Spywareblaster 2.0

Status
Niet open voor verdere reacties.
Pieter, zou je zo vriendelijk willen zijn om even naar de logfile van mijn andere pc te kijken?

Groeten Oossie

Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startkabel.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~2\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [QD FastAndSafe] c:\Program Files\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup
O4 - HKLM\..\Run: [iamapp] c:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [rb32 lptt01] "c:\program files\rb32\rb32.exe"
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\GAME.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] c:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] c:\Program Files\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [nisserv] c:\Program Files\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [MOSearch] c:\PROGRA~1\COMMON~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [AutoUpdater] C:\WINDOWS\SYSTEM\aupdate.exe
O4 - HKCU\..\Run: [Schmaili] C:\Program Files\Schmaili30\Schmaili.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Startup: SwTray.lnk = C:\Program Files\Microsoft Hardware\Game Controllers\SWTRAY.EXE
O4 - Startup: Download Plus.lnk = C:\WINDOWS\Application Data\DownloadPlus.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37592.5624884259
O16 - DPF: Yahoo! Chat (Update Class) - http://cs6.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs5.chat.sc5.yahoo.com/v43/yacscom.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.euroklik.nl/plugins_met_herhaal_bezoek/speelonlinegamesnl707.exe
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/20/221/nl.exe
O16 - DPF: {47F591A2-8783-11D2-8343-00A0C945A819} (RFXPlayer Class) - http://www.greetingcenter.com/download/twophase.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://sc.communities.msn.com/controls/chat/msnchat45.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
 
Hoi oossie,

Vink de violgende items aan, sluit alle IE, OE en verkenner vensters en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
O4 - HKLM\..\Run: [rb32 lptt01] "c:\program files\rb32\rb32.exe"
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\GAME.EXE
O4 - HKLM\..\RunServices: [MOSearch] c:\PROGRA~1\COMMON~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/20/221/nl.exe
O16 - DPF: {47F591A2-8783-11D2-8343-00A0C945A819} (RFXPlayer Class) - http://www.greetingcenter.com/download/twophase.cab

Daarna opnieuw opstarten en Spybot S&D gebruiken om op te ruimen.
Controleer daarna nog even of rb32.exe echt verdwenen is. (Die is nogal hardnekkig)

Groetjes,

Pieter
 
Hoi Pieter,

Alles aangevinkt wat je zei, spybot gedraaid, rb32.exe daarna niet meer aangetroffen.
Bedankt voor je medewerking.

Groeten Oossie
 
Mooi zo.

Even voor mijn nieuwsgierigheid. Ik zag dat je dit progje gebruikt: http://www.simtel.net/pub/pd/61948.html

Zou je voor mij willen proberen of je de smilies nog kunt gebruiken als je O4 - HKCU\..\Run: [Schmaili] C:\Program Files\Schmaili30\Schmaili.exe uit je opstartlijst haalt?

Bedankt alvast,

Pieter
 
Hoi pieter,

Ik heb O4 - HKCU\..\Run: [Schmaili] C:\Program Files\Schmaili30\Schmaili.exe uit mijn opstartlijst verwijderd, na een systeemstart en het handmatig opstarten van schmaili kan ik de smilys gewoon gebruiken.

Groeten Oossie
 
Geplaatst door oossie
Hoi pieter,

Ik heb O4 - HKCU\..\Run: [Schmaili] C:\Program Files\Schmaili30\Schmaili.exe uit mijn opstartlijst verwijderd, na een systeemstart en het handmatig opstarten van schmaili kan ik de smilys gewoon gebruiken.

Groeten Oossie
Klik om te vergroten...

Thnx m8 :thumb:
 
Yup, en dit betreft een update voor de pas ontdekte KeenValue/MyFreeCursurs troep.

Lees dit:

SPYWARE ALERT: MyFreeCursors.com - KeenValue

Last Updated: May 4, 2003

Background: MyFreeCursors.com offers an “easy cursor change service”. By clicking on a cursor that a user wants, the site will attempt to download and run an installer using ActiveX. This installer not only installs the cursor, but may install the following three applications:
n-CASE
iGetNet
KeenValue

The focus of this advisory is the KeenValue program.

Details: The hard-to-find privacy policy, located (among many places) at myfreecursors.com/privacy/ , details some alarming characteristics of the KeenValue program. Supposedly, KeenValue "provides you with the ability to obtain advertiser-supported versions of software applications (valued at up to $30) free-of-charge or at a reduced cost"… but take a look at the following sections of the "privacy policy" / terms of use:


quote:
--------------------------------------------------------------------------------
Delivery of KeenValue Advertising

Advertisements are delivered to your computer screen by:
• Pop-Up Windows
• Pop-Up Slider Windows
• Embedded Ads
• Desktop icons and installation files that may be placed on your computer for you to link to other products and services.
--------------------------------------------------------------------------------



So it displays ads. What else is new?

Well according to the "privacy disclosure statement" portion of the document, KeenValue collects the following information:

• Web sites/pages viewed
• The amount of time spent at some Web sites
• Response to the Advertisements displayed
• Standard web log information including IP address and system settings
• What software is on your personal computer
• Your first and last name, country, and five digit ZIP code
• Your usage characteristics and preferences

Not only that, but the privacy policy actually states KeenValue may READ THE CONTENTS OF THIRD-PARTY COOKIES STORED ON YOUR MACHINE, and may also INSTALL "certain rich media player applications, browser plug-ins, virtual machines, and runtime environments" without your knowledge.

Known Distribution Sites: KeenValue may be installed through downloads from any of the following sites:
myfreecursors.com
thunderdownloads.com
crazymates.com

There may also be many other methods of distribution that are not yet known. It is highly recommended that users stay away from the above sites.

Protection: A database update was released today (5/04/2003) for SpywareBlaster that covers 16 variants of KeenValue. Adding the sites listed above to the restricted zone in Internet Explorer should also help prevent the installation of KeenValue (blocking them using the hosts file is another recommended method).

Responsible Parties: It seems as though eUniverse, Inc. (euniverse.com) is responsible for KeenValue, as well as the ThunderDownloads site, and possibly the MyFreeCursors site (all of the downloads there are digitally signed by eUniverse).

Best regards,

-Javacool
Klik om te vergroten...
 
Laatst bewerkt:
@Pieter

Niet helemaal fris dus :evil:

Groeten Oossie
 
Geplaatst door oossie
@Pieter

Niet helemaal fris dus :evil:

Groeten Oossie
Klik om te vergroten...

Het gaat in die thread over de volledige versie, heb jij die ook? Alhoewel je spionerende activiteiten eerder
in een gratis versie verwacht.

Groetjes,

Pieter
 
@ Pieter, ik heb de volledige versie.
gebruik het al een jaar, nooit meldingen van spyware o.i.d. gehad

groeten Oossie
 
Ook niks van je firewall gehoord?
Dat het programma toegang tot het www wil als het daar niks te zoeken heeft.

Groetjes,

Pieter
 
Schmaili wil bij mijn vriendin, dat is het systeem waar het op draait, niet naar internet. ook in NIS firewall kan ik er niks van terugvinden.
Maar nogmaals ze heeft een versie met betaalde licentie, en eigenlijk heeft ze er ook nooit problemen mee gehad totdat ze de update van versie 2 naar 3 uitvoerde. maar na een mailtje kreeg ze een nieuwe key opgestuurd.
En alle content staat lokaal op haar systeem.

Groeten Oossie
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan