Archief - coolwebsearch virus hardnekkig

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
h

hathi

Legacy Member
yeeps allemaal

kzit met volgende probleem
nen maat van my heeft het CWS virusje zitten en ik heb die er allemaal afgekregen behalve eentje.ik heb gescanned met tauscan, adaware, spybot s&d, hyjackthis en de cwshredder. maar ze zeggen allemaal dat het systeem clean is.nu heb ik ook een scan gedaan met spysweeper en die heeft hetvolgende gevonden:
een bestand genaamd CWS_NS3-"systo32.exe" (het gedeelte tussen de "" is variable).
nu als ik het delete zegt em dat het in de memory zit en dat ik nareboot opnieuw moet scannen. dus ik doe dat en het is weg maar 5 min later staat het er weer op (internet staat niet aan " kabel uitgetrokken" ) onder een andere naam alhoewel het voorzetsel steeds hetzelfde blijft.
nu had ik hier deze post gelezen hier is de url van de post
dus heb ik die anti-cwshredder gedownload.
en wat blijkt volgens dat ding is em ook clean.

hoe kan ik iets uit zen memory deleten?
ik heb al zen virtual memory op 2 mb gezet (kon niet lager).

ik heb vandaag 8 uur geprobeerd om dat onding weg te krijgen maar het komt telkens terug.

ik heb ook de bijde stickys gelezen hieromtrend

greetz

hathi en zen maat
D

Dark_One

Legacy Member
hathi zei:
yeeps allemaal

kzit met volgende probleem
nen maat van my heeft het CWS virusje zitten en ik heb die er allemaal afgekregen behalve eentje.ik heb gescanned met tauscan, adaware, spybot s&d, hyjackthis en de cwshredder. maar ze zeggen allemaal dat het systeem clean is.nu heb ik ook een scan gedaan met spysweeper en die heeft hetvolgende gevonden:
een bestand genaamd CWS_NS3-"systo32.exe" (het gedeelte tussen de "" is variable).
nu als ik het delete zegt em dat het in de memory zit en dat ik nareboot opnieuw moet scannen. dus ik doe dat en het is weg maar 5 min later staat het er weer op (internet staat niet aan " kabel uitgetrokken" ) onder een andere naam alhoewel het voorzetsel steeds hetzelfde blijft.
nu had ik hier deze post gelezen hier is de url van de post
dus heb ik die anti-cwshredder gedownload.
en wat blijkt volgens dat ding is em ook clean.

hoe kan ik iets uit zen memory deleten?
ik heb al zen virtual memory op 2 mb gezet (kon niet lager).

ik heb vandaag 8 uur geprobeerd om dat onding weg te krijgen maar het komt telkens terug.

ik heb ook de bijde stickys gelezen hieromtrend

greetz

hathi en zen maat
Klik om te vergroten...

Adaware 6.0 zo krijgde da weg! die detect coolwebsearch want khebbet daar ook mee weggekregen
S

Skeddie

Legacy Member
Opstarten in Safe Mode (F8) en dan die progs laten draaien.
En normaal kan je het dan ook verwijderen.
Kijk ook eens in je windows en system32 map voor .bat's en .bak's, open deze eens met notepad en kijk naar referenties die niet echt oke lijken...
P

Preske

Legacy Member
opstarten in velige modus

volgende progs runnen

cwshredder
adaware
spybot

rebooten.
blijft het probleem zich voordoen, maak dan een hijack this log
h

hathi

Legacy Member
hier is mijn log
op den andere site kan ik niet registeren

Logfile of HijackThis v1.97.7
Scan saved at 20:06:45, on 25/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ISP Monitor\isp.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\KaZaA Lite\Speed Up.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\BHODemon\BHODemon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\KaZaA Lite\dat_view.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\the chaplain\My Documents\anti spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2A959339-D527-45DC-AB0D-E2DD32621B16} - C:\WINDOWS\System32\ndcpfk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Telemeter 3.0] "C:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [5AHWB8Z2WNPR72] C:\WINDOWS\System32\SzepW5ln.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CrystalControl] C:\Program Files\CrystalControl\CrystalControl.exe
O4 - HKCU\..\Run: [ISPMonitor] C:\Program Files\ISP Monitor\isp.exe
O4 - Startup: BHODemon.lnk = C:\Program Files\BHODemon\BHODemon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38047.3272916667
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab

greetz

hathi
S

Shady

Legacy Member
- Start > uitvoeren > MSCONFIG > coolwebsearch af vinken

- configuratiescherm > uninstallen

- Rebooten

- done :ironic: ;)
h

hathi

Legacy Member
Shady zei:
- Start > uitvoeren > MSCONFIG > coolwebsearch af vinken

- configuratiescherm > uninstallen

- Rebooten

- done :ironic: ;)
Klik om te vergroten...

kwou dat het maar zo makelijk is.

greetz

hathi
P

Preske

Legacy Member
hathi zei:
hier is mijn log

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\THECHA~1\LOCALS~1\Temp\sp.html

C:\WINDOWS\System32\ndcpfk.dll
O4 - HKLM\..\Run: [5AHWB8Z2WNPR72] C:\WINDOWS\System32\SzepW5ln.exe

greetz

hathi
Klik om te vergroten...

die exe mag weg, over die dll ben ik niet 100% overtuigd.

zorg ervoor dat AL je browsers gesloten zijn als je ze verwijderd.
h

hathi

Legacy Member
oke dank je
zal dat morgen doen eens zien wat het uithaalt

merci voor de hulp

greetz

hathi
j

j .

Legacy Member
ndcpfk.dll mag weg, zoals preske zegt.

Verwijder ook:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shoote...00/SYSsfitb.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab
h

hathi

Legacy Member
manne tis opgelost merci voor de vele tips
:applause: :applause: :applause:

greetz

hathi
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan