English

zaterdag 25 december 2010

AVG markeert MBAM als een Trojan

[OPGELOST]

Een update van AVG op 24 December 2010 zorgde ervoor dat twee DLL files van MBAM (mbamcore.dll en mbamnet.dll) aanzien werden als malware.
AVG heeft deze false positive bevestigd en ondertussen gecorrigeerd.

Wat te doen wanneer je deze per ongeluk in quarantine hebt geplaatst ?

1 . Exclude de Malwarebytes' Anti-Malware program files directory
(gewoonlijk C:\Program Files\Malwarebytes' Anti-Malware,
of C:\Program Files (x86)\Malwarebytes' Anti-Malware op x64 operating systems) van AVG.

Gedetailleerde instructies hoe je dit moet doen kan je hier vinden.


2. Herstel de DLL bestanden vanuit de AVG kluis.


  • Start AVG
  • Klik op Geschiedenis > Virus kluis
  • Selecteer mbamnet.dll
  • Klik op Herstellen
  • Selecteer mbamcore.dll
  • Klik op Herstellen

Bron: MBAM.org
Gepost door op Geen opmerkingen:
Labels: , ,

vrijdag 24 december 2010

Online cursussen Programmeren.

Het heeft een tijdje geduurd, maar ik heb dan eindelijk een goede, degelijke cursus gevonden.

Free computer Tutorials is van Home & Learn en bied enkele cursussen aan voor beginners. Gratis en in het Engels.

Een greep uit het ruime aanbod:




  • Visual Basic.Net

  • Visual C#.Net

  • Java

  • PHP

  • Web design


Een ander goede bron is C# Online


Als je, net zoals ik, leergierig bent en geinteresserd in programmeren,
maar het moe bent van de zoveelste "Hello World" te doornemen, zijn deze websites de moeite waard om uit te checken.

Veel leerplezier :)

Gepost door op Geen opmerkingen:
Labels:

woensdag 17 november 2010

Anti Malware Help

Regelmatig wordt de website Anti Malware Help bijgewerkt en nieuwe onderwerpen toegevoegd.

De nieuwe onderwerpen die onlangs zijn toegevoegd noemen :
  • Verwijder rogues

    Met voorlopig Security Tools, Think Point en Security Suit.
    Dagelijks duiken er wel nieuwe Rogues (valse anti malware tools) op.
    Diegene die op de website behandelt worden, zijn de meest actuele in de regio.

    Als er nieuwe ontwikkelingen zijn op dit gebied, wordt hierop ingespeelt.
    Op deze manier trachten we de slachtoffers zo snel en acuraat mogelijk te helpen.

    De richtlijnen worden in het nederlands geschreven.

  • Compatibiliteit

    In deze rubriek trachten we de vraag te beantwoorden : Welk tool op welk systeem, 32 en 64 bits.
    Niet zo eenvoudig te achterhalen soms, maar we doen ons best.

  • ShieldsUp

    Doet je firewall wat hij moet doen?
    Ben je voldoende afgeschermd tegen binnenkomende aanvallen?
    Bij ShieldsUp krijg je hierop een betrouwbaar antwoord.

  • Herstelpunten opruimen

    Wanneer een systeem niet naar behoren functioneert, is dit een van de eerste handelingen:
    Het terugzetten naar een vorig systeemherstelpunt.

    Hier worden de werkwijze voor de verschillende Operating Systemen uitgelegd.

Op dit moment wordt er hard gewerkt om de site eveneens in het Engels beschikbaar te maken.

Emphyrio :)

Gepost door op Geen opmerkingen:
Labels:

zondag 24 oktober 2010

Facebook applicaties sturen privé-informatie door

Uit een onderzoek van de Amerikaanse zakenkrant The Wall Street Journal blijkt dat een groot aantal Facebook-applicaties persoonlijke informatie van de Facebook-gebruiker doorstuurt naar online adverteerders en bedrijven.

Volgens The Wallstreet Journal zou het gaan om miljoenen gebruikers.
Zelfs van de gebruikers die hun account deels privé hebben ingesteld, zou informatie doorgestuurd zijn door veel applicaties.

De applicaties op Facebook, waaronder ook het populaire Farmville, maken gebruik van een identificatienummer voor iedere gebruiker.
Hierdoor kan informatie van de gebruiker en diens vrienden makkelijk worden verzameld.
Het identificatienummer is eigenlijk bedoeld om de gegevens voor andere gebruikers zichtbaar te maken.

Facebook vermeldt dat ze het probleem momenteel proberen op te lossen.
Daarnaast laat de netwerksite weten dat ze de verspreiding van privégegevens proberen te verkleinen.

We volgen dit met de grootste belangstelling.

Bron : Techzine
Gepost door op Geen opmerkingen:
Labels: ,

woensdag 15 september 2010

HJT Analyst, something for You?

Often I am getting the question dropped : How do I become a Hijackthis Analyst?
The answer to this question isn't gonna be a quicky one.



Prologue

Actually the term "Hijackthis Analyst" is old fashion and is from the days that most malware could be identified and solved by use of the Hijackthis tool (original written by Merijn).

"Anti Malware Analyst" is a more up to date and accurate discription.

Today we are confronted with root/boot kits (often the result of exploit abuse) and therefore it's necessary to make use of alternative tools.

Combofix (sUBs), DDS (sUBs), OTL (Old Timer), Gmer (Gmer), The Avenger (Swandog46) are the most used nowadays.





Function Discription


  • Solving a malware problem, posted by the Topic starter (TS).

  • Analyse and interpreting of logs posted by the TS or on request of the analyst.
This forms the base on writting a fix and solving the problem.

Solving a malware problem is done in 4 steps:


  1. Analyze / diagnose: Recognize the symptoms and the malware involved.

  2. Treatment: Writing of the fix.

  3. Prognose: Expected result.

  4. Feedback: Evaluate and adjust the treatment.


Kwalifications

  • Know how to read !!!

  • Maturity

  • Inquisitive

  • Knowledge of Windows Operating System and his Registery.

  • DOS (batch) knowledge.

  • Stress resistant

  • Persistence


Courses


Nederlands / Dutch : Hijackthis.nl

English / Engels: Bleeping Computer, SWI and Geekstogo.


Conclusion

Solving a malware problem is a very intensive job that could take up a lot of time.

Even more time then you expected.


The difference between a Analyst and a good Analyst is the knowlegde you gathered and the efficiency to use that knowledge to solve the problem.

The reward is the intellectual victory you get and, not in the least, the gratitude of the Topic Starter.


Emphyrio :)
Gepost door op Geen opmerkingen:
Labels:

dinsdag 17 augustus 2010

MBAM manueel updaten

Indien je géén internetverbinding hebt en je beschikt over een andere PC die wél internet heeft, kan je MBAM alsvolgt updaten :

Eerst op BEIDE PC's je verborgen bestanden en mappen weergeven.

Op de PC mét internet update je MBAM.
Kopieer volgend bestand eveneens op je USB stick of CD:

  • Windows XP en 2000 :
    C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref

  • Windows Vista en Wndows 7 :
    C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref


Zet MBAM eveneens op deze USB flashdrive of CD en installeer deze op je andere PC.
Zet rules.ref vanaf je USB stick in de juiste map.
Start MBAM.
Gepost door op Geen opmerkingen:
Labels: , ,

Security Suite verwijderen.

Voer exact de procedure uit zoals beschreven staat.
Indien je Vista hebt, alles uitvoeren als administrator........


De mogelijkheid bestaat dat de infectie je niet toelaat om bestanden te downloaden.
Als dit het geval is dan moet je de nodige (en opgesomde tools) van een ander PC downloaden.
Hiervoor kan je CD/DVD, externe HD of een USB stick gebruiken.

Om MBAM geupdate te plaatsen op je PC, volg je deze volgende instructies.


Symptomen in Hijackthis:

O4 - HKLM\..\Run: [] C:\Documents and Settings\Bleeping\Local Settings\Application Data\*random*\*random*shdw.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Bleeping\Local Settings\Application Data\*random*\*random*shdw.exe

STAP 1

Start je PC op in Veilige Modus met Netwerkverbinding.


STAP 2



  • Open IE

  • Ga naar Extra > Internetopties > Tabblad Verbindingen.

  • Klik op LAN-instellingen.

  • Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.

  • Onder Proxyserver mag er niets aangevinkt zijn.




Sluiten door OK > Toepassen > OK


STAP 3

Eerst moeten we de processen van Security Suite stoppen.
Dit doen we door gebruik te maken van het tool : rkill.com

Download rkill.com naar je bureaublad en dubbelklik erop. Dit zal de processen stoppen.
Wees geduldig want dit kan een beetje tijd in beslag nemen.

Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon.
Het is namelijk een vals alarm van Security Suite.

Wanneer je hiermee problemen blijft houden , download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.


ZEER BELANGRIJK !!!! Herstart je PC niet na het uitvoeren van rkill.com


STAP 4

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:


  • Update MalwareBytes' Anti-Malware

  • Start MalwareBytes' Anti-Malware


Klik daarna op "Voltooien".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Zodra het programma gestart is ga je naar het tabblad "Instellingen".
Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".

  • Ga naar het tabblad "Updates" en Update MBAM.

  • Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".

  • Druk vervolgens op "Scannen" om de scan te starten.

Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is.
Klik vervolgens op: "Verwijder geselecteerde".

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Indien MBAM vraagt om een herstart, doe dit dan ook.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.


STAP 5

Deze infectie gaat gewoonlijk samen met een TDL3 infectie.


Download TDSSKiller en plaats het op je bureaublad.
Pak de bestanden in tdsskiller.zip uit.
Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
Klik op de knop "Start Scan" en volg de instructies.

Als er een Reboot (herstart) wordt gevraagt, dan klik je op Reboot Now.
Anders klik je op Report.
Kopiëer en bewaar de logfile die tevoorschijn komt.


Opmerking:

Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt
Gepost door op Geen opmerkingen:
Labels: ,

maandag 9 augustus 2010

Mivercon Security Forum

Blue Medicine heet voortaan Mivercon Security Forum.

Het vroegere forum heeft enkel een andere naam en domein gekregen.
De service is het zelfde.
Gepost door op Geen opmerkingen:
Labels:

zondag 25 juli 2010

Antivir Solution Pro verwijderen.

Antivir Solution Pro is een Rogue. Een "vals" antivirustool dus.

In een Hijackthis log zijn er de volgende symptomen te zien :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
O4 - HKLM\..\Run: [] %UserProfile%\local settings\application data\\.exe
O4 - HKCU\..\Run: [] %UserProfile%\local settings\application data\\.exe

De oplossing:

Deze lijn mag je fixen in Hijackthis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643

Vervolgens:

Open IE
Ga naar Extra > Internetopties > Tabblad Verbindingen.
Klik op LAN-instellingen.
Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.
Onder Proxyserver mag er niets aangevinkt zijn.
Sluiten door OK > Toepassen > OK
Herstart je PC..

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.


Start je PC op in Veilige Modus.


Eénmaal in Veilige Modus, voer je het volgende uit:


Dubbelklik op mbam-setup.exe om het programma te installeren.
Ga nu naar de Program Files\Malwarebytes' Antimalware map.
Selecteer de mbam.exe file.
Hernoem deze naar iexplore.exe
Maak een snelkoppeling en plaats deze op je bureaublad.

Herstart je PC in Normale Modus.

In normale modus doe je het volgende:

  • Dubbelklik op iexplore.exe (<= de hernoemde mbam.exe)

  • Als MBAM opent UPDATE je MBAM via Update tab > Check for updates.

  • Vervolgens selecteer je de snelle scan en klik je op Scan
    • .
  • Als de scan gedaan is, klik je op OK en Show Results
    • .
  • Vergewis je ervan dat alle items geselecteert zijn en klik op Remove Selected
    • .
  • Herstart je PC indien MBAM hierom vraagt.

Als alles uitgevoerd is, zal er een log tevoorschijn komen.
Bewaar deze log.


Hernoem iexplore.exe (uit de Program Files\Malwarebytes' Antimalware map) terug naar mbam.exe en verwijder de snelkoppeling van je bureaublad.



Emphyrio :)

Gepost door op Geen opmerkingen:
Labels:

maandag 28 juni 2010

Een "verdwenen" partitie herstellen.



Door een wispelturige gril van Windows, was ik een partitie kwijtgeraakt.



Mijn Backup partitie van 283 Gb nog wel.
Tijd om opzoek te gaan naar een gratis recoverytool dus.


Eerst had ik Partition Find and Mount 2.31 gedownload.
De free to use versie natuurlijk.

Nadat ik de noodzakelijke scan opties had ingesteld ( Thorough), vond deze tool een aantal verloren gewaande partities.

De partitie die ik moest zien te recupereren bedroeg 283 Gb.
Het terugzetten van een directorie van 40 Gb duurde 24 uur.

Met 283 Gb te herstellen had ik dus enkele dagen te gaan.
Dit duurde me té lang.





Vervolgens PartitionRecovery 1.0 ontdekt.
Klein, gratis en vereist geen install.



Unzippen en klikken op PartitionRecovery.exe.
Vervolgens klik je in het vakje waar de partitie zich zou moeten bevinden.
Klikken op Restore en ....pats !!!


In minder dan één seconde was mijn partitie hersteld.


Prachtig.








Toch nog even een belangrijke waarschuwing :



Als dit je ooit voorvalt (een verdwenen partitie) ga dan niet zitten te experimenteren.
En al zeker niet een extra of nieuwe partitie aanmaken.

Wanneer je dat doet, is er géén hoop tot recovery (herstel) meer.



Gepost door op Geen opmerkingen:
Labels:

zondag 27 juni 2010

Whistler Bootkit (English)

Update: Combofix removes this infection.
Use Combofix only in collaboration with a Qualified Helper.


Please bare in mind that following instructions is for Qualified Helpers.
If You are not, take counseling at one of the Hijackthis fora.

Don't try this fix if Your system has a factory MBR or Multiboot.

Not long ago I came across the Whistler Bootkit in a Hijackthis log.

This very aggresieve malware takes over the PC.
Gmer, The Avenger 2, Combofix,.. didn't give any solution.
Nor did a System Recovery !

Next symptoms are visible:

Kaspersky :

HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder

Dr Web :

smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 No recovery.Replaced

svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 No recovery.Replaced


In Hijackthis, one can notice the following:

Running processes:

C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe

or after a system recovery :

C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe


Combofix shows us :

------------------------ Other active processes------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe

(or C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe )



The Startup list of Hijackthis shows the following (if systemrecovery was used)

Windows NT 'Wininit.ini' :

PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE




The PendingFileRenameOperations value under [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] wasn't present.

Combofix en The Avenger deletes the two files, but after a reboot they immediately came back..


Identification:

Intensive search on Google learns me that I have to deal with a Whistler Bootkit.


The solution:

Because this one hides himself in the bootsector , speed and accuracy is of the most importance.

Step 1

Downloadt bootkit_remover.rar (INFO)
Unzip the file.
Open the directory map bootkitremover en double click on remover.exe.
Post whats appears on the screen. (copy & paste)

Step 2

A infected bootsector looks like this:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix


This line gets my immediately attention : \\.\PhysicalDrive0


Before moving on with the repair, doublecheck this with MBRcheck:

Download MBRCheck.exe towards your desktop.
Dblclick MBRCheck.exe.


If You get a message rapport, typ N and Enter.
Enter again.

On your desktop You will find MBRCheck_mm.dd.yy_hh.mm.ss .

If it look something like this :



\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6


Done!


Then we are done !

Else, follow the next instructions.


We remove this by writing a batch with a switch for remover.exe :




@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT

By executing this batch, the PC has to reboot immediately.
Its is very important that the TS does this because of the possibility of reinfection.

One can also implement the DOS command SHUTDOWN -r into the batch:

@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
SHUTDOWN -r
EXIT

After a reboot, ask the TS to run remover.exe again and let him post the remover.exe log.


If everything was going ok, the log must look like this:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Double check it with Gmer and Hijackthis.

Its recommended to let the TS change his passwords.

Emphyrio :)

Thanks to Marckie for support me with this difficult infection .
Gepost door op Geen opmerkingen:
Labels: , ,

dinsdag 22 juni 2010

HJT Analyst, iets voor jou ?

Regelmatig krijg ik de vraag te horen "hoe je een Hijackthis Analyst wordt".
Deze vraag is niet in één-twee-drie te beantwoorden en hangt van een paar factoren af.


Inleiding

Eigenlijk is de term "Hijackthis Analyst" voorbijgestreeft en is "Anti Malware Analyst" meer up-to-date.

Hijackthis Analyst stamt nog uit de tijd dat de meeste malware met het Hijackthis tool nog te identificeren en te fixen was.

De dag van vandaag is dit niet meer waar.

Rootkits, bootkits (dikwijls het gevolg/misbruik van exploits),... maken het noodzakelijk naar andere analyse tools te grijpen.

Combofix (sUBs), DDS (sUBs), OTL (Old Timer), Gmer (Gmer), The Avenger (Swandog46) om de meest gebruikte maar eens op te noemen.


Functie omschrijving

Het oplossen van een malware probleem gepost door een topicstarter (TS).

Analyzeren en interpreteren van logs gepost door de topicstarter of op aanvraag van de analyst .
Op deze basis wordt dan een fix geschreven.

Het oplossen van een malware probleem gebeurt in de volgende stappen:




  1. Analyze / diagnose: Het herkennen van symptomen en malware.

  2. Behandeling: Het schrijven van de fix.

  3. Prognose: Het te verwachten resultaat.

  4. Feedback: Bijsturen van de behandeling.



Kwalificaties

Kunnen lezen !
Maturiteit.
Leergierig.
Kennis van Windows en zijn registers.
Dos (batch) kennis.
Kennis van de gebruikte tools.
Kennis van beveiligingssoftware.
Stressbestendig.
Volharding.

De kwalificaties die opgesomd worden zijn of aanwezig of aan te leren.
Wanneer je Analist bent wordt verondersteld deze kwalificaties te bezitten.


Cursussen

Nederlands: Hijackthis.nl

Engels: Bleeping Computer, SWI en Geekstogo.


Tot Slot....


Het oplossen van malware problemen is een intensieve bezigheid dat wel eens meer tijd in beslag neemt dan je had verwacht.

Het onderscheid tussen een analyst en een goede analyst, is de kennis die je hebt vergaard om malware een stap voor te zijn en de efficiëntie om het probleem tot een goed einde te brengen..

De beloning is de intellectuele overwinning dat je hebt behaald en, niet in het minst,
de dankbaarheid van de topicstarter.



Emphyrio :)
Gepost door op Geen opmerkingen:
Labels: ,

vrijdag 21 mei 2010

Whistler Bootkit

Update : Deze infectie wordt verwijderdt door ComboFix.
Het gebruik van Combofix kan je beter in samenwerking met een Gekwalificeerd Helper doen.

Zie de fora list, rechts.

For the English version of this explanation,look here.
Don't use Google translation, its teribble.

WAARSCHUWING

Onderstaande is enkel geschikt voor Gekwalificeerde Helpers.
Ga niet op je eentje zitten te fixen !!!

Gebruik deze fix niet indien het gaat om een factory MBR of Multiboot.



Onlangs ben ik tegen de Whistler Bootkit gestoten in het behandelen van Hijackthis logs.

Deze malware neemt aggresief en onmerkbaar bezit van je PC.
Gmer, The Avenger 2, Combofix,.. het heeft niet mogen baten.

Een Systeem Herstel zal eveneens niet werken !


Volgende symptomen zijn van toepassing:

Kaspersky :

HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder

Dr Web :

smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.

svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.


In de Hijackthis logs is er het volgende merkbaar :

Running processes:

C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe

of na een uitgevoerde Systeemherstel :

C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe


Combofix toont ons :

------------------------ Andere Aktieve Processen ------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe



De Startup List van Hijackthis laat ons volgende zien:

Windows NT 'Wininit.ini' :

PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE


De PendingFileRenameOperations waarde onder [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] was niet aanwezig.

Combofix en The Avenger verwijderen wel de twee bestanden, maar deze komen na een reboot onmiddelijk terug.


Identificatie:

Dieper en intesiever zoeken op Google leert me
dat we hier te maken hebben met Whistler Bootkit.


De oplossing:

Vermits deze infectie zich nestelt in de bootsector, is snelheid en accuratie belangrijk.

Stap 1

Downloadt bootkit_remover.rar (INFO)
Unzip het.
Open de map bootkit_remover en dubbelklik op remover.exe.
Post even wat er in het scherm verschijnt.

Stap 2

Een geinfecteerde bootsector kan er alsvolgd uitzien:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix


Deze trekt meteen onze aandacht : \\.\PhysicalDrive0



Voor de zekerheid even nachecken met MBRcheck:


Download MBRCheck.exe naar je bureaublad.
Dubbelklik op MBRCheck.exe om het programma te openen.


Als je een melding krijgt, typ dan op N en druk op Enter.
Druk nogmaals op Enter.
Een kladblokbestand genaamd MBRCheck_mm.dd.yy_hh.mm.ss zal op je bureaublad worden opgeslagen.



\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6


Done!


Bovenstaande output is dus goed.
Indien niet :


We gaan deze verwijderen met een batch waarin we een switch voor remover.exe zetten:





@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT

Bij het uitvoeren van deze batch, moet de PC ONMIDDELLIJK herstart worden.
Dit is uitermate belangrijk, anders geven we de infectie de kans te herinitializeren.

Je zou hier eveneens het DOS commando SHUTDOWN -r in de batch kunnen implementeren.
De batch wordt dan :


@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
SHUTDOWN -r
EXIT

Eveneens vragen we na een herstart om de remover.exe log.
Je laat dus remover.exe, na de herstart, terug uitvoeren en vraagt om de output.

Als alles goed is gegaan, krijg je dit :

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Voor de zekerheid en ter controle, even nachecken met Gmer en Hijackthis.

Het is eveneens aan te raden de paswoorden te veranderen.

Emphyrio :)

Met dank aan Marckie voor de ondersteuning in deze toch wel moeilijke infectie.
Gepost door op 3 opmerkingen:
Labels:

donderdag 22 april 2010

Wereldwijd PC's onklaar door McAfee update

De zogenoemde DAT update 5958.0000 van McAfee Antivirus tool, zorgde ervoor dat het Windows Systeembestand svchost.exe verkeerdelijk werdt aanzien als virus.

Het gevolg is een onbruikbaar Operating Systeem waardoor je PC niet meer naar behoren functioneert.

McAfee AV tool zet dit bestand (in het beste geval) in quarantine.
Indien je nog in Windows geraakt, kan je dit best terugplaatsen.

Ondertussen heeft McAfee ook een oplossing op het Web gezet en zou de bewuste update gewraakt zijn.
Gepost door op Geen opmerkingen:
Labels:

woensdag 24 maart 2010

Avira AntiVir 10 (Free) is uit !

Vandaag biedt Avira zijn nieuwste gratis antivirustool aan AntiVir 10.

Er zijn twee mogelijkheden om deze tool te installeren:

  1. Je hebt reeds AntiVir op je PC staan....

    In dat geval doe je het volgende:

    • Rechtsklik op het Systeem icoontje van Antivir en kies Start AntiVir.

    • Ga naar het tabblad Updates en selecteer Start Product Update.

    • AntiVir zal beginnen met de update.

    • Als deze product update achter de rug is, rechtsklik je op AntiVir en kies je voor Start update.

    • Je AntiVir is nu bijgewerkt.


  2. Je hebt géén AntiVir, maar je zou deze willen installeren.....

    Eerst en vooral diendt opgemerkt te worden, dat AntiVir een actieve (real-time) scanner is.
    Daarom is het vereist dat AntiVir het enigste, actieve Antivirus tool op je PC is.
    Heb je bv. een Suite (Firewall + Antivirus + Antispyware + ...) dan kan je AntiVir best niet op je PC zetten.

    De reden hiervoor is, dat twee (of meerdere) actieve antivirustools elkaar kunnen tegenwerken.

    Voorbeelden van zo'n suite zijn Norton Internet Security, Zone Alarm Security Suite, ...

    In alle andere gevallen download je avira_antivir_personal_en op je bureaublad.
    Dubbelklik erop en de installatie zal automatisch voltooid worden.
    Na de installatie zal om een herstart gevraagd worden, doe dit ook.


Opmerking

Voor beide gevallen geldt dat je op je PC beheerder met alle rechten bent.
Zet je Firewall tijdelijk even uit.
Gepost door op Geen opmerkingen:
Labels: ,

zondag 21 maart 2010

BitDefender geeft een foutieve update uit.

Lezers die een Windows 64 bits systeem en BitDefender op hun PC draaien hebben, moeten uitkijken.

BitDefender heeft een foutieve update uitgebracht die de 64 bits systemen in de war kan brengen.

BitDefender zet namelijk systeembestanden in quarantine waardoor je PC systeem corrupt geraakt.

Inmiddels heeft BD dit probleem onderkent en een patch uitgegeven.

Na het uitvoeren van deze patch, worden de update signatures juist gezet en kan je de files uit de quarantine herstellen.
Gepost door op Geen opmerkingen:
Labels:

vrijdag 12 maart 2010

CCleaner terugkerende registerwaarde....

Symptomen :

In de Optie register en dan scan problemen wordt een probleem gevonden, namelijk niet gebruikte bestandsextensie.

Deze laat zich wel herstellen maar als ik dan opnieuw kijk of het probleem weg is dan staat het er weer. Het gaat hier over de volgende, steeds terugkerende, waarde:


HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}


Oplossing :

Dit is een bestandsextensie van AntiVir 9.
We moeten hiervoor even het bestand C:\Program Files\CCleaner\ccleaner.ini opzoeken.

Om deze te vinden moeten we eerst een instelling in Ccleaner aanzetten:

  • Open Ccleaner
  • Klik op Opties
  • Klik op geavanceerd
  • Vink aan Bewaar alle instellingen als INI-bestand
  • Sluit Ccleaner.
Vervolgens ga je naar de map C:\Program Files\CCleaner
Rechtsklik je op ccleaner.ini
Kies voor Openen met kladblok.
Je ziet nu zoiets zoals :

[Options]
(App)DNS Cache=False
(App)IIS Log Files=False
(App)Old Prefetch data=False
(App)Windows Error Reporting=False
(App)Windows Log Files=False
BackupPrompt=0
CookiesToSave=google
DelayTemp=0
Exclude1=REG¦HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
HideWarnings=1
Language=1043
MSG_CONFIRMCLEAN=False
UpdateKey=01/03/2010 08:27:47 AM
WINDOW_HEIGHT=450
WINDOW_LEFT=180
WINDOW_MAX=1
WINDOW_TOP=122
WINDOW_WIDTH=620

Een woordje uitleg....
Merk de volgende regel op:

Exclude1=REG¦HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Bij jou zal deze daar niet staan, hetgeen meteen ook de reden is waarom je die steeds terugkerende melding krijgt. Exclude is engels en betekend uitsluiten.

Eigenlijk staat daar dus : Sluit de volgende CLSID uit.
Vermits ik enkel één waarde heb uitgesloten (dit kan ook een map of bestand zijn), staat daar Exclude1. De Excludes verhogen dus in nummering.
Kijk dus eerst hoeveel Excludes je daar hebt staan of beter, wat de hoogste nummering is.

De Exclude regel toevoegen.

In je openstaande kladboek bestand (die met de ccleaner.ini), kopie en plak je dit (na de laatste regel) :

Exclude1=REG¦HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Had of heb je daar nog Excludes staan, vergeet dan niet om deze de hoogste nummer te geven.
Stonden er bij jou nog een aantal Excludes (Exclude1, Exclude2,..), dan wordt dit Exclude3.

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: C:\Program Files\CCleaner
Bij "Bestandsnaam" zet je: ccleaner.ini
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).

Klik op de knop Opslaan.Indien je een melding krijgt dat dit bestand overscheven wordt, laat je dit toe.
Gepost door op 2 opmerkingen:
Labels:

zondag 7 maart 2010

De Ask Toolbar

Laatste tijd is de dubieuze Ask Toolbar meer en meer terug te vinden in de hijackthis logs die ik analyzeer.
In de softwarelijst is deze dikwijls terug te vinden onder verschillende namen.

Je kan deze op de volgende wijze verwijderen:

XP: via start > Configuratiescherm > Software.


VISTA: via start > Standaardprogramma's > Programma's en onderdelen.

Vervolgens verwijder je één van deze namen:
  • AskBar
  • Vuze
  • AskTBar
  • AskBarDis
  • Ask.com

Herstart hierna je PC.
Gepost door op Geen opmerkingen:
Labels: ,

zaterdag 6 maart 2010

Anti Malware Help is vernieuwd !

Vanaf vandaag heeft U met deze blog de mogelijkheid Uw reacties en opmerkingen, met betrekking tot de site, te plaatsen.

Wees echter wel zo vriendelijk om de feedbacks met betrekking tot de website
Anti Malware Help onder deze item te zetten.

Verdere info vind je aan de rechterzijde, waar je uiteraard ook mag op reageren.

Hartelijk dank !
Gepost door op Geen opmerkingen:
Labels: , ,
Abonneren op: Posts (Atom)