M
MAS3
De laatste tijd is er een explosieve toename van lastige malware.
Men geeft je een waarschuwing dat je kwetsbaar bent voor van alles en nog wat.
Meestal begint dat met een mededeling van de administrator, of zelfs van windows zelf.
Deze mededeling is gelijk het bewijs van de mededeling, want op dat moment hebben ze je dus al te pakken.
Ik schrijf dit berichtje omdat ik zelf al eens het slachtoffer ben geweest van zo'n onding.
Over het onding was verder niet veel te vinden, behalve wat aanwijzingen van anderen die er ook last van hadden.
Adaware en spybot search & destroy konden het probleem niet oplossen, en dus was ik geheel op mezelf en de schamele informatie die ik op het internet kon vinden aangewezen.
1 ding kan ik je van te voren al vertellen:
Als je de oplossing van dit probleem aangedragen krijgt door het probleem zelf "download our uninstaller / removal tool" betekent dat dus dat je alles moet doen, BEHALVE dit voorstel van de rotzooi zelf volgen!
Want dat is dus precies wat die gasten wilden bereiken toen ze het rotding maakten, en ik zal een biet zijn als ik daaraan toe ga geven.
De zaken waar ik last van had manifesteerden zich als volgt:
Als eerste kreeg ik een mededeling van windows, dat deze constateerde dat ik kwetsbaar was voor bepaalde rotzooi, en dat windows geen firewall of andere bescherming daartegen kon vinden.
Ik moest dus maar de link volgen om dat op te lossen.
Wegklikken lukte niet, ook weghalen met taakbeheer werkte niet.
Want dan kwam ie even later gewoon terug.
Dit onding heb ik opgelopen door een of ander reclame popup ding, en dat is dus iets waar je niet zo heel veel aan kunt doen.
Natuurlijk kun je een popup blokker installeren, maar dit soort zaken zal er altijd tussendoor glippen.
Na een tijdje vechten liep het systeem vast en was ik verplicht te herstarten.
Dit was natuurlijk foute boel.
Want door die herstart werd er van alles extra geactiveerd.
Daarop heb ik eerst dit systeem uit het netwerk gehaald, om eventuele verspreiding in te perken.
Om toch een oplossing te kunnen vinden, heb ik later alleen dit systeem aan het internet gehangen.
Na de herstart was mijn buroblad veranderd in 1 grote link met tekst dat ik dat removal tootlje moest halen.
Ik kon verder normaal werken, maar er kwamen dus allerlei popups en de administrator waarschuwingen.
Na eerst uren vruchteloos gezocht te hebben, heb ik de stoute schoenen maar aangetrokken.
Een aantal zaken die ik op het internet vond heb ik maar achter elkaar uitgevoerd.
Als eerste heb ik de vervelende mededelingen van administrator uitgeschakeld.
Dit is een handeling die iedereen eigenlijk gelijk zou moeten doen, ook als je nu geen last hebt van dit probleem.
Windows heeft een messenger service die mededelingen kan doen namens de systeembeheerder.
Deze messenger heeft ABSOLUUT NIETS met MSN messenger te maken, dus daarover hoef je je geen zorgen te maken.
De gewone thuisgebruiker, ook als die een heel netwerk heeft draaien heeft dat hele ding niet nodig.
Dit ding is zelfs (gedeeltelijk) verantwoordelijk voor dit probleem, het leidt ertoe dat men meer kan doen dan simpelweg binnenkomen, men kan door een dikke fout (Bill luister je mee ?) dus ook andere zaken activeren.
Goed.
Weg ermee dus.
Het lastige van dit ding is dat windows het start tijdens opstarten, en daarom kun je m niet zomaar weghalen.
Sterker nog, weghalen is niet eens nodig.
Alleen uitschakelen is al voldoende.
Als je XPpro (of win 2000) hebt, kun je dit vrij eenvoudig voor elkaar krijgen, ik kende deze "truuk" al van een andere toepassing.
Deze eerste stap kan iedereen die dit leest uitvoeren, dus ook als je (nog) geen last van ongein hebt !
Ga naar start - uitvoeren
Type in: services.msc en druk op enter
Je krijgt nu een schermpje met een overzicht van alle services die geregistreerd zijn, met de status erbij.
Zoek nu naar messenger en klik daarop.
In de beschrijving zie je staan dat dit ding te maken heeft met de alerter service.
Dubbelklik op messenger, je krijgt dan een schermpje met meer info over dit ding.
Ongeveer halverwege zie je een vak met het opstart type; verander de waarde in uitgeschakeld.
Klik hierna op ok
Eventueel kun je zolang messenger nog is geselecteerd, bij de knoppenbalk op het vierkantje klikken, waardoor de service direct gestopt word.
Even netjes met ok en afsluiten uit services.msc gaan
Hierna ben je van de windows of administrator mededelingen verlost, en ook van de kwetsbaarheid die hieraan verbonden is.
Volgende stap die ik nam is het uitspitten van het register.
Voor de zekerheid kun je dit in safe mode doen zodat de rotzooi die je hebt opgelopen minder kans krijgt iets te doen als je bezig bent m te verslaan.
Daarvoor start je je systeem opnieuw op, maar druk je op F8 tijdens het starten, en kies je voor safe (of veilige) mode.
Dit uitspitten gaat met start - uitvoeren - regedit {enter}
Houd er rekening mee dat alles dat je wijzigt in het register, direct verwerkt word, en je dus niet terug kunt als je een fout maakt.
Daarom is het aan te raden om een backup te maken.
Dit doe je door op bestand - exporteren te klikken en dan het spul op te slaan.
Als je dan iets fout doet, kun je nog terug.
Je kunt in het schermpje dat verschijnt aan de rechterkant de betreffende sleutels opzoeken, maar ik heb zo ongeveer alle sleutels bekeken die ik tegenkwam (en dat zijn er veel, zèèr veel).
Door op het plusje voor de sleutel te klikken, klapt die waarde uit, en kun je de volgende sleutel of waarde kiezen.
Ga nu naar HKEY_CURRENT_USER - Software - Microsoft - Windows - CurrentVersion - Run.
Kijk wat er in het rechter scherm verschijnt, en identificeer alles dat je niet vertrouwt.
Noteer de namen van de betreffende bestanden.
Let hierbij op .exe en .dll's met willekeurige namen zoals adjfu.dll bijvoorbeeld.
Als je niet zeker weet of een bepaalde naam een slechterik is, kun je de naam "een beetje" veranderen.
Bovengenoemd bestand zou je dan EXadjfu.dll kunnen noemen, dit bestand bestaat dus niet en kan daarom niet gestart worden.
Dit doe je door rechts op de naam in het rechter veld te klikken en dan wijzigen te kiezen.
Je doet hetzelfde bij HKEY_CURRENT_USER - Software - Microsoft - Windows - CurrentVersion - RunOnce.
En bij HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows - CurrentVersion - Run.
En bij HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows - CurrentVersion - RunOnce.
De betreffende bestanden kunnen in de hoofddirectory, in de windows map, in windows/system map, of in de windows/system32 map staan.
Ook deze bestanden kun je dan wissen of anders noemen.
Natuurlijk noem je ze dan niet EX, maar zet je er iets anders voor (bijvoorbeeld NIETadjfu.dll).
Je hebt nu alle bestanden bekeken die tijdens de windows start opgestart worden vanuit het register.
Maar zo kunnen er er ook nog bestanden in win.ini staan.
Deze staat in de c:\windows map, je kunt ze vinden onder het kopje [run].
Meestal vind je daar onder XP niet veel, maar het is de moeite daar toch ff te kijken.
Verder kun je ook even kijken in autoexec.bat in de hoofddirectory, alles wat hierin staat zou (in DOS) voor de start van windows zelf worden opgestart.
De laatste 2 (win.ini en autoexec.bat) werken volgens mij niet in winXP, maar zeker wel in win98.
Als je de juiste bestanden hebt verwijderd, ben je bijna klaar.
Je kunt nu je systeem weer opstarten, en kijken of je nog rotzooi hebt.
Alleen als je een andere buroblad achtergrond had, kun je die nog terugzetten.
Dit doe je met start - configuratiescherm - beeldscherm.
Dan de tab bureaublad, en daar bureaublad aanpassen.
Daar kies je dan de tab website en verwijder je hetgeen dat daar staat ingevuld.
Paar keer OK, en nu ben je die achtergrond ook kwijt.
Als je voor de zekerheid bestanden hebt hernoemd, en je nu geen problemen meer hebt, en bovendien alle programma's nog normaal werken, kun je die hernoemde bestanden gewoon wissen, ook uit het register.
Voor mij was dit voldoende om van de rotzooi af te komen.
Men geeft je een waarschuwing dat je kwetsbaar bent voor van alles en nog wat.
Meestal begint dat met een mededeling van de administrator, of zelfs van windows zelf.
Deze mededeling is gelijk het bewijs van de mededeling, want op dat moment hebben ze je dus al te pakken.
Ik schrijf dit berichtje omdat ik zelf al eens het slachtoffer ben geweest van zo'n onding.
Over het onding was verder niet veel te vinden, behalve wat aanwijzingen van anderen die er ook last van hadden.
Adaware en spybot search & destroy konden het probleem niet oplossen, en dus was ik geheel op mezelf en de schamele informatie die ik op het internet kon vinden aangewezen.
1 ding kan ik je van te voren al vertellen:
Als je de oplossing van dit probleem aangedragen krijgt door het probleem zelf "download our uninstaller / removal tool" betekent dat dus dat je alles moet doen, BEHALVE dit voorstel van de rotzooi zelf volgen!
Want dat is dus precies wat die gasten wilden bereiken toen ze het rotding maakten, en ik zal een biet zijn als ik daaraan toe ga geven.
De zaken waar ik last van had manifesteerden zich als volgt:
Als eerste kreeg ik een mededeling van windows, dat deze constateerde dat ik kwetsbaar was voor bepaalde rotzooi, en dat windows geen firewall of andere bescherming daartegen kon vinden.
Ik moest dus maar de link volgen om dat op te lossen.
Wegklikken lukte niet, ook weghalen met taakbeheer werkte niet.
Want dan kwam ie even later gewoon terug.
Dit onding heb ik opgelopen door een of ander reclame popup ding, en dat is dus iets waar je niet zo heel veel aan kunt doen.
Natuurlijk kun je een popup blokker installeren, maar dit soort zaken zal er altijd tussendoor glippen.
Na een tijdje vechten liep het systeem vast en was ik verplicht te herstarten.
Dit was natuurlijk foute boel.
Want door die herstart werd er van alles extra geactiveerd.
Daarop heb ik eerst dit systeem uit het netwerk gehaald, om eventuele verspreiding in te perken.
Om toch een oplossing te kunnen vinden, heb ik later alleen dit systeem aan het internet gehangen.
Na de herstart was mijn buroblad veranderd in 1 grote link met tekst dat ik dat removal tootlje moest halen.
Ik kon verder normaal werken, maar er kwamen dus allerlei popups en de administrator waarschuwingen.
Na eerst uren vruchteloos gezocht te hebben, heb ik de stoute schoenen maar aangetrokken.
Een aantal zaken die ik op het internet vond heb ik maar achter elkaar uitgevoerd.
Als eerste heb ik de vervelende mededelingen van administrator uitgeschakeld.
Dit is een handeling die iedereen eigenlijk gelijk zou moeten doen, ook als je nu geen last hebt van dit probleem.
Windows heeft een messenger service die mededelingen kan doen namens de systeembeheerder.
Deze messenger heeft ABSOLUUT NIETS met MSN messenger te maken, dus daarover hoef je je geen zorgen te maken.
De gewone thuisgebruiker, ook als die een heel netwerk heeft draaien heeft dat hele ding niet nodig.
Dit ding is zelfs (gedeeltelijk) verantwoordelijk voor dit probleem, het leidt ertoe dat men meer kan doen dan simpelweg binnenkomen, men kan door een dikke fout (Bill luister je mee ?) dus ook andere zaken activeren.
Goed.
Weg ermee dus.
Het lastige van dit ding is dat windows het start tijdens opstarten, en daarom kun je m niet zomaar weghalen.
Sterker nog, weghalen is niet eens nodig.
Alleen uitschakelen is al voldoende.
Als je XPpro (of win 2000) hebt, kun je dit vrij eenvoudig voor elkaar krijgen, ik kende deze "truuk" al van een andere toepassing.
Deze eerste stap kan iedereen die dit leest uitvoeren, dus ook als je (nog) geen last van ongein hebt !
Ga naar start - uitvoeren
Type in: services.msc en druk op enter
Je krijgt nu een schermpje met een overzicht van alle services die geregistreerd zijn, met de status erbij.
Zoek nu naar messenger en klik daarop.
In de beschrijving zie je staan dat dit ding te maken heeft met de alerter service.
Dubbelklik op messenger, je krijgt dan een schermpje met meer info over dit ding.
Ongeveer halverwege zie je een vak met het opstart type; verander de waarde in uitgeschakeld.
Klik hierna op ok
Eventueel kun je zolang messenger nog is geselecteerd, bij de knoppenbalk op het vierkantje klikken, waardoor de service direct gestopt word.
Even netjes met ok en afsluiten uit services.msc gaan
Hierna ben je van de windows of administrator mededelingen verlost, en ook van de kwetsbaarheid die hieraan verbonden is.
Volgende stap die ik nam is het uitspitten van het register.
Voor de zekerheid kun je dit in safe mode doen zodat de rotzooi die je hebt opgelopen minder kans krijgt iets te doen als je bezig bent m te verslaan.
Daarvoor start je je systeem opnieuw op, maar druk je op F8 tijdens het starten, en kies je voor safe (of veilige) mode.
Dit uitspitten gaat met start - uitvoeren - regedit {enter}
Houd er rekening mee dat alles dat je wijzigt in het register, direct verwerkt word, en je dus niet terug kunt als je een fout maakt.
Daarom is het aan te raden om een backup te maken.
Dit doe je door op bestand - exporteren te klikken en dan het spul op te slaan.
Als je dan iets fout doet, kun je nog terug.
Je kunt in het schermpje dat verschijnt aan de rechterkant de betreffende sleutels opzoeken, maar ik heb zo ongeveer alle sleutels bekeken die ik tegenkwam (en dat zijn er veel, zèèr veel).
Door op het plusje voor de sleutel te klikken, klapt die waarde uit, en kun je de volgende sleutel of waarde kiezen.
Ga nu naar HKEY_CURRENT_USER - Software - Microsoft - Windows - CurrentVersion - Run.
Kijk wat er in het rechter scherm verschijnt, en identificeer alles dat je niet vertrouwt.
Noteer de namen van de betreffende bestanden.
Let hierbij op .exe en .dll's met willekeurige namen zoals adjfu.dll bijvoorbeeld.
Als je niet zeker weet of een bepaalde naam een slechterik is, kun je de naam "een beetje" veranderen.
Bovengenoemd bestand zou je dan EXadjfu.dll kunnen noemen, dit bestand bestaat dus niet en kan daarom niet gestart worden.
Dit doe je door rechts op de naam in het rechter veld te klikken en dan wijzigen te kiezen.
Je doet hetzelfde bij HKEY_CURRENT_USER - Software - Microsoft - Windows - CurrentVersion - RunOnce.
En bij HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows - CurrentVersion - Run.
En bij HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows - CurrentVersion - RunOnce.
De betreffende bestanden kunnen in de hoofddirectory, in de windows map, in windows/system map, of in de windows/system32 map staan.
Ook deze bestanden kun je dan wissen of anders noemen.
Natuurlijk noem je ze dan niet EX, maar zet je er iets anders voor (bijvoorbeeld NIETadjfu.dll).
Je hebt nu alle bestanden bekeken die tijdens de windows start opgestart worden vanuit het register.
Maar zo kunnen er er ook nog bestanden in win.ini staan.
Deze staat in de c:\windows map, je kunt ze vinden onder het kopje [run].
Meestal vind je daar onder XP niet veel, maar het is de moeite daar toch ff te kijken.
Verder kun je ook even kijken in autoexec.bat in de hoofddirectory, alles wat hierin staat zou (in DOS) voor de start van windows zelf worden opgestart.
De laatste 2 (win.ini en autoexec.bat) werken volgens mij niet in winXP, maar zeker wel in win98.
Als je de juiste bestanden hebt verwijderd, ben je bijna klaar.
Je kunt nu je systeem weer opstarten, en kijken of je nog rotzooi hebt.
Alleen als je een andere buroblad achtergrond had, kun je die nog terugzetten.
Dit doe je met start - configuratiescherm - beeldscherm.
Dan de tab bureaublad, en daar bureaublad aanpassen.
Daar kies je dan de tab website en verwijder je hetgeen dat daar staat ingevuld.
Paar keer OK, en nu ben je die achtergrond ook kwijt.
Als je voor de zekerheid bestanden hebt hernoemd, en je nu geen problemen meer hebt, en bovendien alle programma's nog normaal werken, kun je die hernoemde bestanden gewoon wissen, ook uit het register.
Voor mij was dit voldoende om van de rotzooi af te komen.
Laatst bewerkt:
