Vreemde bestandjes

[Het Hof]

Norton 2003 herkent het niet als een virus, maar bij mij gebeurt het volgende:

Bij elke opstart wordt er in Local Settings/Temp een vierletterig exe-bestandje aangemaakt, dat uiteraard direct het internet op wil, maar wordt geblokkeerd door mijn firewall. Bij de volgende opstart wordt er in die map weer een ander vierletterig bestandje aangemaakt, die uiteraard ook snel naar buiten wil.

Kennelijk is er iets in het register geplaatst, die die files aanmaakt. Weet iemand hier raad mee?

 

[chrisgeerdink]

Scan eens op spyware met Ad-Aware of SpyBot S&D.

 

[Terrarabo]

Kan je ook een voorbeeld van zo'n bestandje noemen.
....exe of zo?
Scan voor de gein ook eens online bij www.housecall.nl
wellicht dat deze wel wat vindt.
Je kan ook in je opstartlijst kijken of daar niks vervelends bij staat.
Start- uitvoeren-typ dan MS Config en kijk bij het tabblad opsterten.

 

[Het Hof]

Op spyware had ik uiteraard gecontroleerd, maar dat was het niet. Dat van die opstartlijst was een goede hint, daar had ik zelf op moeten komen
In de opstart stond het bestand CGRBRTRC.exe en die was te vinden in de map Application Data. Daar zond die naast de bestaande mappen tussen een vijftiental bestanden, die allemaal waren aangemaakt op 18-2-2003 om 19.41 uur. En ja hoor, dat was de oplossing.
Harelijk dank dus voor jullie snelle reacties.

 

[Pieter Arntz]

@ Het Hof

Stond er achter die sleutel in msconfig de uitgang -QuieT ?

Dan wil ik dat bestandje namelijk heel graag hebben als Adaware en Spybot deze lop.com variant nog niet kenden.

Laat even weten of het zo is dan PB ik je mijn e-mail adres.

Groetjes,

Pieter

 

[Het Hof]

Die uitgang stond er inderdaad achter en ik wil je die file uiteraard toesturen.

Maar even voor mijn beleving: waarom wil jij die hebben? Is het iets, dat ik kan toevoegen aan een ad- warebestand of zo? Want ik zie het inderdaad als spyware, maar ik weet niet wat het zou doen, als ik 'm wel door zou laten.

 

[Terrarabo]

Geplaatst door Het Hof
Op spyware had ik uiteraard gecontroleerd, maar dat was het niet. Dat van die opstartlijst was een goede hint, daar had ik zelf op moeten komen
In de opstart stond het bestand CGRBRTRC.exe en die was te vinden in de map Application Data. Daar zond die naast de bestaande mappen tussen een vijftiental bestanden, die allemaal waren aangemaakt op 18-2-2003 om 19.41 uur. En ja hoor, dat was de oplossing.
Harelijk dank dus voor jullie snelle reacties.

Hey, super dat het weer is opgelost!!:thumb:

 

[Pieter Arntz]

Geplaatst door Het Hof
Die uitgang stond er inderdaad achter en ik wil je die file uiteraard toesturen.

Maar even voor mijn beleving: waarom wil jij die hebben? Is het iets, dat ik kan toevoegen aan een ad- warebestand of zo? Want ik zie het inderdaad als spyware, maar ik weet niet wat het zou doen, als ik 'm wel door zou laten.

PB stuur ik zo. Ik wil hem graag hebben zodat Adaware, Spybot, XCleaner, SpywareBlaster enz. hem aan hun definities toe kunnen voegen als het inderdaad een nieuwe is.
Lop.com is idd spyware. Je zou nog even voor de zekerheid BHODemon kunnen downloaden. Waarschijnlijk staat daar nog een verwijzende BHO naar een dll met en rare naam in (meestal 8 random letters). Die moet je dan door BHO Demon laten uitschakelen.

Groetjes,

Pieter

 

[Pieter Arntz]

Het Hof,

Ja het was wel degelijk een installer voor Music Search Online (gebundeld met lop.com) die je me gestuurd hebt.
De dll die erbij hoorde werd door PestPatrol herkend en de installatie werd tegengehouden door SpywareBlaster.
De bestandjes worden doorgestuurd naar de bevoegde autoriteiten.

Groetjes,

Pieter

 

[Het Hof]

Maar heeft het nu kwaad gekund? En waarom heeft Ad-Aware het niet herkend?

 

[Auk]

Geplaatst door Het Hof
Maar heeft het nu kwaad gekund? En waarom heeft Ad-Aware het niet herkend?

Lop (C2 Media) is nogal agressief. Ze weten dat hun troep gedetecteerd wordt, en daarom maken ze regelmatig nieuwe varianten.

Da's ook de reden waarom Peter jouw variant wilde hebben - zodat de 'bevoegde autoriteiten' hun anti-lop definities kunnen aanpassen.

Auk

 

[Pieter Arntz]

Adaware herkende trouwens wel een gedeelte van de veranderde waardes in het register als afkomstig van lop.com Evenals Spybot S&D overigens.
Maar beiden konden deze variant niet geheel verwijderen.
Ik heb al een toezegging dat SpywareGuard binnenkort geupdate wordt voor deze.
Bedankt voor het opsturen.

Groetjes,

Pieter

 

[saldos]

Het Hof,
Hier kun je een programma krijgen om C2 Media van lop.com te verwijderen:

http://www.smithpaul.com/docs/articles/lop/

Hier kun je meer informatie over jouw spyware vinden:

http://www.spywareinfo.com/articles/lop/

 

[Pieter Arntz]

Hoi Saldos,

De eerste link die je geeft bevat gedateerde informatie.
De nieuwe varianten van lop.com maken random CSLID's aan voor hun BHO, de procesnaam en de .dll
Het enige waar ze nog aan te herkennen zijn is de -QuieT uitgang achter de verwijzing in de Run sleutel en het feit dat je naar een van hun domeinen ge'hijacked' wordt.
Ik weet dan ook niet of dat programma wel werkt voor de nieuwe varianten.

Groetjes,

Pieter

 

[saldos]

Er is maar een manier om erachter te komen of het werkt of niet Pieter: Het programma installeren op een pc en dan kijken of die verwijdertool het programma verwijderd of niet.

 

[Pieter Arntz]

OK.

Mijn testcomputer gaat het druk krijgen dit weekend.
Ik laat het nog wel even weten.

Groetjes,

Pieter

 

[saldos]

Geplaatst door Pieter Arntz
OK.

Mijn testcomputer gaat het druk krijgen dit weekend.
Ik laat het nog wel even weten.

Groetjes,

Pieter

 

[Auk]

Geplaatst door Pieter Arntz
Hoi Saldos,

De eerste link die je geeft bevat gedateerde informatie.
De nieuwe varianten van lop.com maken random CSLID's aan voor hun BHO

Tuig is het... hun 'software' gedraagt zich steeds meer als een geavanceerd virus.

Toch is 'besmetting' simpel te voorkomen - installeer patches, zet je beveiligingsinstellingen goed en klik niet op 'leuke gratis toegangssoftware' en dergelijke knopjes.

Auk

 

[Pieter Arntz]

Hoi Saldos,

Gooi die link naar die uninstaller maar weg. De brancard was geen overbodige luxe.

Ik heb een paar HijackTHis logs gemaakt en daar alles wat niet met lop.com te maken had uitgeknipt.

Na installatie lop.com:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://thko.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://thko.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=thko.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://thko.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://thko.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://thko.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://thko.com/searchbar.html
O2 - BHO: (no name) - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\bleetrfrzdf.dll
O2 - BHO: (no name) - {652d61d4-65df-4c4d-8cdf-bdbe9b9342ff} - C:\DOCUME~1\Pieter\APPLIC~1\gllnprgrtrf.dll
O4 - HKLM\..\Run: [zgrtrl] C:\DOCUME~1\Pieter\APPLIC~1\dhfrstee.exe -QuieT
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{575C73D2-1A72-4A39-B8F3-1B8B44829DA9}: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{73C972C2-467E-4772-8FB2-D4D283F6F173}: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B52223B-7618-4D0D-9866-5D64F0715A42}: Domain = thko.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = thko.com
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F}

Na het runnen van de uninstaller:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://thko.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://thko.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=thko.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://thko.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://thko.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://thko.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://thko.com/searchbar.html
O2 - BHO: (no name) - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\bleetrfrzdf.dll
O2 - BHO: (no name) - {652d61d4-65df-4c4d-8cdf-bdbe9b9342ff} - C:\DOCUME~1\Pieter\APPLIC~1\gllnprgrtrf.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{575C73D2-1A72-4A39-B8F3-1B8B44829DA9}: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B52223B-7618-4D0D-9866-5D64F0715A42}: Domain = thko.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = thko.com
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F}

Na het cleanen met Spybot S&D en Adaware6:

O17 - HKLM\System\CCS\Services\Tcpip\..\{575C73D2-1A72-4A39-B8F3-1B8B44829DA9}: Domain = thko.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B52223B-7618-4D0D-9866-5D64F0715A42}: Domain = thko.com

Daarna heb ik handmatig nog 5 snelkoppelingen van mijn bureablad en 5 mappen die toegevoegd waren aan mijn favorieten moeten verwijderen. En nu ga ik voor de zekerheid systeemherstel doen.
De Uninstaller verwijderde dus wel de opstartsleutel in het regsister en de bijbehorende exe, maar repareerde verder niks.

Groetjes,

Pieter

 

[saldos]

Nou lekker dan. Dan mogen die link wel even aanpassen.