator Mobile

Probeer eens het programma spybot dit is ook net programma wat op zoek gaat naar adware. Deze vind soms dingen die ad-aware niet vind. Gebruik het zelf oko en het is gratis

Wanneer een potvis in een pispot pist heb je pispot vol met potvispis

woensdag 23 juni 2004 21:40

Acties:

0 Henk 'm!

Pearl

Wat is dat een k.t proggy

Nou, daar ben ik de afgelopen dagen mee bezig geweest, de enige manier die werkte was eerst het programma AdwareAway te gebruiken, geen ander proggy kreeg dit weg.

Maaaaaaaaaaar, het sp.html in je temp van je gebruikersmap die elke keer de boel verziekt, wissen, maaaaaaaaar deze komt ook weer terug.

Ik heb het bestand ws2_32 moeten vervangen vanuit een ander OS op mijn comp gekopieërd van een andere comp,en de reg.sleutel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs moeten wissen, nadat ik de verwijzing naar de *.dll bestand had gevonden en deze in de andere OS had gewist, deze *.dll was niet te zien in XP, oftewel, alle oplossingen die hier eerder waren aangedragen hielpen niet.

Veel plezier en verwensingen gewenst.

Een specialist weet alles van niks en een generalist weet niks van alles.

woensdag 23 juni 2004 21:49

Acties:

0 Henk 'm!

Mike Jarod

In de veilige modus kan je dll vast wel verwijderen. Post anders eens je complete log, ik neem aan dat er nog meer is

woensdag 23 juni 2004 21:52

Acties:

0 Henk 'm!

Anoniem: 69608

Bij Ad-aware moet je een custom search proberen die alles doorzoekt.
Echter heb ik na de review van Tweakers.net , Spysweeper uitgeprobeert, deze had na het scannen met ad-aware nog meer rommel gevonden.

Met ProcesExplorer , kan je zoeken welk proces/task die dll of ocx etc in gebruik heeft. vervolgens kan je hem met de hand killen en de betreffende bestanden met de hand killen.

Als je IE-SPYAD , installeert scheelt je dat een hoop rotzooi in het vervolg. Deze zet heel veel Ad/Mall/Dailer sites in je lijst van niet vertrouwde website. Dit werkt echt heel erg goed.

Suc6 verder.

[ Voor 21% gewijzigd door Anoniem: 69608 op 23-06-2004 22:00 ]

woensdag 23 juni 2004 22:15

Acties:

0 Henk 'm!

Pearl

Mike Jarod schreef op 23 juni 2004 @ 21:49:
In de veilige modus kan je dll vast wel verwijderen. Post anders eens je complete log, ik neem aan dat er nog meer is

Alleen is deze niet zichtbaar, ook niet in heilige modus,

vreemd maar waar, maar weer wel via een ander OS.

En de verwijzing naar dat bestand is alleen te zien met AwareAway ( ook maar half ) en Registrar Lite en niet in regedit en andere proggy's.

Een specialist weet alles van niks en een generalist weet niks van alles.

woensdag 23 juni 2004 23:05

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

Dit topic krijgt een enkeltje BV

SA > BV

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 23 juni 2004 23:19

Acties:

0 Henk 'm!

BoGhi

Pearl schreef op 23 juni 2004 @ 21:40:
Maaaaaaaaaaar, het sp.html in je temp

Klinkt als de zoveelste CWS variant. Home Search Assistant, SmartSearch, "Only the Best", Shopping wizard? Een complete HT log zou inderdaad meer duidelijk kunnen maken.

Programmers don't die. They GOSUB without RETURN

woensdag 23 juni 2004 23:42

Acties:

0 Henk 'm!

Pendaco

Vogon Poetry FTW!

of CW Shredder ff draaien,

ik weet alleen niet hoever die met die updates is

donderdag 24 juni 2004 00:14

Acties:

0 Henk 'm!

Pearl

Pendaco schreef op 23 juni 2004 @ 23:42:
of CW Shredder ff draaien,

ik weet alleen niet hoever die met die updates is

Al die proggy's werken niet, zie een eerder bericht, Ad-aware, Spybot, CWSchredder en virusscanners doen er helemaal niets mee, dus deze antwoorden kunnen achterwege blijven.

Er zijn meer topics over dit probleem geopend, maar ik zie nergens een afdoende remedie voor dit probleem.

Ook via Google kom er niet helemaal achter wat nu precies de goede oplossing is, maar ik ben hem kwijt,

wel op mijn manier, na veel geklooi, had liever een gemakkelijke en kant en klare oplossing gehad, helaas.

Een specialist weet alles van niks en een generalist weet niks van alles.

donderdag 24 juni 2004 00:20

Acties:

0 Henk 'm!

Anoniem: 50683

dit geprobeerd:

Please stop emailing me about the new CWS variant that hijacks you to res://<random>.dll/sp.html#96676. I am aware of this new thing, but it's a beast to remove.
A solution is being worked on, see this thread on the SWI forums.

If it's not working for you, or it's too complicated, I heard from several people that this workaround works as well:
Open the DLL you get hijacked to in Notepad
Select all content (Ctrl-A) and delete it
Save the file and exit Notepad
Find the file in Explorer, right-click it, select Properties, put a checkmark in 'Read-Only' and click OK.
If you can't find the DLL file, make sure your settings allow you to view "Hidden files". Open up any explorer windows and click on "Tools", "Folder Options", "View" and be sure to check off "Show Hidden Files and Folders".

vrijdag 25 juni 2004 14:19

Acties:

0 Henk 'm!

Anoniem: 94282

Topicstarter

ben nog steeds aant klooien maar niks werkt

comp loopt steeds vast wanneer ik hem afsluit, en mn notepad is van mijn schijf verdwenen?!?

vrijdag 25 juni 2004 18:57

Acties:

0 Henk 'm!

gluurbuur

Heb precies hetzelfde probleem, een startpagina zonder url met daarbij die vervelende popup die verteld dat er spyware aanwezig is. Maar het vreemde bij mij was dat ik het met spysweeper en spybot samen er wel voor even afkreeg. Heb mijn computer daarna een paar keer opnieuw opgestart en had er geen last meer van, alleen de volgende dag stond hij er al weer op. Heb nu ook geen idee meer hoe ik het er wel kan deleten.

vrijdag 25 juni 2004 19:04

Acties:

0 Henk 'm!

_Ernst_

Mark It Zero!

Hier dus ook precies het zelfde probleem, ook een gare search the web startpagina met bijbehorende popups.
Adaware en hijackthis vinden elke keer opnieuw dezelfde files en ook dat sp.html bestandje komt steeds terug.
Vervelend k*t geval, krijg hem niet weg.

Last.fm

vrijdag 25 juni 2004 19:19

Acties:

0 Henk 'm!

Pendaco

Vogon Poetry FTW!

ik zie steeds meer topics verschijnen die allemaal last hebben van hetzelfde probleem, alleen vraag ik me nu af hoe jullie (de mensen met dit probleem) dit hebben gekregen?

-naar verkeerde sites gesurft
-slechte beveiliging
-per ongeluk programma's geaccepteerd

ik ben wel benieuwd eigenlijk

offtopic:
alle tips die ik in soortgelijke topics tegenkwam onder mekaar gezet;

Tip1;
* Open the DLL you get hijacked to in Notepad
* Select all content (Ctrl-A) and delete it
* Save the file and exit Notepad
* Find the file in Explorer, right-click it, select Properties, put a checkmark in 'Read-Only' and click OK.

If you can't find the DLL file, make sure your settings allow you to view "Hidden files".
Open up any explorer windows and click on "Tools", "Folder Options",
"View" and be sure to check off "Show Hidden Files and Folders".

Tip2;
Je moet echt per bestand gaan controleren of het daar thuis hoort of niet.
Het had mij de vorige keer zo veel tijd gekost omdat ik een bestand zag van C:\windows\system32\nogiets
maar dat moest dus zijn: C:\windows\nogiets heel irri.....

Tip3;
http://forums.spywareinfo.com/index.php?showtopic=7447

Tip4;
1. Sluit alle IE vensters, niet meer openen bij alle volgende stappen!!!
2. Spy Sweeper downloaden, updaten en runnen op de intensiefste stand.
3. AntiVir downloaden, updaten en runnen op de intensiefste stand.
4. HijackThis downloaden, updaten en runnen.
Vraag iemand die er verstand van heeft (hier op het forum genoeg mensen, dus even posten zou ik zeggen)
welke regels je uit je logfile van HijackThis kunt verwijderen.
Daarna deze bestanden opschrijven zodat je weet welke je moet verwijderen in de volgende stap bij regedit.
5. Ga naar je register (door regedit in te vullen bij "uitvoeren") en haal alle .exe bestanden en .dll bestanden eruit die verdacht waren
(dat kun je met "zoeken" doen en dan verwijderen). Het liefst aan de linkerkant verwijderen bij regedit ipv aan de rechterkant.
Doe dat ook met "zoeken" in je hele computer.
6. Schakel alle mogelijke verwijzingen naar de verdachte bestanden uit in de opstart van je windows (msconfig invullen bij uitvoeren)
7. Leeg al je cache, cookie en temp mappen.
8. Herstel je startpagina bij internetopties (of met spy sweeper: opties, active shields)
9. Opstarten in veilige modus en herhaal alle stappen.
(Je hebt nog steeds geen enkele IE venster geopend gedurende de hele procedure!)
10. Normaal opstarten en als het goed is ben je clean!

stap 1 tm 4 moet je waarschijnlijk doen door wel je browser (IE) te gebruiken,
dus daarna moet je weer opnieuw beginnen met stap 1.

Tip5;
rebooten in veilige modus, hijackthis en cwshredder erover heen halen
en vervolgens in je register zoeken naar de bestanden die gevonden werden in hijackthis.

Tip6;
- Ad-aware updaten
- Herstarten in veilige modus (niet met netwerkondersteuning)
- Laatste versie van CWShredder draaien
- Scannen met Ad-aware
- Met HijackThis alle verwijzingen verwijderen

[ Voor 87% gewijzigd door Pendaco op 25-06-2004 19:35 ]

vrijdag 25 juni 2004 19:34

Acties:

0 Henk 'm!

BoGhi

Zo te zien kan deze oplossing voor je werken: http://www.trojaner-info....jackthis/about_blank.html. 't is in het Duits, maar ja

Laat even weten ajb of het inderdaad het probleem oplost?

Programmers don't die. They GOSUB without RETURN

vrijdag 25 juni 2004 19:43

Acties:

0 Henk 'm!

Mike Jarod

Dit is hetzelfde als de post van BoGhi, maar ik kwam daar dankzij dit draadje.

Samengevat:
Download dit progsel: klik (voor meer info klik).
Draai na herstarten de nieuwste versie van CWShredder.

[ Voor 17% gewijzigd door Mike Jarod op 25-06-2004 19:43 ]

vrijdag 25 juni 2004 19:58

Acties:

0 Henk 'm!

_Ernst_

Mark It Zero!

he bedankt iedereen, het is opgelost

die twee proggies draaien werkt goed

Ik heb hem btw gekregen via een site. Ik kom er wel vaker en je scherm word gevult met ja/nee popups. Altijd nee geklikt en daarna een keer ad-aware gedraait en alles was weer schoon. Maar deze keer waren ze dus wat hardnekkiger

Last.fm

vrijdag 25 juni 2004 20:10

Acties:

0 Henk 'm!

Anoniem: 55140

Titel wat aangepast nav. TR van Mike Jarod.
Handiger voor de search.