hardnekkige spyware hulp gevraagd

[Edwin]

Ik zit hier verveeld met spyware die ik maar niet verwijdert krijg.

Er bevind zich een file in de folder system32 met de naam BTHC.DLL.

Dit zou een invoegtoepassing moeten zijn die ingeladen wordt in internet explorer.

Ik kan de file niet verwijderen, ook niet in veilige modus, en de naam wijzigen gaat ook niet.

Er staan enkele sleutels in mijn register die verwijzen naar deze DLL, maar deze kan ik ook niet verwijderen, ook niet als ADMINISTRATOR in veilige modus.

Heb er al een hele batterij spyware en virusscanners opgezet, maar geen slaagt erin om het te wissen of verwijderen.

Andere sleutels kan ik wel wijzigen.

Dit virus beschermd zichzelf dus zeer goed.

Ik kan wel in IE zetten dat deze invoegtoepassing niet moet worden geladen, en de pc werkt dan al een stuk vlotter, maar verwijderen gaat niet.

 

Had gedacht om te booten op een cd met een ander os, en zo die dll te verwijderen. Is dit doenbaar ?

Suggesties ?

 

Dank bij voorbaat.

 

Edwin

[Gast]

Als je weet wat het is kun je unlocker misschien gebruiken, hou er rekening mee dat het dat weg gaat maar als er een toepassing aan vast zit werkt die ook niet meer dus pas op. <img src="/forums/images/graemlins/wink.gif" alt="" />

[Gast Pedro Newbie]

Heb je al met google gezocht op BTHC.DLL

Er komen dan diverse links over het verwijderen van deze spyware met o.a. Hyjackthis en spyware Search & Destroy

b.v. deze: <<Klik>>

[Edwin]

Hyjackthis en spyware S&D krijgen het niet verwijdert.

Heb ik reeds geprobeert. Hyjackthis ziet het wel maar verwijderen gaat niet.

Heb ook reeds geprobeert met systeemherstel terug te gaan in de tijd, maar ook hier geen succes.

Zal eens die unlocker bekijken.

 

groetjes Edwin

[Edwin]

Ook unlocker heeft er zijn tanden op stuk gebeten.

Er is geen blokkerend proces gevonden, maar hij kan het niet verwijderen, ook niet na de voorgestelde herstart optie.

 

Ik werk met XP SP2. Is er mogelijkheid om te booten op bvb een linux cd, en zo het virus te verwijderen ?

Nog beter zou zijn om te booten in een windows omgeving, maar ja, kan niet alles willen hé.

 

Had ook gedacht om de harde schijf uit de pc te halen, en aan te sluiten als tweede harde schijf in een andere pc.

Jammer genoeg is het een sata, en de tweede pc kent alleen ide schijven.

 

Edwin

[WPW]

Gewoon proberen met een linux live cd.

[WPW]

Of met prcview of procexp, handleEx proberen de processen te killen en daarna herbenoemen.

[Edwin]

Ik heb een bootable cd gemaakt met knoppix linux.

 

Zelfs onder linux kan ik deze file niet verwijderen.

De file wordt dus niet beschermt omdat hij in gebruik is of deel uitmaakt van 1 of ander proces of aplicatie in windows.

Ken niet veel van linux, maar volgens ik kan zien heb ik wel alle rechten bij deze file.

 

Heb alle mogelijke processen eigenlijk goed bekeken, en alles dat maar kon uitgeschakeld worden uitgeschakeld, inclusief verschillend svchost services.

( onder windows natuurlijk )

 

Edwin

[WPW]

Heb je onder linux wel de mount schrijfbaar gemaakt? standaard mounts staan op alleen lezen. Je kan ook met de recovery console via de windows install cd (*1)het bestand herbenoemen. Waarschijnlijk is deze dll een onderdeel van de verkenner gemaakt, een wat riskante poging is alle explorer.exe processen killen net zolang totdat de desktop niet meer automatisch terugkomt, dan CAD, taakbeheer, uitvoeren, cmd, en dan via de 'dosbox'(*1).

[Jan Ambers]

Probeer eens die fie in de windows dir zelf te moven.

Eens dat gedaan, ga je met de win install cd, booten als systemherstel, geef 1 in voor de partitie windows als ie het vraagt, en dan gewoon enkele malen enter en je krijgt de dos prompt in windows dir...

Dan rename je de file naar *.vir, en ga je de cd eruit halen en gewoon opnieuw booten.

Meestal is dit OK!

Via Hijackthis de verwijzing naar die dll fie verwijderen

De *.vir file in prullenbak en die leegmaken, opnieuw booten, en normaal is alles weg.

Ik heb al geweest dat ik de dir windows moest deleten en opnieuw win installeren!

Daarom is er een bootpartitie van 20 Gb= systeem, en een Progr en datapartitie aangemaakt, zodat inhardnekkige gevallen de systeempartitie kan geformatteeerd worden!!!

[jeevanhoof]

Hoi,

 

Maak eens een nieuwe gebruiker aan, en kijk eens of deze er ook last van heeft.

 

Zo niet, dankan je al je gegevens overzetten naar deze gebruiker en de oude weggooien.

 

mvg

[Con]

Kan het niet zo zijn dat Windows deze file terugzet uit de driver.cab

(staat in Driver Cache, i386, driver.cab)

zodra je hem hebt verwijdert? Want daar staat de file dan vaak ook in.

(Windows is vaak "zelfherstellend" vanuit deze cache)

 

HG CC

[WPW]

Dat kan maar eerst is het zaak uit te zoeken of een deel of delen te verwijderen zijn, daarna pas alle andere backups/recover/cache versies verwijderen anders loop je de kans dat de pc helemaal niet meer start.

[Ome Merde]

download combofix (google) eens. da's een krachtig tooltje wat e.e.a voor je kan betekenen wellicht

 

 

 

merDe

[Hellum]

kijk eens op: www.HITMANPRO.NL

 

MVG. Gerard