[Alert] Trojan op frontpage nu.nl - en andere Sites *

C:\bla.exe infected Trojan-Downloader.Win32.Small.aaq
C:\Windows\System32\qktjsy.exe packed PE_Patch.PECompact, PecBundle, PECompact
C:\Windows\System32\qktjsy.exe infected Backdoor.Win32.Agent.ec

[ Voor 3% gewijzigd door Chris P op 21-11-2004 13:52 ]

elevator schreef op zondag 21 november 2004 @ 13:17:
Het opnemen naar een link naar SP2 is natuurlijk een groot risico voor ilsemedia - SP2 breekt veel compatibiliteit met oude software en kan daarnaast grote (!) problemen veroorzaken als je PC al onder de ad/spyware zit

Als je op dit punt je PC nog niet voorzien hebt van SP2 betekent dat concreet dat je niet echt met security bezig houd en dan is de kans dat je ad/spyware hebt -helaas- ook erg groot

ppl schreef op zondag 21 november 2004 @ 13:52:
Ik vind dit een nogal rare reply. Je zegt eerst dat SP2 niet zo'n goed idee is want het brengt compatibility problemen mee, daarna druk je een stempel op iedereen die geen SP2 geinstalleerd heeft als zijnde dom op gebied van security.
Dat is wel heel erg kort door de bocht.

Security zit hem in heel wat meer zaken dan alleen SP2 zoals jij nu schetst.

elevator schreef op zondag 21 november 2004 @ 13:56:
[...]

SP2 is al meer dan 1,5 jaar in ontwikkeling en dat er incompatibiliteits problemen zouden komen is al heel, heel lang bekend en ook groots aangekondigd door Microsoft.

Ver voor de defintieve release van SP2 was er een preview beschikbaar. Als je bewust bezig bent met security had je SP2 al lang getest kunnen hebben, en geinstalleerd kunnen hebben

Feit is nou eenmaal dat de meeste problemen zich voordoen als je nu al geinfecteerd bent met spyware, een niet up-to-date virusengine draait die problemen veroorzaakt, of een hele oude firewall. Natuurlijk zijn er tal van andere incompatibiliteitsproblemen maar we hebben het hier wel over de gemiddelde thuis gebruiker - niet over bedrijven met veel complexe software

elevator schreef op zondag 21 november 2004 @ 13:56:
[...]
Nee hoor - ik beweer absoluut niet dat SP2 de oplossing is voor wereldvrede en meer - ik reageer enkel op de suggestie hierboven om SP2 op de download pagina te vermelden

[ Voor 4% gewijzigd door Verwijderd op 21-11-2004 14:19 ]

Verwijderd schreef op zondag 21 november 2004 @ 14:14:
Er komen bij ons meldingen binnen dat XP in combinatie met SP2 wèl kwetsbaar is voor het exploit. Zie ook WebWereld. Hebben jullie nadere informatie?

Verwijderd schreef op zondag 21 november 2004 @ 14:14:
Er komen bij ons meldingen binnen dat XP in combinatie met SP2 wèl kwetsbaar is voor het exploit. Zie ook WebWereld. Hebben jullie nadere informatie?

Paul

Verwijderd schreef op zondag 21 november 2004 @ 14:39:
Hoezo heeft ilsemedia haar ads niet gewoon op een eigen server staan?
dat voorkomt toch veel problemen,of heeft het zijn voordelen?

Verwijderd schreef op zondag 21 november 2004 @ 14:39:
Hoezo heeft ilsemedia haar ads niet gewoon op een eigen server staan?
dat voorkomt toch veel problemen,of heeft het zijn voordelen?

Verwijderd schreef op zondag 21 november 2004 @ 14:39:
Hoezo heeft ilsemedia haar ads niet gewoon op een eigen server staan?
dat voorkomt toch veel problemen,of heeft het zijn voordelen?

[ Voor 6% gewijzigd door Verwijderd op 21-11-2004 14:50 ]

Verwijderd schreef op zondag 21 november 2004 @ 14:56:
Schouw, Wildhagen, Martijnvanegdom:
Bedankt voor de info. We zullen de FAQ licht aanpassen.

Wat betreft de vraag over het hosten van de ads: dat deden we vroeger wel en had zeker voordelen. Maar met steeds toenemende complexiteit van de advertenties zelf (leve de tijd van de gif-banners ) was dat niet meer te doen. Heeft inderdaad wel te maken met waarom je TPG inschakelt om de post te bezorgen: het is specialistenwerk geworden en wij moeten ons concentreren op datgene wat wij het beste kunnen (denken het beste te kunnen, natuurlijk ). Het is alleen niet de bedoeling dat de postbode samen met onze brieven nog wat spijkers en molotov-cocktals naar binnengooit. We hebben dus nog een gesprek met onze postbode.

Paul

Verwijderd schreef op zondag 21 november 2004 @ 15:18 alweer een bericht...

quote: http://www.tweakers.net/r...=Posting&ParentID=1177468

In \windows kom ik dus een geinfecteerde subst.exe en ntvdm.exe tegen

[ Voor 7% gewijzigd door Rataplan op 21-11-2004 15:34 ]

Rataplan schreef op zondag 21 november 2004 @ 15:33:
[...]

offtopic:
Ik heb heel wat officiële representanten op fora zien reageren, maar dat gebeurt zelden of nooit zo realistisch en zo behulpzaam als wat ik je hier zie doen, zo op je vrije zondag. Alle hulde.

Op de FP staat ook een melding over een infectie van een SP2-systeem:
[...]
...

offtopic:
ik heb ook niets anders dan lof voor ilse media

[ Voor 3% gewijzigd door consolefreak op 21-11-2004 15:37 ]

Hier werd de site van map24 (online routeplanner) afgesloten.

[ Voor 18% gewijzigd door max3D op 21-11-2004 16:06 ]

[ Voor 22% gewijzigd door Verwijderd op 21-11-2004 16:37 ]

taXoudanT schreef op zondag 21 november 2004 @ 16:34:
sp2 draaien met af en toe IE1 (Mozilla default)

Spysweeper meldt telkens dat de startpagina van IE wordt gewijzigd in Ilse.nl

ik bezoek die site nooit... wel vaag... maar er worden verder geen rare services auto. gedraaid

symantec antivirus corporate vindt geen exploits... mijn firewall (nis 04 pro) schiet wel elke keer in de stress dat er via poort 80 getracht wordt dat er een addbar.exe geinstalleerd wordt...

max3D schreef op zondag 21 november 2004 @ 16:02:
Van al die mensen die nu.nl of startpagina als startpagina ingesteld hebben, zullen er nog maar weinig zijn die het weten. Kan je ook wel zien aan het feit dat er kennelijk nog maar 2000 mailaanvrages gedaan zijn.

(Overigens heb ik idd zojuist een reactie op beide mailtjes binnengekregen)

hessel schreef op zondag 21 november 2004 @ 17:19:
[...]


dan word het een tijd om je HT-Log op http://www.hijackthis.de te laten controleren op troep. En eventuele verdachte process (bestanden) te scannen bij http://virusscan.jotti.dhs.org

max3D schreef op zondag 21 november 2004 @ 16:02:
Dat kleine blokje rechts was niemand opgevallen en tech sites bezoeken ze niet. Blijft overigens gek dat de redactie van nu.nl het bericht niet interessant genoeg vond voor de reguliere nieuwsrubriek, terwijl de Telegraaf het wel vermeldt. Vreemde keus, maar dat valt inderdaad buiten de verantwoordelijkheid van ilse media.

Verwijderd schreef op zondag 21 november 2004 @ 17:46:
Wil die Kaspersky scanner wel eens goed testen want de AVG-soft vond hem niet ondanks dat ie up-to-date was.

Verwijderd schreef op zondag 21 november 2004 @ 20:48:
[...]
Waarom wij het zelf niet als nieuws brengen?
Wij hebben op de redactie de regel om bij nieuws over ilse media en NU.nl in bijzonder heel terughoudend te zijn. Wij weten heel goed wat wel en wat geen nieuws is maar als je zelf onderwerp hiervan bent kan je gewoon weg niet bepalen of het wel of geen nieuws is. Daarnaast kan je nooit onafhankelijk berichten over de organisatie waarin je zelf dagelijks werkt. Dat is de reden waarom wij het hele virusverhaal niet als nieuws hebben gebracht.

Verwijderd schreef op zaterdag 20 november 2004 @ 22:47:....
De complexiteit is echter enorm, met programmacode die in toenemende mate onderdeel van advertenties vormt.

Moet de schuld niet grotendeels bij Microsoft gelegd worden? Ik denk van wel, ik zou misschien nog kijken of ze niet aan te klagen zijn voor nalatigheid.... (of draaf ik door?)

wildhagen schreef op zondag 21 november 2004 @ 21:37:
[...]


Je draaft door. De reden daarvoor kan je zelf ook wel bedenken, mag ik hopen?

Fouten (bugs) maken is menselijk, programmeurs zijn menselijk, dus ze maken fouten. Om ze daar nou voor te gaan aanklagen.. je bent zeker Amerikaan? Die klagen iedereen al aan die een verkeerde scheet laat...

wildhagen schreef op zondag 21 november 2004 @ 21:37:
[...]


Je draaft door. De reden daarvoor kan je zelf ook wel bedenken, mag ik hopen?

Fouten (bugs) maken is menselijk, programmeurs zijn menselijk, dus ze maken fouten. Om ze daar nou voor te gaan aanklagen.. je bent zeker Amerikaan? Die klagen iedereen al aan die een verkeerde scheet laat...

seweso schreef op zondag 21 november 2004 @ 22:48:
[...]
Bugs maak ik zelf ook, maar dat is ook niet waarvoor ik ze zou aanklagen. Ik dacht meer in de richting dat het (minimaal) nalatig is om bepaalde systemen niet te patchen _{(with great power comes great responsibility)}

max3D schreef op zondag 21 november 2004 @ 23:35:
Mijn excuses overigens naar de Got modjes voor het eenmalig overschrijden van de

"Waarschuwing

Post aub _geen_ live links naar sites die malware (kunnen) bevatten."

Ik zal de link naar nu.nl en startpagina.nl voortaan wel versleutelen

HellevUUr schreef op zondag 21 november 2004 @ 23:37:
[...]


Als mensen uberhaubt een andere browser willen/kunnen installeren of weten wat een browser is, dan zouden ze allang een andere browser gehad hebben.

Voor de rest van de mensen die daar komen lijkt het mij vrij nutteloos. Tenzij je een knop kan maken met "klik hier" en de browser wordt geinstalleerd, IE shortcuts worden aangepast, en men denkt dat ze nog internet explorer gebruiken, want als "internet" er anders uit ziet dan ze gewend zijn, dan halen ze de buurman erbij om eens lekker windows opnieuw erop te laten zetten. Dit is namelijk voor al hun eerdere problemen de oplossing geweest.

max3D schreef op zondag 21 november 2004 @ 22:57:
Het is mooi dat jullie luisteren naar de suggesties, maar ik moet zeggen dat ik de vermelding op startpagina nog steeds te onopvallend vind. Een reguliere gebruiker kijkt niet in dat blokje. Vergeet niet dat het niet voor niets startpagina heet. Het gros van de gebruikers kijkt uberhaupt niet dagelijks naar de inhoud. Daar helpt alleen een knipperende banner boven de site tegen. Zoals het nu is blijf ik bij mijn oordeel: onverantwoordelijk.

Het is ook mooi dat er zo hard gewerkt wordt, maar anders dan mijn medetweakers vind ik dat gewoon normaal.

Als Moulinex ontdekt dat haar mixer kan exploren, Iglo glas vindt in de diepvriesspinazie of Opel constateert dat de nieuwe Astra spontaan explodeert als je de stoel verstelt, dan is het vette crisis. Dan wordt er het weekend doorgewerkt, een plan opgesteld en bovenal wordt het handboek 'crisiscommunicatie' uit de kast gehaald.

[ Voor 31% gewijzigd door max3D op 21-11-2004 23:57 ]

max3D schreef op zondag 21 november 2004 @ 23:55:
"Ilse Media _hoeft_ hier niet te reageren, om dan zo flauw te gaan doen vind ik persoonlijk nogal not done."

Ik vond het vrij geestig dat dit bovenal mijn replies staat. Ik _hoef_ hier namelijk ook niet te reageren en ik help Ilse meer dan zij mij doen met mijn suggesties, dus waarom mag ik dan geen grapje maken?

Als je het echt zo serieus opneemt zou ik die tekst weghalen uit het 'reply' scherm.

[b]Verwijderd schreef op maandag 22 november 2004 @ 00:18:
[...]
[...]

Zou je aub 'normaal' kunnen quoten? Dit werkt zeker in grotere topics absoluut niet handig.
De quote knop zie je rechtsbovenaan de post die je wil quoten.

Ik quote niet 'normaal' omdat ik me erger aan al die overmatig lange quotes (moet je opletten hoe onduidelijk deze post er van wordt), waarin niet eens duidelijk is wie wat zei. Zie je eigen quote hierboven die nu suggereert dat ik schreef wat jij schreef. Het is overigens een waanzinnig off topic discussie hoe je exact elkaar quote. Ik forum al meer dan tien jaar en heb mijn eigen stijl. Prima toch?

[...]

Omdat het grapje ook als troll gezien kan worden en al helemaal geen aparte post waardig is.
Lees anders [FAQ=,]Registratievoorwaarden en faq[/FAQ] nog eens door.

Ik heb ze net gelezen en zie geen enkele relatie met mijn post. Nu.nl of startpagina.nl noemen is helaas een verwijzing naar een mogelijke malware site geworden. Dat is erg treurig voor hen, maar dat maakt mijn grappig bedoelde opmerking zeker niet tot een troll.

[...]


Ik zie geen reden tot het weghalen van de topicwarning.

Lighten up!

Dit topic gaat over over malware en hetgene wat er mee te maken heeft, _niet_ over het beleid van Ilse Media en dergelijke.

max3D schreef op maandag 22 november 2004 @ 00:44:
[...]


Dit topic gaat dankzij Ilse media, de hoofdredacteur van Nu.nl en mij juist wel over dat beleid. Als je daar bezwaar tegen hebt, moet je de hele handel verplaatsen.

Overigens zijn er zelfs meer posters die letterlijk zeggen dat ze het beleid van Ilse media zo geweldig vinden, dus die moeten dan ook verwijderd. Doe dat en je houdt een vrijwel leeg topic over met een vage discussie over de zin van SP2.

En nu we uitgequote zijn even een wat algemene opmerking. Wat Ilse en Nu heel terecht doen is 'damage control'. Daarbij zetten ze ondermeer Got in. Heel verstandig natuurlijk, maar een beetje raar als een Got modje dan heel dankbaar gaat lopen doen dat ze uberhaupt posten. Natuurlijk doen ze dat. Alles om de schade te herstellen is het devies. Het wonder is niet dat betaalde professionals hun bedrijf trachtten te verdedigen, het wonder van Got (en heel tweakers) is dat andere mensen geheel belangeloos problemen oplossen, elkaar helpen, elkaar tippen hoe het beter kan. Dat is, geheel in de geest van tweakers, wat ik ook doe naar Ilse Media.
Stukken beter om het hier te lezen dan morgen de kritiek in de krant te zien.

HellevUUr schreef op maandag 22 november 2004 @ 10:40:
[...]
Paul heb je enig idee of Comedy Central hier (nu) ook vanaf weet?

Verwijderd schreef op maandag 22 november 2004 @ 10:48:
[...]
Comedycentral.com is overigens een reguliere site.
[...]

Verwijderd schreef op maandag 22 november 2004 @ 11:10:
de goede vraag in deze situatie is dan hetvolgende: wat kunnen sites die afhankelijk zijn van bannerinkomsten en bannerleveranciers verbeteren zodat dit sneller opgemerkt wordt cq. voorkomen? Wat gaat men er aan doen en tot hoever wil men garant staan voor onbezorgd surfplezier?
..
Nu is het niet mijn bedoeling om hiervan een discussiepunt in dit topic te maken, maar wel een punt om ter overdenking mee te geven - als site ben je een doorgeefluik met alle risico's van dien, maar daar hangt dan wel je goede naam aan

[ Voor 92% gewijzigd door DRaakje op 22-11-2004 13:21 ]

[ Voor 18% gewijzigd door Verwijderd op 22-11-2004 13:30 ]

[ Voor 61% gewijzigd door Fok83 op 22-11-2004 14:29 . Reden: Nieuwe info ]

Verwijderd schreef op dinsdag 23 november 2004 @ 11:03:

Wij werken hier met Norton corparate edetion .
.

[ Voor 23% gewijzigd door Verwijderd op 23-11-2004 11:53 ]

Verwijderd schreef op dinsdag 23 november 2004 @ 12:34:
Housecall detecteert met de laatste update Exploit.HTML.Iframebof als HTML.SHEXPLOIT.B.
De gedownloade files worden niet gedetecteerd op dit moment.

Milo schreef op dinsdag 23 november 2004 @ 12:15:
Is er, buiten de kapersky die Ilse aanbied, een tool die volledig weghaalt wat er allemaal aan rommel geinstalleerd is? M'n collega vertelde net dat Trend Housecall niks vond, maar de vraag is of zijn pc wel geinfecteerd is. Hij zegt dat z'n browser wel crashde, en dat ie windows 2000 gebruikt, dus ik ga ervan uit dat ie wel geinfecteerd is.

Ik kan natuurlijk HitmanPro adviseren tegen de spyware, maar dat is weer zo'n kanon.

Verwijderd schreef op dinsdag 23 november 2004 @ 15:45:
Kan ie gewoon op de c-schijf van de server zoeken naar bla.exe of l.exe en als ie die niet vindt er vanuit gaan dat de trojan weg is?

leuk_he schreef op dinsdag 23 november 2004 @ 16:02:
[...]

ja, Maar de eventueel gedownloade adware is denk ik niet verwijderd met tds3. of was tds3 continue actief?

[ Voor 20% gewijzigd door Verwijderd op 23-11-2004 16:21 ]

Verwijderd schreef op dinsdag 23 november 2004 @ 15:21:
hijackthis draaien en kijken of de javaupdate entry erin staat. Al die klutter in dit topic maakt het moeilijk dat nuttige posts nog opvallen.

Verwijderd schreef op zaterdag 20 november 2004 @ 18:19:
Voor direct getroffenen:

http://int.ilsemedia.nl/KAVIlseMedia.exe

Lost alle directe problemen op die er met besmettingen zijn. Werkt een maand, maar we bieden getroffen gebruikers de daarop volgende 11 maanden aan.

We voelen ons aardig lullig met deze situatie en kijken nu wat we kunnen doen om dit in de toekomst te voorkomen.

Paul (directeur ilse media, overigens al jaren ook fan van Tweakers.net )

max3D schreef op woensdag 24 november 2004 @ 15:37:
[...]


Weet iemand al hoe je die licentie voor een jaar krijgt? Ik kan er niets over vinden op www.startpagina.nl/alert

[ Voor 4% gewijzigd door Verwijderd op 24-11-2004 22:51 ]

Br@m schreef op woensdag 24 november 2004 @ 22:58:
Misschien is het offtopic, sorry dan.

Maar hoe kan Ilse controleren of iemand die een gratis KAV licentie aanvraagt omdat hij getroffen is ook daadwerkelijk is getroffen? Want ik kan me een beetje voorstellen dat er mensen zijn die helemaal niet getroffen zijn door het virus, of zelfs nooit op nu.nl is geweest, en toch die gratis licentie van KAV aanvragen..

Verwijderd schreef op woensdag 24 november 2004 @ 22:50:
[...]


Ja, ik

Br@m schreef op woensdag 24 november 2004 @ 22:58:
Misschien is het offtopic, sorry dan.

Maar hoe kan Ilse controleren of iemand die een gratis KAV licentie aanvraagt omdat hij getroffen is ook daadwerkelijk is getroffen? Want ik kan me een beetje voorstellen dat er mensen zijn die helemaal niet getroffen zijn door het virus, of zelfs nooit op nu.nl is geweest, en toch die gratis licentie van KAV aanvragen..

Bud_s schreef op donderdag 25 november 2004 @ 08:09:
[...]

Misschien hebben ze wel historie van IP adressen die tijdens de bewuste periode de site hebben bezocht ?

[ Voor 14% gewijzigd door wildhagen op 25-11-2004 08:20 ]

wildhagen schreef op donderdag 25 november 2004 @ 08:18:
Maar dan zijn die nog niet allemaal besmet... veel ervan zullen bijv al SP2 gehad hebben en dus niet kwetsbaar geweest zijn, of ze hadden een virusscanner die hem al afving. Daarnaast werd 'slechts' één op de dertig bezoekers geconfronteerd met dit virus (was zo opgesteld).

max3D schreef op donderdag 25 november 2004 @ 08:06:
Da's mooi. Ga je ook nog vertellen hoe?

[ Voor 11% gewijzigd door Rataplan op 25-11-2004 08:25 ]

max3D schreef op donderdag 25 november 2004 @ 12:48:
Wel de versie die mijn familieleden ontvangen hebben is dus niet de volledig werkende versie, maar een 30 dagen probeer versie. Vandaar mijn vragen.