Emphyrio's Security Blog

PC Info is gelanceert !

2011-10-17T14:42:00.001+02:00

17 Oktober 2011 - PC Info gelanceert !

PC Info® is ontwikkeld met in het achterhoofd de behoefte van de gebruiker om relevante informatie op een forum te posten en de Helper die de juiste informatie wil verkrijgen.

Deze tool maakt het beiden gemakkelijker om de juiste informatie te posten.
Voor de gebruiker betekend dit het einde van lang en frustrerend zoekwerk, voor de Helper het verkrijgen van de relevante info.

Beiden varen er dus wel bij.

Wat kost het? Niets !
Géén toolbars, géén spyware,snearware,adware of welke "-ware" dan ook.
Niet onbelangrijk : Een volledige log (alles aangevinkt), duurt minder dan een seconde !!!

Meer info : E Dev

E Dev® is een initiatief van Emphyrio met als doelgratis tools aan te bieden die ontwikkeld zijn in C# Net.
Enkel Nucia en E Dev zijn de officiële aanbieders voor PC Info®.
Nucia zorgt eveneens voor de support.

Noodpatch voor Adobe Flash Player

2011-09-22T13:52:00.002+02:00

Donderdag 22 september 2011

Adobe brengt een noodpatch uit voor een door Google ontdekt Flash-lek dat reeds actief wordt misbruikt. Naast dat kritieke lek dicht het ook grote gaten, in Flash en Reader.

Adobe raadt iedereen aan om onmiddellijk te updaten naar de net verschenen nieuwste Flash-versie. Dat is versie 10.3.183.10.

Anti Malware Help veranderd van URI

2011-08-16T00:04:00.002+02:00

Vanaf vandaag, 16 Augustus 2011 vind je Anti Malware op het volgende adres :

http://www.antimalwarehelp.be/

Nu ook in het Engels.

U can find Anti Malware Help from today of on this URL adres:

http://www.antimalwarehelp.be/

English and Dutch

ShellServiceObjectDelayLoad

2011-07-26T02:48:00.009+02:00

ShellServiceObjectDelayLoad

Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

Instead of pointing to the file itself, it points to the CLSID's InProcServer, which contains the information about the particular DLL file that is being used.

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
@="C:\\Windows\\System32\\webcheck.dll"="WebCheck"

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\Windows\\System32\\webcheck.dll"
"ThreadingModel"="Apartment"

The trouble is that with Windows 7, the CLSID's InProcServer {E6FB5E20-DE35-11CF-9C87-00AA005127ED} doesn't exist.
If we try too look for {E6FB5E20-DE35-11CF-9C87-00AA005127ED} in
[HKEY_CLASSES_ROOT\CLSID\] we won't find it.
So, where did it go ?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00C6D95F-329C-409a-81D7-C46C66EA7F33}"=""
"{80009818-f38f-4af1-87b5-eadab9433e58}"="MF ADTS Property Handler"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" <<<< This is interesting !!!
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" <<<< Here we have our "old" CLSID
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"

So lets check out "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{08165EA0-E946-11CF-9C87-00AA005127ED}]
@="WebCheckWebCrawler"

[HKEY_CLASSES_ROOT\CLSID\{08165EA0-E946-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\Windows\\System32\\webcheck.dll" <<<< There we have it !!!!
"ThreadingModel"="Apartment"

So MS changed the CLSID for webcheck.dll, thats why we couldn't find webcheck.dll on his "old" place.

Emphyrio :)

Windows update probleem (KB2478663 en KB2518870- Juni 2011)

2011-06-22T22:45:00.007+02:00

De laatste update van MS geeft problemen.
Meerbepaald de beveiligingsupdate voor Microsoft .NET Framework 4.
KB2478663 .

Manueel installeren is hier de boodschap.

KB2478663 en KB2518870

Let goed op want er zijn drie verschillende builds, je moet
dus enkel diegene downloaden die voor jouw systeem geschikt is.

Bijvoorbeeld:

NDP40-KB2478663-IA64.exe Itanium processor

NDP40-KB2478663-x64.exe 64 Bits

NDP40-KB2478663-x86.exe 32 Bits

Downloaden naar je bureaublad.
Dubbelklikken en installeren.

OPMERKING :

Vista en W7 gebruikers: rechtsklikken en kiezen voor Uitvoeren als administrator.

Besturingssystemen:

Windows 7;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2;Windows Vista;Windows XP

PC Info vs 2.3.0 Béta

2011-06-20T00:29:00.011+02:00

PC Info © is een tool om gemakkelijker gegevens te verzamelen ivm je PC.

Geschreven in C#
Target: Windows XP / Vista en 7, all 32/64, .Net 4.0.

Anti Malware Help soms onbereikbaar

2011-06-11T15:10:00.005+02:00

Problemen met de Host server van Telenet, zorgen er reeds een maand voor dat de website Anti Malware Help met de regelmaat van een klok niet te bereiken is.

In 4 weken tijd is dit nu de vijfde maal en nu duurt het reeds drie dagen.

Mijn verontschuldigingen voor dit ongemak, een oplossing is in de maak en zal naar alle waarschijnljkheid volgende maand toegepast worden.

*********************************************************************

Troubles with the Host server of Telenet is the cause of Anti Malware Help is irregulary not online.

In four weeks is this the fiftht time in a row, this time during allready three days.

My apolygies for the inconveniance, a solution to avoid this in the future is in the make.

UPDATE : New URI : Anti Malware Help

Skype levert per ongeluk ongevraagd software mee

2011-05-30T16:53:00.004+02:00

Tijdens de laatste update van Skype naar aanleiding van de laatste problemen, hebben klanten ongevraagd software meegekregen van EasyBits GO.

Deze sofware wordt echter niet juist geinstalleerd waardoor het ook niet correct te verwijderen valt.

Om de software toch te kunnen verwijderen, heeft de ontwikkelaar van EasyBits GO een speciale uninstaller uitgegeven.

Lees verder op Anti Malware Help......

Skype momenteel offline....

2011-05-26T16:45:00.002+02:00

Skype kampt momenteel met een storing.
Gebruikers van de software kunnen niet meer inloggen.
Ook de website werkt niet.

Fix

Gebruikers van Skype (Windows en Mac) kunnen via een fix, hun client weer werkend krijgen.

Zie verder op Anti Malware Help

TDL4 infectie op Windows 7-32bits

2011-05-17T18:44:00.005+02:00

OPMERKING: Onderstaand is een verslag van een TDL4 behandeling
bedoeld voor malware analysten.

Het is geenszins de bedoeling deze procedure te gebruiken als gewone gebruiker.

Naar aanleiding van een rogue besmetting (Anti Malware Doctor), zette ik rkill en MBAM (volledige scan) in.

MBAM log was clean.

TDSSKiller gaf echter aanduiding van een TDL besmetting.
Uit de TDSSKiller log las ik dat hij deze verwijderde.

Omdat de TS géén antivirus had geinstalleerd, advizeerde ik hem/haar dit alsnog te doen.
Avira Antivir melde een aanwezigheid van een Rootkit en een Vundoinfectie.

Starting master boot sector scan:Master boot sector HD0
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!Master boot sector HD1
[INFO] No virus was found!
Start scanning boot sectors:Boot sector 'C:\'
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!

Starting to scan executable files (registry).
The registry was scanned ( '1711' files ).

Starting the file scan:
Begin scan in 'C:\Windows\system32'C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
Beginning disinfection:C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
[WARNING] The file could not be copied to quarantine!
[WARNING] The file could not be deleted!
[NOTE] The file is scheduled for deleting after reboot.
The repair notes were written to the file 'C:\avrescue\rescue.avp'.

Was opzich merkwaardig omdat MBAM hier geen melding van had gemaakt.
CF ingezet en een ongeldige Netsvc gevonden.

.....
R2 cchdohew;Crcdisk Filter Helper;c:\windows\System32\svchost.exe [2009-07-14 20992]
.....
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
cchdohew

Deze verwijderdt met een CFScript gevolgd door een tweede maal TDSSKiller.
De CF log was clean, TDSSKiller vertoonde de zelfde handelingen als ervoor.

Blijkbaar was TDSSKiller niet instaat deze te verwijderen.

aswMBR.exe ingezet.
Deze toonde netjes de Rootkit (TDL4) infectie en verwijderde die na een aswMBR fix.

aswMBR version 0.9.5.256 Copyright(c)
2011 AVAST SoftwareRun date: 2011-05-10 21:40:35-----------------------------
21:40:35.762 OS Version: Windows 6.1.7600
21:40:35.762 Number of processors: 2 586 0xF0B
21:40:35.764 ComputerName: FRANCA-PC UserName: Franca
21:40:36.212 Initialize success
21:40:42.836 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
21:40:42.838 Disk 0 Vendor: WDC_WD16 04.0 Size: 152627MB BusType: 3
21:40:42.853 Disk 0 MBR read successfully
21:40:42.856 Disk 0 MBR scan
21:40:42.859 Disk 0 TDL4@MBR code has been found
21:40:42.862 Disk 0 Windows 7 default MBR code found via API
21:40:42.866 Disk 0 MBR hidden
21:40:42.869 Disk 0 MBR [TDL4] **ROOTKIT**
21:40:42.873 Disk 0 trace - called modules:
21:40:42.878 21:40:42.882 Scan finished successfully
21:41:06.713 Disk 0 MBR has been saved successfully to "C:\Users\Franca\Desktop\MBR.dat"
21:41:06.714 The log file has been saved successfully to "C:\Users\Franca\Desktop\aswMBR.txt"

TDSSKiller was na deze handeling eveneens "clean".

http://www.nucia.eu/forum/showthread.php?t=63609

Facebook lekt jarenlang persoonlijke data

2011-05-11T14:47:00.002+02:00

Meer dan 100.000 applicaties hebben toegang tot de persoonlijke data van Facebookgebruikers.
Daardoor hebben adverteerders en app-aanbieders die informatie mogelijk al in handen.

Facebook gebruikt sindsdien oauth2.0 voor de authenticeren van de gebruiker.
Dat protocol is veiliger.

Het is aan te raden om je wachtwoord te veranderen.
Daardoor worden de tokens ongeldig verklaard en vraagt de applicatie bij een volgend gebruikpnieuw toestemming om toegang te krijgen tot de persoonlijke pagina’s.
Maar dan wordt dus oauth2.0 gebruikt.

Bronnen: Webwereld Symantec

Gomeo redirect

2011-04-30T15:28:00.002+02:00

Je wordt geredirect naar sites als gomeo.nl, information-seeking.com, etc.

De werkwijze om deze infectie aan te pakken vind je op Anti Malware Help.

Google en Privacy

2011-04-19T14:29:00.007+02:00

Opruimen geeft een lekker gevoel.

Internet geschiedenis verwijderdt in de browser(s).

DNS cache geledigd

Cookies opgeruimd

Flashcookies verwijderdt

Ccleaner gerunt

Dan zitten we lekker opgeruimd en veilig, niet?
Niet dus !

Als je net als ik een Google account heb, ga dan eens naar je Google account > Mijn Account
En onder Mijn Producten kies je Webgeschiedenis
Wees vervolgens zo verbaasd als ik.......

Daar staat alles netjes bijgehouden.

Bezochtte websites

Afbeeldingen

Muziek

en ga zo maar door....

Je kan wel verwijderen, maar ik wil dit weg

Dat kan dus:

Gebruik het liefst IE voor deze bewerkingen.

Ga naar Google account > Mijn Account > Mijn Producten en kies Bewerken.
Vervolgens Product verwijderen > Webgeschiedenis definitief verwijderen.
Geef je paswoord in (rechts)
Vink aan : Ja, ik wil Webgeschiedenis permanent verwijderen uit mijn Google-account
Klik op Verwijder Webgeschiedenis

Done!

Adobe brengt een noodpatch uit.

2011-04-14T23:17:00.004+02:00

Vanaf vrijdag 15 april brengt Adobe een noodpatch uit.

Wat is er kwetsbaar?

Adobe Flash Player, versies eerder dan versie 10.2.153.1 voor Windows, Mac OS X, Linux en Solaris systemen

Adobe Flash Player, versies eerder dan versie 10.2.154.25 voor Chrome gebruikers

Adobe Flash Player, versies eerder dan versie 10.2.156.12 voor Android gebruikers

Adobe Reader en Acrobat, versie 10.0.2 en oudere 10.x en 9.x versies.

Adobe Reader X is momenteel door zijn "protected mode" beschermd tegen deze exploits. Een update voor deze zal dan rond 14 Juni 2011 volgen.

Meer info en hoe te werk gaan vind je op Anti Malware Help.

Beheersrechten in Windows.

2011-04-14T14:29:00.002+02:00

Een account gebruiken dat niet de volledige beheersrechten heeft, biedt niets dan voordelen.

Het voorkomt:

64% van alle Microsoft "vulnerabilities"(= "zwakheden" zeg maar).

75% van de Windows 7 lekken in 2010.

100% van de Office exploits in 2010.

100% van de Internet Explorer 8 (IE8) gaten in 2010.

Tot deze conclusie kwam Beyond Trust, een bedrijf dat zich specialiseert in autorisatiemanagement.

Het volledig rapport kan je hier lezen.

Een account aanmaken met beperkte rechten is snel gemaakt.

In Windows XP

In Windows Vista

In Windows 7

Dropbox is lek.

2011-04-13T02:11:00.002+02:00

De populaire online opslag- en data-uitwisseldienst Dropbox is lek. Daarom is het, zeker voor zakelijke gebruikers, af te raden om de dienst te gebruiken.

Lees er meer over hier

Avast problemen met virus defs 110411-1

2011-04-12T02:54:00.009+02:00

11 April 2011

Avast heeft problemen met virus defs 110411-1.

Deze update bevat een error dat resulteert in het onterecht markeren van goede sites als zijnde slecht. De meeste sites die een script bevatten in een bepaalde formaat, zorgden bij Avast voor deze melding. Het Avast team had echter het probleem snel ontdekt en tevens voor een fix-update gezorgt.

virus defs 110411-2 lost het probleem op.

Indien er nog gebruikers zijn die hiervan last hebben, worden ze verzocht om deze update manueel uit te voeren.

Dit doe je zo:

Rechtsklik op de avast icoon in de Taakbalk (de oranje (a) bal) en selecteer Update > Engine and Virus Definitions.

Nadat je succesvol hebt geupdate doe je het volgende:

Open Avast!.

Selecteer "Maintenance".

Selecteer"Virus Chest".

Sorteer "by time moved" (volgens tijd verplaatst) naar Chest.

Selecteer de bestanden die je wil herstellen.

Rechtsklik en selecteer "Restore".

Bron: Avast Blogt

MBR infectie op een Hewlett-Packard Windows 7 systeem

2011-03-19T00:23:00.005+01:00

Gisteren kwam ik een MBR infectie tegen op een Windows 7 x64 systeem.
De log en behandeling kan je op deze link bekijken.

Win7 repair CD kon het niet fixen en gaf de volgende output:

Problem Event Name: StartupRepairOffline
Problem Signature 01: 6.1.7600.16385
Problem Signature 02: 6.1.7600.16385
Problem Signature 03: unknown
Problem Signature 04: 18
Problem Signature 05: ExternalMedia
Problem Signature 06: 1
Problem Signature 07: MissingOsLoader

HD op een andere PC aangesloten en deze bevestigde de MBR infectie tijdens het opstarten:

"Threat found, Object: MBR sector of the 0. physical disk, Threat: Win32/Olmarik.AJL trojan"

De clean actie geeft : "Error while cleaning - operation unavailable for this object type".

Het handeld hier over een HP pc en deze geeft een aantal herstelopties:

HP-repair mode
een aantal repair opties
een dos-box

De oplossing:

Wanneer je van de originele PC start en de keuze krijgt om in een dosbox te geraken,geef je volgende commando's (na elkaar) in:

bootrec /fixmbr +[Enter]
bootrec /fixboot +[Enter]
Herstart dan je PC

Wanneer er een melding komt dat de pc niet meer kan booten, plaats je de Windows DVD in de pc en selecteer je de repair (herstel) optie.
Herstart je pc.

SP1 voor Windows 7 x64, WSUS veroorzaakt problemen

2011-03-18T15:56:00.011+01:00

Korte tijd geleden werd SP1 beschikbaar gestelt voor Windows 7.
Gebruikers die verbonden zijn met een server waarop WSUS (Windows Server Update Services) draait krijgen nu te maken met een kritieke foutmelding tijdens het opstarten: 0xc00000034

Voornamelijk de x64 versie word hierdoor geplaagt.

MS raad deze gebruikers aan om terug te keren naar een herstelpunt waarop SP1 nog niet geinstalleerd is.
Het is maar de vraag in hoeverre dat dit nog mogelijk is vermits je systeem immers niet meer wil opstarten.

Een mogelijke oplossing is deze (enkel voor Windows 7) :

Maak eerst wel het best een backup van je register !

Start je PC op in Veilige Modus (gewoonlijk F8).
Selecteer "Uw computer herstellen " in "Geavanceerde opstartopties " en klik op Enter.
Selecteer Windows 7 als de te herstellen installatie en klik op Volgende.
Selecteer de taal en een toetsenbordinvoermethode en klik op Volgende.
Selecteer een gebruikersnaam, typ uw wachtwoord en klik op OK.
Klik onder Opties voor systeemherstel op Opdrachtprompt en druk op Enter.
Typ de volgende opdrachten bij de opdrachtprompt. Druk na elke opdracht op Enter:

Reg load HKLM\BaseSystem C:\Windows\System32\config\SYSTEM
Reg delete "HKLM\BaseSystem\ControlSet001\Control\Session Manager" /v SetupExecute
Reg add "HKLM\BaseSystem\ControlSet001\Control\Session Manager" /v SetupExecute /t REG_MULTI_SZ
Reg unload HKLM\BaseSystem
Typ exit bij de opdrachtprompt en druk op Enter.

Start de computer opnieuw op.

Windows Vista gebruikers dienen vanaf hun Windows DVD op te starten om het bovenstaande uit te voeren.

Meer info over dit onderwerp kan je op deze link vinden.

Microsoft schakelt Autorun definitief uit.

2011-02-10T23:44:00.002+01:00

Microsoft schakelt Autorun definitief uit.

In de Windowsupdate van deze week wordt de Autorun functie definitief uitgeschakeld.
Vroeger kon je usb stick automatisch opstarten dmv de autorun.inf.

Nu dus niet meer.

Is dit goed?
Ja, want malware gebruikte gretig deze functie.
CD/DVD's startten echter nog wel automatisch op (als dit is ingesteld).

Bij Windows 7 gebruikers is deze functie zowiezo uitgeschakeld.

Valse AVG Antivirus 2011

2011-01-29T09:46:00.003+01:00

Alsof de perikelen rond AVG 2011 nog niet genoeg zijn, is er nu ook een rogue* van deze tool in de omloop.

Lees meer erover in de Rogues Verwijder Instructies op Anti Malware Help.

*Een rogue is een malware tool dat pretendeert een AV tool te zijn.

ESET online markeert geldig bestand

2011-01-20T15:44:00.005+01:00

ESET Online markeert C:\WINDOWS\system32\kb.dll Win32 als Bamital.EX trojan

Daarom is het aan te raden om ESET online niet te laten cleanen.
Deze optie staat als default.

ESET is momenteel op de hoogte gebracht van deze fout.

AVG markeert MBAM als een Trojan

2010-12-25T06:02:00.004+01:00

[OPGELOST]

Een update van AVG op 24 December 2010 zorgde ervoor dat twee DLL files van MBAM (mbamcore.dll en mbamnet.dll) aanzien werden als malware.
AVG heeft deze false positive bevestigd en ondertussen gecorrigeerd.

Wat te doen wanneer je deze per ongeluk in quarantine hebt geplaatst ?

1 . Exclude de Malwarebytes' Anti-Malware program files directory
(gewoonlijk C:\Program Files\Malwarebytes' Anti-Malware,
of C:\Program Files (x86)\Malwarebytes' Anti-Malware op x64 operating systems) van AVG.

Gedetailleerde instructies hoe je dit moet doen kan je hier vinden.

2. Herstel de DLL bestanden vanuit de AVG kluis.

Start AVG
Klik op Geschiedenis > Virus kluis
Selecteer mbamnet.dll
Klik op Herstellen
Selecteer mbamcore.dll
Klik op Herstellen

Bron: MBAM.org

Online cursussen Programmeren.

2010-12-24T09:13:00.004+01:00

Het heeft een tijdje geduurd, maar ik heb dan eindelijk een goede, degelijke cursus gevonden.

Free computer Tutorials is van Home & Learn en bied enkele cursussen aan voor beginners. Gratis en in het Engels.

Een greep uit het ruime aanbod:

Visual Basic.Net

Visual C#.Net

Java

Web design

Een ander goede bron is C# Online

Als je, net zoals ik, leergierig bent en geinteresserd in programmeren,
maar het moe bent van de zoveelste "Hello World" te doornemen, zijn deze websites de moeite waard om uit te checken.

Veel leerplezier :)

Anti Malware Help

2010-11-17T15:35:00.004+01:00

Regelmatig wordt de website Anti Malware Help bijgewerkt en nieuwe onderwerpen toegevoegd.

De nieuwe onderwerpen die onlangs zijn toegevoegd noemen :

Verwijder rogues

Met voorlopig Security Tools, Think Point en Security Suit.
Dagelijks duiken er wel nieuwe Rogues (valse anti malware tools) op.
Diegene die op de website behandelt worden, zijn de meest actuele in de regio.

Als er nieuwe ontwikkelingen zijn op dit gebied, wordt hierop ingespeelt.
Op deze manier trachten we de slachtoffers zo snel en acuraat mogelijk te helpen.

De richtlijnen worden in het nederlands geschreven.
Compatibiliteit

In deze rubriek trachten we de vraag te beantwoorden : Welk tool op welk systeem, 32 en 64 bits.
Niet zo eenvoudig te achterhalen soms, maar we doen ons best.
ShieldsUp

Doet je firewall wat hij moet doen?
Ben je voldoende afgeschermd tegen binnenkomende aanvallen?
Bij ShieldsUp krijg je hierop een betrouwbaar antwoord.
Herstelpunten opruimen

Wanneer een systeem niet naar behoren functioneert, is dit een van de eerste handelingen:
Het terugzetten naar een vorig systeemherstelpunt.

Hier worden de werkwijze voor de verschillende Operating Systemen uitgelegd.

Op dit moment wordt er hard gewerkt om de site eveneens in het Engels beschikbaar te maken.

Emphyrio :)

Facebook applicaties sturen privé-informatie door

2010-10-24T01:20:00.003+02:00

Uit een onderzoek van de Amerikaanse zakenkrant The Wall Street Journal blijkt dat een groot aantal Facebook-applicaties persoonlijke informatie van de Facebook-gebruiker doorstuurt naar online adverteerders en bedrijven.

Volgens The Wallstreet Journal zou het gaan om miljoenen gebruikers.
Zelfs van de gebruikers die hun account deels privé hebben ingesteld, zou informatie doorgestuurd zijn door veel applicaties.

De applicaties op Facebook, waaronder ook het populaire Farmville, maken gebruik van een identificatienummer voor iedere gebruiker.
Hierdoor kan informatie van de gebruiker en diens vrienden makkelijk worden verzameld.
Het identificatienummer is eigenlijk bedoeld om de gegevens voor andere gebruikers zichtbaar te maken.

Facebook vermeldt dat ze het probleem momenteel proberen op te lossen.
Daarnaast laat de netwerksite weten dat ze de verspreiding van privégegevens proberen te verkleinen.

We volgen dit met de grootste belangstelling.

Bron : Techzine

HJT Analyst, something for You?

2010-09-15T20:37:00.018+02:00

Often I am getting the question dropped : How do I become a Hijackthis Analyst?
The answer to this question isn't gonna be a quicky one.

Prologue

Actually the term "Hijackthis Analyst" is old fashion and is from the days that most malware could be identified and solved by use of the Hijackthis tool (original written by Merijn).

"Anti Malware Analyst" is a more up to date and accurate discription.

Today we are confronted with root/boot kits (often the result of exploit abuse) and therefore it's necessary to make use of alternative tools.

Combofix (sUBs), DDS (sUBs), OTL (Old Timer), Gmer (Gmer), The Avenger (Swandog46) are the most used nowadays.

Function Discription

Solving a malware problem, posted by the Topic starter (TS).

Analyse and interpreting of logs posted by the TS or on request of the analyst.

This forms the base on writting a fix and solving the problem.

Solving a malware problem is done in 4 steps:

Analyze / diagnose: Recognize the symptoms and the malware involved.

Treatment: Writing of the fix.

Prognose: Expected result.

Feedback: Evaluate and adjust the treatment.

Kwalifications

Know how to read !!!

Maturity

Inquisitive

Knowledge of Windows Operating System and his Registery.

DOS (batch) knowledge.

Stress resistant

Persistence

Courses

Nederlands / Dutch : Hijackthis.nl

English / Engels: Bleeping Computer, SWI and Geekstogo.

Conclusion

Solving a malware problem is a very intensive job that could take up a lot of time.

Even more time then you expected.

The difference between a Analyst and a good Analyst is the knowlegde you gathered and the efficiency to use that knowledge to solve the problem.

The reward is the intellectual victory you get and, not in the least, the gratitude of the Topic Starter.

Emphyrio :)

MBAM manueel updaten

2010-08-17T14:48:00.005+02:00

Indien je géén internetverbinding hebt en je beschikt over een andere PC die wél internet heeft, kan je MBAM alsvolgt updaten :

Eerst op BEIDE PC's je verborgen bestanden en mappen weergeven.

Op de PC mét internet update je MBAM.
Kopieer volgend bestand eveneens op je USB stick of CD:

Windows XP en 2000 :
C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref

Windows Vista en Wndows 7 :
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref

Zet MBAM eveneens op deze USB flashdrive of CD en installeer deze op je andere PC.
Zet rules.ref vanaf je USB stick in de juiste map.
Start MBAM.

Security Suite verwijderen.

2010-08-17T14:02:00.031+02:00

Voer exact de procedure uit zoals beschreven staat.
Indien je Vista hebt, alles uitvoeren als administrator........

De mogelijkheid bestaat dat de infectie je niet toelaat om bestanden te downloaden.
Als dit het geval is dan moet je de nodige (en opgesomde tools) van een ander PC downloaden.
Hiervoor kan je CD/DVD, externe HD of een USB stick gebruiken.

Om MBAM geupdate te plaatsen op je PC, volg je deze volgende instructies.

Symptomen in Hijackthis:

O4 - HKLM\..\Run: [] C:\Documents and Settings\Bleeping\Local Settings\Application Data\*random*\*random*shdw.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Bleeping\Local Settings\Application Data\*random*\*random*shdw.exe

STAP 1

Start je PC op in Veilige Modus met Netwerkverbinding.

STAP 2

Open IE

Ga naar Extra > Internetopties > Tabblad Verbindingen.

Klik op LAN-instellingen.

Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.

Onder Proxyserver mag er niets aangevinkt zijn.

Sluiten door OK > Toepassen > OK

STAP 3

Eerst moeten we de processen van Security Suite stoppen.
Dit doen we door gebruik te maken van het tool : rkill.com

Download rkill.com naar je bureaublad en dubbelklik erop. Dit zal de processen stoppen.
Wees geduldig want dit kan een beetje tijd in beslag nemen.

Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon.
Het is namelijk een vals alarm van Security Suite.

Wanneer je hiermee problemen blijft houden , download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.

ZEER BELANGRIJK !!!! Herstart je PC niet na het uitvoeren van rkill.com

STAP 4

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:

Update MalwareBytes' Anti-Malware

Start MalwareBytes' Anti-Malware

Klik daarna op "Voltooien".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Zodra het programma gestart is ga je naar het tabblad "Instellingen".
Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".

Ga naar het tabblad "Updates" en Update MBAM.

Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".

Druk vervolgens op "Scannen" om de scan te starten.

Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is.
Klik vervolgens op: "Verwijder geselecteerde".

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Indien MBAM vraagt om een herstart, doe dit dan ook.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

STAP 5

Deze infectie gaat gewoonlijk samen met een TDL3 infectie.

Download TDSSKiller en plaats het op je bureaublad.
Pak de bestanden in tdsskiller.zip uit.
Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
Klik op de knop "Start Scan" en volg de instructies.

Als er een Reboot (herstart) wordt gevraagt, dan klik je op Reboot Now.
Anders klik je op Report.
Kopiëer en bewaar de logfile die tevoorschijn komt.

Opmerking:

Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt

Mivercon Security Forum

2010-08-09T21:35:00.002+02:00

Blue Medicine heet voortaan Mivercon Security Forum.

Het vroegere forum heeft enkel een andere naam en domein gekregen.
De service is het zelfde.

Antivir Solution Pro verwijderen.

2010-07-25T15:23:00.019+02:00

Antivir Solution Pro is een Rogue. Een "vals" antivirustool dus.

In een Hijackthis log zijn er de volgende symptomen te zien :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
O4 - HKLM\..\Run: [] %UserProfile%\local settings\application data\\.exe
O4 - HKCU\..\Run: [] %UserProfile%\local settings\application data\\.exe

De oplossing:

Deze lijn mag je fixen in Hijackthis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643

Vervolgens:

Open IE
Ga naar Extra > Internetopties > Tabblad Verbindingen.
Klik op LAN-instellingen.
Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.
Onder Proxyserver mag er niets aangevinkt zijn.
Sluiten door OK > Toepassen > OK
Herstart je PC..

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.

Start je PC op in Veilige Modus.

Eénmaal in Veilige Modus, voer je het volgende uit:

Dubbelklik op mbam-setup.exe om het programma te installeren.
Ga nu naar de Program Files\Malwarebytes' Antimalware map.
Selecteer de mbam.exe file.
Hernoem deze naar iexplore.exe
Maak een snelkoppeling en plaats deze op je bureaublad.

Herstart je PC in Normale Modus.

In normale modus doe je het volgende:

Dubbelklik op iexplore.exe (<= de hernoemde mbam.exe)

Als MBAM opent UPDATE je MBAM via Update tab > Check for updates.

Vervolgens selecteer je de snelle scan en klik je op Scan

Als de scan gedaan is, klik je op OK en Show Results

Vergewis je ervan dat alle items geselecteert zijn en klik op Remove Selected

Herstart je PC indien MBAM hierom vraagt.

Als alles uitgevoerd is, zal er een log tevoorschijn komen.
Bewaar deze log.

Hernoem iexplore.exe (uit de Program Files\Malwarebytes' Antimalware map) terug naar mbam.exe en verwijder de snelkoppeling van je bureaublad.

Emphyrio :)

Een "verdwenen" partitie herstellen.

2010-06-28T05:07:00.013+02:00

Door een wispelturige gril van Windows, was ik een partitie kwijtgeraakt.

Mijn Backup partitie van 283 Gb nog wel.
Tijd om opzoek te gaan naar een gratis recoverytool dus.

Eerst had ik Partition Find and Mount 2.31 gedownload.
De free to use versie natuurlijk.

Nadat ik de noodzakelijke scan opties had ingesteld ( Thorough), vond deze tool een aantal verloren gewaande partities.

De partitie die ik moest zien te recupereren bedroeg 283 Gb.
Het terugzetten van een directorie van 40 Gb duurde 24 uur.

Met 283 Gb te herstellen had ik dus enkele dagen te gaan.
Dit duurde me té lang.

Vervolgens PartitionRecovery 1.0 ontdekt.
Klein, gratis en vereist geen install.

Unzippen en klikken op PartitionRecovery.exe.
Vervolgens klik je in het vakje waar de partitie zich zou moeten bevinden.
Klikken op Restore en ....pats !!!

In minder dan één seconde was mijn partitie hersteld.

Prachtig.

Toch nog even een belangrijke waarschuwing :

Als dit je ooit voorvalt (een verdwenen partitie) ga dan niet zitten te experimenteren.
En al zeker niet een extra of nieuwe partitie aanmaken.

Wanneer je dat doet, is er géén hoop tot recovery (herstel) meer.

Whistler Bootkit (English)

2010-06-27T18:48:00.011+02:00

Update: Combofix removes this infection.
Use Combofix only in collaboration with a Qualified Helper.

Please bare in mind that following instructions is for Qualified Helpers.
If You are not, take counseling at one of the Hijackthis fora.

Don't try this fix if Your system has a factory MBR or Multiboot.

Not long ago I came across the Whistler Bootkit in a Hijackthis log.

This very aggresieve malware takes over the PC.
Gmer, The Avenger 2, Combofix,.. didn't give any solution.
Nor did a System Recovery !

Next symptoms are visible:

Kaspersky :

HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder

Dr Web :

smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 No recovery.Replaced

svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 No recovery.Replaced

In Hijackthis, one can notice the following:

Running processes:

C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe

or after a system recovery :

C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe

Combofix shows us :

------------------------ Other active processes------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe

(or C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe )

The Startup list of Hijackthis shows the following (if systemrecovery was used)

Windows NT 'Wininit.ini' :

PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE

The PendingFileRenameOperations value under [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] wasn't present.

Combofix en The Avenger deletes the two files, but after a reboot they immediately came back..

Identification:

Intensive search on Google learns me that I have to deal with a Whistler Bootkit.

The solution:

Because this one hides himself in the bootsector , speed and accuracy is of the most importance.

Step 1

Downloadt bootkit_remover.rar (INFO)
Unzip the file.
Open the directory map bootkitremover en double click on remover.exe.
Post whats appears on the screen. (copy & paste)

Step 2

A infected bootsector looks like this:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix

This line gets my immediately attention : \\.\PhysicalDrive0

Before moving on with the repair, doublecheck this with MBRcheck:

Download MBRCheck.exe towards your desktop.
Dblclick MBRCheck.exe.

If You get a message rapport, typ N and Enter.
Enter again.

On your desktop You will find MBRCheck_mm.dd.yy_hh.mm.ss .

If it look something like this :

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6

Done!

Then we are done !

Else, follow the next instructions.

We remove this by writing a batch with a switch for remover.exe :

@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT

By executing this batch, the PC has to reboot immediately.
Its is very important that the TS does this because of the possibility of reinfection.

One can also implement the DOS command SHUTDOWN -r into the batch:

@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
SHUTDOWN -r
EXIT

After a reboot, ask the TS to run remover.exe again and let him post the remover.exe log.

If everything was going ok, the log must look like this:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Double check it with Gmer and Hijackthis.

Its recommended to let the TS change his passwords.

Emphyrio :)

Thanks to Marckie for support me with this difficult infection .

HJT Analyst, iets voor jou ?

2010-06-22T16:19:00.048+02:00

Regelmatig krijg ik de vraag te horen "hoe je een Hijackthis Analyst wordt".
Deze vraag is niet in één-twee-drie te beantwoorden en hangt van een paar factoren af.

Inleiding

Eigenlijk is de term "Hijackthis Analyst" voorbijgestreeft en is "Anti Malware Analyst" meer up-to-date.

Hijackthis Analyst stamt nog uit de tijd dat de meeste malware met het Hijackthis tool nog te identificeren en te fixen was.

De dag van vandaag is dit niet meer waar.

Rootkits, bootkits (dikwijls het gevolg/misbruik van exploits),... maken het noodzakelijk naar andere analyse tools te grijpen.

Combofix (sUBs), DDS (sUBs), OTL (Old Timer), Gmer (Gmer), The Avenger (Swandog46) om de meest gebruikte maar eens op te noemen.

Functie omschrijving

Het oplossen van een malware probleem gepost door een topicstarter (TS).

Analyzeren en interpreteren van logs gepost door de topicstarter of op aanvraag van de analyst .
Op deze basis wordt dan een fix geschreven.

Het oplossen van een malware probleem gebeurt in de volgende stappen:

Analyze / diagnose: Het herkennen van symptomen en malware.

Behandeling: Het schrijven van de fix.

Prognose: Het te verwachten resultaat.

Feedback: Bijsturen van de behandeling.

Kwalificaties

Kunnen lezen !
Maturiteit.
Leergierig.
Kennis van Windows en zijn registers.
Dos (batch) kennis.
Kennis van de gebruikte tools.
Kennis van beveiligingssoftware.
Stressbestendig.
Volharding.

De kwalificaties die opgesomd worden zijn of aanwezig of aan te leren.
Wanneer je Analist bent wordt verondersteld deze kwalificaties te bezitten.

Cursussen

Nederlands: Hijackthis.nl

Engels: Bleeping Computer, SWI en Geekstogo.

Tot Slot....

Het oplossen van malware problemen is een intensieve bezigheid dat wel eens meer tijd in beslag neemt dan je had verwacht.

Het onderscheid tussen een analyst en een goede analyst, is de kennis die je hebt vergaard om malware een stap voor te zijn en de efficiëntie om het probleem tot een goed einde te brengen..

De beloning is de intellectuele overwinning dat je hebt behaald en, niet in het minst,
de dankbaarheid van de topicstarter.

Emphyrio :)

Whistler Bootkit

2010-05-21T13:26:00.029+02:00

Update : Deze infectie wordt verwijderdt door ComboFix.
Het gebruik van Combofix kan je beter in samenwerking met een Gekwalificeerd Helper doen.

Zie de fora list, rechts.

For the English version of this explanation,look here.
Don't use Google translation, its teribble.

WAARSCHUWING

Onderstaande is enkel geschikt voor Gekwalificeerde Helpers.
Ga niet op je eentje zitten te fixen !!!

Gebruik deze fix niet indien het gaat om een factory MBR of Multiboot.

Onlangs ben ik tegen de Whistler Bootkit gestoten in het behandelen van Hijackthis logs.

Deze malware neemt aggresief en onmerkbaar bezit van je PC.
Gmer, The Avenger 2, Combofix,.. het heeft niet mogen baten.

Een Systeem Herstel zal eveneens niet werken !

Volgende symptomen zijn van toepassing:

Kaspersky :

HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder

Dr Web :

smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.

svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.

In de Hijackthis logs is er het volgende merkbaar :

Running processes:

C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe

of na een uitgevoerde Systeemherstel :

C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe

Combofix toont ons :

------------------------ Andere Aktieve Processen ------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe

De Startup List van Hijackthis laat ons volgende zien:

Windows NT 'Wininit.ini' :

PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE

De PendingFileRenameOperations waarde onder [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] was niet aanwezig.

Combofix en The Avenger verwijderen wel de twee bestanden, maar deze komen na een reboot onmiddelijk terug.

Identificatie:

Dieper en intesiever zoeken op Google leert me
dat we hier te maken hebben met Whistler Bootkit.

De oplossing:

Vermits deze infectie zich nestelt in de bootsector, is snelheid en accuratie belangrijk.

Stap 1

Downloadt bootkit_remover.rar (INFO)
Unzip het.
Open de map bootkit_remover en dubbelklik op remover.exe.
Post even wat er in het scherm verschijnt.

Stap 2

Een geinfecteerde bootsector kan er alsvolgd uitzien:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix

Deze trekt meteen onze aandacht : \\.\PhysicalDrive0

Voor de zekerheid even nachecken met MBRcheck:

Download MBRCheck.exe naar je bureaublad.
Dubbelklik op MBRCheck.exe om het programma te openen.

Als je een melding krijgt, typ dan op N en druk op Enter.
Druk nogmaals op Enter.
Een kladblokbestand genaamd MBRCheck_mm.dd.yy_hh.mm.ss zal op je bureaublad worden opgeslagen.

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6

Done!

Bovenstaande output is dus goed.
Indien niet :

We gaan deze verwijderen met een batch waarin we een switch voor remover.exe zetten:

@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT

Bij het uitvoeren van deze batch, moet de PC ONMIDDELLIJK herstart worden.
Dit is uitermate belangrijk, anders geven we de infectie de kans te herinitializeren.

Je zou hier eveneens het DOS commando SHUTDOWN -r in de batch kunnen implementeren.
De batch wordt dan :

@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
SHUTDOWN -r
EXIT

Eveneens vragen we na een herstart om de remover.exe log.
Je laat dus remover.exe, na de herstart, terug uitvoeren en vraagt om de output.

Als alles goed is gegaan, krijg je dit :

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Voor de zekerheid en ter controle, even nachecken met Gmer en Hijackthis.

Het is eveneens aan te raden de paswoorden te veranderen.

Emphyrio :)

Met dank aan Marckie voor de ondersteuning in deze toch wel moeilijke infectie.

Wereldwijd PC's onklaar door McAfee update

2010-04-22T22:54:00.005+02:00

De zogenoemde DAT update 5958.0000 van McAfee Antivirus tool, zorgde ervoor dat het Windows Systeembestand svchost.exe verkeerdelijk werdt aanzien als virus.

Het gevolg is een onbruikbaar Operating Systeem waardoor je PC niet meer naar behoren functioneert.

McAfee AV tool zet dit bestand (in het beste geval) in quarantine.
Indien je nog in Windows geraakt, kan je dit best terugplaatsen.

Ondertussen heeft McAfee ook een oplossing op het Web gezet en zou de bewuste update gewraakt zijn.

Avira AntiVir 10 (Free) is uit !

2010-03-24T16:29:00.024+01:00

Vandaag biedt Avira zijn nieuwste gratis antivirustool aan AntiVir 10.

Er zijn twee mogelijkheden om deze tool te installeren:

Je hebt reeds AntiVir op je PC staan....

In dat geval doe je het volgende:
- Rechtsklik op het Systeem icoontje van Antivir en kies Start AntiVir.
- Ga naar het tabblad Updates en selecteer Start Product Update.
- AntiVir zal beginnen met de update.
- Als deze product update achter de rug is, rechtsklik je op AntiVir en kies je voor Start update.
- Je AntiVir is nu bijgewerkt.

Je hebt géén AntiVir, maar je zou deze willen installeren.....

Eerst en vooral diendt opgemerkt te worden, dat AntiVir een actieve (real-time) scanner is.
Daarom is het vereist dat AntiVir het enigste, actieve Antivirus tool op je PC is.
Heb je bv. een Suite (Firewall + Antivirus + Antispyware + ...) dan kan je AntiVir best niet op je PC zetten.

De reden hiervoor is, dat twee (of meerdere) actieve antivirustools elkaar kunnen tegenwerken.

Voorbeelden van zo'n suite zijn Norton Internet Security, Zone Alarm Security Suite, ...

In alle andere gevallen download je avira_antivir_personal_en op je bureaublad.
Dubbelklik erop en de installatie zal automatisch voltooid worden.
Na de installatie zal om een herstart gevraagd worden, doe dit ook.

Opmerking

Voor beide gevallen geldt dat je op je PC beheerder met alle rechten bent.
Zet je Firewall tijdelijk even uit.

BitDefender geeft een foutieve update uit.

2010-03-21T23:47:00.003+01:00

Lezers die een Windows 64 bits systeem en BitDefender op hun PC draaien hebben, moeten uitkijken.

BitDefender heeft een foutieve update uitgebracht die de 64 bits systemen in de war kan brengen.

BitDefender zet namelijk systeembestanden in quarantine waardoor je PC systeem corrupt geraakt.

Inmiddels heeft BD dit probleem onderkent en een patch uitgegeven.

Na het uitvoeren van deze patch, worden de update signatures juist gezet en kan je de files uit de quarantine herstellen.

CCleaner terugkerende registerwaarde....

2010-03-12T15:57:00.051+01:00

Symptomen :

In de Optie register en dan scan problemen wordt een probleem gevonden, namelijk niet gebruikte bestandsextensie.

Deze laat zich wel herstellen maar als ik dan opnieuw kijk of het probleem weg is dan staat het er weer. Het gaat hier over de volgende, steeds terugkerende, waarde:

HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Oplossing :

Dit is een bestandsextensie van AntiVir 9.
We moeten hiervoor even het bestand C:\Program Files\CCleaner\ccleaner.ini opzoeken.

Om deze te vinden moeten we eerst een instelling in Ccleaner aanzetten:

Open Ccleaner
Klik op Opties
Klik op geavanceerd
Vink aan Bewaar alle instellingen als INI-bestand
Sluit Ccleaner.

Vervolgens ga je naar de map C:\Program Files\CCleaner
Rechtsklik je op ccleaner.ini
Kies voor Openen met kladblok.
Je ziet nu zoiets zoals :

[Options]
(App)DNS Cache=False
(App)IIS Log Files=False
(App)Old Prefetch data=False
(App)Windows Error Reporting=False
(App)Windows Log Files=False
BackupPrompt=0
CookiesToSave=google
DelayTemp=0
Exclude1=REG¦HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
HideWarnings=1
Language=1043
MSG_CONFIRMCLEAN=False
UpdateKey=01/03/2010 08:27:47 AM
WINDOW_HEIGHT=450
WINDOW_LEFT=180
WINDOW_MAX=1
WINDOW_TOP=122
WINDOW_WIDTH=620

Een woordje uitleg....

Merk de volgende regel op:

Exclude1=REG¦HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Bij jou zal deze daar niet staan, hetgeen meteen ook de reden is waarom je die steeds terugkerende melding krijgt. Exclude is engels en betekend uitsluiten.

Eigenlijk staat daar dus : Sluit de volgende CLSID uit.
Vermits ik enkel één waarde heb uitgesloten (dit kan ook een map of bestand zijn), staat daar Exclude1. De Excludes verhogen dus in nummering.
Kijk dus eerst hoeveel Excludes je daar hebt staan of beter, wat de hoogste nummering is.

De Exclude regel toevoegen.

In je openstaande kladboek bestand (die met de ccleaner.ini), kopie en plak je dit (na de laatste regel) :

Exclude1=REG¦HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Had of heb je daar nog Excludes staan, vergeet dan niet om deze de hoogste nummer te geven.
Stonden er bij jou nog een aantal Excludes (Exclude1, Exclude2,..), dan wordt dit Exclude3.

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: C:\Program Files\CCleaner
Bij "Bestandsnaam" zet je: ccleaner.ini
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).

Klik op de knop Opslaan.Indien je een melding krijgt dat dit bestand overscheven wordt, laat je dit toe.

De Ask Toolbar

2010-03-07T17:00:00.010+01:00

Laatste tijd is de dubieuze Ask Toolbar meer en meer terug te vinden in de hijackthis logs die ik analyzeer.
In de softwarelijst is deze dikwijls terug te vinden onder verschillende namen.

Je kan deze op de volgende wijze verwijderen:

XP: via start > Configuratiescherm > Software.

VISTA: via start > Standaardprogramma's > Programma's en onderdelen.

Vervolgens verwijder je één van deze namen:

AskBar
Vuze
AskTBar
AskBarDis
Ask.com

Herstart hierna je PC.

Anti Malware Help is vernieuwd !

2010-03-06T02:08:00.005+01:00

Vanaf vandaag heeft U met deze blog de mogelijkheid Uw reacties en opmerkingen, met betrekking tot de site, te plaatsen.

Wees echter wel zo vriendelijk om de feedbacks met betrekking tot de website
Anti Malware Help onder deze item te zetten.

Verdere info vind je aan de rechterzijde, waar je uiteraard ook mag op reageren.

Hartelijk dank !