eZula - tips och identifiering

[Cafoni]

eZula nerladdad via eZula.com

 

Tillhör Du dem som gått på eZulas marknadsföring och laddat hem programmet? Man får ju ett effektivare och snabbare verktyg för sin surfning... I själva verket är eZula förmodligen den värsta och mest intrigerande "Spyware/trojan" som hittills skådats.

Avsikten med eZula är att "dirigera om" sökresultat från sidor som betalats av producenter och annonsörer, till sidor som stöder eZula. Ofta med en provokativ text på den första sidan. Programmet kan också ändra Din förvalda sida till about:blank och därunder lägga in en för eZula lämplig öppningssida.

eZula.com lämnar bristfälliga anvisningar på hur programmet skall tas bort och låter inte tala med sig när man börjar prata om registernycklar.

Frågan är om eZulas affärsverksamhet faller inom de lagar som finns inom EU och Sverige.

 

Gå till www.whirlywiryweb.com där finns råd om hur Du avinstaller via Lägg till/Ta bort program och via DOS.

Är Du tveksam till DOS - ta hjälp av en duktig vän eller kompis.

 

eZula som sprids via nätet.

 

I sluttampen av den här texten - som tyvärr blir lång - behövs DOS kunskaper för att fixa registernycklar och ändra tillbaka till ursprungliga värden. Det finns många duktiga skribenter med gedigna datakunskaper i detta forum, så ta på tankeluvan och skicka in Dina DOS lösningar.

 

Har Du fått eZola i Din dator utan att ladda hem programmet? Eller vill Du kolla att Du inte har programmet men vara beredd ifall det dyker upp?

 

Jag fick in eZula i min XP Home för några veckor sedan utan att jag fattade varför eller hur. Försökte med alla registervärden i whirlywirywebs anvisningar, men inget stämde. Det här var altså en annan typ av eZula Top Text det handlade om.

 

Varken Ad-aware eller Pest Patrol upptäckte eZula. Det gjorde däremot Internet Cleanup 3.0 (ICup) från aladdin.com. ICup noterade följande registervärden: HKEY CLASSES ROOT\Interface\618736ED-3C3D-11CF-810C-00AA00389B71, på samma plats IEA4DBF0-3C3B och resten lika föregående samt på samma plats fast i Typelib fanns följande värde: 03022430-ABC4-11DO-BDE2-00AA001A1953. ICup tog bort eZula men programmet kom lika snabbt tillbaka.

 

Hur skulle man då hitta det dolda installationsprogrammet? Kollade i Cookiemappen och fann filen "Index New File". Identiskt lika Index Dat filen. Upptäckte att det är den här filen som "ändrar" hemsidan. Fortsatt letande i alla register efter spår men det fanns inga - förstås. Lät Sök ta fram varenda fil och avslutade med exe filerna.

Med röda ögon och mitt i natten hittade jag Top Text.exe bland Prefetch filerna och omgiven av ett dussin Update.exe filer. Tog bort filerna men Top Text.exe filen var snart tillbaka.

 

Av en slump hade jag tidigare skrivit upp en del registervärden. Bl.a. de man direkt ser när man först kommer in i registret. på två ställen står S-1-5-21-1644491937-2049760794-839522115-1004. jag såg att sifferserien hade ändrats på båda platserna och började ana ugglor i mossen. Men hur få rätt få filnamn och plats? Är detta eZula hör det inte samman med något annat, alltså är de föräldralösa filer. Fort till Reg Cleaner, verktyg, städa registret och sök Föräldralösa filer. Tjoff, sa det.

Här fanns "bevisen". Om allt stämmer är detta eZula Top Text namn, nyckel och placering. HKEY USERS\Software\Microsoft\Windows\Current Version\Explorer\Com DLG32\Open SaveMRU\ZIP

Värde: C:\Document and Settings\Din dators namn\Skrivbord\top text ZIP.

Nyckel: S-1-5-21-1085031214-1284227242-839522115-1004

 

Den andra nyckeln har samma sifferserie och samma beteckningar utom att ZIP i slutet är bytt till\*.

 

Filen Index New File finns i HKEY LOCAL MACHINE\software\Microsoft\IMAPI\Stash info

Värde: C:\Windows\Temp\Stash\Mapi.bin

 

Top Text fast då benämnd eZula kan också hittas i Temporary Internet Files (om den laddats dit)

\Content IE5\MF8VOPGT\eZula.css

 

De ovanstående registernycklarna är låsta - nekad åtkomst, varför det är här DOS kommandon kommer in i bilden och är avgörande för hur detta kommer att lyckas. Det behövs kommandon för såväl XP som för de andra systemen. Så kom igen!

 

För att få reda på hur jag fick in eZula i datorn formaterade jag om denna och började med att lägga in Ad-aware. Ingen eZula. Plockade in Pest Patrol - lugnt. Plockade in Internet Cleanup 3.0 och då kom eZula tillbaka som ett skott. Hittade Lime Wire i ICup. Tog bort den men den kom tillbaka liksom eZula.

Lime Wire liksom iMesh är kända eZula spridare. Det kan innebära att jag fick hela installationköret när jag sökte efter uppdateringar hos www.aladdin.com.

Men helt säker kan man ändå inte vara på hur det här har gått till. Nu är min dator omformaterad igen - utan eZula och Internet Cleanup.

 

Hälsningar från Cafoni (ursäkta textmängden)

 

[Anders N]

Två programtips bara:

 

SpywareBlaster stoppar Ezulas ActiveX-kontroll från att installeras via hemsidor, och SpyBot S&D hittar och bör kunna ta bort Ezula utan problem.

 

Jag har aldrig gillat PestPetrol (vet inte riktigt varför), och har aldrig hört talas om ICup.

 

SpywareBlaster

http://www.wilderssecurity.net/

 

Spyboy - Search & Destroy

http://security.kolla.de/

 

Ciao,

Anders

 

 

[Cafoni]

Hej Anders;

 

Tack för tipset om bl.a. Spyware Blaster. Sitter nu på plats. Det finns dock minst två varianter av eZula. Den "officiella" som Spyware Blaster klarar.

Den variant som smyger in i datorn via webb och applikation(er) i datorn och med okänd nerladdningshjälp av program,har andra registernycklar. Den är det värre att bli av med.

 

Du har alldeles rätt om Pest Patrol. Ju mer man kör

programmet desto osäkrare blir man över resultaten.

Spyboot - Search&Destroy är ett hyggligt och bra

alternativ. Gratis via www.lurkhere.com/nicefiles som skickar vidare. (Gratisprogram)

Hälsningar från Cafoni