ddm_d.exe trojan blijft terugkomen!! :( - Privacy en beveiliging

zondag 30 november 2003 10:01

Acties:

Topicstarter

ik heb ooit 1 keer per ongeluk "ja" geklikt bij een popup venster op een vage site.
(link verwijderd)

Nu komt er elke keer het programma ddm_d.exe die vage dingen doet. Ik wil dit verwijderen, maar het blijft terugkomen.

Op Google al wat gezocht, maar die tips hielpen niet.

Ik heb zowel Norton AV 2003 gedraaid, deze vindt niks.
AdAware vindt ook niks.
In de registry van XP alles met "ddm" erin weggehaald.
De directory in program files met ddm erin weggehaald.

Maar toch komt het terug!!! Ik wordt hier echt helemaal gestoord van en weet niet meer wat te doen!!! Kan iemand mij een goede tip geven?

Kun je in Internet Explorer ergens aangeven dat je dat programma niet meer vertrouwt en het NIET meer wil toestaan? Je kunt immers ook aangeven dat je het WEL wilt toestaan bij dat popup venster...

Edit: Het programma wordt aangegeven als dynamic desktop media.
Spybot vindt het ook niet.
Alle certificaten in IE weghalen werkt ook niet.

[ Voor 17% gewijzigd door BounceMeister op 30-11-2003 14:09 ]

zondag 30 november 2003 10:10

Acties:

Verwijderd

probeer eens een andere virusscanner, antivir of KAV bijvoorbeeld.

of de knoppix cd van de laatste C't magazine, die werkt perfect

zondag 30 november 2003 10:14

Acties:

BounceMeister

Topicstarter

Goed idee, ik probeer wat andere virusscanners. Die laatste knoppix cd heb ik helaas niet, ik ga eens kijken of je die ook kunt downloaden...

Ik zie geen download.. helaas. Ik heb de oudere cd van knoppix die ik had weggegeven, niet gedacht dat ik die nodig zou hebben...

[ Voor 34% gewijzigd door BounceMeister op 30-11-2003 10:16 ]

zondag 30 november 2003 10:18

Acties:

Br@m

@ TS: Ik zou die link effe weghalen als ik jou was!!

Garmin NUVI 300 - ACER Aspire 5102WLMi

zondag 30 november 2003 10:28

Acties:

Verwijderd

probeer HijackThis es

zondag 30 november 2003 12:52

Acties:

BounceMeister

Topicstarter

link weggehaald.
KAV geinstalleerd, systeem op een hoop, lang bezig geweest om het weer werkend te krijgen.
IE6 gedeinstalleerd. Daarna poging om opnieuw te installeren, maar dat lukt dus niet!

IERadicator gebruikt, maar nu blijft hij gewoon hamgen tijdens de IE6 installatie. Leuk ook dat IE6 zelf de logo test van XP niet heeft?!

Werk nu met mozilla.

Ik ga hijackthis eens proberen, bedankt voor de hulp tot zover!

Als dat ook niet lukt misschien maar XP opnieuw installeren... Kan m'n ghost backup niet terugzetten vanaf cdrom omdat ghost m'n cdrom drive niet meer ziet, vreemd...

zondag 30 november 2003 12:59

Acties:

Mike Jarod

Kijk ook eens hier: [rml]mikejarod in "[ 98] Run-time error"[/rml]

Had gisternacht bij een vriend ook wat problemen, en zag daar ook die ddm file waar jij hebt over hebt. In die post heb ik (cryptisch, maar compleet) neergezet wat ik heb gedaan om 'm weg te halen.

Owja System Restore uitzetten voordat je dit soort dingen gaat doen!

edit:
Billie

[ Voor 21% gewijzigd door Mike Jarod op 30-11-2003 13:17 ]

zondag 30 november 2003 13:02

Acties:

GlowMouse

Als je teruggaat naar die warezsites komt het virus ook weer terug!

Norton gaat vanaf 1 of 3 december dit virus detecteren.

zondag 30 november 2003 13:05

Acties:

Billie

Ik zou ook system restore uitzetten, want zodra je een restore doet heb je je leuke trojan weer back.

edit:
Mikejarod

[ Voor 13% gewijzigd door Billie op 30-11-2003 13:06 ]

zondag 30 november 2003 13:06

Acties:

Verwijderd

Dit is geen virus.
We hebben de inhoud van de .cab file, wat we de zogenaamde Downloader noemen.
(Die downloadt dus de adware)
Gedetecteerd als TrojanDownloader.Win32.Dynadesk
Dan heb je de crap die geïnstalleerd wordt: not-a-virus:AdvWare.Dynadesk

Voor advware detections moet je ext- of x-bases gebruiken.
Volgens mij detecteren Ad-Aware en Spybot deze hoor, heb je wel geupdate?
Deze laatste twee hebben mijn voorkeur, aangezien die ook het register zelf cleanen.

zondag 30 november 2003 14:02

Acties:

BounceMeister

Topicstarter

In die andere thread las ik iets over "optimize", dat wilde dit programma ook doen in een dosvenster. Ik hoop niet dat er nu 360Gb aan data geinfecteerd is!

Sygate Personal Firewall heeft trouwens wel het programma geblokkeerd.

Ik had idd NAV 2003 en AdAware geupdate, zonder het gewenste effect van detectie. Ook met de andere software kwam ik niet verder, maar ik heb inmiddels al een ander probleem...

IE6 erafgegooid.... Maar IE6 weer installeren lukt nog steeds niet, nu zegt ie eindelijk dat het erop staat, maar het is nergens te bekennen. Dat is dus ook al verziekt...

Dus maar de HD leeggehaald, en dan XP opnieuw erop zetten, maar die geeft ook een foutmelding, al voordat ik het keuzemenu in kom.
HD advanced test is goed (WD Raptor 37Gb). Zou wellicht ook dat virus kunnen zijn?
Dan ook de MBR enzo maar leegsmijten? edit: beschreven met nullen, hielp niet.
Alle andere HD's even loshalen? edit: hielp ook niet.
Nieuwere Asus BIOS hielp ook niet. (P4C800-E)
Nu even memtest draaien dan maar... edit: Memtest heeft nu 4 passes goed gedraaid, zou dus goed moeten zijn...
Zou m'n XP cd verrot zijn? er zit wel een klein krasje op...
edit: nu start hij wel door maar ziet de hd niet, even de ich5r drivers proberen dan.
Volgens mij was dat bij de eerdere installatie geen probleem, vreemd?!

edit2: Alle drivers geprobeerd (F6) geen oplossing. Toen in de BIOS de ICH5(R) mode van enhanced naar compatible PATA+SATA gezet. Dan ziet hij wel de SATA schijf op de ICH5 controller. Vreemd, want XP zou dat gewoon aan moeten kunnen (4xPATA device en 2x SATA device). Schijf wordt nu geformatteerd... hopen dat het goed gaat.

edit3: Windows XP werkte pas goed met alle schijven nadat ik alle drivers (intel inf), updates en SP1 etc erop had staan. Nu lijkt het weer te draaien, maar ik hoop niet dat ik straks weer zo'n irritante popup krijg en per ongeluk "ja" aanklik, waarna er geen weg meer terug is!

Pestcontrol vindt idd wel veel, goed programma. HijackThis ook wel goed, maar je moet wel weten wat wel en niet weg kan, anders gaat er veel fout. Adaware vindt net iets minder, jammer.

Nog steeds bedankt allemaal!

[ Voor 76% gewijzigd door BounceMeister op 30-11-2003 20:28 ]

vrijdag 5 december 2003 17:46

Acties:

Verwijderd

dit volgende heeft mij geholpen bij dit probleem,

This trojan/spyware/adware appears to be too new for AV and Spyware/Adware removers to find.
After scouring forums here is a list of steps, some or all may apply to your computer.

1) end the following process: sysu.exe, this is what causes the problems and seems to be an error in whoever wrote the program, kinda negates the purpose of it if nothing can be run by the user.

2) uninstall
Active Alert

3) delete the following folders:

C:\Programs\ddm
C:\Programs\pup
C:\Program Files\Internet Optimizer

in C:\...\system32\ look for .exe files that start with a random 7/12 digit number eg. 37473696.exe, check the properties to see if they were originally named winpup.exe and delete them

search for and delete the following:

actalert.exe
ddm.exe
ddm_d.exe
msbb.exe
optimize.exe
pup.exe
sysu.exe
winpup.exe

4) using Regedit (usual warning about backing up first)

delete these keys:

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run
and/or RunOnce that refers to ddm, *randomnumber*.exe or sysu.exe.

HKEY_CURRENT_USERS\SOFTWARE\ Microsoft\Windows\ShellNoRoam\MUICache
delete the keyfile C:\progra~1\ddm\sysu.exe

HKEY_CLASSES_ROOT\pup.setup

delete these folders:

HKEY CLASSES_ROOT\CLSID\{539AFCA0-9542-44F0-A286-9B8857DFD30A}

HKEY_CLASSES_ROOT\CLSID\{F5192746-22D6-41BD-9D2D-1E75D14FBD3C}

HKEY_CLASSES_ROOT\TypeLib\{2C4AC0A2-7DA0-4061-B57A-C292A8F3B109}

HKEY_LOCAL_MACHINE\SOFTWARE\Avenue Media

HKEY_LOCAL_MACHINE\SOFTWARE\\Dynamic Desktop Media

HKEY_LOCAL_MACHINE\SOFTWARE\ddm

HKEY_LOCAL_MACHINE\SOFTWARE\pup

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Shared Tools\MSConfig\startupreg\Internet Optimizer

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer Active Alert

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer Software Installer

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Uninstall\msbb

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Uninstall\nCase

5) using msconfig: uncheck the entry that corresponds to a file you deleted

6) open IE > Tools Menu > Internet Options > Settings > View Objects
locate the installed pesty little ddm and delete it.

vrijdag 5 december 2003 17:54

Acties:

agent327

^&)^*&^$#@#!)*

En misschien dat AdAware wn Spybot je ook kunnen helpen. Even googlen en je kan ze zo vinden. En in de FAQ staan ze ook wel ergens.

Wanbeleid is ook beleid.

maandag 8 december 2003 10:56

Acties:

BounceMeister

Topicstarter

Verwijderd schreef op 05 december 2003 @ 17:46:
dit volgende heeft mij geholpen bij dit probleem,
[...]

Zoveel had ik nog niet weggehaald, daarom zal het idd wel steeds teruggekomen zijn. Ik heb inmiddels de hele schijf al gewist en vervolgens Windows er opnieuw opgezet. Maar als het weer terugkomt door een of andere reden, weet ik nu wat te doen!

PS, AdAware zag helemaal niks.

vrijdag 15 oktober 2004 03:22

Acties:

Verwijderd

Hallo,

Ik had ook last van optimizer.exe ( is een trojan downloader ) adaware pakte wel files maar niet de downloader. Nu gebruik ik naast adaware ook pest patrol en deze verwijderde alles betreft de trojan downloader. Ik hoefde geen moeilijke stappen te ondernemen.

vrijdag 15 oktober 2004 09:56

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

OK, leuk om te weten & dank voor de tip, maar ik denk dat het na een jaar al wel opgelost was

Daarom sluit ik dit topic: trouwens welkom op GoT

offtopic:
Overigens hebben we tegenwoordig een Beveiliging & Virussen forum, ik verplaats topic topic daarom die kant op.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)