Virus? Trojan? Iets anders?

[krisken]

Mijn moeder blijkt momenteel het volgende voor te hebben op haar PC:
Om het even naar welke pagina je surft, er komen plots een pak links bij die er op een andere pc niet zijn. Deze links verwijzen meestal naar (vermoedelijk) google adwords accounts ivm ipad/iphone producten (win dit, win dat...). De link bij die erbij staat zijn in de vorm van prizedeals.net. Je hoeft er ook niet op te klikken om de reclame te zien, er over gaan met de muis is reeds genoeg.

Het lijkt er dus op dat iets de HTML code hijacked, links en rechts iets toevoegt en dit weergeeft.
De gebruikte browser is Firefox 20. Bij extra addons staat er niks speciaals aan.

[Trojan]

IK WEET VAN NIETS!

[Kenw00t]

Tja, scannen dan maar zeker. AVG "hijacked" ook de HTML door bij Google resultaten overal een groen vinkje te zetten...

[FunkStar]

Eerst combofix er eens op los laten, dan indien nodig malwarebytes en dan afsluiten door in Firefox addblock plus als addon te installeren.

[Petervanakelyen]

Bij addons staat niets speciaals, maar heb je ook al bij "extensies" gekeken? Een extensie en een add-on zijn in firefox twee heel verschillende dingen. Kijk ook eens je HOSTS-file (C:\Windows\system32\drivers\etc) na, daar mag normaal maar één lijn in staan (verwijzing van localhost naar 127.0.0.1).

[gbmed]

Bij mij staat de hosts file vol met URLsl, namelijk dankzij Spybot Search & Destry. Al die URLs worden verwezen naar 127.0.0.1 en kunnen dus door geen enkele internetbrowser geopend worden. @Krisken: heb je firefox al eens opgestart met de optie "Add-ons disabled". Dan kun je in safe mode herstarten of ook Firefox volledig resetten, in de zin van "factory reset"

[selder]

Tijdje geleden ook voorgehad, kijk eens bij add/remove software voor rare dingen die daar geïnstalleerd staan... Ik weet de exacte naam niet meer, maar er was gewoon een programma geïnstalleerd die voor die rare links zorgde...

[DIBO]

IK WEET VAN NIETS!

OK, jij misschien niet, maar van Virus blijft het wel verdacht stil....

[defenderII]

zijn er soms enkele toolbars geïnstalleerd. Laatst bij familie een toolbar gevonden die hier voor zorgde (ben de naam kwijt); afzetten hielp niet enkel des installeren en in het register verwijderen hielp.

een lijst van eventule toolbars kan mij mss helpen met de naam terug te vinden.

start de browser ook op op een andere site dan deze die standaard stond ingesteld?

[florisla]

Ook interessant om te testen is of het probleem in verschillende browsers opduikt? Bvb ook in een vers geïnstalleerde Chrome?

[krisken]

Het is in elke browser dat het opduikt, dus ik ga wss op zoek moeten gaan naar een programma dat lokaal de html code hijackt.
Morgen ben ik er terug, dus dan kijk ik even verder!

[ubremoved_539]

En wat zegt Malwarebytes ?

[krisken]

Noch malwarebytes noch windows zegt er iets over. Das juist het rare. Maar om eerlijk te zijn ook niet echt goed gekeken hoor ernaar...was rap-rap

[florisla]

Het is in elke browser dat het opduikt, dus ik ga wss op zoek moeten gaan naar een programma dat lokaal de html code hijackt.

Zeker even kijken in de instellingen van de netwerk verbindingen. Misschien dat je daar iets vreemd ontdekt dat er normaal niet tussen staat.
Je kan ook proberen om alles uit te schakelen behalve "Internet Protocol TCP/IP" en dan nog eens testen.

[tonym]

Rond de jaarwisseling hadden de kids ook iets analoog op de PC van hun moeder binnengehaald.
Dit soort hijacker wordt blijkbaar door de meeste klassieke anti-malware progs niet herkend.
Ik heb er ook nogal wat tijd ingestoken om het eraf te krijgen. Uiteindelijk na wat graven
in het probleem deze tool gevonden die WEL met dit soort hijackers afrekent: AdwCleaner

http://general-changelog-team.fr/en/dow ... adwcleaner

[ubremoved_539]

Je kan ook proberen om alles uit te schakelen behalve "Internet Protocol TCP/IP" en dan nog eens testen.

Dergelijke malware kaapt net je TCP/IP stack... enige oplossing is hem te vinden en te verwijderen.

[lacer]

@krisken
misschien niet geheel oftopic, maar gebruik je nog (soms, ooit, nooit ... ) het Ubuntu besturingssysteem waarvan je de avatar van gebruikt hier op UB ?

[krisken]

Niet echt Maar blijft gewoon staan als avatar. Is nu zowat altijd centos op servers.

[lacer]

Al eens gedacht om linux op de geinfecteerde pc van je moeder te installeren ? In de Ubuntu familie is er altijd wel iets gebruiksvriendelijk. En ze zal eens en voor altijd verlost zijn van dat vervelend gespuis in Windows.
Ik weet het...totaal offtopic. Als je wil doen we verder in een non-windows topic of zelfs via PM.

[krisken]

Ik dacht wel dat je die weg wou op gaan Het zou uiteraard een oplossing zijn maar ook linux pc's hebben kans op virussen hoor. Véél minder maar toch, ze bestaan...

Anyway dit lijkt mij niet de gepaste oplossing. Dit gaat bij haar alleen voor onnodige frustraties zorgen (ze gebruikt die pc enkel voor surf en mail, niks meer) zodat ik of mijn broer telkens telefoon gaan krijgen waar ze dit, dat, zus of zo kan vinden. Overigens ben ik ook van mening dat het probleem moet opgelost worden, en niet met een work-around.

[lacer]

ok krisken, ik begrijp het.
Al is er geen verschil op het vlak van het gebruik van internet in het algemeen. Het is zelfs ideaal als je veel surft, chat en download, maar dat zal je vermoedelijk wel weten hé.
En als je eens van een linux virus hoort, laat het mij weten hé

[gbmed]

Rond de jaarwisseling hadden de kids ook iets analoog op de PC van hun moeder binnengehaald.
Dit soort hijacker wordt blijkbaar door de meeste klassieke anti-malware progs niet herkend.
Ik heb er ook nogal wat tijd ingestoken om het eraf te krijgen. Uiteindelijk na wat graven
in het probleem deze tool gevonden die WEL met dit soort hijackers afrekent: AdwCleaner

http://general-changelog-team.fr/en/dow ... adwcleaner

Heb dit inderdaad ook nodig gehad en was van een vervelend probleem af (weet ondertussen wel niet meer welk specifiek probleem ik had).

Edit: had iets te maken met de service RelevantKnowledge

# AdwCleaner v2.300 - Logfile created 05/09/2013 at 23:03:50
# Updated 28/04/2013 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (64 bits)
# User : GBMED
# Boot Mode : Normal
# Running from : E:\Download\adwcleaner.exe
# Option [Delete]


***** [Services] *****

Stopped & Deleted : RelevantKnowledge

[fendtje]

ad block plus en bvb your uninstaller lost al veel op.