Behandelmethode CWS sp.html variant

Status
Niet open voor verdere reacties.
Ik loop op het einde vast...!!!

Hoi Pieter,

Ik heb je aanwijzigingen opgevolgt en loop op het einde vast.

Als ik bij de opdrachtpromp cwstemp.bat typ en enter, dan komt eronder te staan:

cwstemp.bat wordt niet herkend als interne of externe opdracht, programma of batchbestand.

heb ik iets verkeerd gedaan of hoort dat zo...???

verder als ik de regel 02-BHO: (no name) - {Fd...etc) probeer te fixen in Hijack this, dan zegt het programma dat ik eerst internet explorer moet afsluiten. terwijl ik IE helemaal niet aan heb staan.

Hoe kan ik deze problemen oplossen...???
 
Re: Ik loop op het einde vast...!!!

Geplaatst door Mox
Hoi Pieter,

Ik heb je aanwijzigingen opgevolgt en loop op het einde vast.

Als ik bij de opdrachtpromp cwstemp.bat typ en enter, dan komt eronder te staan:

cwstemp.bat wordt niet herkend als interne of externe opdracht, programma of batchbestand.

heb ik iets verkeerd gedaan of hoort dat zo...???
Klik om te vergroten...

Dat zou betekenen dat je prompt niet in de goede directory staat of het bestand niet.
Dus kijk even of je C:\Windows> hebt staan en of cwstemp.bat daar ook staat.

Het tweede is geen probleem, maar een kwestie van lezen. ;)

Groetjes,

Pieter
 
het lukt nog steeds niet...!!!

Hoi Quasi3,

Helaas lukt het me nog steeds niet.
Ik heb alle stappen nauwkeurig gevolgd. Als ik in de opdrachtpromp (start > bureau accesssoires > opdrachtprompt...toch???) het volgende invul krijg ik dit:

C:\Documents and settings\Roberto>cd ..

C:\Documents and settings>cd ..

C:\WINDOWS>cwstemp.bat
Kan het systeem van het opgegeven pad niet vinden.
Kan C:\WINDOWS\system32\migdl.dll niet vinden


Ik snap er niets van aangezien de map windows heet en ik het bestandje cwstemp.bat er echt zonder spelfouten in heb geplaatst.

Hou kan dit en hoe kan ik dit verhelpen? Ik ben namelijk nog steeds niet van de spyware af.
In jou vorige berichtje had je het erover dat de prompt niet in de goede directory staat. wat is een prompt eigenlijk. dat is toch dat zwarte scherm (start>bureauaccessoires>opdrachtprompt)
probeer a.u.b. in gewoon nederlands uit te leggen wat ik moet doen, want ik ben niet zo'n expert als jullie...!!!

Alvast bedankt.
 
Re: het lukt nog steeds niet...!!!

Geplaatst door Mox


C:\Documents and settings\Roberto>cd ..

C:\Documents and settings>cd ..

C:\WINDOWS>cwstemp.bat
Kan het systeem van het opgegeven pad niet vinden.
Kan C:\WINDOWS\system32\migdl.dll niet vinden
Klik om te vergroten...

De manier waarop je het doet klopt, maar kun je zelf het bestand C:\WINDOWS\system32\migdl.dll wel vinden?
M.a.w. heb je wel de goede bestandsnaam?
Kijk nog even in je HijackThis log.

In jou vorige berichtje had je het erover dat de prompt niet in de goede directory staat. wat is een prompt eigenlijk. dat is toch dat zwarte scherm (start>bureauaccessoires>opdrachtprompt)
Klik om te vergroten...

Dat is de goede ja.

Groetjes,

Pieter
 
Ik kan het bestand ook handmatig niet vinden

Hoi Pieter,

wederom bedankt voor je snelle reactie.

Je vraagt of ik C:\WINDOWS\system32\migdl.dll kan vinden.

Het antwoord is nee ik kan dit bestand niet vinden.
Ik heb mijn log opnieuw opgevraagd met hijack this en deze ziet er ineens heel anders uit.

De regels uit jouw uitleg zijn verdwenen en het log lijkt dan helemaal schoon (volgens de experts). Maar dit is al vaker gebeurd en toch komt de spyware elke keer terug.:evil: en veranderd mijn startpagina.

Ik wacht even tot ik door Spysweeper weer gewaarschuwd word dat mijn startpagina gewijzigd dreigt te worden en dus de spyware weer actief is en volg dan nogmaals jouw uitleg. Meestal duurt dit niet lang.

Ik kijk dan eerst even in WINDOWS\system32 of het groene .dll bestandje er wel in staat. Want als voor de 4e keer de opdrachtpromp het bestand cwstemp.bat niet kan vinden, gaat de computer de deur uit...ha ha ha...!!! ik lach wel maar ik huil van binnen. ik hoop ook echt dat je me kunt helpen er vanaf te geraken.

kan ik dan daarna het log in deze rubriek plaatsen voor controle of moet deze in een andere rubriek?

Nogmaals alvast superbedankt.
 
Re: Ik kan het bestand ook handmatig niet vinden

Geplaatst door Mox


kan ik dan daarna het log in deze rubriek plaatsen voor controle of moet deze in een andere rubriek?
Klik om te vergroten...

Doe maar even hier. Dan gebruik ik je wel als proefkonijn voor een nieuwe methode, die wat gemakkelijker is.

Groetjes,

Pieter
 
Ik sta open voor een nieuwe aanpak...!!!

Ik heb de jouw aanwijzingen nogmaals opgevolgt en weer kreeg ik bij het invullen van cwstemp.bat in de opdrachtpromp te horen:

Kan het systeem van het opgegeven pad niet vinden.
Kan C:\WINDOWS\system32\gapae.dll niet vinden

Ik heb voor het uitvoeren van de prompt in WINDOWS\system32 gekeken en zag het bestandje gapae.dll er wel degelijk in stond. Dus waarom de prompt dit bestand niet kan vinden begrijp ik niet.
Ik weet ook zeker dat ik nergens spelfouten heb gemaakt.
(Overigens het .dll file in de regel met system32 veranderd elke keer van naam. Nu heet het gapae.dll terwijl het vorige keer migdl.dll heette...???)

Toen ik na alle stappen weer een scan deed met hijack this, waren alle R1 en R0 regels weg. Dus er was niets te fixen. Behalve de regel met het gapae.dll. Achter gapae.dll staat nu (file missing).

Voor jou beeldvorming plaats ik eerst het log voordat ik jou stappenplan heb gevolgd en het log nadat ik al jou stappen heb gevolgd en dat het dus weer mis ging in de promt.

Uiteraard sta ik open voor jou nieuwe aanpak en hoor graag van je hoe ik dit aan moet pakken...!!!

hier het log voor de stappen:

C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Roberto\Bureaublad\Spyware en Adware\Hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Roberto\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Roberto\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Roberto\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Roberto\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Roberto\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Roberto\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B7937EA-839D-4AB7-900C-1BC748FF6D3D} - C:\WINDOWS\System32\gapae.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {91F52A42-C10D-49A7-B941-882C657C604F} (Installation Helper Object) - http://kitcentral.wanadoo.nl/download/install/win32/nl/instwact/instwact.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hier het log na de stappen:

Logfile of HijackThis v1.97.7
Scan saved at 11:16:29, on 2-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Roberto\Bureaublad\Spyware en Adware\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brabantsdagblad.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brabantsdagblad.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2CE91B7C-2FE5-40C8-A0C7-84183DEE2CD7} - C:\WINDOWS\System32\gapae.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {91F52A42-C10D-49A7-B941-882C657C604F} (Installation Helper Object) - http://kitcentral.wanadoo.nl/download/install/win32/nl/instwact/instwact.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
Dat de bestanden steeds van naam wisslene klopt. Dta komt door een verborgen dll die je iedere keer opnieuw besmet.

Download http://home01.wxs.nl/~kleyn080/APPREAD.ZIP
Unzip alles naar één map en dubbelklik op RUNREAD.EXE
Er wordt een bestand dat REGREAD.LOG heet gemaakt.

Post de inhoud daarvan.

Groetjes,

Pieter
 
Pieter, heb je mijn laatste bericht op de eerste pagina al gezien? waarschijnlijk niet ;)
 
wat moet ik nu doen...!!!

Door bovenstaande reactie ben ik even de kluts kwijt wat moet ik nu doen?
 
Deze was voor jou Mox,

Dat de bestanden steeds van naam wisselen klopt. Dat komt door een verborgen dll die je iedere keer opnieuw besmet.

Download http://home01.wxs.nl/~kleyn080/APPREAD.ZIP
Unzip alles naar één map en dubbelklik op RUNREAD.EXE
Er wordt een bestand dat REGREAD.LOG heet gemaakt.

Post de inhoud daarvan.

Groetjes,

Pieter
 
De uitkomst van het regread.log bestand

Dit is de uitkomst van het regread.log bestand:


A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 56 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\WINDOWS\System32\hlp.dll"
0000 43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00 | C.:.\.W.I.N.D.O.
0010 57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00 | W.S.\.S.y.s.t.e.
0020 6d 00 33 00 32 00 5c 00 68 00 6c 00 70 00 2e 00 | m.3.2.\.h.l.p...
0030 64 00 6c 00 6c 00 00 00 | d.l.l...
 
Vergeet me niet...!!!

Hoi Pieter,

Ik heb al een paar dagen niets meer vernomen...vergeet je me niet???

Gr. Robert
 
Volgens buffy heb ik een hele gemene CWS variant op m'n computer en moet ik dit uitvoeren om het op te lossen. Alleen ben ik niet zo heel erg technisch wat dat betreft. DUs zou iemand me stap voor stap kunnen helpen??
Als ik regedit /e c:\txtprtcl.txt "HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain" laat uitvoeren zou er een uitkomst moeten zijn. Waar kan ik dat vinden?

Met vriendelijke groet,
Arco Kolken
 
c:\txtprtcl.txt

c:\txtprtcl.txt om precies te zijn...!!!
 
nog steeds geen antwoord

Hoi Pieter denk je nog aan het beantwoorden van het bovenstaande...!!!

thanks...!!!

Gr. Mox
 
hallo pieter ik had ook last van die terugkerende startpagina. (zie vorige posts)
ik had die cwschredder ook gedraaid, ook al verwijs je hier mensen heen uit het andere forum met dat bepaalde dll bestand
ik heb nu al een tijdje geen vervelende startpagina meer.
en eigenlijk dus door aleen die cwschredder te draaien

denk laat het toch maar ff weten mischien heb je er wat aan.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan