[IE] Google redirect naar Spyware pagina? - Privacy en beveiliging

zaterdag 15 januari 2005 17:14

Acties:

"for indoor use only"

Topicstarter

Hallo, ik vond in dit forum wel soortgelijke problemen, maar niet dezelfde als bij mij. Vandaar een nieuw topic.

Als ik in Internet Explorer surf naar www.google.nl (of www.google.com), en ik zoek bijvoorbeeld op het woord "Tweakers" (maakt niet uit welk zoekwoord), dan wordt de URL:

http://61.131.54.618.cc/s...0006&hl=nl&q=tweakers&lr=

of http://69.50.163.6/search...0006&hl=nl&q=tweakers&lr=

hoewel er vaak ook "gewoon" staat http://www.google.nl/sear...0006&hl=nl&q=tweakers&lr=

Zoals ik het begrijp, moet dus ergens in IE een omleiding plaatsvinden waardoor het domein van Google nu gekoppeld is aan een ander IP / URL

Hierdoor krijg ik bij het zoeken altijd 1 tussenpagina

In Firefox is dit probleem er niet. Ik heb al uitgesloten dat het aan mijn hosts bestand ligt, want daar staat alleen "127.0.0.1 localhost" in.

Ik heb al verschillende anti-spyware tools gebruikt, waaronder Ad-aware, Spybot S&D, Hijack This, Spyware Blaster
en verder is Norton Antivirus actief op mijn systeem.

Als laatste poging heb ik gebruik gemaakt van LSP Fix ( www.cexx.org/lspfix.htm ), maar hiermee is het ook niet opgelost.

(Natuurlijk komen er altijd reacties als "Gebruik dan gewoon Firefox als dat wel werkt"

maar dat is geen oplossing in principe

omdat ik dan nog steeds niet weet waardoor mijn IE zo doet

).

Daarom graag reacties van mensen die nog een idee hebben over wat ik kan proberen om hier wel achter te komen.

zaterdag 15 januari 2005 17:19

Acties:

anandus

Probeer hitmanpro eens?

En anders Microsoft AntiSpyware?

"Always remember to quick save" - Sun Tzu

zaterdag 15 januari 2005 17:26

Acties:

pasta

Ondertitel

Controleer ook eens met HijackThis of er verdachte entries tussen staan. Mocht je het zelf niet zeker weten, post dan de log hier en vermeld eventueel welke entries je verdacht lijken.

Signature

zaterdag 15 januari 2005 22:27

Acties:

NetAmp

"for indoor use only"

Topicstarter

Hm... zo te zien wel handig die hitmanpro, die loste het probleem niet op, maar toch handig

Ik probeer nog wat andere anti-spyware tools zoals BPS Spyware Remover en CCleaner.

In HijackThis zie ik ook niks verdachts meer staan waar het aan kan liggen, helaas

zondag 16 januari 2005 09:57

Acties:

FlipFluitketel

Frontpage Admin

NetAmp schreef op zaterdag 15 januari 2005 @ 22:27:
Hm... zo te zien wel handig die hitmanpro, die loste het probleem niet op, maar toch handig

Ik probeer nog wat andere anti-spyware tools zoals BPS Spyware Remover en CCleaner.

In HijackThis zie ik ook niks verdachts meer staan waar het aan kan liggen, helaas

Kun je die log toch even hier posten? Misschien dat je ergens hele tijd over heen kijkt (heb ik ook wel eens gehad..) en als iemand hier je log ziet, dat ie direct een raar iets erin ziet staan..

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zondag 16 januari 2005 10:09

Acties:

Verwijderd

Je zou CWShredder eens kunnen proberen, een maatje van me had een soortgelijk probleem en heeft het hiermee opgelost.

zondag 16 januari 2005 11:59

Acties:

magnifor

Er is een kans dat je DNS servers zijn aangepast en dus automatisch geredirect wordt naar verkeerde sites. Dus post je Hijackthis log. Kunnen we zien of je DNS servers zijn aangepast.

zondag 16 januari 2005 12:28

Acties:

Verwijderd

http://61.131.54.618.cc/remove.html

1. Download the uninstaller (9.5kb)
2. Close all Internet Explorer windows
3. Run uninstaller

zondag 16 januari 2005 14:32

Acties:

NetAmp

"for indoor use only"

Topicstarter

Hieronder mijn HijackThis Log (het wordt wel een lange post zo

)

Bedankt voor de reacties tot nu toe; CWShredder vond helaas niks meer.

Is 't wel zo verstandig om zomaar die "uninstall" te draaien van

61.131.54.618.cc/remove.html

code:

Logfile of HijackThis v1.99.0
Scan saved at 14:19:31, on 16-1-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\System32\TrayIcon.exe
E:\WINDOWS\System32\tblmouse.exe
E:\Program Files\McAfee.com\Agent\mcagent.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Common Files\Symantec Shared\ccApp.exe
E:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
E:\Program Files\Messenger Plus! 3\MsgPlus.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\HDD Health\hddhealth.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\MSI\PC Alert III\alert.exe
E:\Program Files\Logitech\SetPoint\KEM.exe
E:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
E:\WINDOWS\System32\devldr32.exe
E:\Program Files\EPSON\ESM2\eEBSVC.exe
E:\WINDOWS\system32\crypserv.exe
E:\Program Files\EPSON\ESM2\eEBAgent.exe
E:\Program Files\Norton AntiVirus\navapsvc.exe
E:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\WT32EXE.EXE
E:\Program Files\Outlook Express\msimn.exe
F:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [TOPIC=998188///][NOHTML][rml][ IE] Google redirect naar Spyware pagina?[/rml][/NOHTML][/TOPIC]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - E:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DisplayTrayIcon] E:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [CpuIdle] E:\Program Files\CpuIdlePro\CpuIdle.exe
O4 - HKLM\..\Run: [TBLFUNC] tblmouse.exe
O4 - HKLM\..\Run: [MCAgentExe] E:\Program Files\McAfee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] E:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [RunAlert] E:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [HDDHealth] E:\Program Files\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: PC Alert III.lnk = E:\Program Files\MSI\PC Alert III\alert.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Background Monitor.lnk = E:\Program Files\EPSON\ESM2\STMS.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &NeoTrace It! - E:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download with NetPumper - E:\Program Files\NetPumper\AddUrl.htm
O8 - Extra context menu item: Sothink SWF Decompiler - E:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\Msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\Msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.EXE
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Program Files\ICQ\ICQ.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - E:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - E:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - E:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.fujitsu-siemens.com/3dtour/amilo_d/amilo_d.html
O16 - DPF: {1059D2E2-EA3E-11D5-AF3C-0060085C9531} (CAX Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - 
O16 - DPF: {9FC87BC7-7963-4B70-8485-B1A41034C9A1} (Sony Pictures Game Downloader) - http://www.sonypictures.com/charliesangelsgame/SonyPicturesGameDownloader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C9B08199-657A-468D-A26B-692137572131} (FFHostContainer Class) - http://www.focusfocus.com/download/windows/ffhost.cab
O16 - DPF: {CAFEEFAC-0014-0000-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_02) - 
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - E:\Program Files\EPSON\ESM2\eEBAgent.exe
O23 - Service: EpsonBidirectionalService - Unknown - E:\Program Files\EPSON\ESM2\eEBSVC.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - E:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - E:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Tablet Service - Aiptek - E:\WINDOWS\System32\WT32EXE.EXE

zondag 16 januari 2005 15:10

Acties:

FlipFluitketel

Frontpage Admin

Deze kunnen weg lijkt me (die 2 vetgedrukte in ieder geval):

O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - E:\WINDOWS\System32\DSMANA~1.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zondag 16 januari 2005 17:31

Acties:

pasta

Ondertitel

code:

1
2
3

O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - E:\WINDOWS\System32\DSMANA~1.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)

Deze zou ik even door een online virusscanner gooien, zoals Jotti's Malware Scan.

Verder, waarom heb je zowel McAfee als Norton geïnstalleerd? Het valt niet aan te raden om meer dan 1 virusscanner geïnstalleerd te hebben.

Signature

zondag 16 januari 2005 19:54

Acties:

NetAmp

"for indoor use only"

Topicstarter

pasta schreef op zondag 16 januari 2005 @ 17:31:
... waarom heb je zowel McAfee als Norton geïnstalleerd? Het valt niet aan te raden om meer dan 1 virusscanner geïnstalleerd te hebben.

Nee daar zit wat in

maar het is in dit geval McAfee SpamKiller.
Ik probeer die Online malware scan eens uit, thanks!

zondag 16 januari 2005 20:20

Acties:

NetAmp

"for indoor use only"

Topicstarter

E:\WINDOWS\System32\DSMANAGER.DLL

ziet er toch wel verdacht uit...
de Online malware scan vertrouwde hem niet helemaal, en in het programma
Security TaskManager ziet deze DLL er ook niet bepaald onschuldig uit. (Tip: misschien heeft iemand anders hier ook nog wat aan die TaskManager, het is wel een trial/test versie maar ziet er interessant uit

)

Ik ga de DLL maar eens verder onderzoeken...

zondag 16 januari 2005 20:57

Acties:

NetAmp

"for indoor use only"

Topicstarter

En jawel hoor, DSMANAGER.DLL is verantwoordelijk voor het rare gedrag van IE bij gebruik van Google.
De Security TaskManager die ik hierboven noemde, laat ook de tekst zien in een uitvoerbaar bestand. Daar zag ik o.a. het IP adres staan van de redirect. Toen werd het dus vrij duidelijk voor mij.
Ik heb de DLL een andere naam gegeven, en Google werkte weer normaal in IE. Daarna weer even de naam hersteld tot 'DSMANAGER.DLL', en het rare gedrag was terug. Nu weet ik dus zeker dat dit bestand 'evil' is

Ik ga het verwijderen en met HijackThis ook de Registry key wissen.

Toch een eng idee dat ze zomaar kunnen schrijven naar mijn \WINDOWS\System32\ map

Ik ga wel fijn surfen met Firefox

Iedereen bedankt voor de hulp!

Nu weet ik tenminste door welk bestand het gebeurde (kan ik weer rustiger slapen

maandag 17 januari 2005 15:07

Acties:

KatirZan

Wandelende orgaanzak

Misschien dat dit niet het goeie subforum is, zo niet, gelieve te verplaatsen.

Sinds enkele dagen zit ik met een heel erg vreemd probleem wat betreft Google.

Als volgende :

Als ik bij google zoek op bijv. blaat, dan krijg ik alleen maar porno sites te zien, het maakt niet uit met welke query ik zoek, die porno sites komen telkens naar voren....
Nu ben ik wezen zoeken wat het probleem is en dit is 1 van de dingen die ik tegen kwam.

Zodra ik in mijn adresbalk www.google.nl of www.google.com in typ dan gaat de browser gewoon naar Google toe.
Als ik nu ga zoeken op bijv. blaat dan krijg ik het volgende :

http://61.131.54.618.cc/s...d=A0006&hl=nl&q=blaat&lr=

Inderdaad, een heel ander IP. Nadat ik dit gezien had (en dus op deze manier maar 1 result alszijnde een porno site) ben ik deze site eens gaan pingen, met als gevolg dit ip : 195.225.177.32.

Dit geeft in een query aan :

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
inetnum: 195.225.176.0 - 195.225.179.255
netname: NETCATHOST
descr: NetcatHosting
country: UA
admin-c: VS1142-RIPE
tech-c: VS1142-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: NETCATHOST-MNT
mnt-routes: NETCATHOST-MNT
notify: vs@netcathost.com
changed: hostmaster@ripe.net 20040304
source: RIPE
remarks: ****************************************
remarks: * Abuse contacts: abuse@netcathost.com *
remarks: ****************************************
route: 195.225.176.0/22
descr: NETCATHOST (full block)
origin: AS31159
notify: vs@netcathost.com
mnt-by: NETCATHOST-MNT
remarks: ****************************************
remarks: * Abuse contacts: abuse@netcathost.com *
remarks: ****************************************
changed: vs@netcathost.com 20040311
source: RIPE
person: Vsevolod Stetsinsky
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 206.
phone: +38 050 6226676
e-mail: vs@netcathost.com
nic-hdl: VS1142-RIPE
changed: vs@netcathost.com 20040303
source: RIPE

Heel vreemd dus, want google.com (66.102.11.104) zelf is :

Query the RIPE Whois Database
Search for

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
changed: bitbucket@ripe.net 20010529
changed: bitbucket@ripe.net 20020625
changed: hostmaster@ripe.net 20031014
changed: bitbucket@ripe.net 20040422
changed: bitbucket@ripe.net 20040504
source: RIPE
organisation: ORG-IANA1-RIPE
org-name: Internet Assigned Numbers Authority
org-type: IANA
address: see http://www.iana.org
remarks: The IANA allocates IP addresses and AS number blocks to RIRs
remarks: see http://www.iana.org/ipaddress/ip-addresses.htm
remarks: and http://www.iana.org/assignments/as-numbers
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
changed: bitbucket@ripe.net 20040417
source: RIPE
role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
nic-hdl: IANA1-RIPE
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: RIPE-NCC-MNT
changed: bitbucket@ripe.net 20010411
source: RIPE

Wat dit alles betreft is volgens mij een soort browser hijack, maar geen van mijn spybots/ad-ware removers kan deze vinden. Ook kan ik de google.nl zoekpagina niet veranderen omdat deze gewoonweg goed staat

Hoe komt dit, en waarom kan ik mijn oude google niet meer terug krijgen?

Is er uberhaupt een manier op dit weer als de oude terug te krijgen? Dit is namelijk best frustrerend. Yahoo! geeft hetzelfde probleem, en eindigt ook op het bovengemelde IP adres. De enige redelijk grote searchengine op internet die niet infected lijkt is altavista.nl/.com.

Kent iemand dit probleem en weet hier de oplossing voor, want ik zit een heel klein beetje met mijn handen in het haar

Wabbawabbawabbawabba

maandag 17 januari 2005 15:10

Acties:

Verwijderd

Staat er niks in je hosts file?

Dat google resolved naar dat ip adres?

c:\windows\system32\drivers\etc\ daar staat file genaamd HOST

maandag 17 januari 2005 15:11

Acties:

BtM909

Watch out Guys...

Het wordt tijd voor het volgende topic

• [rml][ Howto] Spyware scannen en opruimen[/rml]

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

maandag 17 januari 2005 15:12

Acties:

Verwijderd

En met het programma Hijackthis....

maandag 17 januari 2005 15:17

Acties:

Verwijderd

Al eens geprobeerd met een andere browser ?
Of op ip adres ?
En kijk eens of je hosts (C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS) niet verkeerd staan.

maandag 17 januari 2005 15:19

Acties:

leuk_he

1. Controleer de kabel!

Heb je iendliejk een goede reden porno te kijken.....

affijn, doe eens een hijackthis log.

2elink die er staat bij blaat is vooor starware,

die door googlehalen:

-unisntall starware in je add/remove programs.

en verder:

http://www3.ca.com/securi...st/pest.aspx?id=453075457

als je het handmatig wilt doen.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

maandag 17 januari 2005 15:22

Acties:

Cybje

First Post!

Dit lijkt me niet echt een IP, eerder een domeinnaam:

http://61.131.54.618.cc/

Wat ruist er door het struikgewas

maandag 17 januari 2005 15:30

Acties:

Verwijderd

Cybje schreef op maandag 17 januari 2005 @ 15:22:
Dit lijkt me niet echt een IP, eerder een domeinnaam:

http://61.131.54.618.cc/

scherp opgemerkt

had erover heen gelezen.

maandag 17 januari 2005 15:33

Acties:

BtM909

Watch out Guys...

FF wat anders... Je weet dat je nu porno-links aan 't spammen bent op GoT?

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

maandag 17 januari 2005 15:36

Acties:

NRGetic

Fanatic

Heb een paar dagen geleden ook zoiets gehad. Kreeg hem met geen mogelijkheid weg. SpySweeper, Hijack This, CWshredder geprobeerd, niets hielp

Normaal gesproken bieden bovengenoemde tools wel de oplossing.

Ik zelf heb XP Prof SP2. Heb toen een system restore gedaan van een paar dagen terug toen ik nog geen last had. Probleem opgelost. Een beetje extreme oplossing maar ja...

[ Voor 6% gewijzigd door NRGetic op 17-01-2005 15:39 ]

I used to be schizophrenic, but we are okay now.

maandag 17 januari 2005 15:41

Acties:

DutchTSE

Cybje schreef op maandag 17 januari 2005 @ 15:22:
Dit lijkt me niet echt een IP, eerder een domeinnaam:

http://61.131.54.618.cc/

dees komt uit op google.nl

nog geen pr0n gezien in dit topic

maandag 17 januari 2005 15:41

Acties:

KatirZan

Wandelende orgaanzak

hosts staan goed

staat alleen mijn route in

127.0.0.1

Hijackthis log zal ik zo even laten lopen, post komt strax

Wabbawabbawabbawabba

maandag 17 januari 2005 15:44

Acties:

BlaTieBla

Vloeken En Raak Schieten

In de GoogleGroups is het ook opgemerkt.
De complete thread begint hier.

Er wordt ook een oplossing aangedragen die schijnt te werken:

Van:Canopenner (xxxxxx@xxxxx)
Onderwerp:Re: I get redirected when I try a Google search

View this article only
Discussies:google.public.support.general
Datum:2005-01-15 11:57:42 PST

AT the bottom of the bogus search page theres a button "remove spyware"

You download an uninstaller from there...

I guess its called "search booster"

Mcafee says the uninstaller is ok..After I run it I scan with spybot/ms
spyware and find nothing...

Seams to work tho...

Cheers!

leica - zeiss - fuji - apple | PSN = Sh4m1n0

maandag 17 januari 2005 15:49

Acties:

KatirZan

Wandelende orgaanzak

hijackthis log :

Logfile of HijackThis v1.99.0
Scan saved at 15:50:16, on 17-1-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\alles\Local Settings\Temporary Internet Files\Content.IE5\ZM4ZJ5WX\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\system32\DSMANA~1.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1094556053129
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylom.wanadoo.nl/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kamhaa.local
O17 - HKLM\Software\..\Telephony: DomainName = kamhaa.local

Wabbawabbawabbawabba

maandag 17 januari 2005 15:51

Acties:

KatirZan

Wandelende orgaanzak

BlaTieBla schreef op maandag 17 januari 2005 @ 15:44:
In de GoogleGroups is het ook opgemerkt.
De complete thread begint hier.

Er wordt ook een oplossing aangedragen die schijnt te werken:

[...]

Mag ik een slotje aanvragen? Dit heeft het probleem opgelost $_/-\o_$

Herzlich danke

Wabbawabbawabbawabba

maandag 17 januari 2005 15:55

Acties:

FlipFluitketel

Frontpage Admin

In een ander topic was er iemand met exact hetzelfde probleem. Zijn probleem was opgelost nadat ie het volgende had verwijderd:

O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\system32\DSMANA~1.DLL

Dit topic dus.

[ Voor 22% gewijzigd door FlipFluitketel op 17-01-2005 16:00 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

maandag 17 januari 2005 15:56

Acties:

intoxicated

Haaaai :w | ALT-S

I&T -> B&V

"Anyone who does not agree with me is mentally sick, and should be shot I'm afraid to say."
- Pastor Richards @ VCPR

maandag 17 januari 2005 16:06

Acties:

leuk_he

1. Controleer de kabel!

Dus je download een exe van een pagina die is aangegeven door de spyware zelf? en je runt die? Je kunt net zo goed je PC inleveren bij mr. spyware.

Ik weet ook nog wel wat dailers enzo te vinden.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

maandag 17 januari 2005 16:11

Acties:

mrClass

leuk_he schreef op maandag 17 januari 2005 @ 16:06:
Dus je download een exe van een pagina die is aangegeven door de spyware zelf? en je runt die? Je kunt net zo goed je PC inleveren bij mr. spyware.

Ik weet ook nog wel wat dailers enzo te vinden.

Toch leuk om te lezen dat dit volgens dat google forum wel de oplossing was

maandag 17 januari 2005 16:18

Acties:

pasta

Ondertitel

Ik merge het topic met [rml][ IE] Google redirect naar Spyware pagina?[/rml], gezien beide over hetzelfde probleem gaan.

Signature

maandag 17 januari 2005 16:27

Acties:

leuk_he

1. Controleer de kabel!

mrClass schreef op maandag 17 januari 2005 @ 16:11:
[...]
Toch leuk om te lezen dat dit volgens dat google forum wel de oplossing was

Die hebben het net zo als de topic starter optische aangepakt. Je browser hijack is weg, maar wellicht houd hij nog al je surf gegevens bij, of download hij over een paar weken de nieuwe adware.

Ben jij zoiemand die ook een unsubscribe doe van alle spam?

Tuurlijk scant hij uninstall.exe niet als virus, want het verspreid zich niet als virus. Ik kan ook in een uurtje een .exe schrijven die je pc volledig vernaggeld en door ALLE virus scanners komt (uninstall .exe komt overingens wel door jottiscan)

check op z'n minst of

O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} -
C:\WINDOWS\system32\DSMANA~1.DLL

weg is.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

Pagina: 1

Reageer