AllesPC

[Gismo1]

Vroeger bekend als een blauw vraagteken in een geel vierkantje, maar
ondertussen al dikwijls veranderd van naam en geen pictogram meer in
de systray.

In dit sticky een overzicht en nieuws als er een nieuwe variant van
MS-Connect (Switch) voorkomt.

[Gismo1]

Wat zijn Dialers?

Een dialer verbreekt de internetverbinding met de provider en brengt een andere internetverbinding tot stand.
Deze nieuwe verbinding loopt via een andere telefoonnummer, meestal een 0900-nummer.
Dit kan ook een buitenlands betaalnummer zijn.
Surfen via deze betaalnummers kosten niet zelden vele Euro's per minuut.

Dialers zijn in principe niet gemaakt om internetgebruikers te bedriegen.

Ze geven websites de mogelijkheid om (delen van) hun site alleen tegen betaling toegankelijk te maken.

Een beleefde dialer geeft daarbij duidelijk aan dat hij de verbinding gaat overnemen en zegt erbij dat dit geld gaat kosten.

Minder beleefde dialers doen hun werk echter op sluwere manier.
Ze brengen een nieuwe verbinding stilzwijgend tot stand en vooral bij ISDN gebeurt dit héél snel, dus eigenlijk onopgemerkt.

De meeste gebruikers gebruikers merken pas iets van de aanwezigheid van een dialer als hij honderden of, in het ergste geval, zelfs duizenden Euro's in rekening ziet gebracht op zijn telefoonrekening.

De dialers zijn vaak in de vorm van een nieuwe inbelverbinding in het configuratiescherm terug te vinden.
Daarnaast worden er vaak snelkoppelingen op het bureaublad geplaatst en worden ze ook aan het startmenu toegevoegd.

Meestal wordt de startpagina van je browser aangepast. Dit laatste is dan niet zomaar eenvodig op te lossen.
Een "script" zorgt er nl. voor dat de startpagina, telkens je de PC opnieuw opstart weer wordt veranderd.
Deze ongewenste nieuwe startpagina is dikwijls een site, vol met links die verder verwijzen naar andere websites die de dure dialer activeren.

Een voorbeeld van zo'n pagina vol rommel is bv. 24start.com.
Ook de pagina op onderstaande link, ogenschijnlijk héél vriendelijk is de toegang tot een dialer.

LETOP:gebruik van deze pagina raden we sterk af!!!
Als je op onderstaande link klikt, verschijnt er een vriendelijk uitziende spelletjessite. Druk echter NIET op Kom binnen! of je hebt in dit geval Switch op je PC.
Nogmaals raden we het gebruik van dergelijke sites sterk af.

h t t p ://www.onlinespelletjes.com/onlinegames/index.html

Hoeveel financiële schade zo'n dialer kan aanrichten hangt sterk af om welke dialer het gaat.

De minst erge dialers maken alleen een betaalde verbinding als er op een snelkoppeling of hyperlink naar een betaalsite wordt geklikt.

Er zijn echter ook dialers die de normale internetverbinding vervangen.
Je kan hiermee dus gewoon surfen, maar dan alleen tegen zeer hoge kosten.
Er zijn zelfs dialers die onmiddellijk een internetverbinding proberen te maken, nadat de computer opgestart is.

Wordt verder bijgewerkt.
Gismo

[Gismo1]

Wat is Spyware?

Spyware is een vrij algemeen begrip. Oorspronkelijk is het software die gegevens over de gebruiker verzamelt.
Deze gegevens worden dan doorgegeven aan de makers van deze Spyware Software

Een bekend voorbeeld hiervan is bv. Gator bekend om zijn o.a. "Date Manager".

Langzamerhand is Spyware een algemener begrip geworden.

Tegenwoordig valt er ook allerlei software onder, die minder goede bedoelingen hebben. Deze software wordt ook aangeduid met de naam Malware en Crapware is misschien een betere term.

Dit kan gaan van relatief onschuldig verzamelen van gegevens, tot het plaatsen van trojans, die bv. de gegevens van je kredietkaart verzamelen.

Er zijn Home Page kapers of scripts dewelke alle url's die je typt, omleiden naar een of andere rare zoekrobot.

Trojans die je PC veranderen in een spamserver.

Irritante Popups en Popunders, die zomaar ongevraagd verschijnen, zelfs als je niet aan het surfen bent.

Remote Admin Tools, dewelke je PC volledig kunnen overnemen.

Wordt verder bijgewerkt.
Gismo

[Gismo1]

Er zijn naast de bekende programma's Ad-Aware en Spybot ook slechte programma's.

Stel, je bent aan het surfen, en plots kom je op een pagina zoals deze,
waarop op je beeldscherm de volgende mededeling krijgt zoals hier:

Deze mededeling krijg je bv. op deze site: (klik dus gewoon op annuleren)

http://www.spywarekilla.com/ (mededeling verschijnt niet altijd)

Klik op annuleren en verlaat deze site.

Als je een scan doet met deze zogezegde spyware remover, dan zou heel
je PC vol zitten met Spyware.

DeLorean voerde de scan uit, en er werd vastgesteld door deze zogezegde
"Spyware-Remover", dat er in Frontpage bv. HotBar zou aanwezig zijn.

Dit is natuurlijk totale onzin. Met dit voorbeeld trachten we er op te wijzen,
dat je niet alle "Spyware-Tooltjes" mag betrouwen.

Ik heb dan nadien getracht van Hotbar te installeren. Ik heb in dit
geval geen aanpassingen in IE aangebracht.

Dit bewijst dat je moet opletten van sommige programma's.

Voorbeeld van een ander programma dat zogezegd Spyware verwijdert:

SpyAgent (om maar één voorbeeld te noemen)

Op het internet moet je zeer goed uitkijken.

Gismo

[Gismo1]

Update 10 april MS-Connect

Quickpage is weer gewijzigd.

Voortaan moet er gezocht worden naar de volgende benamingen in
het bestands-systeem en register:

Ls.exe (nieuwe naam na Cp.exe)
Run.cxq
Cxq
Mxq
Switch
Ls.inf
Quickpage
QuicktLme (let op de L )
X-callswitch
Switchdialer

Groetjes,
Gismo

[Gismo1]

Update 4 mei MS-Connect

Quickpage, de vroegere MS-Connect heeft weer een andere naam gekregen. Ditmaal is het OnlineDirect.

Voortaan moet er gezocht worden naar volgende benamingen
wat OnlineDirect installeerd:

Sed.exe (nieuwe naam na Ls.exe)
Sed.inf
Run.Cxq
X-Callswitch
Switchdialer
OnlineDirect

Dit in zowel register als het bestandssysteem.
Sed.exe heeft terug het icoontje wat er uit ziet zoals de opdrachtprompt.

Voortaan installeerd OnlineDirect

Register

HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTApplicationssed.exe
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/sed.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESOFTWAREOnlinedirect
HKEY_LOCAL_MACHINESOFTWARESwitchDialer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWS
un.cxq"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWSsed.exe"

In het bestandssysteem:

c:Documents and SettingsGebruikersnaamLocal SettingsTemp$Onlinedirect
c:Program FilesOnlinedirect
c:WINDOWS
un.cxq
c:WINDOWSsed.exe
c:WINDOWSDownloaded Program Filessed.inf
c:WINDOWSsystem32sed.exe

Gismo

[Gismo1]

OnlineDirect installeert zich voortaan als msnplus.exe

Zoeken en verwijderen in het bestandssysteem/OS

C:Program FilesOnlinedirect
C:WINDOWSmsgplus.exe
C:WINDOWS
un.cxq
C:WINDOWSsystem32msgplus.exe
C:WINDOWSsystem32CatRoot2 mp.edb
C:Documents and SettingsGebruikersnaamLocal SettingsTemp$OnlinedirectGUI

Zoeken en verwijderen in het register: (via start > uitvoeren en regedit typen

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.cxq
HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTApplicationsmsgplus.exe
HKEY_CLASSES_ROOTClasses
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/msgplus.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "CLSID"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESOFTWAREOnlinedirect
HKEY_LOCAL_MACHINESOFTWARESwitchDialer

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWSmsgplus.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWS
un.cxq"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache "C:WINDOWSSystem32msgplus.exe"

HKEY_CURRENT_USERSoftwareNetscapeNetscape NavigatorUser Trusted External Applications "C:WINDOWSSystem32msgplus.exe"

HKEY_CURRENT_USERSoftwareNetscapeNetscape NavigatorViewers "application/x-callswitch"

HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq

LET OP!!

msgplus.exe niet vergissen met Messenger Plus

Messenger Plus gebruikt ook msgplus.exe, maar dit
wordt geinstalleerd onder Messenger Plus!2 en
gebruikt MsgPlus.exe (let op de hoofdletters)

[Gismo1]

MS-Connect

Weer een naamswijziging.

Voortaan noemt OnlineDirect -> NowOnline en de procesnaam is com.exe.

Zoeken naar volgende items in het bestandssysteem

C:DocumentsandSettingsGebruikersnaamLocalSettingsTemp$NowOnlineC:Program FilesNowOnline
C:WINDOWScom.exe
C:WINDOWS
un.cxq
C:WINDOWSDownloaded Program Filescom.inf
C:WINDOWSsystem32com.exe
C:WINDOWSsystem32CatRoot2 mp.edb

Zoeken naar volgende items in het register:

HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTApplicationscom.exe
HKEY_CLASSES_ROOTClasses
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/com.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESOFTWARENowOnline
HKEY_LOCAL_MACHINESOFTWARESwitchDialer
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "CLSID"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWScom.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWS
un.cxq"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch "DisplayName"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch "UninstallString"

Kort samengevat moet je zoeken naar:

com.exe
com.inf
run.cxq
cxq
mxq
Switchdialer
NowOnline
x-callswitch

com.exe heeft het icoontje zoals de opdrachtprompt

Info wordt bijgewerkt van zodra er wijzigingen optreden.

[Gismo1]

MS-Connect - Naamswijziging (Windows 98se)

Voortaan noemt NowOnline -> FirstEnter en de procesnaam is dll.exe

Toegevoegde Mappen: 6

c:Program FilesFirstEnter
c:Program FilesFirstEnterCachedConnections
c:Program FilesFirstEnterIcons
c:Program FilesFirstEnterPortal
c:WINDOWSTEMP$FirstEnter
c:WINDOWSTEMP$FirstEnterGUI

Veranderingen in het register:

HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTClasses
HKEY_CLASSES_ROOTClassesshell
HKEY_CLASSES_ROOTClassesshellopen
HKEY_CLASSES_ROOTClassesshellopencommand
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESoftwareFirstEnter
HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/dll.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESoftwareSwitchDialer

dll.exe heeft het icoontje zoals de opdrachtprompt (dat was ook bij de voorganger com.exe )

Afbeelding


Opmerking:

Aangezien er veschillen zijn met XP (map "Documents and Settings"), staan
deze er niet bij. Dit om de eenvoudige redenen dat dit werd getest op een
PC met Windows 98se.

Een uitgebreid verslag kan je bekijken (txt bestand)

http://users.pandora.be/Gismo1/MS%20Connect/msconnect.txt


Windows XP:

HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTClasses
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESOFTWAREFirstEnter
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsage
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/dll.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESOFTWARESwitchDialer
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "CLSID"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWSdll.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWS
un.cxq"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch "DisplayName"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch "UninstallString"

In het bestandssyteem:

c:Documents and SettingsJe naamLocal SettingsTemp$FirstEnter
c:Program FilesFirstEnter
c:WINDOWSdll.exe
c:WINDOWS
un.cxq
c:WINDOWSDownloaded Program Filesdll.inf
c:WINDOWSsystem32dll.exe
c:WINDOWSsystem32CatRoot2 mp.edb

Kort samengevat, zoeken naar:

FirstEnter, dll.exe, run.cxq, dll.inf, tmp.edb, x-callswitch, switchdialer, cxq en mxq.
Dit zowel in het register als bestandssyteem.

dll.exe heeft het pictogram zoals de opdrachtprompt, wat bij de voorganger com.exe ook was.

[Gismo1]

FirstEnter noemt nu First2Enter en de procesnaam is nu run_21.exe.

Van dit bestand run_21.exe worden er 2 stuks geinstalleerd net zoals bij de voorgaande versies van deze dialer,
echter het bijzondere is nu dat het icoontje van deze run_21.exe wit of transparant is zodat deze op de witte achtergrond van Windows in de verkenner onzichtbaar wordt:



Run.Cxq en run_21.exe worden geinstalleerd in C:Windows.

run_21.exe komt ook voor in C:WindowsSystem32 en
wordt onder de naam Open2Enter opgestart onder de registersleutel:

Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentversionRun

In het register word het volgende geinstalleerd:

HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTApplications
un_21.exe
HKEY_CLASSES_ROOTClasses
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESOFTWAREFirst2Enter
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run_21.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESOFTWARESwitchDialer
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Open2Enter"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWS
un.cxq"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWS
un_21.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch

In het bestandssysteem:

c:Documents and SettingsGebruikersnaamLocal SettingsTemp$First2Enter
c:Program FilesFirst2Enter
c:Documents and SettingsGebruikersnaamBureaubladMore Games .lnk
c:WINDOWS
un.cxq
c:WINDOWS
un_21.exe
c:WINDOWSDownloaded Program Files
un_21.inf
c:WINDOWSsystem32
un_21.exe
c:WINDOWSsystem32CatRoot2 mp.edb

Kort samengevat, zoeken naar de volgende items dit zowel
int register als in het bestands-syteem:

cxq, mxq, run.cxq, run_21.exe, x-callswitch, switchdialer, run_21.inf,
First2Enter

[Gismo1]

Plus18Point is de nieuwe naam van Switchdialer (MS-Connect)

Volgende items worden in het register geinstalleerd door Plus18Point:

HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTApplicationssrv2.exe
HKEY_CLASSES_ROOTApplicationssrv2.exeshell
HKEY_CLASSES_ROOTClasses
HKEY_CLASSES_ROOTClassesshell
HKEY_CLASSES_ROOTClassesshellopen
HKEY_CLASSES_ROOTClassesshellopencommand
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/srv2.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Classes"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESOFTWAREPlus18Point
HKEY_LOCAL_MACHINESOFTWARESwitchDialer

In het bestands-systeem word het volgende geinstalleerd:

c:Documents and SettingsGebruikersnaamLocal SettingsTemp$Plus18Point
c:Program FilesPlus18Point
c:Documents and SettingsGebruikersnaamBureaubladMore Games .lnk
c:WINDOWS
un.cxq
c:WINDOWSsrv2.exe
c:WINDOWSDownloaded Program Filessrv2.inf
c:WINDOWSsystem32srv2.exe
c:WINDOWSsystem32CatRoot2 mp.edb

Werkwijze van verwijderen:

Opstarten in veilige mode (F8 drukken tijdens het opstarten)
Verborgen bestanden en mappen zichtbaar maken:

Start -> configuratiescherm -> mapopties -> weergave
dan het vinkje weghalen bij Beveiligde systeembesturingsbestanden verbergen.
Onderaan dit lijstje plaats je een vinkje bij Verborgen bestanden en mappen weergeven en je sluit af met op OK te klikken.

En dan de aangegeven items verwijderen, kort samengevat:

Zoeken naar :

run.cxq, cxq, mxq, srv2.inf, srv2.exe, switchdialer, x-callswitch, Plus18Point

dit in zowel het bestands-systeem als het register.
Tevens ook de inhoud van de mappen Temp, Geschiedenis en Content.ie5 leegmaken.

Temp -> C:Documents and SettingsGebruikersnaamLocal SettingsTemp
Geschiedenis -> C:Documents and SettingsGebruikersnaamLocal SettingsGeschiedenis
Content.ie5 -> C:Documents and SettingsGebruikersnaamLocal SettingsTemporary Internet FilesContent.IE5

Tenslotte je startpagina terug instellen en dan pas de pc terug opstarten in normale mode.

Gismo

[Gismo1]

MS-Connect / Switch : wijziging

Procesnaam van Plus18Point is nu intl.exe

C:WINDOWSintl.exe
C:WINDOWS
un.cxq
C:WINDOWSDownloaded Program Filesintl.inf
C:WINDOWSsystem32DummyX.dll
C:WINDOWSsystem32intl.exe
C:Program FilesPlus18Point

In het register wordt het volgende geïnstalleerd:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerNew Windows
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerNew WindowsAllow
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.cxq
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.cxqOpenWithList
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.cxqOpenWithProgids
HKEY_CLASSES_ROOT.cxq
HKEY_CLASSES_ROOT.mxq
HKEY_CLASSES_ROOTapplicationsintl.exe
HKEY_CLASSES_ROOTClasses
HKEY_CLASSES_ROOTDummyX.DummyXCtrl
HKEY_CLASSES_ROOTDummyX.DummyXCtrl.1
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeatureControl
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_LOCALMACHINE_LOCKDOWN
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/intl.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/System32/DummyX.dll
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch
HKEY_LOCAL_MACHINESOFTWAREPlus18Point
HKEY_LOCAL_MACHINESOFTWARESwitchDialer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache "C:WINDOWSSystem32intl.exe"
HKEY_CURRENT_USERSoftwareNetscapeNetscape NavigatorUser Trusted External Applications "C:WINDOWSSystem32intl.exe"
HKEY_CURRENT_USERSoftwareNetscapeNetscape NavigatorViewers "application/x-callswitch"

HKEY_CLASSES_ROOTCLSID{D99DAD94-A2D6-4D22-A1C5-87A2C60FAFCC} "(Default)"
HKEY_CLASSES_ROOTCLSID{D99DAD94-A2D6-4D22-A1C5-87A2C60FAFCC}InprocServer32 "(Default)"
HKEY_CLASSES_ROOTCLSID{D99DAD94-A2D6-4D22-A1C5-87A2C60FAFCC}ProgID "(Default)"
HKEY_CLASSES_ROOTCLSID{D99DAD94-A2D6-4D22-A1C5-87A2C60FAFCC}ToolboxBitmap32 "(Default)"
HKEY_CLASSES_ROOTCLSID{D99DAD94-A2D6-4D22-A1C5-87A2C60FAFCC}TypeLib "(Default)"
HKEY_CLASSES_ROOTCLSID{D99DAD94-A2D6-4D22-A1C5-87A2C60FAFCC}Version "(Default)"
HKEY_CLASSES_ROOTCLSID{D99DAD94-A2D6-4D22-A1C5-87A2C60FAFCC}VersionIndependentProgID "(Default)"
HKEY_CLASSES_ROOTInterface{61DBF389-FA6E-4759-B53C-5CE3A31465FC} "(Default)"
HKEY_CLASSES_ROOTInterface{61DBF389-FA6E-4759-B53C-5CE3A31465FC}ProxyStubClsid "(Default)"
HKEY_CLASSES_ROOTInterface{61DBF389-FA6E-4759-B53C-5CE3A31465FC}ProxyStubClsid32 "(Default)"
HKEY_CLASSES_ROOTInterface{61DBF389-FA6E-4759-B53C-5CE3A31465FC}TypeLib "(Default)"
HKEY_CLASSES_ROOTMIMEDatabaseContent Typeapplication/x-callswitch "Extension"

HKEY_CLASSES_ROOTTypeLib{6ABE1CBE-C319-4ABF-A574-1798D41EFD45}1.0\0win32 "(Default)"
Data: C:WINDOWSSystem32DummyX.dll
HKEY_CLASSES_ROOTTypeLib{6ABE1CBE-C319-4ABF-A574-1798D41EFD45}1.0FLAGS "(Default)"
HKEY_CLASSES_ROOTTypeLib{6ABE1CBE-C319-4ABF-A574-1798D41EFD45}1.0HELPDIR "(Default)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupClsidFeature "{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}"
Data: {5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}!1,0,0,2
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4} "IsInstalled"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4} "Version"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_LOCALMACHINE_LOCKDOWN "iexplore.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/intl.exe ".Owner"
Data: {5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/intl.exe "{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq ".Owner"
Data: {5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/run.cxq "{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/System32/DummyX.dll ".Owner"
Data: {5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageC:/WINDOWS/System32/DummyX.dll "{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4}"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Classes"
Data: C:WINDOWSSystem32intl.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWSintl.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWS
un.cxq"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs "C:WINDOWSSystem32DummyX.dll"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch "DisplayName"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSwitch "UninstallString"

Kort samengevat zoeken naar de volgende zaken:

intL.exe, intL.inf, run.cxq, DummyX.dll, Plus18Point

Het icoontje van intL.exe is een volledig wit , net zoals bij de vorige versie van SwitchDialer - MS-Connect (Plus18Point)

[Gismo1]

Nieuwe variant van Plus18Point:

int1.exe en int1.inf

De geïnstalleerde items zijn dezelfde als bij de vorige versie (intL.exe)

[Gismo1]

Switchdialer laat weer van zich horen en gebruikt weer al nieuwe benamingen.
Voortaan komt switchdialer voor als Activopen.

Het volgende word geinstalleerd in het bestandssysteem :

C:Program Filesativopen
C:Program FilesativopenSee more.html
C:Windowsativinst.exe
C:WINDOWSDownloaded Program Filesativopen.inf
C:WINDOWSsystem32ativopen.exe
C:WINDOWSsystem32ativopenX.dll

Het volgende word geinstalleerd in het register :
HKEY_CLASSES_ROOTAppID{F609FDB0-58E3-11D8-8BB6-006097330C01}
HKEY_CLASSES_ROOTAppIDativopen.EXE
HKEY_CLASSES_ROOTativopen.Receiver
HKEY_CLASSES_ROOTativopen.ReceiverCLSID
HKEY_CLASSES_ROOTativopen.ReceiverCurVer
HKEY_CLASSES_ROOTativopen.Receiver.1
HKEY_CLASSES_ROOTativopen.Receiver.1CLSID
HKEY_CLASSES_ROOTativopenX.ativopenXCtrl
HKEY_CLASSES_ROOTativopenX.ativopenXCtrlCLSID
HKEY_CLASSES_ROOTativopenX.ativopenXCtrlCurVer
HKEY_CLASSES_ROOTativopenX.ativopenXCtrl.1
HKEY_CLASSES_ROOTativopenX.ativopenXCtrl.1CLSID
HKEY_CLASSES_ROOTTypeLib{F609FDAF-58E3-11D8-8BB6-006097330C01}

HKEY_LOCAL_MACHINESOFTWAREativopen
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageD:/WINDOWS/ativinst.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallativopen
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCode Store DatabaseDistribution Units{5CBF8C22-E9A6-11D7-90FE-000AE4012999}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionModuleUsageD:/WINDOWS/ativinst.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "ativopen"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDlls "D:WINDOWSativinst.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallativopen

Kort samengevat, zoeken naar de volgende bestanden in het bestandssysteem en de het register :

Ativopen.exe , Ativopen.inf , ativinst.exe, ativopenX.dll