Toon posts:

Spyware uhwyo..dll/sp.htmlF#29126 niet weg

Pagina: 1
Acties:

woensdag 15 september 2004 00:28

Acties:

Verwijderd

Topicstarter
uhwyo..dll/sp.htmlF#29126 zit in system32 en als ik al deze R1 en R0 verwijder is het nadat ik mijn browser heb opgestart direct weer terug.

Wat doe ik fout?

woensdag 15 september 2004 00:30

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Begin eens met dit op te volgen: Beveiliging en Virussen - Nieuw topic starten ? :)

woensdag 15 september 2004 00:33

Acties:

Verwijderd

Topicstarter
Ik heb in de lijst gekeken en deze komen niet bekend voor:

C:\Documents and Settings\administrator\Application Data\rcde.exe
C:\WINNT\jaqymp.dat
C:\WINNT\sdklw32.exe

Daarbij komen de volgende vreemde dingen op hijack:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\uhwyo.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\uhwyo.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\uhwyo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\uhwyo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\uhwyo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\uhwyo.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\uhwyo.dll/sp.html#29126


Deze zorgen in mijn ogen voor spyware, maar als ik ze verwijder komen ze weer terug en verder kan ik geen informatie over ze vinden. Wat kan ik doen?

[ Voor 103% gewijzigd door Verwijderd op 15-09-2004 00:56 ]

woensdag 15 september 2004 00:57

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Post maar even je volledige log - markeer daar maar in welke entries je verdenkt :)

[ Voor 80% gewijzigd door elevator op 15-09-2004 00:58 ]

woensdag 15 september 2004 00:58

Acties:

Verwijderd

Topicstarter
ik had m geplaatst, maar het duurt wat lang, ik ga slapen, plaats m later nog wel een keer.

[ Voor 200% gewijzigd door Verwijderd op 15-09-2004 01:20 ]

woensdag 15 september 2004 08:45

Acties:
  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024

WimB

Probeer About Buster.

Lees ook Nieuwe CoolWWWSearch varianten eens door.

woensdag 15 september 2004 21:44

Acties:

Verwijderd

Topicstarter
bvd voor het lezen...


Ik heb de BUSTER (na adaware, spybot en hijackthis) geprobeerd, die heeft een aantal DLL en DAT files verwijderd, maar mijn About:blanc startpage is nog niet verwijderd

Daarom heb ik ook SPHJFIX geprobeerd te draaien, maar die geeft de volgende melding:
15-09-2004 21:30:46 SPhjFix started v1.07
15-09-2004 21:30:46 Stealth-String not found -> Programm terminated

Op google heb ik hiernaar gezocht, daar kom ik deze melding vaker tegen, maar daar vind ik er geen oplossingen voor.

Weet iemand hoe ik dit programma toch aan het draaien kan krijgen?

Hier is mijn hijacklog:

[ Voor 84% gewijzigd door Verwijderd op 12-10-2004 01:27 ]

woensdag 15 september 2004 21:47

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Heb je die twee verdachte files al eens door de Jotti-scan (http://virusscan.jotti.dhs.org) gehaald? Had je CWShredder ook al gedraaid (kon ik uit je laatste reply niet echt opmaken)

code:
1

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates...7952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6


Die entry ken ik niet, misschien die eens weghalen?

Je hebt overigens een oude versie van HijacKThis (1.97.7), je zou ook de nieuwste (1.98.2) eens kunnen proberen (http://www.spychecker.com/download/download_hijackthis.html)

[ Voor 19% gewijzigd door wildhagen op 15-09-2004 21:48 ]

Virussen? Scan ze hier!

woensdag 15 september 2004 22:59

Acties:

Verwijderd

Topicstarter
cwshredder zegt dat mij systeem schoon is. Winupdate is normaal en de nieuwe versie van hijackthis geeft deze log:


de dll's onder R0 veranderen steeds en about blanc met zijn startpagina blijft zitten.

Ten einde raad. Alles geprobeerd in mijn ogen.

[ Voor 91% gewijzigd door Verwijderd op 12-10-2004 01:27 ]

donderdag 16 september 2004 00:06

Acties:
  • Pendaco
  • Registratie: Augustus 2003
  • Laatst online: 23:33

Pendaco

Vogon Poetry FTW!

dr staat nog wel meer rotzooi tussen;
scan onderstaande bestanden eens met Jotti virus scan, en meld de uitkomst nog even (scan desnoods nog met een online virusscan mcafee bijv
code:
1
2
3
4
5
6

C:\WINNT\system32\winjh32.exe 
C:\WINNT\sdklw32.exe 
C:\Documents and Settings\administrator\Application Data\rcde.exe 
O2 - BHO: (no name) - {07FCBAA1-E656-5179-FDEC-B7CC44789BAD} - C:\WINNT\system32\d3ro.dll 
O4 - HKLM\..\Run: [sdklw32.exe] C:\WINNT\sdklw32.exe 
O4 - HKCU\..\Run: [Rpdo] C:\Documents and Settings\administrator\Application Data\rcde.exe


al bekend maar kan dus weg
code:
1
2
3
4
5
6
7
8

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jwapl.dll/sp.html#29
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\jwapl.dll/sp.html#2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jwapl.dll/sp.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jwapl.dll/sp.html#29
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\jwapl.dll/sp.html#2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\jwapl.dll/sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jwapl.dll/sp


waarschijnlijk staat er onder je geinstalleerde software lijst nog een programma dat 'windupdates' heet, zoja weggooien die hap
code:
1

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates...7952f3a6abadc3d36297

donderdag 16 september 2004 00:37

Acties:
  • [Jules]
  • Registratie: Maart 2000
  • Laatst online: 07:42

[Jules]

Confusion in confusion

Zou Microsoft nou echt updates verzorgen via loudmarketing.com? dacht het niet dus.

code:
1
2
3
4
5
6
7
8
9
10
11

domain:       windupdates.com
status:       production
organization: CDT Inc.
owner:        Domain Manager
email:       ********@loudmarketing.com
address:      P.O. Box 181
address:      TMR P.O.
city:         Mont-Royal
state:        Quebec
postal-code:  H3P3B9
country:      CA


Draai ad-aware.

Kill met Process Explorer deze processen:
code:
1
2
3

C:\WINNT\system32\winjh32.exe
C:\WINNT\sdklw32.exe
C:\Documents and Settings\administrator\Application Data\rcde.exe


Gooi deze weg met hijackthis:
code:
1
2
3
4
5
6
7
8
9
10
11

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jwapl.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\jwapl.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jwapl.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\jwapl.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\jwapl.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\jwapl.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\jwapl.dll/sp.html#29126
O2 - BHO: (no name) - {07FCBAA1-E656-5179-FDEC-B7CC44789BAD} - C:\WINNT\system32\d3ro.dll
O4 - HKLM\..\Run: [sdklw32.exe] C:\WINNT\sdklw32.exe
O4 - HKCU\..\Run: [Rpdo] C:\Documents and Settings\administrator\Application Data\rcde.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates...7952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6


Alles wat nu nog niet is verwijderd zou je met Process Explorer nog weg kunnen halen, zo kun je ook dll's die nog in explorer.exe zijn blijven draaien herkennen. Noteer welke dll's dat zijn, deregistreer ze met "regsvr32 /u example.dll", start een command prompt, kill explorer.exe en verwijder de dll's via de command prompt.
Start explorer.exe vanuit de command prompt.
Kijk daarna in Windows Explorer een naar de directories c:\WINNT (of C:\WINDOWS) en C:\WINNT\System32 (sorteer deze op datum en zie welke wazige exe's en dll's daar staan... tip: meestal heeft malware/spyware geen versie informatie). Dus die kun je dan ook verwijderen.
Gooi je temp dir leeg (C:\Documents and Settings\username\Local Settings\Temp).
Verwijder je IE cache.

Controleer nog eens met HijackThis of er ondertussen niet iets is teruggekomen (zou aangeven dat je toch nog iets hebt gemist)..
En vervolgens even rebooten en dan kijken of je inspanningen een pilsje waard zijn :7

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

zaterdag 18 september 2004 17:08

Acties:

Verwijderd

Topicstarter
Alles uitgevoerd, behalve de de-registratie, dat gaat mij de pet te boven.
Daarnaast kon ik de sdklw32 en de winjh32 niet scannen, omdat die er niet tussenstonden toen ik aan het browsen was op de Jotti virus scan.

Adaware draai ik steeds weer als ik opnieuw opstart.

Onder de geinstalleerde programma lijst staat geen windupdate, dus die kan ik ook niet verwijderen.

Is het niet verstandiger om SPHJFIX te draaien en dat probleem dus eerst op te lossen (zie boven)?

Ik heb trouwens iets nieuws ontdekt in mijn add/remove staat een programma Home Search Assistant. Die kan ik niet verwijderen, hij geeft de melding:
Unable to open http:// looking-for.cc?uninstall?homeSearchAssistant.html
Daarnaast staat er ook nog een ‘search extender’, bij deze hetzeflde verhaal. Beiden geven geen grootte aan. Ik heb geprobeerd dit in de veilige modus weg te gooien, maar hier hetzelfde verhaal.

De naam van de spyware veranderd trouwens continu.

About:buster, CWshredder, spybot, adaware en hijackthis zijn up to date. Deze programma's kunnen me nog niet helpen. Ik kom er niet meer uit.

[ Voor 11% gewijzigd door Verwijderd op 19-09-2004 19:32 ]

donderdag 23 september 2004 21:05

Acties:

Verwijderd

Topicstarter
Ik heb me wat verder verdiepd in die deregistratie, dat lijkt me namelijk het laatste redmiddel op format na, maar dan wil ik eigenlijk wel even voor de zekerheid bevestigen (het is niet mijn computer, van mijn pa met zijn spul enzo) dat ik de TEMP folder volledig leeg kan gooien zonder dat iets straks niet meer werkt! Ik moet je zeggen dat daar echt heel veel bestanden staan.

Bvd

donderdag 23 september 2004 22:03

Acties:
  • Pendaco
  • Registratie: Augustus 2003
  • Laatst online: 23:33

Pendaco

Vogon Poetry FTW!

je temp folder en temporery internet files folder kun je allebei zonder problemen legen, in je temp folder worden alleen tijdelijke bestanden geplaatst, wanneer een programma wordt geinstalleerd bijv.
na installatie zijn deze bestanden overbodig en kunnen ze verwijderd worden, veel virussen/trojans nestelen zich vaak in deze folders

hier ook uitgelegd

donderdag 23 september 2004 22:32

Acties:

Verwijderd

Topicstarter
bedankt, ik ga weer aan de slag

donderdag 23 september 2004 22:58

Acties:

Verwijderd

Topicstarter
[quote][b][message=21673557,noline][Jules] schreef op 16 september 2004 @

Alles wat nu nog niet is verwijderd zou je met Process Explorer nog weg kunnen halen, zo kun je ook dll's die nog in explorer.exe zijn blijven draaien herkennen. Noteer welke dll's dat zijn, deregistreer ze met "regsvr32 /u example.dll", start een command prompt, kill explorer.exe en verwijder de dll's via de command prompt.
Start explorer.exe vanuit de command prompt.
Kijk daarna in Windows Explorer een naar de directories c:\WINNT (of C:\WINDOWS) en C:\WINNT\System32 (sorteer deze op datum en zie welke wazige exe's en dll's daar staan... tip: meestal heeft malware/spyware geen versie informatie). Dus die kun je dan ook verwijderen.
Gooi je temp dir leeg (C:\Documents and Settings\username\Local Settings\Temp).
Verwijder je IE cache.


Ik heb de WINNT en SYSTEM32 echt heeelemaaal VOl staan met dll'tjes zonder versie-informatie, maar als ik die allemaal verwijder ben ik bang wat te beschadegen. Betekent dat nu dat ik al die dll afzonderlijk door die virusscan op het internet moet halen, of is daar nog een andere manier voor?

Btw, die homesearch die ik niet kan verwijderen, heeft iemand daar nog een tip voor?

zaterdag 25 september 2004 11:55

Acties:
  • [Jules]
  • Registratie: Maart 2000
  • Laatst online: 07:42

[Jules]

Confusion in confusion

In plaats van die dll's te verwijderen zou je ze ook gewoon even in een temp folder kunnen plaatsen... mocht het problemen opleveren dan kun je ze altijd weer terugzetten...

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

zaterdag 25 september 2004 12:26

Acties:

Verwijderd

Topicstarter
probleem is al opgelost
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq