'Nieuwe' spyware ? - Client software algemeen

vrijdag 6 juni 2003 16:57

Acties:

Nu met R1200RT

Topicstarter

Sinds een tijdje (onbekend hoe lang) zit er in élke internet pagina die ik opvraag de volgende code:

Java:

<SCRIPT LANGUAGE="JavaScript">
<!--
var mUpTime=new Date(0);
RealOpenWindow = window.open ;
function RecordMUpTime(){mUpTime = new Date();}
function MyWndOpen(url,name,attribute)
{
    if(mUpTime)
    {
        var openTime=new Date();
        openTime.setTime(openTime.getTime()-mUpTime.getTime());
        if ( openTime.getSeconds() < 2 )
            return(RealOpenWindow(url,name,attribute));
    }
}
function NoError(){return(true);}
function moveTo(){return true;}
function resizeTo(){return true;}
onerror=NoError;
var mUpTime=new Date(0);
//-->
</script>

Ik heb geen idee waar 't vandaan komt en wat het doet, maar volgens mij hoort dit niet .....

Ik heb al met SpyBot Search & Destroy en Ad-Aware met de laatste ref-files m'n hele PC af laten zoeken naar eventuele veroorzakers, de paar gedetecteerde apps laten verwijderen en na een reboot zit deze code nog steeds in elke pagina

Iemand suggesties waar dit door veroorzaakt zou kunnen worden, of een spyware checker die uitgebreider is dan de 2 genoemde

vrijdag 6 juni 2003 16:58

Acties:

simon

Ik neem aan dat je IE draait? Volgens mij heb je gewoon iets geks ingesteld

vrijdag 6 juni 2003 16:59

Acties:

Verwijderd

Heb je toevallig geen rare Services draaien?

vrijdag 6 juni 2003 16:59

Acties:

supreme tweaker

het ziet eruit als een up-time meet progsel

heb je zoiets geinstalleerd?

Burp

vrijdag 6 juni 2003 16:59

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Idd IE op WinXP, current on updates, maar wat zou ik dan ingesteld moeten zijn ?

[ Voor 23% gewijzigd door TheRookie op 06-06-2003 17:00 ]

vrijdag 6 juni 2003 16:59

Acties:

Coolhva

Dr. Zero Trust

Lijkt me als dat in iedere pagina zit een URL plugin. Kijk eens bij Extra --> Internet Opties --> Instellingen en dan Bestanden/Objecten weergeven.

Staan daar geen rare dingen?

vrijdag 6 juni 2003 17:01

Acties:

TheRookie

Nu met R1200RT

Topicstarter

definieer 'raar'

Geen Uptime meet progsel (voor zover ik weet

)

[ Voor 66% gewijzigd door TheRookie op 06-06-2003 17:02 ]

vrijdag 6 juni 2003 17:02

Acties:

simon

TheRookie schreef op 06 June 2003 @ 17:01:
definieer 'raar'

Dingen die je niet geïnstalleerd hebt, dus andere dingen dan Flash en dat soort zaken

vrijdag 6 juni 2003 17:02

Acties:

supreme tweaker

TheRookie schreef op 06 June 2003 @ 17:01:
definieer 'raar'
Geen Uptime meet progsel (voor zover ik weet )

Bij raar vestaan we meestal dingen die je niet zelf geinstalleerd hebt.

offtopic:
Zu Spät

[ Voor 10% gewijzigd door supreme tweaker op 06-06-2003 17:03 ]

Burp

vrijdag 6 juni 2003 17:06

Acties:

Jimbolino

troep.com

Extra --> Internet Opties --> Instellingen en dan Bestanden/Objecten weergeven

om de zoveel tijd alles een keertje weggooien is niet verkeerd... als je het nodig hebt installeerd ie het toch weer opnieuw...

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

vrijdag 6 juni 2003 21:26

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Alles uit tools ->Internet Options -> Settings -> View Objects verwijderd én ge-reboot, maar helaas nog steeds die code...

[edit] ook cache legen en reboot heeft geen nut

[ Voor 23% gewijzigd door TheRookie op 06-06-2003 21:41 ]

vrijdag 6 juni 2003 21:30

Acties:

STING

TheRookie schreef op 06 juni 2003 @ 21:26:
Alles uit tools ->Internet Options -> Settings -> View Objects verwijderd én ge-reboot, maar helaas nog steeds die code...

1) Doe eens een search op je hard disk(s) en zoek op alle bestanden die een bepaald deel van de code bevat, kijken of dat wat oplevert

2) Ga je Task Manager en je startup Reg keys eens af en kijk je onbekende items vindt

[ Voor 25% gewijzigd door STING op 06-06-2003 21:32 ]

vrijdag 6 juni 2003 22:35

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Dat ik dáár niet aan gedacht heb, helaas geen resultaat

dinsdag 10 juni 2003 16:30

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Net ff mozilla geïnstalleerd, en ook daar in elke pagina dezelfde code. Misschien is er een system file 'besmet'

[edit]
Net sigverif.exe en sfc.exe laten draaien, maar beide vinden niets

[ Voor 47% gewijzigd door TheRookie op 10-06-2003 16:42 ]

dinsdag 10 juni 2003 16:35

Acties:

danslo

In plaats van adware een virus?

dinsdag 10 juni 2003 16:45

Acties:

Bender

Zonealarm doet ook zoiets..
Misschien heb je ook gewoone en programma die dat doet..

dinsdag 10 juni 2003 16:49

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Zou idd kunnen, maar ik heb alles wat ik geïnstalleerd heb ná het moment waarvan ik zeker weet dat 't er niet in zat al ge-uninstalled

dinsdag 10 juni 2003 16:49

Acties:

Verwijderd

dit is best wel interessant eigelijk, wat dit programma doet is om de zoveel tijd een venster openen, waarschijnlijk een banner ofzoiets. Heb je daar geen last van? Omdat url enzo niet ingevuld worden krijgt het scriptje dit waarschijnlijk van een extern programma. Heb je geen kazaa draaien ofzoiets? Misschien kun je een packetsniffer installeren om eens te kijken. De trial van Iris op http://www.eeye.com is erg goed.

dinsdag 10 juni 2003 16:50

Acties:

Verwijderd

realplayer?

dinsdag 10 juni 2003 16:53

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Realplayer noch KaZaa zijn geinstalleerd en ik krijg, voor zover ik weet, ook geen onverwachte pop-ups tijdens het surfen ...
Hoewel dat natuurlijk moeilijk te checken is weet ik wel dat ik géén pop-ups krijg van sites waar ze ook niet horen te komen zoals tweakers/got en een ander forum.

[ Voor 4% gewijzigd door TheRookie op 10-06-2003 16:54 ]

dinsdag 10 juni 2003 16:54

Acties:

pistole

Frutter

geinig scriptje, overruled een paar standaard functies door ze zelf te definieren.

Echter,

code:

1	function MyWndOpen(url,name,attribute)

dient te worden aangeroepen met parameters. Levert een verdere search op die functie in de pagina nog iets op?

Ik frut, dus ik epibreer

dinsdag 10 juni 2003 16:57

Acties:

TheRookie

Nu met R1200RT

Topicstarter

nope, een paar willekeurige sites geopend en de source bekeken.
Op elke pagina staat de code, maar zoeken op MyWndOpen geeft geen andere resultaten

Snap er werkelijk geen jota van

[edit] voutje bij copy-paste, laatste regel van de code uit de 1e post zou

Java:

1	window.open=MyWndOpen;

moeten zijn

[ Voor 27% gewijzigd door TheRookie op 10-06-2003 16:59 ]

dinsdag 10 juni 2003 17:03

Acties:

Verwijderd

Ik zou het laten zitten

Voor zover ik kan nagaan (ben geen java expert) houdt dit scriptje elke pop-up na 2 seconden vanaf het openen van een pagina tegen. Draai je soms een pop-up killer?

dinsdag 10 juni 2003 17:04

Acties:

Verwijderd

Ben laatst zoiets tegengekomen op een ander forum, heb er net nog even naar gezocht maar kon het niet vinden.

Het is dus spyware, maar nog niet gedetecteerd door de meeste scanners.

dinsdag 10 juni 2003 17:05

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Draaide MagicKillah, maar heb 'm verwijderd om te kijken of 't daaraan lag

Gloof dat de meningen toch nog verdeeld zijn

dinsdag 10 juni 2003 17:08

Acties:

esf

Kan het niet iets zijn van een firewall die je hebt geinstalleerd? Norton Internet Security voegt ook aan elke pagina die je bezoekt een klein scriptje toe. Weliswaar een totaal ander scriptje, maar het zou kunnen zijn dat het daar iets mee te maken heeft.

The hardest thing in the world to understand is the income tax. - Albert Einstein

dinsdag 10 juni 2003 17:09

Acties:

mulder

ik spuug op het trottoir

Het kan ook te maken hebben met je anti-virus software, Norton deed iets dergelijks ook bij mijn computer, het script lijkt er erg op.

Spyware is bullshit.

Zie iid hier boven

[ Voor 7% gewijzigd door mulder op 10-06-2003 17:09 ]

oogjes open, snaveltjes dicht

dinsdag 10 juni 2003 17:15

Acties:

Verwijderd

Ik kan me voorstellen dat die uninstall niet lekker werkte als IE nog open stond o.i.d. Maar goed, het zou spy-ware kunnen zijn, maar volgens mij doet het script niets ernstigs. Lijkt me onwaarschijnlijk..

edit: kijk Norton voegt een heel ander script toe dat er erg op lijkt

Nog meer onenigheid....

[ Voor 27% gewijzigd door Verwijderd op 10-06-2003 17:19 ]

dinsdag 10 juni 2003 17:38

Acties:

TheRookie

Nu met R1200RT

Topicstarter

Wat 't ook is, het is erg irritant en ik wil ervan af....
Door dit scriptje werkt HotTopic namelijk niet meer zoals 't hoort

dinsdag 10 juni 2003 17:44

Acties:

esf

Don Facundo schreef op 10 June 2003 @ 17:09:
Het kan ook te maken hebben met je anti-virus software, Norton deed iets dergelijks ook bij mijn computer, het script lijkt er erg op.

Spyware is bullshit.

Zie iid hier boven

Bij mij werd bij Norton het volgende script toegevoegd:

Java:

<script language="JavaScript">
<!--

function SymError()
{
  return true;
}

window.onerror = SymError;

//-->
</script>

dus zo heel erg veel lijkt het er niet op... Maar zoals ik al zei, het zou kunnen dat het een soortgelijk programma is..

Sorry voor al deze offtopic bullshit..

[ Voor 28% gewijzigd door esf op 10-06-2003 17:47 ]

The hardest thing in the world to understand is the income tax. - Albert Einstein

dinsdag 10 juni 2003 17:58

Acties:

SSoaker

Super-Soaker

Ik ontdekte laatst bij een vriend iets vreemds....
Volgens de firewall benaderde xmdm.??? steeds het Inet maar deze file was nergens te vinden. (task-manager, HD, Adaware, 4us Scanner, enz)

Opstarten in safe-mode en toen vond ik hem in C:\WINNT\SYSTEM32

dinsdag 10 juni 2003 17:59

Acties:

leuk_he

1. Controleer de kabel!

TheRookie schreef op 10 June 2003 @ 17:05:
Draaide MagicKillah, maar heb 'm verwijderd om te kijken of 't daaraan lag

MagicKillah even hier geinstallerd, en op de hoogste settings genereerd hij het scripje niet. Maar ik heb maar heel even gekeken.

Ik zou de services even doorbladeren. Onder NT4 kon je ook de device drivers bekijken, daar stonden zo´n ¨programma´s dan bij, maar ik weet niet waar dat in NT2000 nog zichtbaar is.

Is er eingelijk een programma om te kijken welke progs zitten te vogelen aan de tcp-ip stack? Kun je die vectoren niet controleren?

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 10 juni 2003 18:29

Acties:

The Jester

The fool escaped from paradise

Gewoon Ad-Aware downen. Indien die 't negeert kun jij het gevoegelijk ook doen.
De meeste anti Spy-ware progs en virusscanners nemen ook malicious java(scripts) mee.

As you grow up and leave the playground where you kissed your prince and found your frog...

dinsdag 10 juni 2003 19:13

Acties:

Verwijderd

The_Jester schreef op 10 juni 2003 @ 18:29:
Gewoon Ad-Aware downen. Indien die 't negeert kun jij het gevoegelijk ook doen.
De meeste anti Spy-ware progs en virusscanners nemen ook malicious java(scripts) mee.

Wat een onzin. Buiten de kwestie of het in dit geval om spyware gaat of niet. Ad-Aware is zeker niet heilig.

_{Doet me aan de meeste NAV users denken (nofi)}

dinsdag 10 juni 2003 19:44

Acties:

TheRookie

Nu met R1200RT

Topicstarter

The_Jester schreef op 10 juni 2003 @ 18:29:
Gewoon Ad-Aware downen. Indien die 't negeert kun jij het gevoegelijk ook doen.

Als je de openignspost had gelezen had je ook gezien dat zowel SpyBot als Ad-Aware niets kunnen vinden.

Desalniettemin zou ik toch graag willen weten waar dit script nou vandaan komt, omdat 't simpelweg niet zo hoort te zijn.

dinsdag 10 juni 2003 21:00

Acties:

Verwijderd

Het is in elk geval goed mogelijk dat je virusscanner dit doet. Of een locale proxy, zoals Proxomitron, die ook een heleboel javascript code toevoegt voor ad-blocking en dergelijke. Ik zou om te beginnen eerst eens in de Task Manager kijken welke services er allemaal draaien als je een kale Windows plus webbrowser opstart; anders blijft het een gok welk progje hier verantwoordelijk voor is.

donderdag 10 juli 2003 13:44

Acties:

atttze

Omdat er nog geen antwoord is gegeven heropen ik dit topic maar even
ik heb namelijk ook last gehad van dit vreemde verschijnsel
bij mij werd het verzoorzaakt door het programma NetPeeker (v2.52)
als je de Popup killer optie uitschakeld ben je de vervelende code ook kwijt

donderdag 21 augustus 2003 14:41

Acties:

Verwijderd

atttze schreef op 10 July 2003 @ 13:44:
Omdat er nog geen antwoord is gegeven heropen ik dit topic maar even
ik heb namelijk ook last gehad van dit vreemde verschijnsel
bij mij werd het verzoorzaakt door het programma NetPeeker (v2.52)
als je de Popup killer optie uitschakeld ben je de vervelende code ook kwijt

NetPeeker dit zou goed kunnen dat gebruik ik ook! Ik ga het direct proberen!

donderdag 21 augustus 2003 14:43

Acties:

Verwijderd

Verwijderd schreef op 21 August 2003 @ 14:41:
[...]

NetPeeker dit zou goed kunnen dat gebruik ik ook! Ik ga het direct proberen!

Ja het is NetPeeker! Nou we zijn er eindelijk uit

[ Voor 19% gewijzigd door Verwijderd op 21-08-2003 14:44 ]

Pagina: 1

Reageer