pop-ups en banners van Free-Windows-Games.com & regnow.com - Privacy en beveiliging

dinsdag 30 maart 2004 13:02

Acties:

Verwijderd

Topicstarter

Door mijn enthousiasme een dikke week geleden, ging ik na het lezen van een bericht op www.nu.nl een online spelletje spelen.
Sinds die tijd krijg ik op alle websites waar ik kom, af en toe een stuk tekst in beeld binnenín die site die ik aanklik. De tekst staat hieronder gekopieerd.

Free-Windows-Games.com

Welcome to Free-Windows-Games.com, your source for downloading free games, shareware games and freeware games for Windows 98, Windows NT, Windows Me, Windows 2000 and Windows XP. We only list top quality free games and freeware games for free download as well as shareware trial games which you can then play offline to give you the best gaming experience.

From Free-Windows-Games.com you can download free games from all popular gaming categories including action games, arcade games, card games, gambling games, puzzle games, RPG games, simulation and sport games, strategy games and all other free games go in the other games category.

Our free games are all developed by ourselves and so you won't find free computer games as good as these anywhere else on the Internet.

As well as free games we are also giving away 150 royalty-free wallpaper images for you to put on your desktop or as a background for your web site.

Tevens komt er steeds na een x-aantal kliks een venster in beeld die via de site www.regnow.com wordt doorgelinkt naar een bepaald soort spellensite, of een ad-blok-site of iets dergelijks.

Dit is zeer irritant, want ik kan namelijk niet vinden waar dit vandaan komt en hoe ik het kan elimineren!
Ik heb al met Ad-Aware gezocht, maar die vind niets, mijn anti-virus ziet het niet als een bepaald soort virus en de firewall houdt het niet tegen.

Wie kent die probleem of/en wie weet hoe ik hier vanaf kan komen???

TnX

dinsdag 30 maart 2004 13:04

Acties:

Hahn

Ad-Aware is nou niet echt hardnekkig in dit soort gevallen, je kan beter eens kijken naar het serieuzere werk: [rml][ Howto] Spyware scannen en opruimen[/rml]

The devil is in the details.

dinsdag 30 maart 2004 13:04

Acties:

Verwijderd

Check Free-Windows-Games.com en regnow.com even. Vaak staat er op de sites van dit soort spam een manier om hun spam te verwijderen.

dinsdag 30 maart 2004 13:05

Acties:

bigfoot1942

Gooi ff hijackthis erover. Werkt erg goed is mijn ervaring.
ff googlen, je hebt hem zo. suc6 ermee.

dinsdag 30 maart 2004 13:52

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad wil je de [rml][ Howto] Spyware scannen en opruimen[/rml] even checken, daar istie voor

offtopic:
En stuur even een boos mailtje naar nu.nl, zoiets mogen ze er best wel bij zetten

En natuurlijk je HJT log posten als je niets meer kan vinden --> zie naast de howto en google ook de andere topics hier in BV voor wat er wel en wat er niet thuis hoort

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 30 maart 2004 14:58

Acties:

chromeeh

the Gnome

Wat je ook kunt proberen is PestPatrol, dit programma is niet gratis, maar is zeer agressief (wel ff programma's als VNC op de ignore list gooien

).
Je kunt ook een gratis online scan doen op de site van Pest Patrol, maar deze kan niets verwijderen....

"Some day, I hope to find the nuggets on a chicken."

donderdag 1 april 2004 00:46

Acties:

Verwijderd

Topicstarter

Al een aantal voorstellen...

Iets dat ik herken is van Alexa, kwam een keer ergens in beeld...:

Bedrijf: -
Produkt: Alexa Related
Bedreiging: Possible Spyware

Beschrijving
The "Show related links" function of Internet Explorer opens a Microsoft search page that redirects to Alexa. Alexa is known for the Alexa toolbar. As the Alexa toolbar is classified as spyware, the Alexa search page may collect too much user information as well.
If other products still detect Alexa after you have cleaned it with Spybot-S&D, it is a false alarm. Spybot-S&D does replace the file responsible for connecting to Alexa with one using the Google related function instead, instead of deleting the whole "Show related links" function.

Hier mijn complete overzicht van Spybot:

Alexa Related: What's related link (Vervang bestand, nothing done)
C:\WINDOWS\Web\related.htm

BFast: Tracking cookie or cookie of tracking site (Bestand, nothing done)
C:\Documents and Settings\Rudy Koops\Cookies\xtension@bfast[2].txt

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-21-1409082233-920026266-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

FastClick: Tracking cookie or cookie of tracking site (Bestand, nothing done)
C:\Documents and Settings\Rudy Koops\Cookies\xtension@fastclick[2].txt

HitBox: Tracking cookie or cookie of tracking site (Bestand, nothing done)
C:\Documents and Settings\Rudy Koops\Cookies\xtension@hitbox[2].txt

HitBox: Tracking cookie or cookie of tracking site (Bestand, nothing done)
C:\Documents and Settings\Rudy Koops\Cookies\xtension@ehg-autodesk.hitbox[2].txt

Windows Media Player: Client ID (Register-verandering., nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Windows Media Player: Client ID (Register-verandering., nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Hijack This heb ik nog niet gebruikt, ik hoop het eerst hiermee te kunnen verwijderen... (wordt vervolgd)

[ Voor 98% gewijzigd door Verwijderd op 01-04-2004 01:28 ]

maandag 5 april 2004 23:01

Acties:

Verwijderd

Topicstarter

Ik kom nog even terug op bovenstaand probleem.
Het is nu gewoon ergelijk, op elk willekeurig moment wanneer je het niet wilt en bezig bent met IE, komt die stomme regnow redirect page in beeld!

Met Hijack This krijg ik de volgende LOG:

code:

Logfile of HijackThis v1.97.7
Scan saved at 22:57:35, on 5-4-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\MSN Messenger\Plus\MsgPlus.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Typhoon Muis\mouse32a.exe
C:\Program Files\Linksys\Wireless-G Notebook Adapter\WPC54CFG.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Norton Personal Firewall\ccPxySvc.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\system32\crypserv.exe
C:\PROGRA~1\NORTON~2\NORTON~4\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Xtension\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\MSN Messenger\Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Typhoon Muis\\mouse32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\MSN Messenger\Plus\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Wireless-G Notebook Adapter Utility.lnk = C:\Program Files\Linksys\Wireless-G Notebook Adapter\WPC54CFG.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {3F7445F6-9873-4DDC-AE44-4FEAAF803E9C} (ReadDongle Class) - http://update.stardraw.com/Components/StardrawReadDongle.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37994.3074421296
O16 - DPF: {A6C822CD-FB68-47B3-8577-B312887D9019} (Stardraw LiveUpdate Class) - http://download.stardraw.com/Components/StardrawLiveUpdate.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D02C0025-6F93-4482-B5DB-0164F281A107} (Stardraw Download Class) - http://download.stardraw.com/Components/StardrawLiveUpdate.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

Iemand enig idee???????

maandag 5 april 2004 23:49

Acties:

BoGhi

Verwijderd schreef op 05 april 2004 @ 23:01:

O2 - BHO: (no name) - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll

Deze is de boosdoener, lijkt mij.. Met HT kun je hem aanvinken waardoor die verwijderd wordt.

Programmers don't die. They GOSUB without RETURN

dinsdag 13 april 2004 13:28

Acties:

Verwijderd

Topicstarter

BoGhi schreef op 05 april 2004 @ 23:49:
[...]

Deze is de boosdoener, lijkt mij.. Met HT kun je hem aanvinken waardoor die verwijderd wordt.

Bedankt! Ik heb het geprobeerd en tot dusver lijkt het allemaal goed te gaan! Dus dit zal hem ongetwijfeld geweest zijn!!! Nogmaals: bedankt!

[ Voor 21% gewijzigd door Verwijderd op 13-04-2004 13:45 ]