EA games (of ArtMoney?) spyware - Privacy en beveiliging

zondag 10 oktober 2004 00:52

Acties:

Verwijderd

Topicstarter

Vandaag kwam ik wel iets heel vreemds tegen.
Ik was vandaag bezig met artmoney, dit is een tool om in je geheugen van je pc te scannen. Ik wou graag weten waar die pagina van online gaming die ingebouwt in fifa 2005 zit, zich bevind op internet Dus ik ben met artmoney gaan scannen op http:// , en toen kwam ik op adres 161E60 (zit in DMA dus verandert steeds) deze url tegen hxxp://easo.ea.com/easo/fifa05/html/homeNews.jsp?locale=en . Ga hier heen op eigen risico, er staat/stond namelijk spyware op.

En tot mijn verbazing begon mijn pc allerlei dingen te laden, dus ik kijk in me taakbeheer en schrik me dood.

webrebates1.exe
webrebates0.exe
sahagent.exe
wupdater.exe
(en nog wat vage bestanden niet zeker of het spyware is)

Dus ik geef de link aan een vriend van me om te kijken of hij hetzelfde krijgt, en ja hoor precies de zelfde bestanden starten ook bij hem. Zonder enige melding van IE of wat ook maar. Ondertussen lijkt het of het niet meer op de website staat, maar toch wou ik waarschuwen want dit vind ik toch meer dan vreemd en vooral omdat deze url dus in de exe staat. Het is niet mijn bedoeling om EA aftekraken of wat ook maar. Maar ik had dit zelf nooit verwacht van EA.

zondag 10 oktober 2004 01:04

Acties:

roelio

fruitig, en fris.

Die site geeft een stukkie text over server downtime...
Zeker weten dat jouw pc niet gewoon geinfecteerd is waardoor zaken omgeleid worden?

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

zondag 10 oktober 2004 01:06

Acties:

Verwijderd

Topicstarter

Nee ik weet zeker dat dit niet op mijn pc stond voordat ik daar heen ging. kreeg namelijk ook even snel een dos venster voorbij vliegen. En die vriend van mij had precies hetzelfde. En mijn IE kreeg allerlei toolbars.

[ Voor 10% gewijzigd door Verwijderd op 10-10-2004 01:11 ]

zondag 10 oktober 2004 01:12

Acties:

mambo No5

Bad Apple?

Is dit niet gewoon de informatie die nodig is om online te gamen? (synchronysatie ed..)

Do not throw Rubbish at the platform | Front Pro eigen foto's in een topic

zondag 10 oktober 2004 01:13

Acties:

pven

Wat een onzin zeg .... Kijk eens naar de source van die site; daar staat echt niets:

code:

<p>**Headline News: 8/05/04</p>
<br>
<p>*Server Downtime*<p>
<br>
<p>There will be a scheduled maintenance on Friday, August 6 at 9 am EDT. During the time online service will be down for 10 minutes. Thank you for your patience!<p>
<br>
<p>*EA SPORTS 2005*<p>
<br>
The 2005 season has officially begun with the launch of NCAA Football 2005, and Madden NFL 2005 just around the corner. If you haven't seen all the new things that are going on this season, go online to easports.com/online for all the latest news!<p>
<br>

_{Sorry voor de layout!}

Daarnaast gaat EA haar naam natuurlijk niet te grabbel gooien ...

Btw: op http://www.iamnotageek.com/a/338-p1.php staat min-of-meer beschreven hoe je dit kan verwijderen.

[ Voor 16% gewijzigd door pven op 10-10-2004 01:15 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 10 oktober 2004 01:16

Acties:

Alex)

Als ik het zo zie is dit alleen maar tekst voor in het 'Latest News' veld van Fifa 2005 (of hoe het ook heet)
Ik heb zeker nergens last van, in de bron staat alleen maar code voor die pagina zelf, het is geeneens een compleet HTML-document.
Ik denk dat het in de achtergrond actieve software is ofzo, misschien een timebomb-spyware?

Trouwens, hoort dit niet in B&V?

We are shaping the future

zondag 10 oktober 2004 01:16

Acties:

Verwijderd

Topicstarter

mambo No5 schreef op 10 oktober 2004 @ 01:12:
Is dit niet gewoon de informatie die nodig is om online te gamen? (synchronysatie ed..)

Nope, daar zat ik dus eerst ook aan te denken maar toen ik ging googlen op die exes bleek het allemaal spyware te zijn

sahagent.exe is a SpyWare from ShopAtHomeSelect.com which analyzes your computers Internet usage and distributes information back to it's author's servers. This program is a registered security risk and should be removed immediately. Please see additional details regarding this process

wupdater.exe description: "KeenValue.Updater is an updater for eUniverse's products, such as KeenValue, IncrediFind and PerfectNav. KeenValue.Updater runs in the background, connects to update.thunderdownloads.com (12.129.205.220) looking for updates. KeenValue.Updater is bundled with Kazaa 2.6." Located in "%ProgramsDir%\Common Files\updater\".

etc

zondag 10 oktober 2004 01:19

Acties:

pven

Heb je toevallig recentelijk een-of-andere vorm van Kazaa geïnstallleerd?
Heb je je PC al gescand met AdAware, SpyBot en een anti-virus-programma (zie ook [rml][ Howto] Spyware scannen en opruimen[/rml])?

[ Voor 19% gewijzigd door pven op 10-10-2004 01:20 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 10 oktober 2004 01:19

Acties:

Verwijderd

Topicstarter

Sorry mensen, ik weet wat mijn eigen ogen gezien hebben... Als mensen dat niet willen geloven wat ik eerst ook niet deed dan gooi je dit topic maar dicht ofzo. Ik weet echt 100% zeker dat het daar vandaan kwam.

zondag 10 oktober 2004 01:21

Acties:

pven

Je overtuigt ons niet; EA gaat heus geen spyware met haar games 'weg geven'.

[ Voor 10% gewijzigd door pven op 10-10-2004 01:21 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 10 oktober 2004 01:21

Acties:

Verwijderd

Topicstarter

pven schreef op 10 oktober 2004 @ 01:19:
Heb je toevallig recentelijk een-of-andere vorm van Kazaa geïnstallleerd?
Heb je je PC al gescand met AdAware, SpyBot en een anti-virus-programma?

Ja ik heb een up to date virus scanner. En Spybot, AdAware en spy sweeper. Ik scan ook regelmatig.

zondag 10 oktober 2004 01:21

Acties:

Alex)

Dat zou erg lomp zijn van EA, inderdaad, EA is een van de grootste spellenfabrikanten AFAIK.
Zeker weten dat het geen timebomb was?

We are shaping the future

zondag 10 oktober 2004 01:22

Acties:

Diddle

Is het niet artmoney zelf die de spyware binnenhaalt? Ik bedoel, art of making money...

zondag 10 oktober 2004 01:23

Acties:

pven

Verwijderd schreef op 10 oktober 2004 @ 01:21:
[...]

Ja ik heb een up to date virus scanner. En Spybot, AdAware en spy sweeper. Ik scan ook regelmatig.

En Kazaa?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 10 oktober 2004 01:24

Acties:

Alex)

Draai het programma HiJackThis eens, en post hier je log, misschien dat er dingen tussenzitten die het hebben veroorzaakt?

Kazaa kan het inderdaad zijn, die leveren veel spyware mee.
* Alex) is blij met Kazaa Lite 2.43

edit:
Plaats je net dat je geen spyware hebt

[ Voor 13% gewijzigd door Alex) op 10-10-2004 01:24 ]

We are shaping the future

zondag 10 oktober 2004 01:24

Acties:

pven

Kan je een Hijack-log posten?

offtopic:
Jaja, zo laat nog twee dezelfde gedachten

[ Voor 56% gewijzigd door pven op 10-10-2004 01:25 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 10 oktober 2004 01:28

Acties:

Verwijderd

Topicstarter

Logfile of HijackThis v1.97.7
Scan saved at 1:27:39, on 10-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe
C:\Program Files\ArtMoney\artmoney.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Anne Jan\Local Settings\Temporary Internet Files\Content.IE5\Y9KVSV4H\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD763C49-6AAF-4E4E-8F31-8C3D205D3559}: NameServer = 192.168.1.4

Als het goed is heb ik alles er weer afgekregen.

zondag 10 oktober 2004 01:31

Acties:

Alex)

Jep, ziet er goed uit.
Ik denk nog steeds dat er een timebomb op je systeem heeft gezeten, het kán die HTML-pagina niet geweest zijn, er is nergens een referentie naar javascript o.i.d. dat ervoor zorgt dat het gedownload en geïnstalleerd wordt.

edit:
Hmm... ik vind nu iets over een virus: TrojanDropper.win32.small.bi op http://securityresponse.s.../data/trojan.redfall.html, dat gebruikt ook artmoney.exe als bestandsnaam. Heb je daar misschien mee te maken gehad?

offtopic:
gruwelijk offtopic: wat vind je van m'n plaatje?

[ Voor 43% gewijzigd door Alex) op 10-10-2004 01:34 . Reden: virus gevonden ]

We are shaping the future

zondag 10 oktober 2004 01:33

Acties:

pven

Weet je zeker dat C:\Program Files\ArtMoney\artmoney.exe virusvrij is enzo? Zie bv. http://securityresponse.s.../data/trojan.redfall.html

Had je een up-to-date virusscanner op je PC toen je ArtMoney voor het eerst gebruikte?

_{JamesNL en ik zijn scary bezig ...}

[ Voor 33% gewijzigd door pven op 10-10-2004 01:38 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 10 oktober 2004 01:34

Acties:

Verwijderd

Topicstarter

Maar ik geef het op. Ik heb geen bewijs meer omdat het nu niet meer gebeurt als je die website bezoekt.

Toch blijf ik het heel vreemd vinden.

zondag 10 oktober 2004 01:34

Acties:

Alex)

pven schreef op 10 oktober 2004 @ 01:33:
Weet je zeker dat C:\Program Files\ArtMoney\artmoney.exe virusvrij is enzo? Zie bv. http://securityresponse.s.../data/trojan.redfall.html

offtopic:
We komen weer met hetzelfde aan

We are shaping the future

zondag 10 oktober 2004 01:35

Acties:

Verwijderd

Topicstarter

pven schreef op 10 oktober 2004 @ 01:33:
Weet je zeker dat C:\Program Files\ArtMoney\artmoney.exe virusvrij is enzo? Zie bv. http://securityresponse.s.../data/trojan.redfall.html

Had je een up-to-date virusscanner op je PC toen je ArtMoney voor het eerst gebruikte?

Ja ik gebruik dit programma al jaren en velen met mij. (en die vriend van mij draaid geen artmoney)

[ Voor 6% gewijzigd door Verwijderd op 10-10-2004 01:38 ]

zondag 10 oktober 2004 01:37

Acties:

pven

Verwijderd schreef op 10 oktober 2004 @ 01:35:
[...]

Ja ik gebruik dit programma al jaren en velen met mij.

Ook deze versie?

Ik blijf ook die ArtMoney wantrouwen ... Vooral omdat ik erg veel, nofi, niet-westerse sites tegenkom als ik ga zoeken.

[ Voor 25% gewijzigd door pven op 10-10-2004 01:40 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 10 oktober 2004 01:38

Acties:

Alex)

Ik blijf ArtMoney.exe wantrouwen, je kwam via dat programma achter die url, ik blijf het raar vinden...

We are shaping the future

zondag 10 oktober 2004 01:42

Acties:

Verwijderd

Topicstarter

Ik ga op bed, en gooi dit topic maar dicht ik heb geen bewijs meer.

zondag 10 oktober 2004 01:44

Acties:

Alex)

Welterusten!

Jammer dat je niets anders aan kunt wijzen, het is nou eenmaal zo...

We are shaping the future

zondag 10 oktober 2004 02:03

Acties:

DJkim

Tweak met mate!!! :)

LOL

Damn ik ben ingetrapt. Hey al die Spywares zijn van Artmoney.

Ik was nieuwsgierig wat deze voor een software was dus ik heb geinstalleerd en ik zag net dat al die exe die door jou genoemd zijn, komen van Artmoney. Dank u wel lol en volgens mij is er een spreekwoord hiervoor.

Lucky Goldstar

zondag 10 oktober 2004 02:06

Acties:

Alex)

Ik had dus toch gelijk, ArtMoney zorgde voor de spyware?

We are shaping the future

zondag 10 oktober 2004 02:11

Acties:

DJkim

Tweak met mate!!! :)

lol ik moet echt hard lachen nu. Ik ben jaren lang heel erg voorzichtig geweest en dat ik zomaar ingetrapt ben. Ik hoop echt dat je goed had bedoeld Ajhhallo want zo dom kun je niet zijn om schuld aan EA te geven terwijl al die spywares gewoon van je zo betrouwbare programma komt. Nu heb ik 5 onbekende exe die ik niet meer kan deleten dus dat wordt Norton Ghost Image erover gooien weer.

Maar ik heb nu antwoord klaar voor je vraag hahahaha

P.S

Mijn computer is fecking langzamer geworden dus iedereen raak die rotzooi Artmoney niet eens aan.

[ Voor 11% gewijzigd door DJkim op 10-10-2004 02:12 ]

Lucky Goldstar

zondag 10 oktober 2004 02:14

Acties:

Alex)

Je kan het wel verwijderen hoor, is alleen erg tijdrovend.
Spybot S&D, Ad-Aware en Hijackthis are your friend.

We are shaping the future

zondag 10 oktober 2004 02:23

Acties:

DJkim

Tweak met mate!!! :)

Nou ik had net Ghost Image erop gezet dus het was niet echt moeite waard om al die antispyware programmas te installeren en vervolgens het proberen weg te halen. Ghost Image nog een keer erop gooien was voor mij dus veel sneller

Lucky Goldstar

zondag 10 oktober 2004 02:41

Acties: