hardnekkig Adware/Spyware in browser - Privacy en beveiliging

maandag 7 mei 2012 17:47

Acties:

Topicstarter

Hallo,

Ik ervaar enige tijd het volgende, als ik via een browser (IE of Firefox) loop te surfen krijg ik regelmatig rechts onderin een reclame venster, dit reclame venster is niet van de website zelf, maar is vermoedelijk adware of spyware wat op mijn pc is geïnstalleerd.

Ik heb diverse virusscanners en online scanners geprobeerd echter wordt dit virus niet gevonden en ik krijg het er niet uit. Er staat niks geks bij het opstarten (MSCONFIG) en ook niet in RUN in mijn register.

Ik draai Windows 7 Ultimate 64 bit, ik heb diverse virusscanners geprobeerd: Microsoft security essentials, Avast, Nod32, search and destroy, en malware bytes. Helaas zonder succes, ik hoop dat iemand mij verder kan helpen. Ik moet dit virus toch kunnen verwijderen zonder een volledige herinstallatie van mijn systeem?

Zie hieronder een voorbeeld van het reclame venster:

Afbeeldingslocatie: http://img819.imageshack.us/img819/9642/spyware.png

Afbeeldingslocatie: http://img819.imageshack.us/img819/9642/spyware.png

maandag 7 mei 2012 20:19

Acties:

Tracking Cookie

Heb je de lijst met add-ons en plugins in IE en Firefox al doorlopen?

[ Voor 128% gewijzigd door Tracking Cookie op 07-05-2012 20:29 ]

maandag 7 mei 2012 20:42

Acties:

Dean88

Topicstarter

Tracking Cookie schreef op maandag 07 mei 2012 @ 20:19:
Heb je de lijst met add-ons en plugins in IE en Firefox al doorlopen?

jah al gechecked,

Nu wou ik een logbestand van Hijackthis posten alleen als ik met deze tool wil scannen zegt Hijackthis: your system denied write acces to the Hosts file.

Het lijkt erop alsof het stukje adware/virus, dit heeft gemanipuleerd, als ik naar de directory browse ziet hij het bestand niet.
(verborgen bestanden staat op weergeven)
Echter als ik via 'uitvoeren' het volgende command geef:

notepad C:\Windows\System32\drivers\etc\hosts

opent hij wel het hosts bestand en staat er in het hosts bestand het volgende:

=======

127.0.0.1 localhost
::1 localhost

67.215.245.19 www.google-analytics.com.
67.215.245.19 ad-emea.doubleclick.net.
67.215.245.19 www.statcounter.com.
108.163.215.51 www.google-analytics.com.
108.163.215.51 ad-emea.doubleclick.net.
108.163.215.51 www.statcounter.com.
======

Als ik de onderste regels wil verwijderen en het bestand wil opslaan vraagt notepad waar ik het bestand wil opslaan, als ik de directory etc neem slaat hij hem op als hosts (2). als ik het hernoem naar hosts maakt hij er weer van hosts (3)

Ik hoop dat iemand mij verder wilt helpen, hieronder heb ik nog een log bestand van malbytes en DDS.

maandag 7 mei 2012 20:57

Acties:

Tracking Cookie

Met FileAssassin kan je gelockte bestanden verwijderen, geen idee of hij verborgen-verborgen bestanden kan verwijderen http://www.malwarebytes.org/products/fileassassin

Het handigste is denk ik windows haar eigen systeembestanden te laten controleren en herstellen, zie: http://windows7themes.net...indows-7-sytem-files.html

[ Voor 0% gewijzigd door Tracking Cookie op 07-05-2012 20:58 . Reden: typo ]

maandag 7 mei 2012 21:04

Acties:

DukeBox

loves wheat smoothies

Hij zal niet gelocked zijn, maar gewoon write only. Dus als admin write only uitzetten, saven en weer aanzetten.

Duct tape can't fix stupid, but it can muffle the sound.

maandag 7 mei 2012 21:48

Acties:

Dean88

Topicstarter

Ik heb het probleem waarschijnlijk opgelost, het hosts bestand was zowel hidden als locked.
Ik heb via een virtuele omgeving (Backtrack boot cd) de hosts file kunnen wijzigen, ik heb tot nu toe geen reclame vensters meer gehad. Ik vraag mij nog steeds af hoe deze strings in mijn hosts file terecht zijn gekomen.

maandag 7 mei 2012 23:13

Acties:

DukeBox

loves wheat smoothies

Meestal door lokaal te werken als admin of door achterlopende patches (windows, java.. )

[ Voor 5% gewijzigd door DukeBox op 07-05-2012 23:13 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 8 mei 2012 15:10

Acties:

Dean88

Topicstarter

DukeBox schreef op maandag 07 mei 2012 @ 23:13:
Meestal door lokaal te werken als admin of door achterlopende patches (windows, java.. )

Deze strings zorgden ervoor dat er reclame in mijn browser werd weergegeven, dus dit is waarschijnlijk de oorzaak van een virus? Zou dit nog op mijn pc staan?

dinsdag 8 mei 2012 17:32

Acties:

Tracking Cookie

Dean88 schreef op dinsdag 08 mei 2012 @ 15:10:
[...]
Deze strings zorgden ervoor dat er reclame in mijn browser werd weergegeven, dus dit is waarschijnlijk de oorzaak van een virus? Zou dit nog op mijn pc staan?

Het is veroorzaakt door een virus, als je zoekt op de ip adressen die in je host bestand stonden vind je talloze mensen die hetzelfde probleem hebben door een opgelopen trojan/virus.
Het zou kunnen dat het virus nog op je PC staat (en nog niet wordt herkent door je virusscanners), dus bankzaken zou ik sowieso niet meer op die PC doen.

dinsdag 8 mei 2012 20:16

Acties:

DukeBox

loves wheat smoothies

Dean88 schreef op dinsdag 08 mei 2012 @ 15:10:
Deze strings zorgden ervoor dat er reclame in mijn browser werd weergegeven, dus dit is waarschijnlijk de oorzaak van een virus? Zou dit nog op mijn pc staan?

Zoals hier boven al staat, niet de oorzaak maar het gevolg.
Waarschijnlijk niet van een virus maar van spy/add ware.

Draai er eens wat online scanners over (zoals http://www.microsoft.com/security/scanner/nl-be/default.aspx ) als ze allen aangeven dat je pc schoon is dan zal je dat moeten aannemen (rootkits daargelaten).

[ Voor 21% gewijzigd door DukeBox op 08-05-2012 20:17 ]

Duct tape can't fix stupid, but it can muffle the sound.