ByteVerify Trojan

[Raimundo]

Ik ben lastig gevallen door het ByteVerify Trojan.
Hoewel mijn antivirus software (McAfee) het wel vaststelde tijdens mijn Internet sessie , werd ik toch verblijd met alle op diverse sites vermelde symptomen.
"Helpmij" geeft allerlei aanwijzingen om het te verwijderen. Ik heb alles gedaan. Systeem restore afgezet. De nieuwste virurscan versies laten lopen (inclusief de Housecall) en alle Ad-Aware en Hijack tools gebruikt.
Wat blijkt: Hijack meldt nog altijd een paar van die leuke "adult" entries (die aanvankelijk ook als favorieten waren verschenen). Ik verwijder die R1 entries met Hijjack, maar als ik mijn computer uit en weer aan zet komen ze weer terug.
Het lijkt alsof mijn PC er geen last van heeft, maar ik vertrouw het nog steeds niet volledig.
By the way. Ik zit op XP. Alle Ad-Aware en Hijjack is kakelvers.
Raimundo

 

[Bennie]

Post anders een HijackThislog.

Groetjes,
Bennie

 

[Raimundo]

ByteVerify Trjan

Bennie,
het is allemaal nog wat erger.
Als ik uitschakel en opnieuw opstart, krijg ik bij het uitschakelen iedere keer de mededeling "instellingen worden bijgewerkt". Dat is me nooit opgevallen (anders dan na het installeren van nieuwe software).
Als ik dan na het opstarten vergeet mij register te bekijken (en aan te passen met Hijack) en ik start Internet op, dan blijkt mijn startpagina weer veranderd te zijn en die site zorgt er voor dat McAfee onmiddellijk weer een ByteVerify file gedetecteert. Bijgevoegd de Hijacklog nadat ik mijn computer heb opgestart (dus inclusief die interessante O1 entries).

 

[Pieter Arntz]

Hoi Raimundo,

Vink de onderstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked:

O1 - Hosts: 66.40.16.131 livesexlist.com
O1 - Hosts: 66.40.16.131 lanasbigboobs.com
O1 - Hosts: 66.40.16.131 thumbnailpost.com
O1 - Hosts: 66.40.16.131 adult-series.com
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O4 - HKCU\..\Run: [iedll] c:\WINDOWS\iedll.exe

Start daarna opnieuw op en verwijder:
c:\WINDOWS\iedll.exe

Daarna Start > Configuratiescherm > Java Plug-in > tabblad Cache > kijk of hij op .jpi_cache staat en klik op Clear.

Groetjes,

Pieter

 

[Raimundo]

Byte Verify Trojan

Pieter,
je doet je titel als "Giga Honourable Senior" Member eer aan.
Het lijkt te zijn opgelost.
Alleen in de laatste instructie mis ik een stapje. Hoe kom ik vanuit mijn configuratiescherm bij "Java Plug in". Op mijn XP configuratie scherm zie ik hem niet. En ook het uitproberen van de aanwezige keuzes brengt me niet op het juiste spoor. Het is dus de finishing touch.
Verder vraag ik me af of dat "IEDLL" programma met die Trojan Horse is meegeslopen. Andere mensen zouden er dan ook last van kunnen hebben en de standaard verwijderings procedures werken dus niet (altijd).
Met zeer vriendelijke groet
Raimundo

 

[Pieter Arntz]

Hoi Raimundo,

iedll.exe en andere CoolWebSearch varianten maken gebruik van een lek in Java Virtual Machine.
Door dat lek weet ByteVerify zich op je computer te nestelen. Dit wordt geactiveerd als je op één van de websites komt waar CWS vandaan verspreid wordt en dan ben je besmet.

De Java Plugin is alleen te vinden in je Configuratiescherm als je Sun Java hebt geinstalleerd. Aangezien je XP hebt ging ik daar van uit.
Klopt dat niet?
Geef dan even door waar ByteVerify werd gevonden.

Groetjes,

Pieter

 

[Raimundo]

Pieter,
geen Sun Java. Dus die laatste aanrader had ik dus niet nodig.

Mijn verhaal van de ByteVerify is het volgende:
tijdens mijn internet sessie verscheen ineens een popup scherm van McAfee met de melding: "bestand (counter[1].jar) gevonden met de ByteVerify trojan. Met de keuze "continue" of "delete file". Ik heb gekozen voor de het laatste, deleten dus. Maar wel werden de nieuwe favorieten en Register entries over me heen gestort. Door de onhebbelijkheden van b.v. dat iedll programma, bleef het probleem terugkomen. Het vreemde is dat de virus scans bij mij geen Trojan Horse hebben aangetroffen. De "delete" functie van McAfee was wat dat betreft afdoende, maar de schade was kennelijk al aangericht.
Als je meer wilt weten vraag het maar. Ik ben een zeer tevreden man.
groetjes
Raimundo

 

[Pieter Arntz]

Hmm, ik weet eigenlijk niet waar die jar geland zou zijn als je geen Sun Java hebt. Ik gok in je tijdelijke Internet bestanden, maar dat weet ik niet zeker.

CWS is nog erger dan lop.com: http://www.spywareinfo.com/~merijn/cwschronicles.html

Groetjes,

Pieter

 

[humpe]

Bedankt voor de oplossing van het virus Trojan,byteverify die ik tijdens het surfen opgelopen ben.
bedankt voor de service, mijn virusscan en housecall en norton gelopen en niets hebben gevonden.

succes