[IE] searchcentral.cc: helse spyware * - Privacy en beveiliging

zaterdag 28 februari 2004 17:41

Acties:

$ondertitel

Topicstarter

Ik ben besmet met iets van www.searchcentral.cc

Het begon met mijn startpagina, die werd telkens verandert naar www.searchcentral.cc. Adaware en allerlei andere spyware dingen vonden helemaal niets. Toen ben ik zelf in m'n register gaan graven en heb ik het eruit kunnen halen.

Toen d8 ik blij dat alles opgelost was. Maar nu als ik iets met google.com zoek worden alle urls die deze vind gereroute via een ander ip. Ik zoek met google bijvoorbeeld op www.tweakers.net

Dan krijg ik dit als resultaat:

Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/1203/spyware.jpg

Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/1203/spyware.jpg

Kortom het programma veranderd sommige urls.. Ik heb al hard gezocht in m'n actieve programma's. Heb zelfs heel m'n C drive op het betreffende ip doorzocht.

Het haalt allemaal niets uit. Op hun site staat dit:

Warning! Important message!

Due to several complaints that search page becomes a start (home) page in your browser we need to inform you that it could be caused by:

1) One of our affiliates is violating our terms and conditions. Please send us the full address of your start page with affiliate code

2) You have agreed to install our software (you weren't paying attention to the terms and conditions when installing some software packages to you PC).
TO remove it from you computer please use: http://searchcentral.cc/cleaner.exe
Our software works only with Microsoft (TM) browsers.

3) If our software was installed with out your permission, please send us you full address as it appears in your browser in
order for us to cancel affiliates account that violates our terms and conditions.

The most common ways of how our software could be installed to you PC with out your permission:
1) Free adult websites.
2) Sites with illegal software.

Please be very careful and always inform us in above situations so we can fond and cancel affiliate account that violates
our terms and conditions. Please remember, that we do not accept site with such content to our program.

To protect your computer, we can recommend:
1) Download all security updates at http://windowsupdate.microsoft.com
2) Install anti-virus software on you PC and make all necessary update on time.
3) NEVER allow any ActiveX component to install on you PC (with no prior electronic certificate)
4) Think twice before making some site your starting page.
5) Increase Security level in your browser properties.

Best regards,
Tech support.

Ik weet echt wel dat ik op die ocx dingen e.d. nooit geen ja moet antwoorden. Kan me ook niet herinneren dat ik dat ooit gedaan heb. Misschien een familie lid op deze pc. Ik heb ook geen zin om m'n pc weer opnieuw te installeren want dat gun ik die apen niet.

Maar websites krijgen gewoon betaald om hun teringzooi op je pc te installeren en daar komen ze eerlijk voor uit. Heb ze zelf nog een normale email gestuurd met vraag wat ik hieraan moet beleven. Daarop kreeg ik geen antwoord. Ik heb al even 5 minuten zitten ddossen naar hun server, maar dat is ook geen oplossing. Hun remove programma heb ik zelfs ook gedraaid (lekker betrouwbaar moet dat zijn) maar dat hielp dus ook niet.

Weet iemand misschien hoe ik van die ranzige teringzooi afkom?

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 17:47

Acties:

bonfie

TO remove it from you computer please use: http://searchcentral.cc/cleaner.exe

Staat in je eigen text?

zaterdag 28 februari 2004 17:48

Acties:

Denker

Dan moet je je host-file eens nakijken.

zaterdag 28 februari 2004 17:49

Acties:

Verwijderd

bonfie schreef op 28 februari 2004 @ 17:47:
TO remove it from you computer please use: http://searchcentral.cc/cleaner.exe

Staat in je eigen text?

heeft 'ie al geprobeerd, staat in z'n tekst...

draai HijackThis es en post je resultaat

kijk ook even of je DNS server niet is aangepast, je host file geen extra entries heeft

en kijk ook even of de locatie van je host file in je registry nog goed staat: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
de key "DataBasePath" moet de waarde "%SystemRoot%\System32\drivers\etc" hebben

(bij W2K en XP i.i.g.)

[ Voor 17% gewijzigd door Verwijderd op 28-02-2004 17:56 ]

zaterdag 28 februari 2004 17:51

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

WOS --> BV + kleine titeledit zodat ook browser & spywaretroep zijn vermeld

Check trouwens even wat Spybot en Hijackthis er van maken (zie de vele andere topics in Software Algemeen en Beveiliging & Virussen over overgenomen zoek&startpagina's

)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 28 februari 2004 17:51

Acties:

Osiris

Ad-Aware?

Verder zou je ff in regedit.exe kunnen kijken of er toevallig een bepaald .reg-je wordt opgestart bij het starten van windows. (LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run of LOCAL_USER/blabla)

zaterdag 28 februari 2004 17:57

Acties:

me1299

$ondertitel

Topicstarter

Hosts file is leeg (op localhost na)
DNS krijg ik rechtstreeks van me router dus dat is het niet.

Hijack geeft:

code:

Logfile of HijackThis v1.97.5
Scan saved at 17:58:56, on 28-2-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\trillian\trillian.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\EditPlus 2\editplus.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX12.556\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.promise.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download alle met &ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download met &ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{29329F9F-9A81-450B-A17E-44430035D512}: NameServer = 217.67.230.50

M'n run e.d. is voor zover ik kan herleiden correct. Dat was ook een van de eerste dingen die ik had gecontroleerd.

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 18:01

Acties:

Verwijderd

ik zal zo je HijackThis log es bekijken
staat je host file nog steeds waar hij hoort te staan?

open regedt32:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
de key "DataBasePath" moet de waarde "%SystemRoot%\System32\drivers\etc" hebben

zaterdag 28 februari 2004 18:04

Acties:

me1299

$ondertitel

Topicstarter

Verwijderd schreef op 28 februari 2004 @ 18:01:
ik zal zo je HijackThis log es bekijken
staat je host file nog steeds waar hij hoort te staan?

open regedt32:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
de key "DataBasePath" moet de waarde "%SystemRoot%\System32\drivers\etc" hebben

Staat nog op de juiste locatie ingesteld: %SystemRoot%\System32\drivers\etc

Maar dat veranderen van die pagina gebeurd alleen met www.google.com en niet met www.google.nl.

Ik ben even patat eten bedankt voor jullie denkwerk zover

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 18:27

Acties:

Mike Jarod

Log lijkt schoon. Schouw zag slim dat het een oudere versie van HijackThis is. Je zou kunnen kijken of een nieuwere versie andere info geeft.

code:

1
2
3

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll
O8 - Extra context menu item: Download alle met &ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download met &ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

Deze zijn blijkbaar van een Download Manager die ReGet heet

Behalve deze regels herken ik alles in je log, dus je zou ze eens weg kunnen halen. edit: als ik zoek op google op regetdx kom ik alleen maar cracksites tegen en russische sites, lijkt me niet de bedoeling...

Haal deze maar weg:

code:

1	O14 - IERESET.INF: START_PAGE_URL=about:blank

En deze regel hoort er niet te staan als je een DNS toe krijgt gewezen van je router:

code:

1	O17 - HKLM\System\CS2\Services\Tcpip\..\{29329F9F-9A81-450B-A17E-44430035D512}: NameServer = 217.67.230.50

_{en ddossen is lame}

[ Voor 7% gewijzigd door Mike Jarod op 28-02-2004 18:32 ]

zaterdag 28 februari 2004 18:40

Acties:

Verwijderd

_{en ddossen is lame}

in je eentje ddossen

zaterdag 28 februari 2004 18:46

Acties:

me1299

$ondertitel

Topicstarter

Verwijderd schreef op 28 februari 2004 @ 18:40:
[...]

in je eentje ddossen

Met een colocated server op 155Mbit lijn gaat dat best goed.. maargoed daar gaat het even niet om.

En Reget Deluxe is een download manager. En deze 'O14 - IERESET.INF: START_PAGE_URL=about:blank' moet je natuurlijk niet wissen. Dat is de file die IE gebruikt als je op standaard instellingen klikt gebruikt.

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 18:49

Acties:

Mike Jarod

Met een colocated server op 155Mbit lijn gaat dat best goed.. maargoed daar gaat het even niet om.

Jah lekker boeiend

En Reget Deluxe is een download manager.

Uninstall deze even en haal ook even die entries weg. Better safe than sorry toch?

En deze 'O14 - IERESET.INF: START_PAGE_URL=about:blank' moet je natuurlijk niet wissen. Dat is de file die IE gebruikt als je op standaard instellingen klikt gebruikt.

Dat wist ik niet, maar ik kom deze regel zelden tot nooit in een HT log tegen hier, en ik heb er toch best wel wat mogen bekijken

zaterdag 28 februari 2004 18:51

Acties:

me1299

$ondertitel

Topicstarter

Mike Jarod schreef op 28 februari 2004 @ 18:49:
[...]
Jah lekker boeiend

[...]

Uninstall deze even en haal ook even die entries weg. Better safe than sorry toch?

[...]
Dat wist ik niet, maar ik kom deze regel zelden tot nooit in een HT log tegen hier, en ik heb er toch best wel wat mogen bekijken

Reget gerbuik ik al 3 jaar ofzo. Ik weet 100% zeker dat het daar niet van komt

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 18:56

Acties:

Mike Jarod

Prima, maar heb je al naar een nieuwere versie van HijackThis gekeken?

zaterdag 28 februari 2004 18:59

Acties:

Verwijderd

[center]Stoppen met het off-topic gedoe en het reageren erop aub.[/center]

zaterdag 28 februari 2004 19:08

Acties:

me1299

$ondertitel

Topicstarter

Mike Jarod schreef op 28 februari 2004 @ 18:56:
Prima, maar heb je al naar een nieuwere versie van HijackThis gekeken?

Op Merijn.org staat: Currently at version: 1.97.7

En die versie kreeg ik ook als download link aangereikt in dit topic. Ik zie verder ook niets staan over een nieuwe beta versie oid.

Edit:

Je hebt gelijk. Wel stom van die andere site dan

Net geprobeerd. Maar die geeft identieke resultaten.

[ Voor 17% gewijzigd door me1299 op 28-02-2004 19:10 ]

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 19:09

Acties:

Verwijderd

DeathKnight schreef op 28 februari 2004 @ 19:08:
[...]

Op Merijn.org staat: Currently at version: 1.97.7

En die versie kreeg ik ook als download link aangereikt in dit topic. Ik zie verder ook niets staan over een nieuwe beta versie oid.

code:

1	Logfile of HijackThis v1.97.5

zou niet veel uit moeten maken denk ik, maar goed...

probeer anders dit even, schijnt te werken...
en draai daarna een IE update als het gelukt is

[ Voor 18% gewijzigd door Verwijderd op 28-02-2004 19:13 ]

zaterdag 28 februari 2004 19:18

Acties:

Mike Jarod

Ik denk ook niet dat een nieuwe HT versie veel uit maakt, maar dit log lijkt me toch echt schoon. Wie weet dat een latere versie meer weergeeft

CWShredder: zou het jammer vinden als dat werkt. Tot nu toe hebben we dit soort troep altijd kunnen oplossen via HT. Dan ben ik wel benieuwd wat er allemaal precies aan de hand was mocht dat werken.

En idd: TS, je hebt toch wel IE ge-update en/of een keertje gereboot?

zaterdag 28 februari 2004 19:23

Acties:

me1299

$ondertitel

Topicstarter

Wat is CWShredder? (zie je wel dat ik niet zomaar alles draai

) Ik heb verder m'n windows up 2 date. Met de nieuwste updates / patches. Dus hoe moet ik IE dan updaten?

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 19:26

Acties:

Verwijderd

DeathKnight schreef op 28 februari 2004 @ 19:23:
Wat is CWShredder? (zie je wel dat ik niet zomaar alles draai ) Ik heb verder m'n windows up 2 date. Met de nieuwste updates / patches. Dus hoe moet ik IE dan updaten?

This tool will find and destroy all traces of the
CoolWebSearch (CWS) hijacker on your system. This
includes:

* Redirections to CoolWebSearch related pages
* Redirections when mistyping URLs
* Redirections when visiting Google
* Enormous IE slowdowns when typing
* IE start page/search page changing on reboot
* Sites in the IE Trusted Zone you didn't add
* Popups in Google and Yahoo when searching
* Errors at startup mentioning WIN.INI or IEDLL.EXE
* Unable to change or see certain items in IE Options
* Unable to access IE Options at all

Click 'Fix' to start removing the infection.

zaterdag 28 februari 2004 19:32

Acties:

me1299

$ondertitel

Topicstarter

Done!
Removed from your system:
- CWS.Xplugin

Heb getest. En ik ben clean !! Bedankt allemaal!!

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 19:34

Acties:

Verwijderd

en weer een tevreden klant

ik vraag me toch af waarom HJT dit niet kan vinden

zaterdag 28 februari 2004 19:38

Acties:

Mike Jarod

Heeft CWShredder ook een logfile wat ie gedaan heeft? Ben zeer benieuwd wat het probleem nu was

zaterdag 28 februari 2004 19:40

Acties:

me1299

$ondertitel

Topicstarter

Mike Jarod schreef op 28 februari 2004 @ 19:38:
Heeft CWShredder ook een logfile wat ie gedaan heeft? Ben zeer benieuwd wat het probleem nu was

Je krijgt aan het eind een log. Wat hij gevonden heeft.

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

zaterdag 28 februari 2004 19:42

Acties:

Mike Jarod

DeathKnight schreef op 28 februari 2004 @ 19:40:
Je krijgt aan het eind een log. Wat hij gevonden heeft.

Maar dat heb je uiteraard weggeklikt

zaterdag 28 februari 2004 19:45

Acties:

Mike Jarod

_{sorry voor de dubbelpost}

Kut zeg, zie dit: http://www.spywareinfo.co...wschronicles.html#xplugin

Variant 18: CWS.Xplugin - 'Helping' you search the web
Approx date first sighted: November 11, 2003
Log reference: Not visible in HijackThis log!
Symptoms: Some links in Google results redirecting to umaxsearch.com or coolwebsearch.com every now and then
Cleverness: 10/10
Manual removal difficulty: Involves some Registry editing
Identifying lines in HijackThis log:

Not visible in HijackThis log!

This variant is the first one that is not visible in a HijackThis log. It works invisible, changing links from Google search results to other pages. It took a while to find out how this variant works, since it doesn't use any of the standard locations.
A file xplugin.dll is installed, which creates a new protocol filter for text/html. In normal english, this means it reads most of the web pages downloaded to your browser. It also randomly alters some links in Google search results to pages on umaxsearch.com and coolwebsearch.com. It claims to be made by something called TMKSoft.
It is unknown if deleting the file has no side-effects, but using CWShredder or running regsvr32 /u c:\windows\system32\xplugin.dll (may vary depending on Windows version) fixes the hijack completely.

zaterdag 28 februari 2004 21:54

Acties:

me1299

$ondertitel

Topicstarter

Mike Jarod schreef op 28 februari 2004 @ 19:45:
_{sorry voor de dubbelpost}

Kut zeg, zie dit: http://www.spywareinfo.co...wschronicles.html#xplugin

[...]

Damn das wel een sneaky bastard hoor.

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

woensdag 16 juni 2004 22:36

Acties:

Tobiaz

Ondertitel

thanks mensen!

Hij heeft het volgende verwijderd..:
tmksrv.exe : C:\windows\system32
update12.jsp (javascript iets) C:\windows
xplugin.dll c:\windows\system32

hope this helps

Onder een steen geleefd dan maar ;-)

Pagina: 1

Reageer