[IE] CWS.SearchX - Privacy en beveiliging

donderdag 24 juni 2004 12:03

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik heb een groot probleem. Ik heb nu een zware spyware software op mijn pc en ik kan het niet verwijderen. Talloze programma's heb ik gebruikt zoals (Ad-Aware, Norton enz)

Mijn svchost.exe wordt ineens veel gebruikt 14,448kb en mijn wisselbestand is nu 238mb dat eignelijk 178mb moet. Ad-aware heeft het spyware gevonden en verwijderd maar dan komt weer terug. Er zit zo'n soort Spyware cookie.
En krijg telkens deze pagina als startpagina: http://members.lycos.nl/dzanar1/spyware/spyware.jpg

Graag wil ik jullie oplossingen horen.

donderdag 24 juni 2004 12:05

Acties:

0 Henk 'm!

ralpje

Deugpopje

[rml][ Howto] Spyware scannen en opruimen[/rml]

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 24 juni 2004 12:05

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

maar mijn probleem komt daar niet in voor

donderdag 24 juni 2004 12:08

Acties:

0 Henk 'm!

Vorkie

/offtopic.
Welke thema heb jij draaien op je Windows?
/offtopic

Dit heeft te maken met je searchhandlers, die kan je proberen op te zoeken in jouw register...
Post eens een Hijackthis log als je wilt

donderdag 24 juni 2004 12:08

Acties:

0 Henk 'm!

RUFFNECK

Poentje

Verwijderd schreef op 24 juni 2004 @ 12:05:
maar mijn probleem komt daar niet in voor

Maar het geeft wel aan, want je allemaal kan proberen. Tis een algemene guide voor opruiming van spyware dus wellicht dat et bij jou ook helpt.
Probeer ook andere programma's zoals CWShredder en HiJackThis

donderdag 24 juni 2004 12:09

Acties:

0 Henk 'm!

Verwijderd

Internet cache leeg maken (handmatig).
Spybot (nieuwste versie) draaien (Met alle opties)
Opstart met spybot controleren, en alles wegmikken.

donderdag 24 juni 2004 12:11

Acties:

0 Henk 'm!

Yngwie-

Murphy was an optimist

Klopt, dit is een *errug* vervelende CWS variant. Adaware, Spybot en CWShredder krijgen hem (nog) niet verwijderd in ieder geval. Op deze site staan handmatige methodes om het te verwijderden:

http://www.spywareinfo.com/~merijn/

Dit is een linkje van een progje waarmee het mij gelukt is om het van een PC te verwijderen:

http://www.trojaner-info....download.cgi?file=sphjfix
Voor meer info over dat progje klik hier Wel in het Duits.

Je zou kunnen zoeken met google op sp.html als je nog meer info nodig hebt. Da's namelijk de pagina die je steeds als startpagine krijgt. Er is wel wat informatie te vinden maar nog niet veel

donderdag 24 juni 2004 12:11

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

RUFFNECK schreef op 24 juni 2004 @ 12:08:
[...]

Maar het geeft wel aan, want je allemaal kan proberen. Tis een algemene guide voor opruiming van spyware dus wellicht dat et bij jou ook helpt.
Probeer ook andere programma's zoals CWShredder en HiJackThis

CWShredder verwijderd inderdad de startpagina maar het komt weer terug. Er zit een spyware cookie waardoor de spyware steeds terug komt.

donderdag 24 juni 2004 12:12

Acties:

0 Henk 'm!

Haan

dotnetter

Dan verwijder je toch je cookies?

Kater? Eerst water, de rest komt later

donderdag 24 juni 2004 12:13

Acties:

0 Henk 'm!

RUFFNECK

Poentje

Verwijderd schreef op 24 juni 2004 @ 12:11:
[...]

CWShredder verwijderd inderdad de startpagina maar het komt weer terug. Er zit een spyware cookie waardoor de spyware steeds terug komt.

En met HiJackThis kan je makkelijk (meestal dan) zien wat het steeds laat terug komen en die verwijderen

donderdag 24 juni 2004 12:13

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

hantheman.tk schreef op 24 juni 2004 @ 12:12:
Dan verwijder je toch je cookies?

jah makkelijk gezegd dan gedaan. ik moet toch weten waar dei cookies zijn

duuuhh

donderdag 24 juni 2004 12:13

Acties:

0 Henk 'm!

ROFLASTC

Faça valar uma vida!

Ook windows functies als systeem herstel uitzetten. Kan evt nuttig zijn als het betreffende stukje malware probeert te overleven.

And it goes BRAAAAAPP!

donderdag 24 juni 2004 12:13

Acties:

0 Henk 'm!

NkLs

Deze Spyware heet CWS.SearchX

[ Voor 70% gewijzigd door NkLs op 24-06-2004 12:15 ]

Ipsa scientia potestas -Francis Bacon

donderdag 24 juni 2004 12:14

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

NkLs schreef op 24 juni 2004 @ 12:13:
Deze Spyware heet CWS.SearchX

en hoe kan ik em vinden om te verwijderen?

donderdag 24 juni 2004 12:15

Acties:

0 Henk 'm!

LifeTecH

Als je nou je HiJackThis log is post

donderdag 24 juni 2004 12:15

Acties:

0 Henk 'm!

NkLs

Deze link helpt misschien

[ Voor 24% gewijzigd door NkLs op 24-06-2004 12:16 ]

Ipsa scientia potestas -Francis Bacon

donderdag 24 juni 2004 12:15

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

LifeTecH schreef op 24 juni 2004 @ 12:15:
Als je nou je HiJackThis log is post

hmm zal ik doen als Spybot het probleem niet verlost

hij is em nu aan het scannen en heeft al wat gevonden

donderdag 24 juni 2004 12:17

Acties:

0 Henk 'm!

NkLs

SpyBot, AdAware, CWSShredder en HiJackThis laten die allemaal staan (of verwijderen een gedeelte, het komt dan na 24h of een reboot terug).

P.S.: Ik spreek uit ervaring

Ipsa scientia potestas -Francis Bacon

donderdag 24 juni 2004 12:17

Acties:

0 Henk 'm!

Teckna

NkLs schreef op 24 juni 2004 @ 12:13:
Deze Spyware heet CWS.SearchX

na 2 seconde googlen:

This worked for me:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

You have to remove this key. The value of this key may look blank for you, but it is not. They hide the value so you can't see it. This registry key tells Windows to load the trojan DLL every time ANY application is run giving it complete control to do whatever it wants. So you need to remove it so that the trojan DLL cannot load and keep re-infecting your pc.

The way to remove the registry key is not obvious. If you just delete it from regedit, since the trojan DLL is loaded, it will re-add it right back. (Try it. Delete the AppInit_DLLs registry key and hit F5. Notice that it's added right back by the trojan). So what you have to do is the following which worked for me.

1. Rename the HLM\Software\Microsoft\Windows NT\CurrentVersion\Windows folder to Windows2.
2. Now delete the AppInit_DLLs key under the Windows2 folder.
3. Hit F5 and notice that AppInit_DLLs doesn't come back.
4. Rename the Windows2 folder back to Windows.

Now that AppInit_DLLs is gone, run the latest Adaware 6 to remove the trojan for good. Reboot your machine. Check the registry and make sure AppInit_DLLs is still gone. Your computer should be free of this for good now."

donderdag 24 juni 2004 12:18

Acties:

0 Henk 'm!

dennismaus

http://gathering.tweakers.net/forum/list_messages/909558/

donderdag 24 juni 2004 12:19

Acties:

0 Henk 'm!

UTM

Vorkie schreef op 24 juni 2004 @ 12:08:
/offtopic.
Welke thema heb jij draaien op je Windows?
/offtopic

offtopic:
Volgens mij is dat een Longhorn zoveelste build skin

donderdag 24 juni 2004 12:19

Acties:

0 Henk 'm!

NkLs

Ik heb ook al gegoogled, maar de spyware werkt met random *.dll's en misschien ook meerdere varianten en is dus erg moeilijk weg te krijgen.

Ipsa scientia potestas -Francis Bacon

donderdag 24 juni 2004 12:21

Acties:

0 Henk 'm!

Haan

dotnetter

Verwijderd schreef op 24 juni 2004 @ 12:13:
[...]

jah makkelijk gezegd dan gedaan. ik moet toch weten waar dei cookies zijn
duuuhh

Temporary Internet Files

Kater? Eerst water, de rest komt later

donderdag 24 juni 2004 12:27

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op 24 juni 2004 @ 12:05:
maar mijn probleem komt daar niet in voor

Maar je had het al wel helemaal doorgenomen? Het leek er niet op namelijk, vooral ook omdat je het in het verkeerde subforum post

Geef het voortaan ook even aan ajb, scheelt ons weer "werk"
Dus SA --> Beveiliging & Virussen + titeledit.

Dat het wisselbestand groter is dan je opgegeven minimum is trouwens geen ramp, de infectie is vervelender.

Verwijderd schreef op 24 juni 2004 @ 12:13:
jah makkelijk gezegd dan gedaan. ik moet toch weten waar dei cookies zijn
duuuhh

Wees even aardig tegen mensen die je helpen joh

Hoe cookies te verwijderen staat uitgebreid in de help van je browser.

Verwijderd schreef op 24 juni 2004 @ 12:14:
en hoe kan ik em vinden om te verwijderen?

Was toch al aangegeven? [rml]Yngwie- in "[ IE] CWS.SearchX"[/rml] + [google=CWS.SearchX]

Ik snap dat je er van af wilt, maar aan het handje genomen worden is niet de manier: probeer dus zelf voor je een vraag stelt

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 24 juni 2004 12:30

Acties:

0 Henk 'm!

m0nk

16-09-2003 15.15

Gisteren ook verwijderd bij mijn vader..
Hijackthis de regkeys eruit gegooid, gooi ook je c:\Doc&Sett\Username\Local Settings\Temp leeg, je history en temp inet files etc
Daarna Ad Aware draaien en weg was het

13-05-2016 15:00 | 08-11-2017 8:30 | 25-11-2024 13:47

vrijdag 25 juni 2004 22:31

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Teckna schreef op 24 juni 2004 @ 12:17:
[...]

na 2 seconde googlen:

[...]

Bedankt voor je reactie en het heeft geholpen. Nu kan met gerust hart weer mijn pc normaal gebruiken.

Ook alle dank aan alle anderen die het geprobeert hebben

De oplossing heb ik ook ff op mijn site gezet www.[foei].com

Edit Schouw: spam weggehaald.

[ Voor 9% gewijzigd door Verwijderd op 25-06-2004 22:45 ]