Pieter Arntz
Spywareslayer
- Lid geworden
- 12 aug 2001
- Berichten
- 15.621
Tot mijn spijt kan ik het niet opbrengen om iedereen die met deze variant besmet is persoonlijk te helpen.
Er zijn duizenden en duizenden mensen die deze rommel hebben en maar een paar die je er vanaf kunnen helpen.
Vaak is het dan ook nog maar tijdelijk, hetgeen de moed heftig doet zakken.
Als ik je naar dit topic verwezen heb ben je één van de onfortuinlijken.
Mijn welgemeende raad: formatteer en maak met je "nieuwe computer" een betere start. Installeer om te beginnen een firewall en een Windows versie die je kunt updaten.
Installeer de firewall al voordat je de eerste keer het internet opgaat om alle updates op te halen.
De gemiddelde tijd die het duurt voor een onbeschermde computer besmet is met het een of ander is minder dan tien minuten. :8-0:
Kijk daarna even hier: http://home.planet.nl/~kleyn080/Spywareinfonl.html
=======================================
Voor degenen die het willen proberen te rekken tot er iemand met een remedie voor deze zooi komt.
Een gedeelte van je HijackThis log zag er ongeveer zo uit:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:\WINDOWS\System32\gfmnaaa.dll
eerste deel:
Download het bestand Find-All.zip van de site:
http://www10.brinkster.com/expl0iter/freeatlast/PVtool.htm
Unzip alles naaar één map. (Niet uit de zip map runnen)
Open de map en dubbelklik op find all.bat
Als het klaar is verschijnt er een bestandje output.txt met een dll naam (we noemen deze vanaf nu even xxxx.dll) + een foutmelding + een heleboel abacadabra
tweede deel:
Download TheKillbox hier: http://download.broadbandmedic.com/VbStuff/KillBox.zip
Unzip de bestanden naar een aparte map, dubbelklik op Killbox.exe . In het "Paste Full Path of File to Delete" venster, knip en plak je (niet typen of met de verkenner zoeken, hiervandaan knippen en plakken)
het pad naar de dll die in je HijackThis log voorkwam (in het voorbeeld c:\windows\system32\gfmnaaa.dll)
Klik niet op één van de knoppen maar klik op Action en kies "Delete on Reboot". In het volgende scherm, klik op File en kies "Add File". De filename en het pad dat je geplakt hebt zouden tevoorschijn moeten komen.
Herhaal die procedure voor de dll die find.bat opleverde (in het voorbeeld c:\windows\system32\xxxx.dll)
Je hebt nu dus twee bestanden in dat venster staan.
Als dat gelukt is klik je op Action en "Process and Reboot". Je krijgt dan een prompt dat je opnieuw moet opstarten.
Als dat gebeurd is draai je de nieuwste versie van CWShredder
en AdAware.
derde deel:
LET OP: deze manier verhinderd ELKE BHO om geregistreerd te worden. Dat kan problemen veroorzaken als je een programma wilt installeren.
Maak een herstelpunt voor je dit doet.
Start > Uitvoeren > regedit > OK
In the Register Editor ga je naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects
in het linkerscherm rechtsklik je op die map en kiest Machtigingen. Klik op Geavanceerd en haal het vinkje weg bij "Overneembare machtigingen van bovenliggend object aan dit object doorgeven"
In de prompts klik je op Verwijderen en OK
Dan sluit je de Register-editor af.
vierde deel
Om herbesmetting te voorkomen hebben we ontdekt dat het helpt om de volgende IP adressen te blokkeren in je firewall:
81.211.105.0 tot en met 81.211.105.255
209.66.114.0 tot en met 209.66.115.255
213.159.117.0 tot en met 213.159.118.255
Groetjes,
Pieter
Er zijn duizenden en duizenden mensen die deze rommel hebben en maar een paar die je er vanaf kunnen helpen.
Vaak is het dan ook nog maar tijdelijk, hetgeen de moed heftig doet zakken.
Als ik je naar dit topic verwezen heb ben je één van de onfortuinlijken.
Mijn welgemeende raad: formatteer en maak met je "nieuwe computer" een betere start. Installeer om te beginnen een firewall en een Windows versie die je kunt updaten.
Installeer de firewall al voordat je de eerste keer het internet opgaat om alle updates op te halen.
De gemiddelde tijd die het duurt voor een onbeschermde computer besmet is met het een of ander is minder dan tien minuten. :8-0:
Kijk daarna even hier: http://home.planet.nl/~kleyn080/Spywareinfonl.html
=======================================
Voor degenen die het willen proberen te rekken tot er iemand met een remedie voor deze zooi komt.
Een gedeelte van je HijackThis log zag er ongeveer zo uit:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:\WINDOWS\System32\gfmnaaa.dll
eerste deel:
Download het bestand Find-All.zip van de site:
http://www10.brinkster.com/expl0iter/freeatlast/PVtool.htm
Unzip alles naaar één map. (Niet uit de zip map runnen)
Open de map en dubbelklik op find all.bat
Als het klaar is verschijnt er een bestandje output.txt met een dll naam (we noemen deze vanaf nu even xxxx.dll) + een foutmelding + een heleboel abacadabra
tweede deel:
Download TheKillbox hier: http://download.broadbandmedic.com/VbStuff/KillBox.zip
Unzip de bestanden naar een aparte map, dubbelklik op Killbox.exe . In het "Paste Full Path of File to Delete" venster, knip en plak je (niet typen of met de verkenner zoeken, hiervandaan knippen en plakken)
het pad naar de dll die in je HijackThis log voorkwam (in het voorbeeld c:\windows\system32\gfmnaaa.dll)
Klik niet op één van de knoppen maar klik op Action en kies "Delete on Reboot". In het volgende scherm, klik op File en kies "Add File". De filename en het pad dat je geplakt hebt zouden tevoorschijn moeten komen.
Herhaal die procedure voor de dll die find.bat opleverde (in het voorbeeld c:\windows\system32\xxxx.dll)
Je hebt nu dus twee bestanden in dat venster staan.
Als dat gelukt is klik je op Action en "Process and Reboot". Je krijgt dan een prompt dat je opnieuw moet opstarten.
Als dat gebeurd is draai je de nieuwste versie van CWShredder
en AdAware.
derde deel:
LET OP: deze manier verhinderd ELKE BHO om geregistreerd te worden. Dat kan problemen veroorzaken als je een programma wilt installeren.
Maak een herstelpunt voor je dit doet.
Start > Uitvoeren > regedit > OK
In the Register Editor ga je naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects
in het linkerscherm rechtsklik je op die map en kiest Machtigingen. Klik op Geavanceerd en haal het vinkje weg bij "Overneembare machtigingen van bovenliggend object aan dit object doorgeven"
In de prompts klik je op Verwijderen en OK
Dan sluit je de Register-editor af.
vierde deel
Om herbesmetting te voorkomen hebben we ontdekt dat het helpt om de volgende IP adressen te blokkeren in je firewall:
81.211.105.0 tot en met 81.211.105.255
209.66.114.0 tot en met 209.66.115.255
213.159.117.0 tot en met 213.159.118.255
Groetjes,
Pieter
Laatst bewerkt: