Op deze site ben je bezoeker nr

Klik hier om deze site aan je favorieten toe te voegen

Van dezelfde webmaster:

Trojaanse paarden en
website-snatchers

Heb je het wel eens meegemaakt? Opeens komt er een totaal onbekende site op je scherm wanneer je je computer opstart. Ra ra ra, waar komt die vandaan???

Als de oorzaak niet ligt in een huisgenoot die ergens per ongeluk of expres een site als startpagina heeft ingesteld, moet er sprake zijn van een Trojaans paard.

(banner-exchange)

Lees en huiver over wat er nog meer voor kwalijke zaken op het net gebeuren:
klik hier en bezoek "kapazafinito"

Wat is een website-snatcher?

Je bent op een site, en zonder dat je ergens klikt, word je naar een andere site gestuurd.
Dat kan een legale "snatch" zijn, zoals: je komt op een sub-pagina van een site binnen, en de webmaster stuurt je automatisch door naar de juiste ingang van zijn site. Deze "snatches" worden hier niet behandeld.
Maar het kan ook gebeuren dat er op een site een code staat die iets anders doet dan je denkt, en waar de webmaster in de meeste gevallen niets vanaf weet (of hij is er nog niet achter wat de oorzaak is van het feit dat iedereen van zijn site wordt weggekaapt)! Dat kan bijvoorbeeld een banner-exchange zijn, die soms in het begin gewoon zijn werk doet, maar later...

Wat is een Trojaans paard?

Historisch:

De stad Troje werd ingenomen dankzij het feit dat de vijandelijke soldaten binnenin een houten paard verscholen zaten dat aan de stad "cadeau werd gedaan". Toen het paard binnen de muren was, kwamen de soldaten 's nachts tevoorschijn... De rest laat zich raden.

En nu:

Bannerlinks werken soms via een stukje programmatuur op een verre server; dat kan JavaScript zijn (de meest gebruikte code) maar ook elke andere programmeertaal. Dat programma doet soms veel meer dan je denkt; het verandert bijvoorbeeld de instellingen op je computer, of Joost mag weten wat allemaal nog meer... In het minst erge geval krijg je opeens een andere startpagina, zoals bovenaan deze pagina wordt omschreven. In het ergste geval heb je een virus, of is de instelling van je computer zodanig veranderd, dat je zonder het te weten op het net inbelt via een duur 0900-nummer (dat laatste kan natuurlijk alleen als je via een inbelmodem surft, dus niet als je ADSL of kabelinternet hebt).

Een beruchte manier om een
Trojaans paard binnen te halen

Als er een venstertje tevoorschijn komt met de vraag of je bijvoorbeeld "Flash versie Future" wilt binnenhalen, klik dan NOOIT op "nee" (en ook niet op "ja"). Als je de nieuwste versie van een programma wilt downloaden, ga dan naar de website van de makers ervan! Want je hebt goede kans dat alle knoppen in het hele venster een link zijn naar een Trojaans paard, dus het maakt niet uit of je op "ja", "nee" of iets anders klikt; je haalt iets anders binnen dan je denkt. Als ze het bestand dat je downloadt ook nog een "vertrouwde" naam geven, merk je pas dat je iets kwalijks in je pc hebt als het te laat is.

Wat moet je dan wel doen?

Gebruik het toetsenbord. Wat soms helpt is ALT-F4, en als het venster dan nog steeds niet sluit, gebruik dan CTRL-ALT-DELETE.

Als je dat allemaal te gevaarlijk vindt (sommige pc's lopen vast als je op CTRL-ALT-DELETE drukt), kun je ook nog de internetverbinding sluiten voordat je in het venster klikt.

Klik hier om een demonstratie te zien...
(werkt zeker op Internet Explorer; in andere browsers misschien niet)

Nog een beruchte manier om een
Trojaans paard binnen te halen

Als je een reactie krijgt op een oproep of advertentie (van welke aard dan ook), kunnen Trojaanse paarden zich op 2 manieren aan je opdringen:
1. Je krijgt een mail (meestal in HTML-opmaak) met daarin een link.
2. Je wordt naar een website gestuurd met daarop een link.
In beide gevallen kan het zijn dat die link naar een Trojaans paard leidt!
Meer info hierover vind je op Datingbedrog (klik alleen op deze link als je het niet erg vindt om popups te krijgen!)

Een andere site die zich met deze materie bezighoudt, en waar je ook handige tips vindt: oprit.net

ZWARTE LIJST

Hieronder staat een alfabetische lijst met Trojaanse paarden en website-snatchers.
Alles is een Trojaans paard, tenzij anders vermeld:

24start

Kennelijk de nieuwe naam van 24web; zie Switch

24web

zie Switch

Amazingautossearch

Deze kun je binnenhalen als je denkt dat je alleen maar een plugin downloadt om mp3 te kunnen downloaden.
Sites waar je die vandaan haalt zijn o.a:
www.sandralyrics.com
www.negativebeats.com
en waarschijnlijk nog veel meer. Opvallend is, dat je een link ziet, waardoor je schijnbaar het mp3-bestand kunt downloaden, maar je krijgt een venstertje waarin je wordt gevraagd om een plugin te downloaden. Het ergste is nog: toen ik (webmaster) daarna het desbetreffende bestand wilde downloaden, bleek het er niet te zijn!
Het recept om hier weer af te komen
(per email gekregen van de maker; nog niet geverifieerd):
[citaat]
Windows Start Menu--Settings--Control Panel--Add/Remove Programs.
In the 'Add / Remove Programs' list, look for 'Window Search', 'Window Searching', 'Lop.com', 'LOP SEARCH', 'Browser Enhancer', or 'Ultimate Browser Enhancer' from the menu to run the uninstaller.
[einde citaat]

Bpath banner-exchange

De bannercode van Bpath opent een popunder (ook als je er niet op klikt!) die een link bevat naar een download van gratis screensavers. Pas na het downloaden van een plugin kun je deze screensavers binnenhalen, zeggen ze (maar of dat zo is...). Dit is precies dezelfde gang van zaken als bij Amazingautossearch, zie aldaar. Als je werkelijk gratis een screensaver zou kunnen downloaden, zou zo'n plugin niet nodig zijn! Het adres van Bpath is:
Bpath, Ltd.
Post Office Box 15018
Advanced Technologies Center
Haifa, 31905
Israel
sales@bpath.com

Cool Web Search

Naar verluidt, kun je deze verwijderen met SPYBOT (gratis te downloaden) of MICROSOFT ANTISPYWARE (onbekend of dit gratis is of niet). Dit Trojaanse paard herken je aan het feit dat je startpagina "about:blank" wordt, maar ipv een blanco scherm, zie je dit:

De snelste methode om hiervan af te komen (heb ik gehoord) is: zet je pc in DOS-mode en typ dan in: DEL C:\WINDOWS\XXXXXXXX.XXX (8 X-en, een punt, 3 X-en)
Meer over dit Trojaanse paard lees je hier.

Findthewebsiteyouneed

(Find the website you need) - zie Realtracker

hollandpuntcom.com

Dit bedrijf doet zaken met Realtracker - zie aldaar

Ilead / Itrack

wordt volgens vele weblogs veroorzaakt door Nedstat/Webstats4U/Motigo bezoekerstellers - zie Motigo

insanepictures.com

Heeft links naar popularscreensavers.com - zie aldaar.

Itrack

zie Ilead

Linksummary

zie Realtracker

MetaVisit Banner Exchange (website-snatcher)

Iedere site waar deze bannercode op staat, verliest al zijn bezoekers, die onmiddellijk naar elders worden ontvoerd.

moerstaal.nl

Dit bedrijf doet zaken met Realtracker - zie aldaar
en had tot voor kort een teller van Motigo op sommige van hun pagina's - zie aldaar.
Toen ik ze opmerkzaam maakte op het feit dat ze Trojaanse paarden aan het rondstrooien waren (op de startpagina van de nieuwsbrief om precies te zijn), antwoordde men: "Ik heb geen behoefte aan een discussie met je. Ik zou zeggen ga naar http://mijngegevens.moerstaal.nl en zet de nieuwsbrief uit, dan is het opgelost."
Hoe blind kan een mens zijn...

Motigo, voorheen Webstats4u, nog eerder Nedstat

Bezoekersteller die een popunder veroorzaakt (ilead.itrack.it), die op zijn beurt (soms?) een Trojaans paard installeert in de vorm van spyware in het cookie.

Nedstat

Zie Motigo

negativebeats.com

Zie Amazingautossearch

popularscreensavers.com

Ik kreeg een waarschuwing van AVG toen ik een screensaver wilde downloaden.

Realtracker

Deze bezoekersteller doet soms meer dan alleen tellen:
Een alert verschijnt: of je Linksummary als startpagina wilt instellen
of
een popup verschijnt, waarbij het kruisje om het venster te sluiten, in werkelijkheid een toestemming is om gemelde site als startpagina in te stellen
of
Linksummary wordt zonder meer als startpagina ingesteld.
Met veel moeite heb ik een email-adres gevonden waardoor ik contact kon opnemen met Realtracker (dat ze zich zo goed verstoppen is ook al verdacht). Ze hebben geantwoord en de beschuldiging op geen enkele manier tegengesproken.
Noot: Als je een website opent, zie je op de taakbalk wat er precies allemaal wordt geopend. Als je daar iets ziet met "findthewebsiteyouneed" erin, sluit dan onmiddellijk het venster; ook dit is Linksummary, dat zich op dat moment waarschijnlijk al probeert te installeren (je pc kan daarbij op tilt slaan, maar je instellingen zijn tenminste gered)!
Het schijnt dat dit Trojaanse paard alleen actief is als de webmaster iets aan de Realtracker-code heeft gewijzigd (waardoor een stukje reclame niet meer zichtbaar is, of zoiets). Ik heb in mijn jeugd een jongen gekend... als iemand hem geslagen had, sloeg hij iemand anders terug. Die jongen was dan ook zwaar geestelijk gestoord, net als de mensen van Realtracker dus...
Realtracker is onder volgende adressen bereikbaar (klik om een mail te sturen):
Arjan de Raaf - Managing Director
Gert-Jan Strik - Product Development
Jelle Meindertsma - Business Development
(en daarmee is hun anonieme status definitief doorbroken)
Zie ook deze site
Het recept om weer van die startpagina af te komen:
Vroeger hoefde je alleen maar je startpagina weer op de oude waarde in te stellen. Tegenwoordig schijnt dit net zo hardnekkig te zijn als Switch. Wie het huidige recept weet: graag melden. Ga daarvoor naar Superpromo en klik daar op "contact".

sandralyrics.com

Zie Amazingautossearch.

SW10

zie Switch

Switch

Switch, SW10, 24start, 24web en nog een aantal andere, kunnen de oorzaak zijn van de installatie van MS-Connect (of welke andere naam ze eraan kunnen gaan geven in de toekomst) op je pc. De naam van de maker, en hoe je MS-Connect verwijdert, lees je hier.
Ik heb geprobeerd contact op te nemen met de maker. Ik heb dat op een bijzondere manier gedaan: ik heb gemaild met het verzoek, mijn site op 24web te vermelden als link. Ik verwachtte dat ze dit zouden lezen en uit hun vel zouden springen. In plaats daarvan hebben ze de link blindelings geplaatst, dus vanaf hun site kun je hier terechtkomen.

Trafficzap

Dit is een bijzonder slinkse manier van bezoekers ontvoeren: het verschil met bijvoorbeeld AdExit is, dat die laatste een popup genereert op het moment dat je de site verlaat, terwijl Trafficzap zich in je computer nestelt en pas na lange tijd een popup genereert met een deelnemende site.
Het asociale aspect is hier vooral, dat de bezoeker het idee heeft dat de site die hij op dat moment bekijkt, de oorzaak is, en dus krijgt een onschuldige webmaster de schuld!
Het is vrijwel zeker dat Trafficzap een product is van Bravenet, of anders wordt het toch minstens door Bravenet gehost en/of verspreid.

Webstats4U

Zie Motigo.

Onder het motto: het werd hoog tijd!

MS-CONNECT

Al sinds enige tijd staat er een complete map met programma's op vele harde schijven, die telkens er weer op wordt gezet als je hem wist. De startpagina is:
C:\Program Files\MS-Connect\Portal\portal.html
(het kan zijn dat de map "MS-Connect" tegenwoordig "Startportal" heet)
Bovendien staat dit icoontje

op de taakbalk, waarmee je desgewenst kunt verversen etc (onzin, want dat gebeurt ook als je er niet op klikt). Ik heb van alles gedaan om erachter te komen van welke site dat afkomstig is, en na veel zoeken heb ik de boosdoener gevonden (zie verderop op deze pagina).

Hoe verwijder je bovenstaande portal?

Ik had een oplossing bedacht, maar een belangrijke aanvulling vond ik op het forum van Tweakzone (met dank aan Equinox en X4Peter):

1. Klik op "start" op de taakbalk, kies "uitvoeren" en typ daar dan: msconfig
2. Klik op het tabblad "opstarten".
3. In de lijst van programma's die vanzelf starten, zoek je naar ms-connect; het kan ook aangeduid zijn als Switch, cdm.exe, game.exe, msite18.exe, patch.exe, code.exe, cat.exe, hit.exe of arr.exe. Daarvoor staat een vinkje, dat je moet weghalen door erop te klikken. Pas op: het programma in kwestie kan meer dan eens in de lijst staan; vink ze allemaal af! Klik dan op "toepassen" en daarna op "ok".
4. Start de computer opnieuw op.
5. Haal de map "C:\Program Files" tevoorschijn.
6. Verwijder de map "ms-connect". Noot: tegenwoordig schijnt die map een andere naam te hebben: "startportal".
7. Haal de map "C:\windows\system" tevoorschijn.
8. Verwijder het bestand cdm.exe, game.exe, msite18.exe, patch.exe, code.exe, cat.exe, hit.exe of arr.exe (zie de lijst in punt 3), alsmede cdm.dll, game.dll, msite18.dll, patch.dll, code.dll, cat.dll, hit.dll of arr.dll.
9. Om absoluut zeker te zijn: maak de prullenbak leeg.
10. Om nog zekerder te zijn: start nogmaals de computer op en herhaal punten 1-3 om te zien of het beruchte programma echt weg is. Herhaal indien nodig ook punten 4 en verder.
11. Als je niet via de kabel of ADSL surft: check het nummer waarmee je inbelt; dit zou een 0900-nummer kunnen zijn. Verander dat indien nodig.
KLAAR! Je zult nu geen ongewenste startpagina van 24web of sw10 meer krijgen.

Werkt dit niet?

Bijvoorbeeld: zijn de bestandsnamen veranderd?

Dan is er een noodoplossing die met om het even welke gewijzigde bestandsnamen werkt:

Volgens een vraagsteller is de portal tegenwoordig C:\program files\plus18point\portal\portal.html. In dat geval doe je als volgt:
Open in de Windows Verkenner de map C:\program files\plus18point\portal. Dan open je Kladblok, waarin je niets schrijft (leeg bestand houden dus), en dat schrijf je weg als "portal.html" (op de vraag "het bestand bestaat al; overschrijven?" antwoord je "ja"). Daarna doe je hetzelfde met alle andere bestandsnamen die in de genoemde map staan: vervangen door een leeg bestand.
Vervolgens markeer je alle bestanden in die map (druk op CTRL-A) en je haalt de eigenschappen tevoorschijn (muismenu). Maak deze bestanden "alleen lezen" en "verborgen". Klik nu op de knop "bovenliggende map" in het venstermenu. Maak nu ook de map portal "alleen lezen" en "verborgen".
Het Trojaanse paard is niet echt verwijderd, maar het haalt tenminste de gehate portal niet meer tevoorschijn, en je hebt heel veel ruimte op je harde schijf teruggewonnen.

Voor de gevorderden

Doe het bovenstaande, maar het bestand "portal.html" laat je niet leeg, maar dat geef je de volgende inhoud:
<html>
<script language=javascript>
window.location="http://www.url_van_mijn_gewenste_startpagina.com";
</script>
</html>
Dit doe je natuurlijk alleen met dat ene bestand; de overige laat je leeg.

En dan nog iets: MS-Connect, sw10 en 24web zijn eigendom van het bedrijf dat zijn sites heeft geregistreerd onder de naam
Netservices BV
Saffierborch 12
5241 LN ROSMALEN
email: webmaster@2line.nl
tel 073-5230470 (vanuit België: 0031 73 5230470)
maar in het telefoonboek staat onder dat adres een andere naam, namelijk Switchworld.

Aanvulling
Mensen die Netservices/Switchworld hierop aanspraken, zijn wel eens met van alles bedreigd. Sinds kort schijnen ze een andere politiek te hanteren: desgevraagd geven ze op heel beleefde manier het recept om MS-Connect onschadelijk te maken.
Dat gaat dan zo:
Ga naar het configuratiescherm, dubbelklik op "software" en verwijder Switch(dial).
Wie dan echter denkt dat hij van alles af is, komt bedrogen uit, want ten eerste wordt het programma wel uitgeschakeld maar niet (volledig) verwijderd (ruimte op je harde schijf wordt niet vrijgegeven), en ten tweede krijgen mensen die via een modem inbellen, een onaangename verrassing bij hun volgende telefoonrekeningen: ze bellen namelijk nog steeds via het dure 0900-nummer op het internet in.
Laat je niets wijsmaken: hierboven staat het recept dat je nodig hebt om van alle ellende af te zijn. Werkt het niet, dan kun je altijd nog de roodgeschreven methode hanteren, maar ga dan toch nog eens mijn methode langs om echt alles weg te krijgen!

klik hier