Behandelmethode CWS sp.html variant

Opmerking: dit gedeelte werkt alleen voor Windows 2000 en XP
Als je %Windir% map WINNT heet in plaats van Windows (Win2k en upgrades daarvan, moet je dat aanpassen)

Deze variant is te herkennen aan dit soort regels in het HijackThis log:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {FD90346B-9BF1-4018-A409-6F86439A7333} - C:\WINDOWS\System32\jbpoe.dll

Verder heb je nog nodig de uitkomst van:
Start - Uitvoeren - plak de volgende regel in het venster
regedit /e c:\txtprtcl.txt "HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain"

De uitkomst ziet er ongeveer zo uit:
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{9147C052-2984-4A7E-8FA8-F8B223A609F3}"

Met deze gegevens gaan we de volgende bestanden maken:

cwsreg.reg

REGEDIT4

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BLAUW}]

[-HKEY_CLASSES_ROOT\CLSID\{ROOD}\InProcServer32]

Kopieer het schuingedrukte gedeelte in kladblok.
Nadat je de juiste waardes hebt overgenomen uit de uitkomsten en ingevuld op de plaats van de bijbehorende kleur sla je het bestand op als cwsreg.reg in C:\Windows

cwstemp.bat

@echo off
regedit /s cwsreg.reg
cwsuni.exe
del /q C:\DOCUME~1\[gebruiker]\LOCALS~1\Temp\sp.html
del /q C:\WINDOWS\SYSTEM32\GROEN.dll

Kopieer het schuingedrukte gedeelte in kladblok en nadat je de juiste naam van de BHO bij GROEN hebt ingevuld en [gebruiker] hebt vervangen door hetgeen in het HijackThis log staat, sla je het bestand op als cwstemp.bat in C:\Windows

Dan download je http://users.pandora.be/marcvn/spyware/cwsuni.exe en slaat dat ook op in C:\Windows

Sluit alle programma's en start een opdrachtprompt.
Doe Ctrl-Alt-Del en stop explorer.exe
Niet schrikken want je taakbalk etc verdwijnen allemaal
In de opdrachtprompt klik je deze commando's, ENTER na elke regel:
cd ..
cd ..
cd windows
cwstemp.bat
explorer.exe

Mocht je ergens onderweg problemen tegenkomen doe dan opnieuw
Ctrl-Alt-Del. In taakbeheer kies je op tabblad toepassingen voor
nieuwe taak en met Bladeren ga je naar C:\Windows\explorer.exe

Als je klaar bent fix je de regels in HijackThis en start je computer opnieuw op.

Met dank aan degenen die het getest hebben, waaronder DutchBull van Helpmij. :thumb:

Mocht je vragen hebben over deze procedure stel ze dan in dit topic. Plaats hier geen logs svp.

Groetjes,

Pieter

Ik heb deze maar ff op "Sticky" gezet.

uitvoeren??

Hai pieter,
hoop dat mijn vraag hier goed staat?

Kreeg onderstaand antwoord van je en ben het nu aan het uitproberen, maar als ik die hele regel in uivoeren plak dan gebeurt er helemaal niks. Ik weet niet waar ik die uitkomst dan kan vinden?? Ben niet zo'n computer wizard! Hoop dat je me kan helpen.

groetjes
suzan

Als je deze regel in het uitvoeren venster plakt
regedit /e c:\txtprtcl.txt "HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain"

en je klikt op OK wordt er een bestand c:\txtprtcl.txt gemaakt. Dat heb je nodig.
Als dat niet gemaakt wordt bestaat die registersleutel niet en zou het fixen van de regels in HijackThis en het draaien van cwsuni.exe voldoende moeten zijn.

Controleer het wel goed anders blijf je bezig.

Groetjes,

Pieter

Behandelmethode

Ik heb gezien dat hij een txt bestand heeft gemaakt
maar hoe moet ik verder

alvast bedankt,

bob

Misschien handig als je alles even goed doorleest?? Ik heb het zelf eens doorgelezen en is toch echt duidelijk!

En welk TXT bestand? je moet er uiteindelijk 2 maken.

behandelmetheode

als ik in [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects kijk dan zie ik drie mappen

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{5BBF14AD-A23B-42C0-8A24-E0FD8D9C1A7A}
{BDF3E430-B101-42AD-A544-FADC6B084872}

welke moet ik achter [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ plakken

alvast bedankt,

bob

behandelmethode

dit is mijn uitkomst

behandelmethode

foutje ik zie het al

Re: behandelmethode

Geplaatst door jabo10
dit is mijn uitkomst

Klik om te vergroten...

:thumb:

Voor
{ROOD} heb je nu {3ACF3C8D-03B3-4C18-BACC-315B34D43633}

Groetjes,

Pieter

behandelmethode

ja klopt

Re: behandelmethode

Geplaatst door jabo10
ja klopt

Klik om te vergroten...

Is het nu gelukt?

ik krijg ook van die regels met sp hier een voorbeeld:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sp.html

ook deze regel:
O2 - BHO: (no name) - {765F9443-A67E-416C-8BD1-7511EC5476FA} - C:\WINDOWS\System32\mkldf.dll

nu heb ik alles gedaan volgens bovenstaand bericht!
aleen nu zie ik dat om de zoveel tijd deze regelO2 - BHO: (no name) - {765F9443-A67E-416C-8BD1-7511EC5476FA} - C:\WINDOWS\System32\mkldf.dll)
het dll bestand van naam veranderd waardoor je dus eigenlijk alles weer opnieuw moet doen (oneindig?)!

wat doe ik hiermee??

mvg ron

Geplaatst door nightrider
ik krijg ook van die regels met sp hier een voorbeeld:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sp.html

ook deze regel:
O2 - BHO: (no name) - {765F9443-A67E-416C-8BD1-7511EC5476FA} - C:\WINDOWS\System32\mkldf.dll

nu heb ik alles gedaan volgens bovenstaand bericht!
aleen nu zie ik dat om de zoveel tijd deze regelO2 - BHO: (no name) - {765F9443-A67E-416C-8BD1-7511EC5476FA} - C:\WINDOWS\System32\mkldf.dll)
het dll bestand van naam veranderd waardoor je dus eigenlijk alles weer opnieuw moet doen (oneindig?)!

wat doe ik hiermee??

mvg ron

Klik om te vergroten...

Nightrider,

Weet je zeker dat je alles juist gedaan hebt? En dat er geen ander programma tegenwerkt?

Heb je toevallig SpywareBlaster geinstalleerd, dan kun je ook nog proberen of het helpt om die CLSID {765F9443-A67E-416C-8BD1-7511EC5476FA} met custom blocking tegen te houden.

Groetjes,

Pieter

Voor degenen bij wie het maar terug blijft komen en die de Recovery Console te ingewikkeld of te eng vinden.

Dwonload maar doe nog niks met CWShredder
Kopieer het dikgedrukte hieronder naar kladblok en sla het op als hiving.bat op het bureaublad
Verbreek de verbinding met internet (desnoods fysiek)

@echo off
Echo Working

Reg Query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v Appinit_Dlls
If ERRORLEVEL==1 GoTo End
GoTo DOIT
:End

echo >not.vbs MsgBox "No Appinit_Dlls value Present" ^& vbcrlf ^& "Removal Aborted"
Wscript.exe not.vbs
del not.vbs
Exit

OIT
If exist backup.hiv del backup.hiv
If exist f.hiv del f.hiv

reg save "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" backup.hiv
ne

PING 1.1.1.1 -n 2 -w 1000 >NUL
if not exist backup.hiv goto one

Reg Delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /f


Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows"
:Notthere

PING 1.1.1.1 -n 2 -w 1000 >NUL
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows"
IF ERRORLEVEL ==1 Go to Notthere

reg Restore "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" backup.hiv

:two

PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls
IF ERRORLEVEL==1 GOTO two

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls /f
:appy

PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls
If Not ERRORLEVEL==1 GOTO appy

Reg save "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" f.hiv
:three

PING 1.1.1.1 -n 4 -w 1000 >NUL
if not exist f.hiv GOTO three

Reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /f

Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
:four

PING 1.1.1.1 -n 1 -w 1000 >NUL
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
If ERRORLEVEL==1 GOTO four

:five



PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Restore "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" f.hiv
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v USERProcessHandleQuota
If ErrorLevel==1 GOTO five

If exist f.hiv ren f.hiv fbackup.hiv

Echo > finished.vbs MsgBox "Done"
Wscript.exe finished.vbs
del finished.vbs

Dubbelklik op hiving.bat en start je computer opnieuw op.
De verborgen dll die we gevonden hadden moet nu zichtbaar zijn.
Rechtsklik er op en haal het vinkje weg bij "Alleen lezen"
en verwijder het bestand.

Run CWShredder.
Gebruik de Fix knop en volg de aanwijzingen van het programma op.

Groetjes,

Pieter

ik hed idd die cwsshredder al via google gevonden en gedraaid helaas voor dat deze post er stond .
het lijkt nu weg te zijn.
als het weer terug komt doe ik het volgens de post hierboven

bedankt.

en idd het kwam weer terug!

De verborgen dll die we gevonden hadden moet nu zichtbaar zijn.

Klik om te vergroten...

aleen dit stukje is me ff niet zo duidelijk?
welke dll hebben we het over, als ik dat hiving.bat draai krijg ik op mijn desktop twee extra dingen erbij backup.hiv en fbackup.hiv

maar waar kan ik nu die dll vinden?

Geplaatst door nightrider
maar waar kan ik nu die dll vinden?

Klik om te vergroten...

Nou zit ik je berichten na te pluizen maar ik kan niet terugvinden waar je daarom gevraagd hebt.
hiving.bat is bedoeld voor mensen die naar dit topic verwezen worden met de juiste informatie.

Het beste kun je even met AdAware scannen. Die zal het bestand wel vinden, maar waarschijnlijk niet kunnen verwijderen omdat het op Alleen lezen staat.

Het gaat hierbij om een dll in de System32 map

Groetjes,

Pieter

oh sorry ik dacht dat algemeen bedoeld was omdat ik de vraag had gesteld dat die startpagina steeds weer terug kwam.
dus ging ervanuit dat je dat bedoelde

Pieter, een klein vraagje:

Ik zag zojuist iemand met sp.php in de links van de R0/R1tjes... is dit hetzelfde als hier omschreven of weer een nieuwe variant?