Spyware: tips en tools

[jeroen_B]

Internetbankieren werkt ook niet met Opera browser waar ik altijd mee werk. Zo zijn er wel meer site's waarbij ik persee explorer moet gebruiken om het werkend te krijgen. Online shops werken ook nog wel eens alleen met explorer lijkt het wel.

[PattiMan]

Scarp wees me op de volgende link: http://validator.w3.org/
Daar kun je de HTML opmaak van een site testen. Bij de rabobank geeft ie
aan dat deze site niet aan de HTML 4.01 standaard voldoet. En dus kan FireFox (en waarschijnlijk ook Opera)
de site niet goed displayen.

[B.J.]

Helaas moet ik IE nog steeds gebruiken. Bijvoorbeeld internet bankieren bij de Rabobank is niet mogelijk met FireFox.
("Browser not supported" of iets dergelijks).

Ook niet met de user agent switcher plugin?

https://update.mozilla.org/extensions/moreinfo.php?id=59&vid=617

[PattiMan]

Ook niet met de user agent switcher plugin?

Dat zou heel mooi zijn als dat werkt. Ik heb de plugin op www.rabobank.nl geprobeerd. Zonder de plugin
krijg je een melding dat de site alleen voor IE bedoeld is. Maar als je de plugin activeert, krijg je die
opmerking niet.

Zal vanavond eens proberen of ik ook op de secure site (van de rabobank) terecht kan.

Bedankt voor de tip !

[Oracle]

Microsoft heeft twee weken geleden een beta-versie van zijn AntiSpyware op het net gezet. Ik moet zeggen dat dit exemplaar meer spyware vond dan de gangbare software en waar andere faalden bij het verwijderen had de software van Microsoft daar geen moeite mee.

Wat mij betreft een aanrader. 

MS AntiSpyware

Gisteren bijvoorbeeld een tooltje van internet gedownload. Er stond groot bij dat het een gratis tooltje was (nee, niet Kazaa!  ). Ik dus klikken en downloaden. Tijdens het installeren een paar keer een pop-up gehad van MSAntiSpyware...

Wil dat verrekte ding (dat tootje dus..) dus een search-bar installeren, mijn homepage veranderen, en nog wat tracking spullen installeren.. hoezo gratis tooltje.. gratis spyware bedoelde hij zeker! 

Ik ben dus wel positief tot nu toe. Vooral dus die real-time protectie tegen spyware ben ik erg blij mee. Voorkomen is immers beter dan genezen! 

Groet,
Mark

[B.J.]

............ Vooral dus die real-time protectie tegen spyware ben ik erg blij mee. Voorkomen is immers beter dan genezen! 

Groet,
Mark

Spybot sd heeft dit al jaren    op IE aanpassingen en op systeem aanpassingen!

[Marc vs]

www.hitmanpro.nl

[Oracle]

Hai Marc,

die had ik al genoemd in de eerste post van deze thread. Toch bedankt voor je bijdrage! 

Groet,
Mark

[Marc vs]

oeps, dan heb ik alles maar snel gelezen dacht dat dan het topic wel zou ophouden, want dit lijkt me een zeer goed programma.

[WrineX]

ik heb 5 progies gebruikt en heb nog steeds een gore startpagina die niet weg gaat ook al staat die op about blanc, verder kun je je hotmail niet meer bekijken en kom er maar neit van af.

[Erik]

Neem dan ook een fatsenlijke browser man, bv firefox en je hebt geen startpagina probleem meer.

[B.J.]

ik heb 5 progies gebruikt en heb nog steeds een gore startpagina die niet weg gaat ook al staat die op about blanc, verder kun je je hotmail niet meer bekijken en kom er maar neit van af.

Heel simpel. Run hijackthis en post de log hier. Haal ik hem zo eruit voor je!

oa van http://www.spychecker.com/download/download_hijackthis.html

[WrineX]

hehe hier de log , ik zie dat de helft ook meuk is die wel moet blijven draaien servu etc



Logfile of HijackThis v1.99.1
Scan saved at 19:57:53, on 13-3-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTSvcCDA.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
E:\-=Jp Backup=-\-=Hack=-\ServUDaemon.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\Program Files\Creative\ShareDLL\CtNotify.exe
D:\Program Files\Creative\ShareDLL\MediaDet.Exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\System32\WISPTIS.EXE
D:\Program Files\NetLimiter\NetLimiter.exe
D:\Program Files\RevConnect\DCPlusPlus.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Winamp\Winamp.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\FlashGet\flashget.exe
D:\Program Files\WinRAR\WinRAR.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX08.672\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://d:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://d:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {D374A9B7-8042-4354-A966-F43C735E0606} - D:\WINDOWS\System32\djpa.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NvMixerTray] D:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NetLimiter] D:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [navapp] D:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [iiwkgrbzkjbaj] D:\WINDOWS\System32\gippvkcc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSNSysRestore] D:\WINDOWS\System32\pc32.exe bg
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Disc Detector] D:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] D:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TaskTray] D:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] D:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - Startup: Registration-PCTV.lnk = D:\Program Files\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: Ontvang alles met FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Ontvang met FlashGet - D:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5F35C9A-8F73-4780-BB25-60EEA4EE3C7E}: NameServer = 192.168.0.1
O18 - Filter: text/html - {65983D12-572D-4B09-86DB-9919F78772D0} - D:\WINDOWS\System32\djpa.dll
O18 - Filter: text/plain - {65983D12-572D-4B09-86DB-9919F78772D0} - D:\WINDOWS\System32\djpa.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RadClock - Unknown owner - D:\WINDOWS\system32\RadClock.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - E:\-=Jp Backup=-\-=Hack=-\ServUDaemon.exe

[Stress!!!!!]

Ik gok op FlashGet......

[B.J.]

Ik gok op FlashGet......

Ik niet, dat is een firefox plugin.

Ik gok op:      

       R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://d:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sp.dll/sp.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://d:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sp.dll/sp.html
      O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
      O2 - BHO: (no name) - {D374A9B7-8042-4354-A966-F43C735E0606} - D:\WINDOWS\System32\djpa.dll
(Unknown, enig idee wat het is?)
      O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe 
Added by the RBOT.DN WORM!
      O4 - HKLM\..\Run: [iiwkgrbzkjbaj] D:\WINDOWS\System32\gippvkcc.exe
(Unknown, enig idee wat het is?)
      O4 - HKLM\..\Run: [MSNSysRestore] D:\WINDOWS\System32\pc32.exe bg
Added as a result of a variant of the MASTAK VIRUS!
      O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
      O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
      O18 - Filter: text/html - {65983D12-572D-4B09-86DB-9919F78772D0} - D:\WINDOWS\System32\djpa.dll
(Unknown, enig idee wat het is?)
      O18 - Filter: text/plain - {65983D12-572D-4B09-86DB-9919F78772D0} - D:\WINDOWS\System32\djpa.dll
(Unknown, enig idee wat het is?)

Ik ken de djpa.dll niet. Je kan hem voor de zekerheid backuppen en daarna deze bovenstaande allemaal aanvinken en deleten!

[WrineX]

heb die al verwijdert maar helaas werkt het niet, heb nog steeds een **** start pagina met een gratis popup

[B.J.]

Hmmm post eens de nieuwe log als je wilt. Misschien heb ik iets gemist 

Wat je ook kan doen is in safemode opstarten met netwerk (weet je hoe dat moet?) en dan de nieuwste hitmanpro draaien.

[WrineX]

hehe ja hoor dat weet ik wel (ben netwerk beheerder)  maar ik grbuik normaal ene progie wat alles oplost namelijk Windows setup  of gewoon gosten alles  fris en fruitig

[B.J.]

en gelukt?

[WrineX]

nope,   heb maar even firefox getapt   moet toch echt weer eens een neiuwe windows erop gooien heb deze al 5 maanden ofzo, volgens mij een record hehe

[Spacebass]

Zoals de meeste mensen wel weten heeft Micrsoft zelf ook een anti-spyware tool in Beta versie uitgebracht.

Wat ik heel interessant vond is dat je het tooltje kan gebruiken om browser hijacks kan herstellen. Nu heb ik dat zelf nooit nodig gehad omdat ik niet hou van plug-ins in mijn webbrowser, maar ik kan mij voorstellen dat anderen dat wel gebruiken.

Ik heb Ad-Aware eens laten draaien naast De Beta van Microsoft.

Dit is de eerste test.

Beetje opmerkelijk resultaat eigenlijk...mja tis pas een Beta...

[B.J.]

Dat is wel heel bijzonder. Je had die van MS wel geupdate?
Ik ben er nml zeer te spreken over. Wat voor criticals vindt ad aware?

[Spacebass]

Yep geheel geupdate volgens hun eigen updater (zelf nog ff handmatig gedaan)

MYWAY.SPEEDBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[39]=Regkey : interface\{0494d0dc-f8e0-41ad-92a3-14154ece70ac}
obj[40]=RegValue : interface\{0494d0dc-f8e0-41ad-92a3-14154ece70ac} ""
obj[41]=Regkey : interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac}
obj[42]=RegValue : interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac} ""
obj[43]=Regkey : interface\{0494d0da-f8e0-41ad-92a3-14154ece70ac}
obj[44]=RegValue : interface\{0494d0da-f8e0-41ad-92a3-14154ece70ac} ""
obj[45]=Regkey : interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac}
obj[46]=RegValue : interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac} ""
obj[47]=Regkey : typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac}
obj[48]=Folder : C:\Program Files\MyWay
obj[49]=Folder : C:\Program Files\myway\myBar
obj[50]=File : C:\Program Files\myway\mybar\1.bin\MYBAR.DLL

De rest zijn verwijzigen naar de MRU list dus niet zo bijzonder...

[SiR-ROUND]

Neem dan ook een fatsenlijke browser man, bv firefox en je hebt geen startpagina probleem meer.

Nou niet langer dus... Ik had ineens een hevige infectie. IE sterfde van de popups en maar liefst twee toolbars. Firefox riep een vage startpagina op, een url die toch niet gevonden kon worden. Van alles geprobeerd maar niks helpt, Adaware Antispy etc.

Wat blijkt? vrouwelijk geslachtsdeel Messenger+3. Ik heb bij instal gekozen om de sponsors te gebruiken, stom! Dacht dat het om een bannertje zou gaan, hoe naief!

Sponsor uninstalled en alles is weer okay...

[Erik]

Oeps