M
MAS3
Voor het eerst heb ik ook wat echte viezigheid opgelopen.
Deze TOPANTISPYWARE hijack zet een webpagina op je buroblad waarmee je word opgeroepen een antispyware programma te installeren.
De IE startpagina word gewijzigd.
Verder geeft ie elke 3 minuten zo'n tekstballonnetje dat bij het klokje verschijnt met een vergelijkbare boodschap, en opent ie minstens elk uur IE naar de betreffende site alwaar je volgens het ding de oplossing kan vinden.
Omdat er voor deze viezigheid door de bekende scanners en anti spyware programma's geen soelaas geboden word (en das dan ook waarom het erin slaagde mijn pc's te hijacken), ben ik er dus zelf maar achteraan gegaan.
Overigens gaf min virus scanner AVAST direct alarm toen het probleem ontstond, maar toen was de viezerik dus al wel actief.
AVAST kon het niet verwijderen.
Gelukkig was het niet heel erg moeilijk om op te lossen.
Maar het heeft wel een tijd geduurd voor ik zover was.
De viezerik heet dus topantispyware want das de site waar ie je heen dirigeert om van het probleem af te komen.
Aangezien ik liever alles kwijt raak door een de partitie te wijzigen en dus een format te doen dan dat ik bij de boosdoener mijn hele doopceel ga legen, was dat laatste dus geen optie.
En dus was het noodgedwongen tijd om eens op het internet te gaan spitten.
Na een hoop foute info ben ik er als volgt in geslaagd van het ding af te komen:
Op een site stond een verzameling van online scanners, en degene die dat gepost had raadde iedereen aan om ze allemaal te draaien.
Dat ging me net weer iets te ver en ging dus niet zomaar door.
De eerste wilde al helemaal niet scannen (misschien wel door toedoen van het onding dat ik opgelopen had) de tweede wel.
Dat was de PANDA active scan.
Deze vindt wel virussen maar doet er verder niets mee zegt de site.
Desondanks heeft de scanner tijdens het scannen wel allerlei spyware spul verwijderd, als je eenmaal zo'n viezerik hebt opgelopen staat je systeem zo vol met nog meer rotzooi.
Panda vond spoolsrv32.exe en srpcsrv.dll.
Elders op internet had ik al gelezen dat om hiervan af te komen de extra geïnstalleerde printerspooler verwijderd moest worden maar das dan ook gelijk alle info die erin stond.
Zoals bij de meeste virussen (volgens mij eigenlijk viri) heeft deze viezerik een naam die heel erg veel lijkt op de naam van een windows bestand.
De echte printerspooler heet spoolsv.exe en staat in %system%\windows\system32.
Nu stond er in die directory dus spoolsrv32.exe (en srpcsrv.dll) bij.
Dit was niet alles want met alleen een bestand op je harde schijf zetten kom je niet in de problemen.
Natuurlijk was de startpagina van IE vervangen door een spypagina.
En er was een html pagina op het buroblad gezet waarmee ik op mijn probleem gewezen werd.
Dus, om ervan af te komen heb ik windows in de veilige modus opgestart.
Hierdoor word er niet meer opgestart dan strikt noodzakelijk en dus was de spyware viezerik er niet meer bij.
Dit moet, omdat je het ding niet zult tegenkomen in taakbeheer en als dat wel het geval zou zijn dat staat ie als een service te boek en kun je m dus niet afsluiten.
Een bestand dat in gebruik is kun je niet wissen, maar daar heb je geen last van als ie door de veilige modus niet opstart.
Dus gelijk de betreffende bestanden verwijderd.
Dit zou op zich al voldoende moeten zijn om van het vervelende gedrag af te zijn.
Maar je wil die HTML pagina natuurlijk ook van je buroblad af hebben.
Dat doe je door met rechts op het buroblad te klikken, dan eigenschappen - bureaublad - bureaublad aanpassen - website en daar in het venstertje alles dat je niet bekend is weg te halen.
Als je hier alles weghaalt zie je dus gewoon je buroblad achtergrond met de pictogrammen na twee keer op OK te klikken terugkomen.
Je bent nu halverwege.
De volgende actie is het verwijderen van de verkeerde startpagina.
Dat gaat door in het startmenu met rechts op het IE icoontje te klikken en dan naar de eigenschappen te gaan.
De startpagina is nu al geselecteerd en je kunt m terug zetten, of in ieder geval verwijderen.
Omdat we graag helemaal van het probleem af willen, halen we alles weg dat erop wijst dat we ooit een probleem hadden.
Dit kan door alle verwijzingen in het register ook te verwijderen.
Je kunt regedit op een aantal manieren starten:
Via de startknop en dan kiezen voor uitvoeren... waarna je regedit intypt, maar als dit door de veilige modus niet geboden word kun je ook in de windows verkenner zoeken naar regedit en m zo starten.
Wanneer je vaker in regedit komt, kan het zijn dat de inhoud al uitgeklapt is in regedit.
In dat geval is er al een regel geselecteerd en moet je dat ongedaan maken.
Dit kun je doen door net zolang op de pijltjes toets links te drukken tot je nog maar 1 item vermeld ziet in het venster.
Daarna type je ctrl-F voor zoeken (Find).
Hier geef je de betreffende naam op (spoolsrv32) en enter.
Dit zoeken kan even duren want je register kan gigantisch groot zijn.
Je zal dit nu 2 keer vinden, en wel onder 2 verschillende runonce vermeldingen.
Je kunt gewoon de hele sleutel (regel) verwijderen door op del te drukken.
1 keer verwijderen is niet altijd genoeg, dus hierna druk je nogmaals op ctrl-F om verder te zoeken.
Als je nog meer items hebt die verwijderd moeten worden kun je dat dus opo dezeflde manier doen.
Wanneer je hiermee klaar bent, ben je van de viezerik verlost.
Je kunt nu je systeem weer normaal opstarten.
Deze ellende heeft me dus wel zo'n beetje de hele zaterdag gekost.
Deze handleiding zet ik dan ook neer om jou wat tijd te besparen als je ook met zo'n ding geconfronteerd word.
Het geeft maar weer aan dat je met 1 virus scannertje en 1 anti spyware programma nòg niet afdoende beveiligd bent, en dat die programma's bovendien ook altijd achter de feiten aanlopen.
Daarom is het altijd aan te raden zo nu en dan eens een online virusscanner te gebruiken, en dan ook niet steeds dezelfde.
Dat was voor mij alweer een tijdje geleden (te lang) dus dit was het resultaat.
Tijdens de verschillende scans, zag ik dat heel veel scantijd verbruikt werd in de tijdelijk internet bestanden.
Daarom heb ik die ook gelijk handmatig allemaal gewist.
Ook dat zou een handeling moeten zijn die je met enige regelmaat doet.
Nou ja, maak ik er maar een weekendje virtueel poetsen (voorjaarsschoonmaak) van.
Deze TOPANTISPYWARE hijack zet een webpagina op je buroblad waarmee je word opgeroepen een antispyware programma te installeren.
De IE startpagina word gewijzigd.
Verder geeft ie elke 3 minuten zo'n tekstballonnetje dat bij het klokje verschijnt met een vergelijkbare boodschap, en opent ie minstens elk uur IE naar de betreffende site alwaar je volgens het ding de oplossing kan vinden.
Omdat er voor deze viezigheid door de bekende scanners en anti spyware programma's geen soelaas geboden word (en das dan ook waarom het erin slaagde mijn pc's te hijacken), ben ik er dus zelf maar achteraan gegaan.
Overigens gaf min virus scanner AVAST direct alarm toen het probleem ontstond, maar toen was de viezerik dus al wel actief.
AVAST kon het niet verwijderen.
Gelukkig was het niet heel erg moeilijk om op te lossen.
Maar het heeft wel een tijd geduurd voor ik zover was.
De viezerik heet dus topantispyware want das de site waar ie je heen dirigeert om van het probleem af te komen.
Aangezien ik liever alles kwijt raak door een de partitie te wijzigen en dus een format te doen dan dat ik bij de boosdoener mijn hele doopceel ga legen, was dat laatste dus geen optie.
En dus was het noodgedwongen tijd om eens op het internet te gaan spitten.
Na een hoop foute info ben ik er als volgt in geslaagd van het ding af te komen:
Op een site stond een verzameling van online scanners, en degene die dat gepost had raadde iedereen aan om ze allemaal te draaien.
Dat ging me net weer iets te ver en ging dus niet zomaar door.
De eerste wilde al helemaal niet scannen (misschien wel door toedoen van het onding dat ik opgelopen had) de tweede wel.
Dat was de PANDA active scan.
Deze vindt wel virussen maar doet er verder niets mee zegt de site.
Desondanks heeft de scanner tijdens het scannen wel allerlei spyware spul verwijderd, als je eenmaal zo'n viezerik hebt opgelopen staat je systeem zo vol met nog meer rotzooi.
Panda vond spoolsrv32.exe en srpcsrv.dll.
Elders op internet had ik al gelezen dat om hiervan af te komen de extra geïnstalleerde printerspooler verwijderd moest worden maar das dan ook gelijk alle info die erin stond.
Zoals bij de meeste virussen (volgens mij eigenlijk viri) heeft deze viezerik een naam die heel erg veel lijkt op de naam van een windows bestand.
De echte printerspooler heet spoolsv.exe en staat in %system%\windows\system32.
Nu stond er in die directory dus spoolsrv32.exe (en srpcsrv.dll) bij.
Dit was niet alles want met alleen een bestand op je harde schijf zetten kom je niet in de problemen.
Natuurlijk was de startpagina van IE vervangen door een spypagina.
En er was een html pagina op het buroblad gezet waarmee ik op mijn probleem gewezen werd.
Dus, om ervan af te komen heb ik windows in de veilige modus opgestart.
Hierdoor word er niet meer opgestart dan strikt noodzakelijk en dus was de spyware viezerik er niet meer bij.
Dit moet, omdat je het ding niet zult tegenkomen in taakbeheer en als dat wel het geval zou zijn dat staat ie als een service te boek en kun je m dus niet afsluiten.
Een bestand dat in gebruik is kun je niet wissen, maar daar heb je geen last van als ie door de veilige modus niet opstart.
Dus gelijk de betreffende bestanden verwijderd.
Dit zou op zich al voldoende moeten zijn om van het vervelende gedrag af te zijn.
Maar je wil die HTML pagina natuurlijk ook van je buroblad af hebben.
Dat doe je door met rechts op het buroblad te klikken, dan eigenschappen - bureaublad - bureaublad aanpassen - website en daar in het venstertje alles dat je niet bekend is weg te halen.
Als je hier alles weghaalt zie je dus gewoon je buroblad achtergrond met de pictogrammen na twee keer op OK te klikken terugkomen.
Je bent nu halverwege.
De volgende actie is het verwijderen van de verkeerde startpagina.
Dat gaat door in het startmenu met rechts op het IE icoontje te klikken en dan naar de eigenschappen te gaan.
De startpagina is nu al geselecteerd en je kunt m terug zetten, of in ieder geval verwijderen.
Omdat we graag helemaal van het probleem af willen, halen we alles weg dat erop wijst dat we ooit een probleem hadden.
Dit kan door alle verwijzingen in het register ook te verwijderen.
Je kunt regedit op een aantal manieren starten:
Via de startknop en dan kiezen voor uitvoeren... waarna je regedit intypt, maar als dit door de veilige modus niet geboden word kun je ook in de windows verkenner zoeken naar regedit en m zo starten.
Wanneer je vaker in regedit komt, kan het zijn dat de inhoud al uitgeklapt is in regedit.
In dat geval is er al een regel geselecteerd en moet je dat ongedaan maken.
Dit kun je doen door net zolang op de pijltjes toets links te drukken tot je nog maar 1 item vermeld ziet in het venster.
Daarna type je ctrl-F voor zoeken (Find).
Hier geef je de betreffende naam op (spoolsrv32) en enter.
Dit zoeken kan even duren want je register kan gigantisch groot zijn.
Je zal dit nu 2 keer vinden, en wel onder 2 verschillende runonce vermeldingen.
Je kunt gewoon de hele sleutel (regel) verwijderen door op del te drukken.
1 keer verwijderen is niet altijd genoeg, dus hierna druk je nogmaals op ctrl-F om verder te zoeken.
Als je nog meer items hebt die verwijderd moeten worden kun je dat dus opo dezeflde manier doen.
Wanneer je hiermee klaar bent, ben je van de viezerik verlost.
Je kunt nu je systeem weer normaal opstarten.
Deze ellende heeft me dus wel zo'n beetje de hele zaterdag gekost.
Deze handleiding zet ik dan ook neer om jou wat tijd te besparen als je ook met zo'n ding geconfronteerd word.
Het geeft maar weer aan dat je met 1 virus scannertje en 1 anti spyware programma nòg niet afdoende beveiligd bent, en dat die programma's bovendien ook altijd achter de feiten aanlopen.
Daarom is het altijd aan te raden zo nu en dan eens een online virusscanner te gebruiken, en dan ook niet steeds dezelfde.
Dat was voor mij alweer een tijdje geleden (te lang) dus dit was het resultaat.
Tijdens de verschillende scans, zag ik dat heel veel scantijd verbruikt werd in de tijdelijk internet bestanden.
Daarom heb ik die ook gelijk handmatig allemaal gewist.
Ook dat zou een handeling moeten zijn die je met enige regelmaat doet.
Nou ja, maak ik er maar een weekendje virtueel poetsen (voorjaarsschoonmaak) van.
Laatst bewerkt:
