English

maandag 17 oktober 2011

PC Info is gelanceert !

17 Oktober 2011 - PC Info gelanceert !



PC Info® is ontwikkeld met in het achterhoofd de behoefte van de gebruiker om relevante informatie op een forum te posten en de Helper die de juiste informatie wil verkrijgen.



Deze tool maakt het beiden gemakkelijker om de juiste informatie te posten.
Voor de gebruiker betekend dit het einde van lang en frustrerend zoekwerk, voor de Helper het verkrijgen van de relevante info.

Beiden varen er dus wel bij.


Wat kost het? Niets !
Géén toolbars, géén spyware,snearware,adware of welke "-ware" dan ook.
Niet onbelangrijk : Een volledige log (alles aangevinkt), duurt minder dan een seconde !!!



Meer info : E Dev

E Dev® is een initiatief van Emphyrio met als doelgratis tools aan te bieden die ontwikkeld zijn in C# Net.
Enkel Nucia en E Dev zijn de officiële aanbieders voor PC Info®.
Nucia zorgt eveneens voor de support.

donderdag 22 september 2011

Noodpatch voor Adobe Flash Player

Donderdag 22 september 2011

Adobe brengt een noodpatch uit voor een door Google ontdekt Flash-lek dat reeds actief wordt misbruikt. Naast dat kritieke lek dicht het ook grote gaten, in Flash en Reader.

Adobe raadt iedereen aan om onmiddellijk te updaten naar de net verschenen nieuwste Flash-versie. Dat is versie 10.3.183.10.






dinsdag 16 augustus 2011

Anti Malware Help veranderd van URI

Vanaf vandaag, 16 Augustus 2011 vind je Anti Malware op het volgende adres :

http://www.antimalwarehelp.be/


Nu ook in het Engels.

U can find Anti Malware Help from today of on this URL adres:

http://www.antimalwarehelp.be/

English and Dutch

dinsdag 26 juli 2011

ShellServiceObjectDelayLoad

ShellServiceObjectDelayLoad


Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

Instead of pointing to the file itself, it points to the CLSID's InProcServer, which contains the information about the particular DLL file that is being used.


Windows Registry Editor Version 5.00


[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
@="C:\\Windows\\System32\\webcheck.dll"="WebCheck"

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\Windows\\System32\\webcheck.dll"
"ThreadingModel"="Apartment"

The trouble is that with Windows 7, the CLSID's InProcServer {E6FB5E20-DE35-11CF-9C87-00AA005127ED} doesn't exist.
If we try too look for {E6FB5E20-DE35-11CF-9C87-00AA005127ED} in
[HKEY_CLASSES_ROOT\CLSID\] we won't find it.
So, where did it go ?



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00C6D95F-329C-409a-81D7-C46C66EA7F33}"=""
"{80009818-f38f-4af1-87b5-eadab9433e58}"="MF ADTS Property Handler"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" <<<< This is interesting !!!
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" <<<< Here we have our "old" CLSID
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"


So lets check out "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{08165EA0-E946-11CF-9C87-00AA005127ED}]
@="WebCheckWebCrawler"

[HKEY_CLASSES_ROOT\CLSID\{08165EA0-E946-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\Windows\\System32\\webcheck.dll" <<<< There we have it !!!!
"ThreadingModel"="Apartment"


So MS changed the CLSID for webcheck.dll, thats why we couldn't find webcheck.dll on his "old" place.

Emphyrio :)

woensdag 22 juni 2011

Windows update probleem (KB2478663 en KB2518870- Juni 2011)

De laatste update van MS geeft problemen.
Meerbepaald de beveiligingsupdate voor Microsoft .NET Framework 4.
KB2478663 .

Manueel installeren is hier de boodschap.

KB2478663 en KB2518870

Let goed op want er zijn drie verschillende builds, je moet
dus enkel diegene downloaden die voor jouw systeem geschikt is.

Bijvoorbeeld:

  • NDP40-KB2478663-IA64.exe Itanium processor

  • NDP40-KB2478663-x64.exe 64 Bits

  • NDP40-KB2478663-x86.exe 32 Bits

Downloaden naar je bureaublad.
Dubbelklikken en installeren.

OPMERKING :

Vista en W7 gebruikers: rechtsklikken en kiezen voor Uitvoeren als administrator.

Besturingssystemen:

Windows 7;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2;Windows Vista;Windows XP

maandag 20 juni 2011

PC Info vs 2.3.0 Béta


PC Info © is een tool om gemakkelijker gegevens te verzamelen ivm je PC.


Geschreven in C#
Target: Windows XP / Vista en 7, all 32/64, .Net 4.0.







zaterdag 11 juni 2011

Anti Malware Help soms onbereikbaar

Problemen met de Host server van Telenet, zorgen er reeds een maand voor dat de website Anti Malware Help met de regelmaat van een klok niet te bereiken is.

In 4 weken tijd is dit nu de vijfde maal en nu duurt het reeds drie dagen.

Mijn verontschuldigingen voor dit ongemak, een oplossing is in de maak en zal naar alle waarschijnljkheid volgende maand toegepast worden.


*********************************************************************


Troubles with the Host server of Telenet is the cause of Anti Malware Help is irregulary not online.

In four weeks is this the fiftht time in a row, this time during allready three days.

My apolygies for the inconveniance, a solution to avoid this in the future is in the make.


UPDATE : New URI : Anti Malware Help

maandag 30 mei 2011

Skype levert per ongeluk ongevraagd software mee

Tijdens de laatste update van Skype naar aanleiding van de laatste problemen, hebben klanten ongevraagd software meegekregen van EasyBits GO.

Deze sofware wordt echter niet juist geinstalleerd waardoor het ook niet correct te verwijderen valt.

Om de software toch te kunnen verwijderen, heeft de ontwikkelaar van EasyBits GO een speciale uninstaller uitgegeven.

Lees verder op Anti Malware Help......

donderdag 26 mei 2011

Skype momenteel offline....

Skype kampt momenteel met een storing.
Gebruikers van de software kunnen niet meer inloggen.
Ook de website werkt niet.

Fix

Gebruikers van Skype (Windows en Mac) kunnen via een fix, hun client weer werkend krijgen.

Zie verder op Anti Malware Help

dinsdag 17 mei 2011

TDL4 infectie op Windows 7-32bits

OPMERKING: Onderstaand is een verslag van een TDL4 behandeling
bedoeld voor malware analysten.

Het is geenszins de bedoeling deze procedure te gebruiken als gewone gebruiker.



Naar aanleiding van een rogue besmetting (Anti Malware Doctor), zette ik rkill en MBAM (volledige scan) in.

MBAM log was clean.

TDSSKiller gaf echter aanduiding van een TDL besmetting.
Uit de TDSSKiller log las ik dat hij deze verwijderde.


Omdat de TS géén antivirus had geinstalleerd, advizeerde ik hem/haar dit alsnog te doen.
Avira Antivir melde een aanwezigheid van een Rootkit en een Vundoinfectie.


Starting master boot sector scan:Master boot sector HD0
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!Master boot sector HD1
[INFO] No virus was found!
Start scanning boot sectors:Boot sector 'C:\'
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!

Starting to scan executable files (registry).
The registry was scanned ( '1711' files ).

Starting the file scan:
Begin scan in 'C:\Windows\system32'C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
Beginning disinfection:C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
[WARNING] The file could not be copied to quarantine!
[WARNING] The file could not be deleted!
[NOTE] The file is scheduled for deleting after reboot.
The repair notes were written to the file 'C:\avrescue\rescue.avp'.



Was opzich merkwaardig omdat MBAM hier geen melding van had gemaakt.
CF ingezet en een ongeldige Netsvc gevonden.


.....
R2 cchdohew;Crcdisk Filter Helper;c:\windows\System32\svchost.exe [2009-07-14 20992]
.....
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

cchdohew


Deze verwijderdt met een CFScript gevolgd door een tweede maal TDSSKiller.
De CF log was clean, TDSSKiller vertoonde de zelfde handelingen als ervoor.

Blijkbaar was TDSSKiller niet instaat deze te verwijderen.


aswMBR.exe ingezet.
Deze toonde netjes de Rootkit (TDL4) infectie en verwijderde die na een aswMBR fix.


aswMBR version 0.9.5.256 Copyright(c)
2011 AVAST SoftwareRun date: 2011-05-10 21:40:35-----------------------------

21:40:35.762 OS Version: Windows 6.1.7600
21:40:35.762 Number of processors: 2 586 0xF0B
21:40:35.764 ComputerName: FRANCA-PC UserName: Franca
21:40:36.212 Initialize success
21:40:42.836 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
21:40:42.838 Disk 0 Vendor: WDC_WD16 04.0 Size: 152627MB BusType: 3
21:40:42.853 Disk 0 MBR read successfully
21:40:42.856 Disk 0 MBR scan
21:40:42.859 Disk 0
TDL4@MBR code has been found
21:40:42.862 Disk 0 Windows 7 default MBR code found via API
21:40:42.866 Disk 0 MBR hidden
21:40:42.869 Disk 0 MBR [TDL4] **ROOTKIT**
21:40:42.873 Disk 0 trace - called modules:
21:40:42.878 21:40:42.882 Scan finished successfully
21:41:06.713 Disk 0 MBR has been saved successfully to "C:\Users\Franca\Desktop\MBR.dat"
21:41:06.714 The log file has been saved successfully to "C:\Users\Franca\Desktop\aswMBR.txt"



TDSSKiller was na deze handeling eveneens "clean".


http://www.nucia.eu/forum/showthread.php?t=63609

woensdag 11 mei 2011

Facebook lekt jarenlang persoonlijke data

Meer dan 100.000 applicaties hebben toegang tot de persoonlijke data van Facebookgebruikers.
Daardoor hebben adverteerders en app-aanbieders die informatie mogelijk al in handen.


Facebook gebruikt sindsdien oauth2.0 voor de authenticeren van de gebruiker.
Dat protocol is veiliger.


Het is aan te raden om je wachtwoord te veranderen.
Daardoor worden de tokens ongeldig verklaard en vraagt de applicatie bij een volgend gebruikpnieuw toestemming om toegang te krijgen tot de persoonlijke pagina’s.
Maar dan wordt dus oauth2.0 gebruikt.



Bronnen: Webwereld Symantec

zaterdag 30 april 2011

Gomeo redirect

Je wordt geredirect naar sites als gomeo.nl, information-seeking.com, etc.



De werkwijze om deze infectie aan te pakken vind je op Anti Malware Help.

dinsdag 19 april 2011

Google en Privacy

Opruimen geeft een lekker gevoel.



  • Internet geschiedenis verwijderdt in de browser(s).

  • DNS cache geledigd

  • Cookies opgeruimd

  • Flashcookies verwijderdt

  • Ccleaner gerunt
Dan zitten we lekker opgeruimd en veilig, niet?
Niet dus !

Als je net als ik een Google account heb, ga dan eens naar je Google account > Mijn Account
En onder Mijn Producten kies je Webgeschiedenis
Wees vervolgens zo verbaasd als ik.......

Daar staat alles netjes bijgehouden.


  • Bezochtte websites

  • Afbeeldingen

  • Muziek

  • en ga zo maar door....

Je kan wel verwijderen, maar ik wil dit weg

Dat kan dus:

Gebruik het liefst IE voor deze bewerkingen.

Ga naar Google account > Mijn Account > Mijn Producten en kies Bewerken.
Vervolgens Product verwijderen > Webgeschiedenis definitief verwijderen.
Geef je paswoord in (rechts)
Vink aan : Ja, ik wil Webgeschiedenis permanent verwijderen uit mijn Google-account
Klik op Verwijder Webgeschiedenis

Done!

donderdag 14 april 2011

Adobe brengt een noodpatch uit.

Vanaf vrijdag 15 april brengt Adobe een noodpatch uit.



Wat is er kwetsbaar?





  • Adobe Flash Player, versies eerder dan versie 10.2.153.1 voor Windows, Mac OS X, Linux en Solaris systemen


  • Adobe Flash Player, versies eerder dan versie 10.2.154.25 voor Chrome gebruikers


  • Adobe Flash Player, versies eerder dan versie 10.2.156.12 voor Android gebruikers


  • Adobe Reader en Acrobat, versie 10.0.2 en oudere 10.x en 9.x versies.


Adobe Reader X is momenteel door zijn "protected mode" beschermd tegen deze exploits. Een update voor deze zal dan rond 14 Juni 2011 volgen.



Meer info en hoe te werk gaan vind je op Anti Malware Help.



Beheersrechten in Windows.

Een account gebruiken dat niet de volledige beheersrechten heeft, biedt niets dan voordelen.

Het voorkomt:

64% van alle Microsoft "vulnerabilities"(= "zwakheden" zeg maar).

75% van de Windows 7 lekken in 2010.

100% van de Office exploits in 2010.

100% van de Internet Explorer 8 (IE8) gaten in 2010.


Tot deze conclusie kwam Beyond Trust, een bedrijf dat zich specialiseert in autorisatiemanagement.

Het volledig rapport kan je hier lezen.

Een account aanmaken met beperkte rechten is snel gemaakt.

In Windows XP

In Windows Vista

In Windows 7


woensdag 13 april 2011

Dropbox is lek.

De populaire online opslag- en data-uitwisseldienst Dropbox is lek. Daarom is het, zeker voor zakelijke gebruikers, af te raden om de dienst te gebruiken.

Lees er meer over hier

dinsdag 12 april 2011

Avast problemen met virus defs 110411-1

11 April 2011




Avast heeft problemen met virus defs 110411-1.

Deze update bevat een error dat resulteert in het onterecht markeren van goede sites als zijnde slecht. De meeste sites die een script bevatten in een bepaalde formaat, zorgden bij Avast voor deze melding. Het Avast team had echter het probleem snel ontdekt en tevens voor een fix-update gezorgt.


virus defs 110411-2 lost het probleem op.


Indien er nog gebruikers zijn die hiervan last hebben, worden ze verzocht om deze update manueel uit te voeren.


Dit doe je zo:


Rechtsklik op de avast icoon in de Taakbalk (de oranje (a) bal) en selecteer Update > Engine and Virus Definitions.


Nadat je succesvol hebt geupdate doe je het volgende:



  • Open Avast!.

  • Selecteer "Maintenance".

  • Selecteer"Virus Chest".

  • Sorteer "by time moved" (volgens tijd verplaatst) naar Chest.

  • Selecteer de bestanden die je wil herstellen.

  • Rechtsklik en selecteer "Restore".

Bron: Avast Blogt

zaterdag 19 maart 2011

MBR infectie op een Hewlett-Packard Windows 7 systeem

Gisteren kwam ik een MBR infectie tegen op een Windows 7 x64 systeem.
De log en behandeling kan je op deze link bekijken.


Win7 repair CD kon het niet fixen en gaf de volgende output:

  • Problem Event Name: StartupRepairOffline
  • Problem Signature 01: 6.1.7600.16385
  • Problem Signature 02: 6.1.7600.16385
  • Problem Signature 03: unknown
  • Problem Signature 04: 18
  • Problem Signature 05: ExternalMedia
  • Problem Signature 06: 1
  • Problem Signature 07: MissingOsLoader
HD op een andere PC aangesloten en deze bevestigde de MBR infectie tijdens het opstarten:

"Threat found, Object: MBR sector of the 0. physical disk, Threat: Win32/Olmarik.AJL trojan"

De clean actie geeft : "Error while cleaning - operation unavailable for this object type".

Het handeld hier over een HP pc en deze geeft een aantal herstelopties:

  • HP-repair mode
  • een aantal repair opties
  • een dos-box

De oplossing:

Wanneer je van de originele PC start en de keuze krijgt om in een dosbox te geraken,geef je volgende commando's (na elkaar) in:

  • bootrec /fixmbr +[Enter]
  • bootrec /fixboot +[Enter]
  • Herstart dan je PC

Wanneer er een melding komt dat de pc niet meer kan booten, plaats je de Windows DVD in de pc en selecteer je de repair (herstel) optie.
Herstart je pc.

vrijdag 18 maart 2011

SP1 voor Windows 7 x64, WSUS veroorzaakt problemen

Korte tijd geleden werd SP1 beschikbaar gestelt voor Windows 7.
Gebruikers die verbonden zijn met een server waarop WSUS (Windows Server Update Services) draait krijgen nu te maken met een kritieke foutmelding tijdens het opstarten: 0xc00000034

Voornamelijk de x64 versie word hierdoor geplaagt.

MS raad deze gebruikers aan om terug te keren naar een herstelpunt waarop SP1 nog niet geinstalleerd is.
Het is maar de vraag in hoeverre dat dit nog mogelijk is vermits je systeem immers niet meer wil opstarten.

Een mogelijke oplossing is deze (enkel voor Windows 7) :

Maak eerst wel het best een backup van je register !

  1. Start je PC op in Veilige Modus (gewoonlijk F8).
  2. Selecteer "Uw computer herstellen " in "Geavanceerde opstartopties " en klik op Enter.
  3. Selecteer Windows 7 als de te herstellen installatie en klik op Volgende.
  4. Selecteer de taal en een toetsenbordinvoermethode en klik op Volgende.
  5. Selecteer een gebruikersnaam, typ uw wachtwoord en klik op OK.
  6. Klik onder Opties voor systeemherstel op Opdrachtprompt en druk op Enter.
  7. Typ de volgende opdrachten bij de opdrachtprompt. Druk na elke opdracht op Enter:
  • Reg load HKLM\BaseSystem C:\Windows\System32\config\SYSTEM
  • Reg delete "HKLM\BaseSystem\ControlSet001\Control\Session Manager" /v SetupExecute
  • Reg add "HKLM\BaseSystem\ControlSet001\Control\Session Manager" /v SetupExecute /t REG_MULTI_SZ
  • Reg unload HKLM\BaseSystem
  • Typ exit bij de opdrachtprompt en druk op Enter.

Start de computer opnieuw op.

Windows Vista gebruikers dienen vanaf hun Windows DVD op te starten om het bovenstaande uit te voeren.

Meer info over dit onderwerp kan je op deze link vinden.

donderdag 10 februari 2011

Microsoft schakelt Autorun definitief uit.

Microsoft schakelt Autorun definitief uit.


In de Windowsupdate van deze week wordt de Autorun functie definitief uitgeschakeld.
Vroeger kon je usb stick automatisch opstarten dmv de autorun.inf.

Nu dus niet meer.

Is dit goed?
Ja, want malware gebruikte gretig deze functie.
CD/DVD's startten echter nog wel automatisch op (als dit is ingesteld).

Bij Windows 7 gebruikers is deze functie zowiezo uitgeschakeld.

zaterdag 29 januari 2011

Valse AVG Antivirus 2011

Alsof de perikelen rond AVG 2011 nog niet genoeg zijn, is er nu ook een rogue* van deze tool in de omloop.

Lees meer erover in de Rogues Verwijder Instructies op Anti Malware Help.


*Een rogue is een malware tool dat pretendeert een AV tool te zijn.

donderdag 20 januari 2011

ESET online markeert geldig bestand

ESET Online markeert C:\WINDOWS\system32\kb.dll Win32 als Bamital.EX trojan

Daarom is het aan te raden om ESET online niet te laten cleanen.
Deze optie staat als default.


ESET is momenteel op de hoogte gebracht van deze fout.