Coolwebsearch startpagina wordt telkens ingesteld als startpagina.. Nu ben ik dus heao ict student en kan ik alle problemen tot nu toe altijd nog oplossen. maar dit kreng krijg ik niet weg.
Elke keer als ik denk dat alles weg is staat dat kut ding er na een uur weer zodra ik internet explorer open.
Wat heb ik al gedaan:
- Alle updates geinstalleerd windows update
- Windows java verwijdert en vervangen door die van SUN
- Veilige modus opgestart en vanuit daar
-CWScredder (kon niks vinden, maar verwijdert de pagina wel zodra het "cleaning orphaned left overs " heeft gedaan
- HijackThis, startpagina van coolwebsearch verwijdert, alle activeX dingen die onbekend leken verwijdert..
- Adaware, laatste update gisteren voor de 500ste keer.. Deze vidnt een .dll (random named) die in me /winnt/system32 dir staat... deze wordt verwijdert..
Nah denk je dan, alles schoon.. en we kunnen weer..
een uurtje later ofzo start je explorer op en dezelfde pagina verschijnt weer. Wordt er doodziek van, bovendien krijg je van die kut popups erbij gratis zelfs! :S
Wie weet een permanente oplossing om dit uit te roeien, CWScredder en de andere removal tools werken dus blijkbaar niet goed genoeg, ergens blijft er iets draaien dat gewoon opnieuw dat ding installeert..
Dit is echt een dikke help, heb hem nu al 13X verwijdert de afgelopen 9 dagen, en het komt elke keer terug.
StartupList report, 6/26/2004, 6:57:23 AM
StartupList version: 1.52
Started from : D:\downloads\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Apache\Apache.exe
D:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
D:\WINNT\system32\drivers\CDAC11BA.EXE
D:\WINNT\system32\crypserv.exe
D:\WINNT\System32\svchost.exe
D:\Apache\Apache.exe
D:\mysql\bin\mysqld.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
D:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
D:\WINNT\Explorer.EXE
D:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
D:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
D:\Program Files\TwZ\MagicKillah\MagicKillah.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Sonique2\sonique2.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\downloads\HijackThis.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = D:\WINNT\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Synchronization Manager = mobsync.exe /logon
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Ad-aware = "D:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TeddyWareZ' MagicKillah = "D:\Program Files\TwZ\MagicKillah\MagicKillah.exe" -nosplash -minimize
msnmsgr = "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
McAfee.InstantUpdate.Monitor = "D:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
--------------------------------------------------
Shell & screensaver key from D:\WINNT\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Download Program Files:
[CryptoRSA Control]
InProcServer32 = D:\WINNT\DOWNLO~1\CRYPTO~1.OCX
CODEBASE = https://www.p3.postbank.nl/sesam/CAX.cab
[Checkers Class]
InProcServer32 = D:\WINNT\Downloaded Program Files\msgrchkr.dll
CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab
[Shockwave ActiveX Control]
InProcServer32 = D:\WINNT\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
[Minesweeper Flags Class]
InProcServer32 = D:\WINNT\Downloaded Program Files\minesweeper.dll
CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab
[FileSharingCtrl Class]
InProcServer32 = D:\WINNT\Downloaded Program Files\fsmsngr-nl.dll
CODEBASE = http://appdirectory.messe(...)/filesharingctrl.cab
[MessengerStatsClient Class]
InProcServer32 = D:\WINNT\Downloaded Program Files\messengerstatsclient.dll
CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
[Shockwave Flash Object]
InProcServer32 = D:\WINNT\system32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedi(...)bs/flash/swflash.cab
[PBGNX Control]
InProcServer32 = D:\WINNT\DOWNLO~1\PBGNX.ocx
CODEBASE = https://gto.postbank.nl/GTO/PBGNX.cab
[Solitaire Showdown Class]
InProcServer32 = D:\WINNT\Downloaded Program Files\solitaireshowdown.dll
CODEBASE = http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk /p \??\D:
Windows NT 'Wininit.ini':
PendingFileRenameOperations: d:\winnt\system32\pkmdoe.dll||d:\documents and settings\alex\cookies\alex@ehg-webquest.hitbox[1].txt||d:\documents and settings\alex\cookies\alex@hitbox[2].txt||d:\docume~1\alex\locals~1\temp\sp.html|||\
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
Network.ConnectionTray: D:\WINNT\system32\NETSHELL.dll
WebCheck: D:\WINNT\system32\webcheck.dll
SysTray: stobject.dll
--------------------------------------------------
End of report, 5,922 bytes
Report generated in 0.312 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOCUME~1\alex\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOCUME~1\alex\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOCUME~1\alex\LOCALS~1\Temp\sp.html
Verwijder ik D:\DOCUME~1\alex\LOCALS~1\Temp\sp.html dan komt er dus niks in mijn browser.. HEt is ook zo dat zelfs ADAWARE 6 laatste update gewoon de .DLL van coolwebsearch verwijdert, maar deze komt elke keer weer terug.
quote:op XP dan :|Op zaterdag 26 juni 2004 18:58 schreef G1ml1 het volgende:
Systeemherstel, werkt t beste !
En een tip gebruik geen internet explorer meer om te browsen spy ware komt daar het makkelijkst doorheen. Gebruik alternative browsers zoals firefox. Klik hier om firefox te downloaden
quote:Ook al gedaan...Op zaterdag 26 juni 2004 19:00 schreef _onderhond_ het volgende:
Probeer het eens in veilige modus. Als en / of kill alle onbekende lopende processen. Anders heb je kans dat eenl lopend proces al die dingen weer aan maakt nadat jij ze fijn verwijdert hebt.
Heb de laatste updates van CWScredder + hijackthis gebruikt, het komt elke keer terug
iemand een oplossing?? dit is echt onwijs irritant
en ik heb windows 2000 dus systeemherstel zit er niet inedit: veilige modus..
taakcontrol opstarten en de warez taken/processen beeindigen, De verantwoordelijke warez.exe files verwijderen vanschijf. register schonen, win.ini en system.ini checken. Antispyware programma's draaien, kijken of ze nog iets meer kunnen schonen.
edit: er zullen wel 2 of meer processen draaien waarbij de 1 de ander steeds opnieuw opstart. tevens als je een key uit het register verwijderd kan een proces deze meteen weer terugschrijven. lastig..
En of het nu lukt of niet, ik zou zowieso meteen Mozilla Firefox downloaden. Prima browser met leuke mogelijkheden, lekker snel en geen spyware shit meer. IE is gewoon niet veilig door de mogelijkheid dat het bestanden kan uitvoeren en is verouderd.
Maar je moet het zelf weten natuurlijk. Er is nog steeds 1 lek in dat ding zonder patch vooralsnog en er zullen vast nog wel meer lekken komen. En al zou het alleen nog maar zijn voor tabbed browsing
http://62.131.86.111/analysis.htm
http://isc.incidents.org/(...)b91826409b9e253919ec
[ Bericht 10% gewijzigd door Smasr op 26-06-2004 19:20:37 ]
, heb het net weggehaald, nu moet ik hopen dat het wegblijft. Ik heb echter wel een tijdje weggekregen door bepaalde herstelpunten te verwijderen, want daar zaten ze ook in. Oh ja, die pop-ups, toevallig niet ihatepopups.com adware? ik had er ook last van en dees ziet meer dan ad-aware e.a
Succes
En maak een HijackThis log. Dus niet een startup-list. Dus druk op scan en klik dan op save log. Plaats die log eens? Mischien vind hij dan meer.
wat waardeloos bagger ding..
cwscredder was niet geupdate voor alle versies van coolwebsearch, omdat ze zelf nog niet doorhebben hoe het precies werkt
Download adaware, spybot, hijack this! en cwsscredder, allemaal updaten indien nodig
start pc op in safe-mode, dan spybot laten scannen, alles verwijderen wat gedetecteerd wordt.
dan adaware opstarten, scan now, dan op custoimize drukken en ervoor zorgen dat:
scan within archives
scan active processes
scan registry
deep scan registry
scan my IE favorites for banned URL's
scan my Host files
allemaal activeren dus. dan op tweak drukken en daar bij cleaning engine ervoor zorgen dat "let windows remove files in use at next reboot" en "delete quarentined objects after restoring" geactiveerd zijn, en bij scanning engine moet "unload recognized processes during scanning" geactiveerd zijn.
dan mag je beginnen met het scannen.
alles deleten, hijack this laten draaien, en daar alles verwijderen wat niet katholiek lijkt (ik ken de path's niet van buiten
)dan nog eens cwsscredder laten draaien, en wat ik daarna nog heb gedaan is "my temporary internet files" gedelete... Ik denk dat het laatste belangrijk is, omdat wanneer ik dat niet deed het steeds bleef terugkomen. (als het dat niet is dan is het gewoon toevallig, het is nu bij mij wel volledig verwijderd
)www.spysweeper.com
Hij vindt en verwijdert wel maar het komt elke keer terug.. ook als de .dll verwijdert is.. na een tijdje staat alles er weer
in deze volgorde: me syst. is in ieder geval nu helemaal schoon... voor zover ik weet als hij toch terug komt ga ik weer balen..
1) Adawarel laatste tupdate, hij zou de .dll moeten vinden en kan die alleen met een restart verwijderen
restarten dus
adaware zal voordat ook maar iets gestart wordt een nieuwe scan uitvoeren en je kan dan wel de .dll verwijderen
2) CWScredder.. nog niks openen van explorer of internet.. heb deze gedraait en ruimde wat rotzooi op..
3) hijackthis... er staan BO browser object helper + de naam van de .dll in de lijst deze heb ik verwijdert.. er stonden geen Sp.html vermeldingen meer bj (cwscredder waarschijnlijk al verwijdert)
4) spysweeper nog keer voor de zekerheid eroverheen niks..
Toen alle tijdelijke internet files verwijdert + cookies en history gecleared..
hij is nu nog schoon, maar voor hoelang..
mogelijke infectie locaties schijnen
notepad.exe
en windows medie player te zijn... ik heb deze nog niet gebruikt of vervangen viruscan vindt hier niks op maar zou toch besmet kunnen zijn..
ik ga eens kijken of het terug komt als ik die 2 gebruik..
zal jullie op de hoogte houden
schijnen het ding weer te installeren
maar kan zijn dat nog veel meer windows .exes geinfecteerd zijn :S
Hopen van niet.. hij zit er weer op ga hem vanavond weer verwijeren
)Btw hier is nog een site met veel varianten van CWS
http://www.spywareinfo.com/~merijn/cwschronicles.html
quote:Euh.. spyware verboden?? Linkje aub..Op dinsdag 29 juni 2004 18:07 schreef switchboy het volgende:
eigenlijk zou je c2 media of bedrijven zoals coolwebsearch de rekening moeten sturen voor de problemen die ze veroorzaken (spyware is in Nederland nl verboden). (alleen jammer dat het meestal buitenlandse bedrijven zijn
Btw hier is nog een site met veel varianten van CWS
http://www.spywareinfo.com/~merijn/cwschronicles.html
Spam is wel verboden, op spyware is nog geen verbod dacht ik.
quote:[knip]Desgevraagd zei PvdA-kamerlid Martijn van Dam hierover: "Spyware is in Nederland verboden. Dat is terecht, want het is schandalig als bedrijven zonder dat je het weet je activiteiten op internet bespioneren. Dat verbod moet wel gehandhaafd worden. Als consument heb je niks aan een verbod waarvoor geen adequate handhaving geregeld is." Bron: http://www.tweakers.net/nieuws/33067
ik garandeer niks, maar het heeft al vaker geholpen, mits je msn+ op je pc hebt natuurlijk
quote:Dat is interessant. Mijn WMP doet het niet meer. En een nieuwe versie kan niet geinstalleerd worden, want dan krijg ik elke keer een error.Op maandag 28 juni 2004 19:31 schreef Ickeane het volgende:
Mplayer2.exe en of windowsmedia player
schijnen het ding weer te installeren
maar kan zijn dat nog veel meer windows .exes geinfecteerd zijn :S
Hopen van niet.. hij zit er weer op ga hem vanavond weer verwijeren
quote:Hmm.. lekker dan. Waar kan ik mijn schadeclaims gaan indienen??Op dinsdag 29 juni 2004 20:15 schreef switchboy het volgende:
[..]
Maar ja.. voordat het ook echt nut heeft zijn we weer een hoop jaren verder (helaas)..
en bij coolwebsearch staat psies hoe je 'm weg moet halen http://www.doxdesk.com/parasite/CoolWebSearch.html
suc6
Ik heb deze progs tot nu toe geprobeerd, allen met de laatste updates
Adaware SE
PestPatrol
SpySweeper
Spybot
GIANT AntiSpyware
Hjjjackthis
De meeste van deze progs vinden hem wel maar hij komt gewoon terug
Er draaien constant processen mee zoals qwddfeqs.exe, deze kun je wel killen maar er komt direct een proces voor terug met een gelijksoortige naam, zelfs in veilige modus (!!)
De browser start op met een pagina als http://www.dsflhwlwhr32802nf2kl2.info/asdasdfdasf/asd
en dan gaat ie naar coolwebsearch.com, ook zo'n lelijke toolbar is niet weg te krijgen
Omdat ik die zooi niet weg kon krijgen in win2k heb ik WinXP met SP2 (die zou veiliger moeten zijn) erop gezet en het account van m'n zusje op limited gezet, maar nu zit weer alles eronder
Bestaat er al een echte remedie tegen dit ding of moet ik bezig blijven de symptonen te bestrijden?
[ Bericht 0% gewijzigd door Hayek op 08-11-2004 19:04:25 ]
Zo ja, dan messenger-plus deïnstalleren en daarna opnieuw installeren ZONDER sponsorpragramma (hij vraagt tijdens de installatie zelf of je dat wil installeren of niet, maar aangezien het lijkt of het gaat over de standaard overeenkomst vergeten veel mensen hier "nee" aan te vinken)
Als bovenstaande niet werkt kan het zijn dat je al teveel van het sponsorprogramma hebt vern**kt, in dat geval wil het wel eens helpen msg+ nog een keer te installeren MET sponsorprogramma en daarna bovenstaand proces nog een keer te doorlopen
klik hier voor te downloaden
quote:Welke veilige modus draai je dan, met of zonder netwerkondersteuning?Er draaien constant processen mee zoals qwddfeqs.exe, deze kun je wel killen maar er komt direct een proces voor terug met een gelijksoortige naam, zelfs in veilige modus (!!)
Als het goed is zou er behalve de basisprocessen van windows niks anders in de veilige modus opgestart moeten worden.
quote:gedaan, maar alle meuk staat er nog gewoon opOp maandag 8 november 2004 18:24 schreef martax het volgende:
Is het sinds je zusje messenger-plus heeft geïnstalleerd?
Zo ja, dan messenger-plus deïnstalleren en daarna opnieuw installeren ZONDER sponsorpragramma (hij vraagt tijdens de installatie zelf of je dat wil installeren of niet, maar aangezien het lijkt of het gaat over de standaard overeenkomst vergeten veel mensen hier "nee" aan te vinken)
Als bovenstaande niet werkt kan het zijn dat je al teveel van het sponsorprogramma hebt vern**kt, in dat geval wil het wel eens helpen msg+ nog een keer te installeren MET sponsorprogramma en daarna bovenstaand proces nog een keer te doorlopen
quote:zonderOp dinsdag 9 november 2004 10:58 schreef Sassie het volgende:
[..]
Welke veilige modus draai je dan, met of zonder netwerkondersteuning?
quote:ja dat zou wel moeten.. ik snap ook niet hoe dat prog het voor elkaar krijgtAls het goed is zou er behalve de basisprocessen van windows niks anders in de veilige modus opgestart moeten worden.
Als dat ook al niks oplevert in veilige modus weet ik het ook niet meer hoor.
inmiddels start IE niet meer met coolwebsearch.com maar die searchbar en popups blijven komen
wat wel positief is is dat het allemaal netjes binnen 1 account blijft, als je uitlogt en onder een andere user inlogt is alles nog schoon lijkt het, dus ik laat die bagger er wel gewoon opstaan en als het te erg wordt verwijder ik het account en maak ik een nieuwe aan
Je zou evt ook een trial van Kaspersky kunnen proberen, die schijnt ook goed te zijn.
heb gelijk een losse firewall erop gezet en alle spywarehosts geblokt.. of het veel zal helpen is maar de vraag natuurlijk
Of ze allemaal virussen sturen, dat soort dingen, dan leren die eikels het misschien een keer af....
en dit keer krijg ik het niet weg met lop uninstall
hitman pro lukt het ook niet..