CWS variant searchx

Status
Niet open voor verdere reacties.
P

Pieter Arntz

Spywareslayer
Lid geworden
12 aug 2001
Berichten
15.621
Tot mijn spijt kan ik het niet opbrengen om iedereen die met deze variant besmet is persoonlijk te helpen.

Er zijn duizenden en duizenden mensen die deze rommel hebben en maar een paar die je er vanaf kunnen helpen.

Vaak is het dan ook nog maar tijdelijk, hetgeen de moed heftig doet zakken.
Als ik je naar dit topic verwezen heb ben je één van de onfortuinlijken.

Mijn welgemeende raad: formatteer en maak met je "nieuwe computer" een betere start. Installeer om te beginnen een firewall en een Windows versie die je kunt updaten.
Installeer de firewall al voordat je de eerste keer het internet opgaat om alle updates op te halen.
De gemiddelde tijd die het duurt voor een onbeschermde computer besmet is met het een of ander is minder dan tien minuten. :8-0:

Kijk daarna even hier: http://home.planet.nl/~kleyn080/Spywareinfonl.html

=======================================
Voor degenen die het willen proberen te rekken tot er iemand met een remedie voor deze zooi komt.

Een gedeelte van je HijackThis log zag er ongeveer zo uit:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:\WINDOWS\System32\gfmnaaa.dll

eerste deel:
Download het bestand Find-All.zip van de site:
http://www10.brinkster.com/expl0iter/freeatlast/PVtool.htm
Unzip alles naaar één map. (Niet uit de zip map runnen)
Open de map en dubbelklik op find all.bat
Als het klaar is verschijnt er een bestandje output.txt met een dll naam (we noemen deze vanaf nu even xxxx.dll) + een foutmelding + een heleboel abacadabra

tweede deel:
Download TheKillbox hier: http://download.broadbandmedic.com/VbStuff/KillBox.zip

Unzip de bestanden naar een aparte map, dubbelklik op Killbox.exe . In het "Paste Full Path of File to Delete" venster, knip en plak je (niet typen of met de verkenner zoeken, hiervandaan knippen en plakken)

het pad naar de dll die in je HijackThis log voorkwam (in het voorbeeld c:\windows\system32\gfmnaaa.dll)

Klik niet op één van de knoppen maar klik op Action en kies "Delete on Reboot". In het volgende scherm, klik op File en kies "Add File". De filename en het pad dat je geplakt hebt zouden tevoorschijn moeten komen.

Herhaal die procedure voor de dll die find.bat opleverde (in het voorbeeld c:\windows\system32\xxxx.dll)

Je hebt nu dus twee bestanden in dat venster staan.

Als dat gelukt is klik je op Action en "Process and Reboot". Je krijgt dan een prompt dat je opnieuw moet opstarten.

Als dat gebeurd is draai je de nieuwste versie van CWShredder
en AdAware.

derde deel:
LET OP: deze manier verhinderd ELKE BHO om geregistreerd te worden. Dat kan problemen veroorzaken als je een programma wilt installeren.

Maak een herstelpunt voor je dit doet.

Start > Uitvoeren > regedit > OK
In the Register Editor ga je naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects
in het linkerscherm rechtsklik je op die map en kiest Machtigingen. Klik op Geavanceerd en haal het vinkje weg bij "Overneembare machtigingen van bovenliggend object aan dit object doorgeven"
In de prompts klik je op Verwijderen en OK

Dan sluit je de Register-editor af.

vierde deel

Om herbesmetting te voorkomen hebben we ontdekt dat het helpt om de volgende IP adressen te blokkeren in je firewall:
81.211.105.0 tot en met 81.211.105.255
209.66.114.0 tot en met 209.66.115.255
213.159.117.0 tot en met 213.159.118.255

Groetjes,

Pieter
 
Laatst bewerkt:
Heb e.e.a. even doorgenomen.

Komt dit door een lek in windows, internet explorer etc? of omdat die mensen op bepaalde sites komen?
 
Alledrie raak voor zover ik weet, m@rio.

Het wordt verspreid via bepaalde sites en gebruikt een lek in IE dat gedicht is ná SP1 en verbergt zich door een lek in Windows dat nog niet dicht is.

Het bestand dat de boel draaiende houdt (xxxx.dll) kun je in verkenner niet vinden, zelfs niet met superhidden files weergegeven.

Vaak hebben mensen er dagenlang geen last van als je klaar bent en dan opeens is het er weer.
Het vreemde is dat xxxx.dll dan weer dezelfde bestandsnaam heeft terwijl die normaal totaal random zijn. De conclusie moet welhaast zijn dat er nog een verborgen bestand is dat weer ergens anders door geactiveerd wordt. Het vermoeden is dat dit een veranderd systeembestand is. Ik heb een aantal berichten gezien die doen denken aan notepad.exe, services.exe of wmplayer.exe

Eigenlijk zijn er meer vragen dan antwoorden en blijft er een enorme puinhoop in het register achter, die alleen maar erger wordt naarmate je het vaker verwijderd.

Dat en tijdgebrek maken dat ik het niet eens meer probeer. Mocht er iemand met dé oplossing op de proppen komen dan meldt ik dat natuurlijk hier.

Groetjes,

Pieter
 
Dat is weer een duidelijke uitleg. :thumb:

Kan me voorstellen dat je op den duur de tijd er niet meer voor kan nemen om je hier in te gaan verdiepen. Dan heb je alleen aan zulke gevallen al een dagtaak.

En je hebt het al zo druk :)
 
bedankt

Ik wil alleen zeggen dank u wel voor uw hulp...
ik ga nu proberen mijn firewall in te stellen en de IPadres blokkeren...
Nog even een kleine vraag is de firewall van xp net zo goed als die van zonelabs?

Dank u...

Groetjes, laurence:)
 
Dit is niet de plek om een nieuwe vraag te beginnen
 
Misschien heeft dit er niets mee te maken,maar je weet maar nooit
Bij het scannen met CWShredder kreeg ik de melding dat ik was besmet met CWS.Smartsearch.2
Bij een onlinescan bij RAVantivirus kwam naar voren dat er in Sun Java twee Trojans n.l. Java/Bytverify en Java/Dummy.c zaten
Na het legen van de Sun Java "cache"bleef de melding van CWShredder
Nadat ik de pc opnieuw had opgestart was de melding verdwenen

Op een Belgische helpdesk had iemand Java/Byteverify en Java/Norio in wmplayer.exe zitten

Kan het niet zo zijn dat CWS gebruik maakt van deze Trojans om zoiets te activeren

Ik moet er nu wel vanuit gaan dat de mededeling van Sun Java :

If you are using the Sun JVM™ as your default virtual machine, these malicious applets cannot cause any harm to your computer.

niet meer van toepassing is

http://java.com/en/download/help/cache_virus.jsp
 
XP Home bezitters moeten eerst deze instructies volgen en dan moeten ze ook te helpen zijn:
http://www.dougknox.com/xp/tips/xp_home_sectab.htm

Het is ons nog steeds een raadsel hoe mensen met Windows 98 en ME deze troep aan het draaien hebben gekregen. Bij de meesten crasht het gewoon omdat deze besturingssystemen geen NT beveiliging hebben.
Wel zou het voldoende moeten zijn voor deze categorie om het verborgen .dll bestand in DOS te verwijderen.
Dan met AdAware en CWShredder de rest opruimen.

Laat me even weten of het werkt, dan kan ik er anderen blij mee maken.

Groetjes,

Pieter
 
Voor Windows 2000 en XP is er nu een programmaatje dat een goede kans op verwijdering lijkt te geven.
http://home.arcor.de/rosmarin123/sphjfix105.zip

Duitse uitleg: http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0

Na het uitpakken start je het programma op en klik je op "Desinfektion starten" Zorg wel dat je alles al zoveel mogelijk afgeslotennhebt, want je computer start vanzelf opnieuw op.

Je krijgt dan na het opstarten nog een scherm van het programma waar je de "Desinfektion abschliessen" knop kunt gebruiken om het programma af te sluiten.

Succes,

Pieter
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan