Behandelmethode CWS sp.html variant

[arcokolken]

Re: c schijf

Geplaatst door Mox
Op C:\hoe die bij jou heet

gr. Mox

Bedankt, heb nu dit bestandje gemaakt

REGEDIT4

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5ED06F5C-E836-4405-8346-66330C340F80}]

[-HKEY_CLASSES_ROOT\CLSID\{8E6503FC-5840-4543-A85F-C7B819F576D9}\InProcServer32]

is dit goed? kan het nu alleen niet opslaan als cwsreg.reg omdat mijn kladblok het op de een of andere manier niet doet

 

[suzanmilikan]

cwstemp lukt niet

Hai Pieter,

Ik heb het bestand cwstemp.bat aangemaakt, zowel in windows als in windows/system32. Maar als ik in die opdracht promt die commando's invul dan kan hij dat hij het opgegeven pad niet kan vinden. Terwijl als ik er zelf kijk ik hem wel kan vinden??

Dit was mijn hijackfile:

Geplaatst door suzanmilikan
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\suus\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\suus\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\suus\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\suus\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\suus\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\suus\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

O2 - BHO: (no name) - {91991B61-D643-42E6-B969-6E3C92913EB6} - C:\WINDOWS\System32\cllig.dll


O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - file://C:\WINDOWS\SexDownloader.cab


Dan moet ik bij groen toch cllig.dll invullen en als gebruiker suus??

Ik hoop dat je me verder kan helpen.

suus

 

[suzanmilikan]

Hai Pieter,

Heb nog eens even de vorige vragen door gelezen en ik heb echt hetzelde probleem als mox. Vandaar dat ik ook die link gebruikt heb. Dit is de uitkomst bij mij. Hoop dat je er wat mee kan want ik word er helemaal moedeloos van!
suzan

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 64 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\WINDOWS\System32\resfoel.dll"
0000 43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00 | C.:.\.W.I.N.D.O.
0010 57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00 | W.S.\.S.y.s.t.e.
0020 6d 00 33 00 32 00 5c 00 72 00 65 00 73 00 66 00 | m.3.2.\.r.e.s.f.
0030 6f 00 65 00 6c 00 2e 00 64 00 6c 00 6c 00 00 00 | o.e.l...d.l.l...
0040 |

 

[YosemiteSam]

Ik heb ook het sp.htm probleem gehad (nu in iedergeval al een week niet meer). Heb de Hiving.bat file laten draaien en daarna cwshredder toegepast, dit heeft bij mij gewerkt.

Weet niet of iemand er iets aan heeft maar laat het maar even weten. Bedankt voor de oplossing Pieter en Hans.

Gr, Sam

 

[Mox]

Hiving.bat

Inderdaad het hiving.bat lijkt ook bij mij te werken.
Ik ben nog voorzichtig optimistisch maar het hlp.dll bestandje werd zichtbaar.

 

[suzanmilikan]

hiving.bat

Enne wat is dat hiving.bat. Hoe kan ik dat laten draaien en waar vind ik het schredder programma??

Hoop dat jullie het weten??

 

[Mox]

hiving.bat

Hiving.bat is een bestandje dat het super verborgen .dll file (wat ervoor zorgt dat er elke keer weer een ander .dll bestandje wordt gemaakt die jou browser hijackt) in je systems32 directory zichtbaar maakt.
Door vervolgens de rechten van het .dll bestandje te wijzigingen, kun je de extensie van dit .dll bestandje wijzigen en verwijderen.

Alle informatie over deze methode kun je vinden via onderstaand forum:

http://www.pchelper.nl/forum/index.php?showtopic=8456&st=20


Succes...!!!

 

[jacco beniest]

dit is op dit moment mijn log
ik heb al die sp.html bestanden verwijderd met 'hijackthis' maar dan snap ik er geen bal meer van want dan moet je bestanden aan maken en dat snap ik niet wat moet ik doen?

hier zie je me nieuwe hijackthis log

[Mod edit] zie het antwoord van Gezina hieronder.
Plaats daar graag je Hijack this log.
In deze topic is het niet gevraagd aan jou om een Hijack this log te plaatesn.[/Mod edit]

 

[gezina]

Daar is een speciaal topic voor. Hier plaatsen, KLIK-->Helpmij tegen spyware offensief deel 7<-- Druk daar op de knop "reageer op bericht" en post je log.

 

[katootje]

Geplaatst door Pieter Arntz
Opmerking: dit gedeelte werkt alleen voor Windows 2000 en XP
Als je %Windir% map WINNT heet in plaats van Windows (Win2k en upgrades daarvan, moet je dat aanpassen)

[knip]
Groetjes,

Pieter

Wij hebben een besmette PC met win 98. Ik heb een log geplaatst, maar vond boven mijn post dezelfde regels als in mijn log, dus deze link even gevolgd.
Wil graag even weten of het voor onze pc zin heeft deze link verder te lezen en uit te voeren.

Dit forum is wel een ontdekking!!
Hopelijk komen we van dat *** ding af
(voor verder zie mijn log op Helpmij tegen spyware...7)

Alvast bedankt

Karin

 

[H@ns]

Nee, dat kan helaas niet.

 

[Duprie]

Hallo,

Ik ben eigenlijk ook wel benieuwt of mijn pc een beetje "schoon" is.
Zoals gezegt eerst met Ad Aware en Spybot geupdate en gescant en toen een log aangemaakt.
Dit is het resultaat:

 

[buffy]

Geplaatst door Duprie
Hallo,

Ik ben eigenlijk ook wel benieuwt of mijn pc een beetje "schoon" is.
Zoals gezegt eerst met Ad Aware en Spybot geupdate en gescant en toen een log aangemaakt.
Dit is het resultaat:

Logfile of HijackThis v1.97.7
Scan saved at 15:52:30, on 5-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
......

Hoi,

Je bent een beetje verdwaald. Plaats je log in de volgende topic: http://www.helpmij.nl/forum/showthread.php?threadid=172491

 

[Duprie]

Geplaatst door buffy



Hoi,

Je bent een beetje verdwaald. Plaats je log in de volgende topic: http://www.helpmij.nl/forum/showthread.php?threadid=172491

sorry ik heb hem al verplaatst

 

[jacco beniest]

jah ik was net zeker verdwaald
nu heb ik gedaan wat er stond maar dat laatste bestand wat ik moest downloaden kon ik niet downloaden want de site bestond niet meer

 

[cage]

Hej hoop dat dit wel werkt bij mijn probleem want volgens iemand had ik een CWS infectie!
maar ik snap dat niet met die groene en blauwe kleur wat ik daar moet invullen!

dit was mijn uitkomt kan iemand mij verder helpe?

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{8686EBEF-AF40-4D1C-847C-3D4DB28E11C7}"


btw; dit is mijn LOG

[mod edit]Er is niet gevraagd om je Hijack this log hier te plaatsen.
Vragen stellen, als je er niet uit komt, mag altijd.[/Mod edit]

 

[cage]

ja ik dachtik plaats hem maar voor het geval dat
maar kan iemand mij uitleggen wat ik moet plaatsen bij de kleuren?!

 

[H@ns]

Geplaatst door Pieter Arntz
Voor degenen bij wie het maar terug blijft komen en die de Recovery Console te ingewikkeld of te eng vinden.

Dwonload maar doe nog niks met CWShredder
Kopieer het dikgedrukte hieronder naar kladblok en sla het op als hiving.bat op het bureaublad
Verbreek de verbinding met internet (desnoods fysiek)

@echo off
Echo Working

Reg Query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v Appinit_Dlls
If ERRORLEVEL==1 GoTo End
GoTo DOIT
:End

echo >not.vbs MsgBox "No Appinit_Dlls value Present" ^& vbcrlf ^& "Removal Aborted"
Wscript.exe not.vbs
del not.vbs
Exit

OIT
If exist backup.hiv del backup.hiv
If exist f.hiv del f.hiv

reg save "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" backup.hiv
ne

PING 1.1.1.1 -n 2 -w 1000 >NUL
if not exist backup.hiv goto one

Reg Delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /f


Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows"
:Notthere

PING 1.1.1.1 -n 2 -w 1000 >NUL
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows"
IF ERRORLEVEL ==1 Go to Notthere

reg Restore "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" backup.hiv

:two

PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls
IF ERRORLEVEL==1 GOTO two

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls /f
:appy

PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls
If Not ERRORLEVEL==1 GOTO appy

Reg save "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" f.hiv
:three

PING 1.1.1.1 -n 4 -w 1000 >NUL
if not exist f.hiv GOTO three

Reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /f

Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
:four

PING 1.1.1.1 -n 1 -w 1000 >NUL
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
If ERRORLEVEL==1 GOTO four

:five



PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Restore "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" f.hiv
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v USERProcessHandleQuota
If ErrorLevel==1 GOTO five

If exist f.hiv ren f.hiv fbackup.hiv

Echo > finished.vbs MsgBox "Done"
Wscript.exe finished.vbs
del finished.vbs

Dubbelklik op hiving.bat en start je computer opnieuw op.
De verborgen dll die we gevonden hadden moet nu zichtbaar zijn.
Rechtsklik er op en haal het vinkje weg bij "Alleen lezen"
en verwijder het bestand.

Run CWShredder.
Gebruik de Fix knop en volg de aanwijzingen van het programma op.

Groetjes,

Pieter

Lukt dit wel?

 

[Pieter Arntz]

Aangezien Merijn zich nu hiermee is gaan bemoeien, durf ik hem wel aan te raden:
About:Buster http://www.majorgeeks.com/download4289.html

Het kan zijn dat je het een paar maal moet herhalen, zelfs in veilige modus, maar hij is redelijk vaak succesvol.

Groetjes,

Pieter