[Spyware] Waarschijnlijk nieuwe Swizzorvariant * - Privacy en beveiliging

donderdag 29 juli 2004 16:00

Acties:

Hooooooh

Topicstarter

Volgens mij heb ik een nieuwe variant van CoolwebWWWsearch ofzo want ik krijg telkens het volgende scherm:

Afbeeldingslocatie: http://www.xs4all.nl/~kuyp/spyware.jpg

Afbeeldingslocatie: http://www.xs4all.nl/~kuyp/spyware.jpg

Alleen bij new data staat telkens een andere onzin url.
Ook worden er allemaal sites bij mijn Bookmarks gegooit en zelfs op mijn desktop staan dan een stuk of 10 snelkoppelingen naar die sites.

Ik word er compleet gestoord van, want het vreet zich zelfs in mijn Vuurvos, en daar gaat hij bij mij toch echt een stap te ver

Ik heb al:
*windows compleet geupdate
*Norton antivirus geupdate en kon niks vinden
*Stuk of 5 online virus scanners laten draaien
*Stuk of 5 anti-spyware proggies laten draaien en konden wel een hoop vinden, maar nog steeds gaat het niet weg
*Met Hijackthis al redelijk wat 'verdachte' dingen verwijderd, zonder resultaat

Ik ben nu echt zo'n beetje ten einde raad, wie o wie heeft er een oplossing

iStockphoto

donderdag 29 juli 2004 16:02

Acties:

PipoDeClown

Izze Zimpell

gebruik je dat immunize ding van spybot?
en hoe bedoel je heeft firefox daar last van?

[ Voor 38% gewijzigd door PipoDeClown op 29-07-2004 16:02 ]

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

donderdag 29 juli 2004 16:02

Acties:

Koekje

GoT-lurker

post je hijack this log eens

kijk hier eens: http://www.doxdesk.com/parasite/CoolWebSearch.html

hier staat nog meer: http://www.google.com/sea...8&q=Coolwebsearch&spell=1

er zijn meer mensen die hier last van hebben, probeer deze dingen eerst even uit en post dan het resultaat.

[ Voor 105% gewijzigd door Koekje op 29-07-2004 16:09 ]

There are 10 types of people in this world. Those who understand binary, and another 9 who don't give a s**t.

donderdag 29 juli 2004 16:04

Acties:

pasta

Ondertitel

Je kunt natuurlijk in het vervolg ook dit volgen.

(Edit je TS hier op even.)

Signature

donderdag 29 juli 2004 16:07

Acties:

BlizzarD

Hooooooh

Topicstarter

Log van hijackthis:

Logfile of HijackThis v1.98.0
Scan saved at 4:05:48 PM, on 7/29/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Jeffrey\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/pas...x.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cpnykylwfuuvel...0fNgUzlFcDA1xvF8Rz9vV.asp
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [bitstrans] C:\PROGRA~1\GRAMHE~1\boldname.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/2,0,0,4381/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E2594C-4458-4CD8-BC21-AD15406C3E5D}: NameServer = 194.109.6.66,194.109.9.99

Wat ik bedoel met dat firefox er last van heeft: de startpagina word dus gewoon veranderd in zo'n vage url als wat ik liet zien op het plaatje wat ik had gepost

[ Voor 3% gewijzigd door BlizzarD op 29-07-2004 16:08 ]

iStockphoto

donderdag 29 juli 2004 16:11

Acties:

pasta

Ondertitel

Je log is redelijk schoon. Alleen de volgende items vielen mij op

code:

1
2
3

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cpnykylwfuuvel...0fNgUzlFcDA1xvF8Rz9vV.asp
R3 - Default URLSearchHook is missing

Deze kan je zo verwijderen.

code:

1	O4 - HKLM\..\Run: [bitstrans] C:\PROGRA~1\GRAMHE~1\boldname.exe

Hier kon ik niks over vinden op Google. Heb je zelf enig idee waar deze voor is? Als dat niet het geval is, kan je hem even door de Jottiscan halen.

Signature

donderdag 29 juli 2004 16:17

Acties:

BlizzarD

Hooooooh

Topicstarter

pastapappie.NET schreef op 29 juli 2004 @ 16:11:
Je log is redelijk schoon. Alleen de volgende items vielen mij op
code:
1
2
3
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cpnykylwfuuvel...0fNgUzlFcDA1xvF8Rz9vV.asp
R3 - Default URLSearchHook is missing
Deze kan je zo verwijderen.
code:
1
O4 - HKLM\..\Run: [bitstrans] C:\PROGRA~1\GRAMHE~1\boldname.exe
Hier kon ik niks over vinden op Google. Heb je zelf enig idee waar deze voor is? Als dat niet het geval is, kan je hem even door de Jottiscan halen.

Als ik die 3 bovenste verwijder dan komen ze gewoon weer terug na een tijdje.
Dat Boldname.exe is geloof ik een onderdeel van MSN Plus, althans die zag ik erbij staan sinds ik dat heb geinstalleerd.

Als ik boldname verwijder, staat hij er ook weer na een herstart.

Overigens zegt dat Jottiscan bij 1 van de scans dat het een variant van een WIN.EXE virus is

Maar zo'n beetje 5-6 verschillende virusscanners (zowel online als geinstalleerde), vinden helemaal niks..

[ Voor 5% gewijzigd door BlizzarD op 29-07-2004 16:18 ]

iStockphoto

donderdag 29 juli 2004 16:19

Acties:

pasta

Ondertitel

Mjah, het is van MSN Plus ook wel bekend dat er spyware inzit. Overigens, welke virusscanner zegt dit en wat zegt deze precies? Het kan ons een stap dichter bij de oplossing brengen.

Signature

donderdag 29 juli 2004 16:20

Acties:

Koekje

GoT-lurker

deze tool al geprobeerd: http://www.spywareinfo.com/~merijn/files/CWShredder.exe ?

There are 10 types of people in this world. Those who understand binary, and another 9 who don't give a s**t.

donderdag 29 juli 2004 16:21

Acties:

pven

Heb je MSN+ al verwijderd en opnieuw geïnstalleerd ZONDER de 'support-optie' aan te klikken?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

donderdag 29 juli 2004 16:24

Acties:

pasta

Ondertitel

pven schreef op 29 juli 2004 @ 16:21:
Heb je MSN+ al verwijderd en opnieuw geïnstalleerd ZONDER de 'support-optie' aan te klikken?

Volgens mij los je daar gedeeltelijk maar de problemen mee op. Tenzij MSN+ een optie heeft om de gehele installatie ongedaan te maken (incl. spyware dus), denk ik dat dit alleen nut zal hebben bij een compleet nieuwe installatie (oftewel MSN+ pas voor de eerste keer installeren).

Signature

donderdag 29 juli 2004 16:25

Acties:

BlizzarD

Hooooooh

Topicstarter

pastapappie.NET schreef op 29 juli 2004 @ 16:19:
Mjah, het is van MSN Plus ook wel bekend dat er spyware inzit. Overigens, welke virusscanner zegt dit en wat zegt deze precies? Het kan ons een stap dichter bij de oplossing brengen.

File: boldname.exe
Status:
POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only classified as malware by scanners known to suffer from a great deal of false positives. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
Packers detected:
None

AntiVir
No viruses found (1.39 seconds taken)
BitDefender
No viruses found (6.57 seconds taken)
ClamAV
No viruses found (5.22 seconds taken)
Dr.Web
WIN.EXE.Virus (probable variant) (6.37 seconds taken)
F-Prot Antivirus
No viruses found (0.52 seconds taken)
F-Secure Anti-Virus
No viruses found (4.17 seconds taken)
Kaspersky Anti-Virus
No viruses found (3.61 seconds taken)
Norman Virus Control
No viruses found (32.87 seconds taken)

iStockphoto

donderdag 29 juli 2004 16:27

Acties:

pven

pastapappie.NET schreef op 29 juli 2004 @ 16:24:
[...]

Volgens mij los je daar gedeeltelijk maar de problemen mee op. Tenzij MSN+ een optie heeft om de gehele installatie ongedaan te maken (incl. spyware dus), denk ik dat dit alleen nut zal hebben bij een compleet nieuwe installatie (oftewel MSN+ pas voor de eerste keer installeren).

Ik heb gemerkt netjes verwijderen van MSN+ dit soort problemen wel degelijk op kan lossen, tenzij er andere zooi op de PC staat die dit veroorzaakt.

Proberen kan natuurlijk altijd ...

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

donderdag 29 juli 2004 16:29

Acties:

pasta

Ondertitel

Dan kan je hem eventueel nog hier controleren of deze dezelfde melding geeft. Verder zou het dan handig kunnen zijn om een complete scan met Dr. Web uit te voeren, schakel hiervoor wel eerst je huidige virusscanner uit, om te controleren of er misschien nog iets gedetecteerd wordt door Dr. Web.

edit:
[quote]pven schreef op 29 juli 2004 @ 16:27:
[...]

Ik heb gemerkt netjes verwijderen van MSN+ dit soort problemen wel degelijk op kan lossen, tenzij er andere zooi op de PC staat die dit veroorzaakt.

Proberen kan natuurlijk altijd ... ;)[/quote]
Idd, het zou verder wel netjes zijn van MSN+ als deze ook gelijk de spyware die meegeïnstalleerd is verwijdert.

[ Voor 39% gewijzigd door pasta op 29-07-2004 16:30 ]

Signature

donderdag 29 juli 2004 16:29

Acties:

BlizzarD

Hooooooh

Topicstarter

Zal zo proberen msn ff helemaal eraf te gooien dan

Ik houd jullie op de hoogte

iStockphoto

donderdag 29 juli 2004 16:34

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

CWshredder al geprobeert? Hielp bij mij goed

http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

donderdag 29 juli 2004 16:51

Acties:

Koekje

GoT-lurker

Microkid schreef op 29 juli 2004 @ 16:34:
CWshredder al geprobeert? Hielp bij mij goed
http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

je bent te laat

^^

There are 10 types of people in this world. Those who understand binary, and another 9 who don't give a s**t.

donderdag 29 juli 2004 16:52

Acties:

BlizzarD

Hooooooh

Topicstarter

Microkid schreef op 29 juli 2004 @ 16:34:
CWshredder al geprobeert? Hielp bij mij goed
http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

Jup en hij vond helemaal noppes..

Msn en msn plus is er nu af, en we zijn weer een stap verder want dat gezeik is nu weg

Ga nu eerst een paar keer opnieuw opstarten en tussendoor scannen op spyware, en daarna gooi ik eerst maar eens msn er weer terug op.

iStockphoto

donderdag 29 juli 2004 17:08

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Vergeet niet Spybot effe te runnen en Immunize te kiezen.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

donderdag 29 juli 2004 18:29

Acties:

pven

En vergeet niet om de Sponsor-optie bij MSNGR+ UIT te vinken!

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

vrijdag 30 juli 2004 01:56

Acties:

Flame17

Captur EDC 130

Ben de laatste 2 dagen ook bezig geweest met Spyware en andere shit voor een collega van me.

Via Online scannen bij Bitdefender aardig wat opgeschoten en Adaware en Hijack en Spybot en CW shredder hebben de rest gedaan( dan zie en merk je pas hoe lastig het is als je 100gig aan rotzooi op je HDD hebt staan)

Verder met handmatig verwijderen in onder andere Safe mode de PC weer kompleet schoon gekregen en alle progjes werken ook nog.

Wat het meest irri is als je een EXE bestandje vergeet en je weer moet herstarten en je weer andere zooi binnen krijgt.

Kortom, de langste adem wint, maar ik kan begrijpen dat je er hor en dol van wordt.

Windows10 Ultimate 64 bit@SSDKingston 300, AMD Ryzen 5 1400, Sapphire RX460 4gb, Corsair DDR4 8 gb. OC,

vrijdag 30 juli 2004 06:15

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Flame17 schreef op 30 juli 2004 @ 01:56:
Wat het meest irri is als je een EXE bestandje vergeet en je weer moet herstarten en je weer andere zooi binnen krijgt.

Ik neem toch wel aan dat je je PC opschoont terwijl je de UTP kabel naar je Internet er uit hebt liggen toch...

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

vrijdag 30 juli 2004 06:34

Acties:

Ook

Yes I can!

Microkid schreef op 30 juli 2004 @ 06:15:
[...]
Ik neem toch wel aan dat je je PC opschoont terwijl je de UTP kabel naar je Internet er uit hebt liggen toch...

Misschien wel, maar die moet er uiteindelijk toch ook weer in

Wees consequent, maar niet altijd

vrijdag 30 juli 2004 11:31

Acties:

Flame17

Captur EDC 130

Het downloaden van al die progjes kan niet zonder, net als het Online scannen etc,etc,etc.

Als je gelijk alles vindt is het geen probleem, maar ja die ene die men net even vergeet of bijna niet is te traceren.

Zelfs de Windows Updates niet gedaan, dus alle zooi stond gewoon te vragen:

Kom maar binnen met je knecht!!

In ieder geval, alles clean nu!

Windows10 Ultimate 64 bit@SSDKingston 300, AMD Ryzen 5 1400, Sapphire RX460 4gb, Corsair DDR4 8 gb. OC,

vrijdag 30 juli 2004 13:25

Acties:

Verwijderd

Overigens zegt dat Jottiscan bij 1 van de scans dat het een variant van een WIN.EXE virus is Maar zo'n beetje 5-6 verschillende virusscanners (zowel online als geinstalleerde), vinden helemaal niks..

Dr. Web flagt op de gebruikte packer, wat soms handig kan zijn maar eigenlijk nergens op slaat imho.
UPC is standaard Advware packer...
Heb het ding nog niet gezien maar ik ga er vanuit dat het loplike meuk is.

Flame17: Ehm, als die bak compleet open staat/stond, kun je dus _absoluut_ niet garanderen dat die bak nu clean is.
De kans dat er iets tussenzit wat jij/je AV niet ziet is aanzienlijk.
Maar dit behoort niet in dit topic thuis...

Titel wat aangepast.

vrijdag 30 juli 2004 14:03

Acties:

Flame17

Captur EDC 130

Oke, nog 1 vraagje dan naar aanleiding van je opmerking:

Als ik uiteindelijk scan met NAV 2004 met laatste updates en met Bitdefender On line en CW shredder en Spybot en die vinden niks meer kan er dan nog steeds zooi tussen zitten, maw wat je niet ziet wil niet zeggen dat het er niet is?

http://www.f-secure.com/v-descs/swizzor.shtml

http://www.google.nl/sear...r=&ie=UTF-8&start=10&sa=N

Windows10 Ultimate 64 bit@SSDKingston 300, AMD Ryzen 5 1400, Sapphire RX460 4gb, Corsair DDR4 8 gb. OC,