[Spyware] quickpage - Privacy en beveiliging

vrijdag 16 april 2004 12:05

Acties:

Verwijderd

Topicstarter

Ok, 2 dagen geleden kwam iemand naar me toe dat zijn startpagina steeds veranderde, daar aangekomen zag ik dat het quickpage was.....ik wist totaal niet wat dit was dus ik heb even op internet gekeken, forum afgegaan, op zoek naar meer info hierover.

De info was makkelijk te vinden, maar tot 2x toe alle bestanden/registers verwijderen die ook maar iets te maken hadden met quickpage (inc alle bestanden die op de forums zijn aangegeven + meer) en de dailer had verwijderd, maar tnog steeds geen geluk, hij blijft terugkomen, dit keer voor de 3e keer.

Weet iemand hier mischien wat meer over?? waar komt het vandaan? hoe kan je het oplopen??

Mischien was het weg, en is hij weer op "een site" geweest (hij claimt van niet)

Wat heb ik geprobeert:
4 soorten spyware remove programma's (zoals ad aware, spykiller, hijjacker(alles wat er niet inhoorde verwijderd))
De pc + register gezocht op de bestanden die de nieuwste topics aangaven op verschillende forums verwijderd

En nog komt het terug??? iemand ideeen? iemand die weet waar het vandaan komt??

alvast bedankt (mod, als ik dit verkeerd post mijn excuses.....ik zal het dan aanpassen)

Gigre

vrijdag 16 april 2004 12:07

Acties:

pasta

Ondertitel

Post eens je HiJack This log, tussen [code] tags svp. Geef ook aan wat je nog verdacht vindt/niet helemaal vertrouwt hierin. Zie ook Beveiliging en Virussen - Policy

edit:
Ele

[ Voor 4% gewijzigd door pasta op 16-04-2004 12:07 ]

Signature

vrijdag 16 april 2004 12:07

Acties:

elevator

Officieel moto fan :)

Lees even het stappenplan door hoe een topic te starten, en pas je topic daar naar aan (en dan met name: post je hijackthis logfile waarin je aanggeven hebt waar je over twijfelt)

vrijdag 16 april 2004 12:30

Acties:

Verwijderd

Topicstarter

ok, mja, sorry kan niet zo 123 hieraan komen, ik zal het asap posten (zit op stage.....en een gebruik heeft hier last van, vandaar

)

zal even kijken of die er is.

edit:

code:

Logfile of HijackThis v1.97.7
Scan saved at 12:32:26, on 16-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\LogWatNT.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\MSSQL7\binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\CA\eTrust\InoculateIT\realmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\ls.exe
C:\WINDOWS\System32\ctfmon.exe
C:\cdfoon\trayapp.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Program Files\Wireless\Client Manager\CmAGS.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Groot\Local Settings\Temporary Internet Files\Content.IE5\77HR5Q3N\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metaalunie.nl/home/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.metaalunie.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/QuickPage/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"
O4 - HKLM\..\Run: [CallBumping] cbpopw.exe
O4 - HKLM\..\Run: [QuickZip] C:\WINDOWS\System32\ls.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CDFoon System-Tray] C:\cdfoon\trayapp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: Wireless Client Manager.lnk = C:\Program Files\Wireless\Client Manager\CmAGS.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.nl
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.kerckewijck.nl/video/MSSurVid.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/1,0,3,8/us/AccesMembre.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B54094-BD98-4496-9CB9-D63AF04CAF41}: NameServer = 213.133.33.2,213.133.33.50

regel 40...ik zie t (weer) ik had die gedelete, en alles wat op andere forums als "hoort bij quickpage register/file" verwijderd.......ik denk dus niet dat alleen een paar dingen hieruit deleten zal helpen??
ik heb gisteren dus echt iets van 50 dingen verwijderd

edit2: Lo btw

me 2e post hiero.....was me ouwe account kwijt.....:(

[ Voor 99% gewijzigd door Verwijderd op 16-04-2004 12:40 ]

vrijdag 16 april 2004 12:42

Acties:

wildhagen

Blablabla

code:

O4 - HKLM\..\Run: [CallBumping] cbpopw.exe
O4 - HKLM\..\Run: [QuickZip] C:\WINDOWS\System32\ls.exe
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.kerckewijck.nl/video/MSSurVid.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/1,0,3,8/us/AccesMembre.cab

Deze zeggen mij niks.... horen die daar? En zo niet, mag ik die files dan eens hebben via mail (die .EXE's dan)?

Edit:

en jawel:

X - Quickzip (Ls.exe) > MsConnect browser hijacker and dialer

http://www.spywareinfo.com/forums/index.php?showtopic=37931

[ Voor 16% gewijzigd door wildhagen op 16-04-2004 12:44 ]

Virussen? Scan ze hier!

vrijdag 16 april 2004 12:45

Acties:

BoGhi

Dit is in ieder geval QuickPage:
O4 - HKLM\..\Run: [QuickZip] C:\WINDOWS\System32\ls.exe

Ah, echo..

[ Voor 10% gewijzigd door BoGhi op 16-04-2004 12:45 ]

Programmers don't die. They GOSUB without RETURN

vrijdag 16 april 2004 12:46

Acties:

Verwijderd

Topicstarter

edit, soz...

[ Voor 99% gewijzigd door Verwijderd op 16-04-2004 12:48 ]

vrijdag 16 april 2004 12:47

Acties:

Verwijderd

Topicstarter

edit: ah, ok dan....die had ik dus niet verwijderd

die startpagina van quickpage ook (regel 40), nog meer?

en moet ik die 50 bestanden/registraties ook nog verwijderen die ik gisteren had verwijdert (die nu dus weer terug zijn

)

Ok, ik begrijp dus dat die ls.exe een bootable bestand is die dus de andere bestanden/registraties aanmaken??

[ Voor 20% gewijzigd door Verwijderd op 16-04-2004 12:49 ]

vrijdag 16 april 2004 12:51

Acties:

pasta

Ondertitel

DIe QuickZip staat idd niet op de juiste locatie. Ik heb net even QZ geinstalleerd, en hier kan ik hem niet op die locatie vinden.

Verwijderd schreef op 16 april 2004 @ 12:47:
edit: ah, ok dan....die had ik dus niet verwijderd

die startpagina van quickpage ook (regel 40), nog meer?

en moet ik die 50 bestanden/registraties ook nog verwijderen die ik gisteren had verwijdert (die nu dus weer terug zijn )

Ok, ik begrijp dus dat die ls.exe een bootable bestand is die dus de andere bestanden/registraties aanmaken??

Als je eerst eens begint met die QZ entry te verwijderen, dan blijven ze iig niet meer terugkomen. Daarna kan je die dingen weer verwijderen, dit maal voorgoed.

[ Voor 70% gewijzigd door pasta op 16-04-2004 12:53 ]

Signature

vrijdag 16 april 2004 13:03

Acties:

DeMoN

Pastafari

Zorg ook dat je IE up to date is of gebruik een veiliger en beter alternatief zoals Mozilla FireFox.

Als je IE niet up to date is kan het zo zijn dat die gozer elke keer op bepaalde wazige sites komt die je browser exploiten en zo een exe file op je HDD droppen zonder dat je het doorhebt.
Dan kan je wel lekker elke keer de zooi eraf gooien maar zolang dat lek blijft bestaan blijft die zooi ook terugkeren.

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

vrijdag 16 april 2004 13:59

Acties:

Verwijderd

Topicstarter

Ik heb de laatste versie van IE erop staan, inc updates van windows, dit heeft dus NIET geholpen, en zoals op mijn bovenste post staat ik zit op stage

dus dit is een bedrijf.....ik gebruik thuis ook firefox, en heb dus ook nooit problemen met dat soort dingen, maar voor bedrijven is dit iets anders met gebruikers die dus bijna tot nix van pc's weten......

ik zal vanmiddag nog eens naar die gast toe gaan, en kijken of ik het nu voor altijd kan verwijderen, iig bedankt gaste

Gigre

Pagina: 1

Reageer