Hoe AdRotator - IconAds - Dcads - Rightonads verwijderen

[miekiemoes]

Hoe AdRotator - IconAds - Rightonads verwijderen

Deze infectie kenmerkt zich door het tonen van popups tijdens het surfen waar je bijvoorbeeld "ads served by rightonads - rightonadz" of "ads served by superiorads" of "ads served by blingads.biz" ziet staan.

Verdere kenmerken zijn dat je browser vaak crasht tijdens het surfen en dat het verscheidene stopmeldingen geeft.

Alsook komt het heel frequent voor dat, wanneer er een Antispywarescanner voorheen al werd gebruikt en het al bepaalde componenten van deze infectie heeft verwijderd, dat het restanten in het register laat staan, met als gevolg dat je na het herstarten van je computer rundll32.exe foutmeldingen krijgt gerelateerd met gzmrotate.dll of gzmrt.dll of sprt_ads.dll

Eerst en vooral, deïnstalleer volgende programma's indien aanwezig via software > wijzigen/verwijderen:

Adssite Advanced Toolbar
Adssite Games Collection
Browser Optimizer Adssite
Browser Optimizer Dcads
Browser Optimizer Rightonadz
Browser Optimizer Superiorads
Dcads Games Collection
Enhancement Browser Tools Superiorads
MySidesearch Search Assistant
Search Assistant Adssite
Socialnetworking Helper Adssite
Socialnetworking Helper Dcads

Herstart je PC daarna.

Verwijderinstructies met behulp van HijackThis:

In geval je nog geen HijackThis hebt...

* Download Trend Micro Hijack This™
Dubbelklik HJTInstall.exe om de installatie te starten.
HijackThis wordt standaard in de Program Files\Trendmicro map geïnstalleerd en zal een snelkoppeling op het bureaublad aanmaken.
Daarna zal HijackThis openen. Klik de Scan knop onderaan.

Daarna, in HijackThis, klik op "Scan".
Zoek in de lijst naar één van deze lijnen en vink deze aan:

O2 - BHO: blingads.biz extension - {6FA3DF44-D34D-4538-9B82-136D43126F30} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: blingads.biz extension - {DC043BC4-C1DD-4981-AD8F-683E737F6518} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: browser optimizer by rightonadz - {971C3384-F75E-4562-95B3-CBE7417529BC} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: rightonads optimizer - {10F3E8BD-257A-4702-A2F5-DC02055B068C} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: superiorads - {4AD44D3E-7316-4251-B754-9B10EC96AF92} - C:\WINDOWS\system32\sprt_ads.dll
O2 - BHO: Tooltipizer - {C004D9F0-A742-4DC7-AFD0-BC29CE3FE04A} - C:\WINDOWS\system32\adssitesuggest.dll
O2 - BHO: Tooltipizer - {C004D9F0-A742-4DC7-AFD0-BC29CE3FE04A} - C:\WINDOWS\system32\dcadssuggest.dll
O2 - BHO: trafficninja.biz extension - {266A3562-AB67-480E-9F09-D54604FD817B} - C:\windows\system32\ninjaext.dll
O2 - BHO: optimizer by rightonadz - {AB71E94E-3DC4-41eb-BBD5-31E82C9FD1D4} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll
O2 - BHO: Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\dcads_sidebar.dll
O2 - BHO: MySidesearch Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\Windows\system32\mysidesearch_sidebar.dll

E�n van de volgende lijnen hieronder zullen ook aanwezig zijn, doch is er hier een klein verschil, want de bestandsnaam op het eind van de lijn zal telkens verschillend/random zijn, maar begint altijd met ns***.dll
De CLSIDs {********-****-****-****-************} en hetgeen ervoor staat is daarentegen niet random. Daarom zal je het ook makkelijk kunnen herkennen.

O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsp5.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nstEC.dll
O2 - BHO: adssite - {F31B3634-12AA-41ca-B021-0685C3B3E4CA} - C:\WINDOWS\system32\nsd1B.dll
O2 - BHO: dcads - {C7C90A5E-BE0A-44DD-83D2-1BE138460BAC} - C:\WINDOWS\system32\nsh26B.dll
O2 - BHO: dcads - {F173E53F-E042-49b6-BD46-983E93DA1B17} - C:\WINDOWS\system32\nsfE8.dll

Verdere lijnen die aanwezig kunnen zijn:

O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Adssite Advanced Toolbar\toolbar.dll
O3 - Toolbar: Dcads Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Dcads Advanced Toolbar\toolbar.dll

O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\sprt_ads.dll" DllStart

Klik onderaan op Fix checked.
(Zorg ervoor dat je Internet Explorer gesloten is bij het fixen in HijackThis!)

Daarna.. Herstart je computer.

Na herstart...

Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven. <== klik voor instructies.

Dan blader naar de volgende bestanden en verwijder deze:
(ik veronderstel hier dat je Windows op je C:\ is geïnstalleerd)

C:\WINDOWS\system32\rightonadz-uninst.exe
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\gzmrot-uninst.exe
C:\WINDOWS\system32\setup_rightonadz.exe
C:\WINDOWS\system32\ninjaext-uninstall.exe
C:\WINDOWS\SYSTEM32\dcads-remove.exe
C:\WINDOWS\system32\DcadsSocial-uninstall.exe
C:\WINDOWS\system32\superiorads-uninst.exe
C:\WINDOWS\system32\dcads-remove.exe
C:\WINDOWS\system32\adssite_sidebar_uninstall.exe
C:\WINDOWS\system32\AdssiteSocial-uninstall.exe

Voor de volgende bestanden is het mogelijk dat je ze niet meer zal terugvinden aangezien HijackThis standaard deze bestanden al verwijderd nadat je op Fix checked hebt geklikt, doch beter extra te controleren:

C:\WINDOWS\system32\adssite_sidebar.dll
C:\WINDOWS\system32\adssitesuggest.dll
C:\WINDOWS\system32\dcads_sidebar.dll
C:\WINDOWS\system32\dcadssuggest.dll
C:\WINDOWS\system32\gzmrotate.dll
C:\WINDOWS\system32\gzmrt.dll
C:\WINDOWS\system32\ninjaext.dll
C:\WINDOWS\system32\spads.dll
C:\WINDOWS\system32\sprt_ads.dll
C:\WINDOWS\system32\_sprt_ads.dll
C:\WINDOWS\system32\iebrowserc.dll
C:\Windows\system32\mysidesearch_sidebar.dll

Verwijder volgende mappen indien aanwezig:

C:\Documents and Settings\"jouw gebruikersnaam"\application data\Adssite Advanced Toolbar
C:\Documents and Settings\"jouw gebruikersnaam"\Application Data\Adssite Games Collection
C:\Documents and Settings\"jouw gebruikersnaam"\Application Data\Dcads Advanced Toolbar
C:\Documents and Settings\"jouw gebruikersnaam"\Application Data\Dcads Games Collection
C:\Program Files\Adssite Advanced Toolbar
C:\Program Files\Adssite Games Collection
C:\Program Files\Dcads Advanced Toolbar
C:\Program Files\Dcads Games Collection


Indien je problemen hebt bij het verwijderen van bepaalde bestanden, start je Computer op in Veilige mode en verwijder ze in Veilige mode.
Hoe de Computer opstarten in Veilige Modus <== klik hier voor instructies.

----------------------------

De infectie zou nu verwijderd moeten zijn.

Indien dit niet het geval is, registreer je op dit forum en klik daarna op deze link om je HijackThislog te plaatsen. Geef een duidelijke omschrijving in de titel en je bericht welk probleem je hebt. Dan zal iemand je zo snel mogelijk helpen.
Voor instructies in verband met HijackThis, lees hier.

Copyright © BlueMedicine.be
Gelieve bovenstaande info niet te kopieren zonder toestemming of verwijzing