Het Register
- Onderwerp starter Arretje
- Startdatum
- Status
Guus abc †
Meubilair
- Lid geworden
- 12 feb 2004
- Berichten
- 5.555
Als je sneller naar Regedit wilt dan via Start, Uitvoeren, regedit intypen en op OK klikken, maak dan een snelkoppeling naar c:\windows\regedit.exe
Guus.
Guus.
TS
TS
Arretje
Gebruiker
- Lid geworden
- 2 nov 2003
- Berichten
- 401
Dit heeft een beetje te maken met CWS,met dit soort ongein
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ejgbb.dll/sp.html (obfuscated)
Ik fiets langs heel wat helpdesken en je ziet dat elke desk zo'n beetje zijn eigen tooltjes gebruikt om het euvel te verwijderen
Bij nieuwere versie's van CWS hijacking kom je nu ook .dll files tegen in het register
Ik heb heb nu een programma op m'n pc om deze dll's eerst te KILLEN om ze dan met HJ te verwijderen
Ik ging er daarom vanuit dat het register in een map van Windows zat .dus niet
Ik heb Pieter al een mail gestuurd over dit programma
Bedankt voor de antwoorden
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ejgbb.dll/sp.html (obfuscated)
Ik fiets langs heel wat helpdesken en je ziet dat elke desk zo'n beetje zijn eigen tooltjes gebruikt om het euvel te verwijderen
Bij nieuwere versie's van CWS hijacking kom je nu ook .dll files tegen in het register
Ik heb heb nu een programma op m'n pc om deze dll's eerst te KILLEN om ze dan met HJ te verwijderen
Ik ging er daarom vanuit dat het register in een map van Windows zat .dus niet
Ik heb Pieter al een mail gestuurd over dit programma
Bedankt voor de antwoorden
H@ns
Terugkerende gebruiker
- Lid geworden
- 22 dec 2003
- Berichten
- 4.824
CoolWebShredder
ik begrijp je vraag niet helemaal, bedoel je dat je bovenstaand programmaatje gedraaid hebt? Zo nee, draai het dan!
ik begrijp je vraag niet helemaal, bedoel je dat je bovenstaand programmaatje gedraaid hebt? Zo nee, draai het dan!
Guus abc †
Meubilair
- Lid geworden
- 12 feb 2004
- Berichten
- 5.555
Ik denk dat hij met CWS CoolWebSearch bedoelt, wat je met CoolWebShredder inderdaad weg kunt halen.
Guus.
Pieter Arntz
Spywareslayer
- Lid geworden
- 12 aug 2001
- Berichten
- 15.621
Even wat misverstanden en onduidelijkheden de wereld uit helpen.
Van CWS zijn er een heleboel varianten.
Merijn, van wie ik denk dat het de expert is komt op zijn site tot 43 varianten: http://www.spywareinfo.com/~merijn/cwschronicles.html
Maar ik ken minstens vier varianten die nog niet op zijn site zijn bijgewerkt.
Degene die Arretje bedoelt is nr 38, maar dan vooral in de vaak voorkomende combinatie met de (onzichtbare) 39
DLL's zijn bestandjes en komen niet in het register voor. Wel kunnen er verwijzingen naar een dll in het register voorkomen.
Er zijn inderdaad verschillende tooltjes in omloop.
Eentje van Rokop, die alleen maar werkt op Windows 2000 en XP Pro computers bij mijn weten.
Een methode van Shadowwar die werkt voor alle NT gebaseerde besturingssystemen.
En een methode van FreeAtLast die werkt voor 98 en ME
Bij de laatste twee worden weer verschillende tooltjes gebruikt om aan de benodigde gegevens te komen. Vaak ook omdat niet alles voor iedereen werkt.
Het register is overigens in feite ook een groot bestand, maar wel één dat constant veranderd als je computer aan staat, vandaar dat je er met verkenner weinig in kunt, zoals Dennis al aangaf.
Groetjes,
Pieter
Van CWS zijn er een heleboel varianten.
Merijn, van wie ik denk dat het de expert is komt op zijn site tot 43 varianten: http://www.spywareinfo.com/~merijn/cwschronicles.html
Maar ik ken minstens vier varianten die nog niet op zijn site zijn bijgewerkt.
Degene die Arretje bedoelt is nr 38, maar dan vooral in de vaak voorkomende combinatie met de (onzichtbare) 39
DLL's zijn bestandjes en komen niet in het register voor. Wel kunnen er verwijzingen naar een dll in het register voorkomen.
Er zijn inderdaad verschillende tooltjes in omloop.
Eentje van Rokop, die alleen maar werkt op Windows 2000 en XP Pro computers bij mijn weten.
Een methode van Shadowwar die werkt voor alle NT gebaseerde besturingssystemen.
En een methode van FreeAtLast die werkt voor 98 en ME
Bij de laatste twee worden weer verschillende tooltjes gebruikt om aan de benodigde gegevens te komen. Vaak ook omdat niet alles voor iedereen werkt.
Het register is overigens in feite ook een groot bestand, maar wel één dat constant veranderd als je computer aan staat, vandaar dat je er met verkenner weinig in kunt, zoals Dennis al aangaf.
Groetjes,
Pieter
TS
TS
Arretje
Gebruiker
- Lid geworden
- 2 nov 2003
- Berichten
- 401
Hoi Pieter
Dit wat ik je gemaild had
mrhop.dll
Although it looks very similar to the variant described in post 4, it works differently.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {33B13F77-E06C-4C6F-B347-EBF7CE2BC08F} - C:\WINDOWS\mrhop.dll
Download and install APM from: www.diamondcs.com.au/index.php?page=apm
In the upper window select explorer.exe
In the lower window find and rightclick mrhop.dll
Select Unload DLL and click OK on the prompts that follow.
Close all windows except HijackThis and fix the lines above.
Reboot and scan with AdAware.
Is met succes op antivirus.pagina toegepast
Dit wat ik je gemaild had
mrhop.dll
Although it looks very similar to the variant described in post 4, it works differently.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {33B13F77-E06C-4C6F-B347-EBF7CE2BC08F} - C:\WINDOWS\mrhop.dll
Download and install APM from: www.diamondcs.com.au/index.php?page=apm
In the upper window select explorer.exe
In the lower window find and rightclick mrhop.dll
Select Unload DLL and click OK on the prompts that follow.
Close all windows except HijackThis and fix the lines above.
Reboot and scan with AdAware.
Is met succes op antivirus.pagina toegepast
H@ns
Terugkerende gebruiker
- Lid geworden
- 22 dec 2003
- Berichten
- 4.824
Zijn inderdaad allemaal items die weg mogen, maar ik zou toch voor deskundig advies je dringend willen aanraden op het forum je HijackThis log te plaatsen (wat je kort geleden geloof ik ook gedaan hebt) en afwachten op het advies van Olav of Pieter 
Guus abc †
Meubilair
- Lid geworden
- 12 feb 2004
- Berichten
- 5.555
Geplaatst door Arretje
CoolWeb Schredder is niet in staat om deze rommel te verwijderen
Toch lees ik daar:
CoolWebShredder (CWShredder) will find and destroy all traces of CoolWebSearch on your system. This includes redirections or hijacking to www.coolwwwsearch.com and coolwebsearch.com, youfindall.net and white-pages.ws. If you find that your browser is sending you to these sites all of a sudden, this little program will take care of it.
Het programma is geschreven door Merijn, volgens Piter de expert, en laatst geupdate op 9 juni 2004.
Guus.
Pieter Arntz
Spywareslayer
- Lid geworden
- 12 aug 2001
- Berichten
- 15.621
Ik geloof je. Ik weet wie dat stukje geschreven heeft: http://www.wilderssecurity.com/showpost.php?p=177718&postcount=17
Let ook op dat ik daar geschreven heb dat mrhop.dll een geval apart is en weliswaar op die andere lijkt in een HijackThis log, maar niet hetzelfde werkt.
Dan, als onderschrift van Merijn bij nummer 39:
Right now [17/04/04], CWShredder does not remove this variant. As soon as I figure out how to do it, I will update CWShredder for it.
Dat heeft hij nog steeds niet met succes gedaan.
Groetjes,
Pieter
H@ns
Terugkerende gebruiker
- Lid geworden
- 22 dec 2003
- Berichten
- 4.824
- Status
