DNS "gekaapt", werd er helemaal mal van

[prutsie]

Tsja, ik zal inderdaad wel ergens op "install" hebben gedrukt terwijl ik het beter had kunnen laten, maar ik had dus een DNS hijacker.

In eerste instantie had ik het nog niet eens in de gaten ook, maar bij zoekmachines kwamen er allerhande resultaten boven dobberen die er niet thuis horen. Evelene, best-buy, noem ze maar op, ze stonden boven aan in de lijst.

 

Alla, kennelijk had NOD32 hier even geen alarm geslagen, eens gescand, niets gevonden.

Dan maar de oude bekende Spyot er eens op loslaten. Nix, nada, noppes.

En ik wist toch zeer zeker dat er iets hopeloos niet in orde moest zijn. Dus DNS instelingen nog maar eens nagekeken, in orde. Hitman pro er eens op losgelaten, niets gevonden behalve weer wat tracking coockies.

 

Ik heb echt allerhande programmatuur geprobeerd, handmatig geprobeerd te bekijken welke processen er draaiden en welke niet in het rijtje thuishoorden volgens mij, geen resultaat. Ik dacht echt dat ik gek aan het worden was. Nog nooit heb ik zo abnormaal lang gezocht naar malware.

 

Alla, om een lang verhaal kort te maken, uiteindelijk gestuit op Prevx CSI . Helaas niet gratis, maar wel een gratis scan. En dit programma kwam wel met de infecties (ja, meerdere !!) boven tafel. Het killen van de processen en het verwijderen was daarna een peuleschilletje. Ik kan iedereen aanraden deze scanner eens over je harddisk te laten reutelen. Je weet dan in ieder geval of, en wat er loos is.

 

Ik hoop dat ik voorlopig verschoond blijf van dit soort rommel......

 

Groeten,

Peter.

 

 

[Codx]

Daarom kun je beter als "beperkte user" werken en indien je rechten nodig hebt om te installeren overschakelen naar een admin account of in vista je rechten tijdelijk opwaarderen met UAC. En verder natuurlijk alleen software installeren van betrouwbare bron, windhoos netjes gepatched houden, goede virusscan, etc

 

Als je "onveilige" software wil testen doe dit dan in Vmware of Virtual PC.

 

[prutsie]

Goede virusscanner (NOD32), elke donderdag patchen lekken windows (XP), ik doe het allemaal. Het enige wat ik niet doe is als user inloggen. In het begin doe je dat natuurlijk ook wel, maar na 101 keer uitloggen en weer inloggen ben je dat dus een keer meer dan zat. Dan log je vervolgens toch weer (eigenwijs, ik weet het) als admin in.

Maar hier komt het ook niet van. Dit komt van een wazige (geen ranzige) site waar je voordat je het weet besmet bent met alerhande malware. In een onbewaakt moment 1 keertje op ok drukken omdat je die verd8&%# popup niet weg krijgt, en gaar zijn de rapen. Eigen schuld dus.

 

Wat mij dan alleen heel erg opvalt, en zwaar tegenvalt is dat geen van de "grote" bekende virus/spyware/malware scanners deze bedreigingen herkent.

Vroeger gebruikte ik Norton, maar dat legde nogal een belasting op de system resources. Daarna heb ik een aantal jaren Mcafee gehad tot volle tevredenheid. Alleen toen je hier de site advisor door je strot geduuwd kreeg en de pc ook merkbaar trager werd was ook hier de lol redelijk snel van af.

Op dat moment ben ik op NOD32 over gestapt, en tot een week geleden tot volle tevredenheid.

Ik heb Mcafee trouwens wel geprobeerd maar die vond dus ook niets. Ik heb een XS4All abonament dus Mcafee kan ik zo downloaden, zit bij je abonament inbegrepen.

 

Alla, ik ben er weer van af, al weet ik niet op welke site (waarschijnlijk een sat upload site) ik dit kado heb gekregen.

Omdat Prevx CSI echt het enige programma was welke direct alle drie aanwezige echte problemen herkende (coockies even niet meegerekend) vond ik het het vermelden hiervan meer dan waard. Misschien zijn er meerder gebruikers die vreemde zoekresultaten krijgen bij hun zoekmachines.

 

De malware waar het bij mij om ging:

C:\windows\system32\sysaudio.sys

C:\windows\system32\wdmaud.sys

C:\program files\drivespace indicator\drvspace.exe

 

groeten,

Peter.

 

ps. sysaudio.sys en wdmaud.sys heb ik overschreven met de juiste van Microsoft....

[WPW]

Origineel bericht van: prutsie

Het enige wat ik niet doe is als user inloggen. In het begin doe je dat natuurlijk ook wel, maar na 101 keer uitloggen en weer inloggen ben je dat dus een keer meer dan zat. Dan log je vervolgens toch weer (eigenwijs, ik weet het) als admin in.

Ook dat is weer een zwakke smoes om vooral maar weer te zeuren als je weer besmet bent >klik<.

Ggglll voer

[theparasol]

Het is een strijd

 

Het blijft opletten, vooral die achterbuurtjes op internet moeten op 1 of andere manier aan hun inkomsten komen.

De laatste truuks zie je daar dan ook het eerst... Net zoals al die "gewenste" content

[NINjak]

Ik vond deze tip het meer dan waard zodat we ons een voordeel ermee kunnen doen

 

Heb ook even een scan gegaan (kan nooit kwaad) en bij het programma ging alleen een alarmbel af bij de uninstaller van "Deamon tools lite" en aangezien ik die toch echt van de juiste site heb gehaald is die melding voor 99,9% bijna zeker vals.

 

[Puch]

Ook maar eens een scan gedaan => status: Clean

 

@NINjak

Ik heb ook deamontools lite staan, maar hij gaf geen melding bij de uninstall file.

Ik zou die van jou toch maar eens bekijken

[theparasol]

Hier ook alles clean

 

Hoewel Internet Explorer wel soms vastloopt met reageert niet sinds de laatste hot security update ivm remote code exploit.

 

Sinds die tijd ook maar opera en firefox geinstalleerd, die hebben er geen last van.

[prutsie]

@WPW

 

Citaat:

Ook dat is weer een zwakke smoes om vooral maar weer te zeuren als je weer besmet bent >klik<.

 

Ik zeur niet, ik constateer en waarschuuw. Zo iets als dit is me nog nooit overkomen, maar eens ben je aan de beurt. Natuurlijk kom jij nooit op wazige of ranzige sites. Ook hengel je natuurlijk nooit iets van een satupload, en van torrents of usenet maak je natuurlijk al helemaal geen gebruik. Zou illegaal kunnen zijn, of besmet met weet ik veel wat.

 

Nog ff wat, als ik wat van een site afhaal moet ik dit vaak toch installeren, dus admin right, dus kwetsbaar als de ziekte.

 

Dus geen zwakke smoezen, en zeuren al helemaal niet. Zelf veroorzaakt, zelf opgelost, niemand mee lastig gevallen, allen hier berichtje gepost over het volgens mij goede programma. Ik vind dat dus echt een aanrader.

 

groeten,

Peter.

[theparasol]

Zo is dat Prutsie. Maar je gaat me toch niet vertellen dat je de zure reacties WPW niet kent

[Codx]

Origineel bericht van: prutsie

Het enige wat ik niet doe is als user inloggen. In het begin doe je dat natuurlijk ook wel, maar na 101 keer uitloggen en weer inloggen ben je dat dus een keer meer dan zat. Dan log je vervolgens toch weer (eigenwijs, ik weet het) als admin in.
Maar hier komt het ook niet van.

En daar zit je FOUT! Hier komt het wel van. Je kunt wel zeggen je moet niet op wazige sites komen. Daar zit wel een kern van waarheid in maar ook een legale site kan wel is besmet zijn met iets of een script draaien.... Punt blijft dat als jij als ADMIN op een verkeerde link klikt (soms hoef je niet te klikken) kan een script al iets wegschrijven in je systeem. Dat kan NIET wanneer je als user ingelogd bent. En dat is het grote verschil

[pukje]

Admin inlog user inlog schrijfrechten ja of nee speeld geen

rol de browser is alleen daar om iets visueel te laten zien

en mag nooit iets wegschrijven !

 

Het probleem is gewoon de webbrowser die niet los/zelfstandig werkt

maar gebruik maakt van het lekke microsoft systeem.

 

[Codx]

Als je toch niet weet waar je het over hebt... zeg dan niks!

[pukje]

haha ,zeg jij mij dan maar waar het probleem zit ,als je het

niet weet houd maar je mond

 

[theparasol]

Ja joh: legale site zoals msn, hyves, nu.nl, sat4all of wat dacht je van rabobank.nl

 

Het is altijd hetzelfde liedje: je wilt iets, het werkt niet in de mode max security en dan ga je even kijken of het met admin rechten wel werkt. Heb ook eens zo'n wazig progje gedownloaded van zo'n sat upload board, jaren terug iets met seca2.

Run het progje: gebeurt niets!

 

Even binair bestand bekeken zag ik aan eind iets met irc en bot staan. Onmiddelijk systeemherstel erover -> opgelost!

 

Maar goed, nod32 is ook niet meer wat het was. Het is wel goed maar het is te populair geworden dus houden de bedenkers van rommel er ook rekening mee en testen ze of hun creatie ook langs deze scanner komt.