Nucia Security Forums - Weblogs

Antivir Solution Pro removal.

Emphyrio — Sun, 25 Jul 2010 12:33:35 GMT

Typische Hijackthis symptomen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
O4 - HKLM\..\Run: [] %UserProfile%\local settings\application data\\.exe
O4 - HKCU\..\Run: [] %UserProfile%\local settings\application data\\.exe

Oplossing:

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.

Start je PC op in Veilige Modus.

E�nmaal in Veilige Modus, voer je het volgende uit:

Dubbelklik op mbam-setup.exe om het programma te installeren.
Ga nu naar de Program Files\Malwarebytes' Antimalware map.
Selecteer de mbam.exe file.
Hernoem deze naar iexplore.exe
Maak een snelkoppeling en plaats deze op je bureaublad.

Herstart je PC in Normale Modus.

In normale modus doe je het volgende:

Dubbelklik op iexplore.exe (<= de hernoemde mbam.exe)
Als MBAM opent UPDATE je MBAM via Update tab > Check for updates.
Vervolgens selecteer je de snelle scan en klik je op Scan.
Als de scan gedaan is, klik je op OK en Show Results.

Vergewis je ervan dat alle items geselecteert zijn en klik op Remove Selected.
Herstart je PC indien MBAM hierom vraagt.
Als alles uitgevoerd is, zal er een log tevoorschijn komen.
Bewaar deze log.

Hernoem iexplore.exe (uit de Program Files\Malwarebytes' Antimalware map) terug naar mbam.exe en verwijder de snelkoppeling van je bureaublad.

Emphyrio :)

TDL3 opsporen.

EvelineGirl — Tue, 06 Jul 2010 16:47:07 GMT

Gmer bied vaak geen helderheid omdat het programma vaak blijft crashen, foutmeldingen of een BSOD geeft en de pc herstart of er eeuwen lang over doet om de scan te voltooien.

Indien Gmer blijft crashen kan het programma Rootkit Unhooker worden gebruikt om zo de geinfecteerde driver te kunnen identificeren.

NOTE: Rootkit Unhooker is niet geschikt voor 64Bits systemen.

* Download Rootkit Unhooker en plaats deze op het bureaublad.
* Dubbelklik op RKUnhookerLE.EXE om het programma uit te voeren.
* Klik op het Report tab, en dan op scan.
* Zorg dat de volgende items staan aangevinkt, Drivers en Stealth. Vink alle anderen uit en klik op OK.
* Wacht tot het scannen voltooid is en klik File, Save Report.
* Sla het log bestand ergens op waar je hem makkelijk kan terug vinden.
* Sluit het programma.

Kopieer en plak het logje in je volgende antwoord.

NOTE: Je kan de onderstaande waarschuwing krijgen. Deze kan je negeren.

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove the parasite, okay?"

Een paar voorbeeld logjes.

Indien geinfecteerd laat RKUnhooker ons het volgende zien:

Citaat:

!!!!!!!!!!!Hidden driver: 0x86494AEA ?_empty_? 1302 bytes
!!!!!!!!!!!Hidden driver: 0x86586D78 ?_empty_? 0 bytes
==============================================
>Stealth
==============================================
0xF73C8000 WARNING: suspicious driver modification [iastor.sys::0x86494AEA]
0x05620000 Hidden Image-->Intuit.Spc.Map.WindowsFirewallUtilities.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 1077248 bytes
0x05790000 Hidden Image-->System.ServiceProcess.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 126976 bytes
0x03BE0000 Hidden Image-->System.XML.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 2060288 bytes
0x04360000 Hidden Image-->System.Data.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 2961408 bytes
0x037F0000 Hidden Image-->System.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 3158016 bytes
0x03B70000 Hidden Image-->System.configuration.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 438272 bytes
0xF7744000 WARNING: Virus alike driver modification [imapi.sys], 45056 bytes
0x012D0000 Hidden Image-->Intuit.Spc.Foundations.Portability.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 471040 bytes
0x047F0000 Hidden Image-->Intuit.Spc.Map.Reporter.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 479232 bytes
0x04EA0000 Hidden Image-->System.Windows.Forms.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 5033984 bytes
0x01240000 Hidden Image-->Intuit.Spc.Foundations.Primary.Logging.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 53248 bytes
0x05470000 Hidden Image-->System.Drawing.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 634880 bytes
0x03B00000 Hidden Image-->Intuit.Spc.Foundations.Primary.ExceptionHandling.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 77824 bytes
0x042A0000 Hidden Image-->System.Data.SQLite.DLL [ EPROCESS 0x863C1DA0 ] PID: 464, 778240 bytes
0x03B40000 Hidden Image-->Intuit.Spc.Foundations.Primary.Config.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 86016 bytes

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

In dit logje is dus imapi.sys de feitelijke geinfecteerde driver en is iastor.sys alleen in het geheugen geinfecteerd.

Citaat:

!!!!!!!!!!!Hidden driver: 0x8716BAEA ?_empty_? 1302 bytes
0x8716BEC5 unknown_irp_handler 315 bytes
!!!!!!!!!!!Hidden driver: 0x8715BB10 ?_empty_? 0 bytes
==============================================
>Stealth
==============================================
0xF73B6000 WARNING: suspicious driver modification [atapi.sys::0x8716BAEA]
0x7A4D0000 Hidden Image-->System.Runtime.Serialization.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 1196032 bytes
0x7AA10000 Hidden Image-->System.ServiceModel.Web.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 143360 bytes
0x7B170000 Hidden Image-->System.Windows.dll [ EPROCESS 0x86504020 ] PID: 2536, 1470464 bytes
0x7B080000 Hidden Image-->System.Windows.Browser.dll [ EPROCESS 0x86504020 ] PID: 2536, 151552 bytes
0x79520000 Hidden Image-->mscorlib.dll [ EPROCESS 0x86504020 ] PID: 2536, 1601536 bytes
0x7A300000 Hidden Image-->System.Net.dll [ EPROCESS 0x86504020 ] PID: 2536, 233472 bytes
0x79EE0000 Hidden Image-->System.Core.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 2375680 bytes
0x7A190000 Hidden Image-->system.dll [ EPROCESS 0x86504020 ] PID: 2536, 241664 bytes
0x7AA80000 Hidden Image-->System.Xml.dll [ EPROCESS 0x86504020 ] PID: 2536, 331776 bytes
0x7B0B0000 Hidden Image-->System.Windows.Browser.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 380928 bytes
0x7A460000 Hidden Image-->System.Runtime.Serialization.dll [ EPROCESS 0x86504020 ] PID: 2536, 421888 bytes
0x7B2E0000 Hidden Image-->System.Windows.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 4460544 bytes
0xF76B5000 WARNING: Virus alike driver modification [imapi.sys], 45056 bytes
0x79E50000 Hidden Image-->System.Core.dll [ EPROCESS 0x86504020 ] PID: 2536, 544768 bytes
0x796B0000 Hidden Image-->mscorlib.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 6197248 bytes
WARNING: File locked for read access [C:\WINDOWS\system32\drivers\sptd.sys]
0x7A340000 Hidden Image-->System.Net.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 659456 bytes
0x7A1D0000 Hidden Image-->System.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 671744 bytes
0x7AAE0000 Hidden Image-->System.Xml.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 847872 bytes
0x7A9F0000 Hidden Image-->System.ServiceModel.Web.dll [ EPROCESS 0x86504020 ] PID: 2536, 86016 bytes

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

Ook hier is imapi.sys (maar dit kan elke willekeurige driver zijn) de feitelijke geinfecteerde driver en is alleen atapi.sys in het geheugen geinfecteerd.

Citaat:

!!!!!!!!!!!Hidden driver: 0x862E7AEA ?_empty_? 1302 bytes
!!!!!!!!!!!Hidden driver: 0x86369B78 ?_empty_? 0 bytes
==============================================
>Stealth
==============================================
0xF73D3000 WARNING: suspicious driver modification [atapi.sys::0x862E7AEA]
WARNING: Virus alike driver modification [cpqdap01.sys]
WARNING: Virus alike driver modification [nikedrv.sys]
WARNING: Virus alike driver modification [rio8drv.sys]
WARNING: Virus alike driver modification [riodrv.sys]
WARNING: Virus alike driver modification [ws2ifsl.sys]
WARNING: Virus alike driver modification [fsvga.sys]
WARNING: Virus alike driver modification [smclib.sys]
WARNING: Virus alike driver modification [hdaudio.sys]
WARNING: Virus alike driver modification [tsbvcap.sys]
WARNING: Virus alike driver modification [cinemst2.sys]
WARNING: Virus alike driver modification [atmepvc.sys]
WARNING: Virus alike driver modification [rawwan.sys]
WARNING: Virus alike driver modification [atmuni.sys]
0xF7570000 WARNING: Virus alike driver modification [isapnp.sys], 40960 bytes
WARNING: Virus alike driver modification [vdmindvd.sys]
WARNING: Virus alike driver modification [rootmdm.sys]
WARNING: Virus alike driver modification [nwlnknb.sys]
WARNING: Virus alike driver modification [mcd.sys]

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

Hoe te herstellen?
TDSSKiller van Kaspersky kan deze infectie aan:

1.
Download TDSSKiller naar je bureaublad en pak het bestand vervolgens uit

Dubbelklik op TDSSKiller.exe om het programma te starten.
Wanneer het programma klaar is, zal er een log op de C:\ schijf worden aangemaakt.
De bestandsnaam van dat logje begint met TDSSKiller.
Post de inhoud van het logje in je volgende bericht.

Herstart handmatig je pc indien TDSSKiller hier niet om vroeg.

Voorbeeld logs:

Citaat:

11:47:30:922 3304 RDPCDD (81f9f82cb8732d26d23c20de4ece710a) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
11:47:30:922 3304 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\RDPCDD.sys. Real md5: 81f9f82cb8732d26d23c20de4ece710a, Fake md5: 4912d5b403614ce99c28420f75353332
11:47:30:922 3304 File "C:\WINDOWS\system32\DRIVERS\RDPCDD.sys" infected by TDSS rootkit ... 11:47:31:172 3304 Backup copy found, using it..
11:47:31:187 3304 will be cured on next reboot
11:47:32:625 3304 Reboot required for cure complete..
11:47:33:047 3304 Cure on reboot scheduled successfully
11:47:33:047 3304
11:47:33:047 3304 Completed
11:47:33:047 3304
11:47:33:047 3304 Results:
11:47:33:047 3304 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
11:47:33:047 3304 File objects infected / cured / cured on reboot: 1 / 0 / 1
11:47:33:047 3304
11:47:33:047 3304 KLMD(ARK) unloaded successfully

Citaat:

15:51:53:953 2764 intelppm (aed42df563ba65d2fef3f0b2fec31cd7) C:\WINDOWS\system32\DRIVERS\intelppm.sys
15:51:53:953 2764 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\intelppm.sys. Real md5: aed42df563ba65d2fef3f0b2fec31cd7, Fake md5: 96fce5216c94b0280d35d4e088268df4
15:51:53:953 2764 File "C:\WINDOWS\system32\DRIVERS\intelppm.sys" infected by TDSS rootkit ... 15:51:56:750 2764 Backup copy found, using it..
15:51:56:875 2764 will be cured on next reboot
15:51:58:781 2764 Reboot required for cure complete..
15:51:59:187 2764 Cure on reboot scheduled successfully
15:51:59:187 2764 Completed
15:51:59:187 2764 Results:
15:51:59:187 2764 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
15:51:59:187 2764 File objects infected / cured / cured on reboot: 1 / 0 / 1
15:51:59:187 2764
15:51:59:187 2764 KLMD(ARK) unloaded successfully

Ook Combofix kan de infectie neutraliseren:

Citaat:

Besmet exemplaar van c:\windows\system32\drivers\redbook.sys werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - Kitty had a snack :p

Eveline. [happy]

Verdwenen Windows Vista partities herstellen

Emphyrio — Mon, 28 Jun 2010 21:07:18 GMT

Door een wispelturige gril van Windows, was ik een partitie kwijtgeraakt.

Mijn Backup partitie van 283 Gb nog wel.
Tijd om opzoek te gaan naar een gratis recoverytool dus.

Eerst had ik Partition Find and Mount 2.31 gedownload.
De free to use versie natuurlijk.

Nadat ik de noodzakelijke scan opties had ingesteld (Thorough), vond deze tool een aantal verloren gewaande partities.

De partitie die ik moest zien te recupereren bedroeg 283 Gb.
Het terugzetten van een directorie van 40 Gb zou 24 uur duren.

Met 283 Gb te herstellen had ik dus enkele dagen te gaan.
Dit duurde me t� lang

Vervolgens PartitionRecovery 1.0 ontdekt. Klein, gratis en vereist geen install.

Unzippen en klikken op PartitionRecovery.exe.
Vervolgens klik je in het vakje waar de partitie zich zou moeten bevinden.
Klikken op Restore en ....pats !!!
In minder dan ��n seconde was mijn partitie hersteld.

Prachtig. :D

Toch nog even een waarschuwing:

Als dit je ooit voorvalt (een verdwenen partitie) ga dan niet zitten te experimenteren.
En al zeker niet een extra of nieuwe partitie aanmaken.

Wanneer je dat doet, is er g��n hoop tot recovery (herstel) meer.

Windows' logica

Eagle Creek — Thu, 06 May 2010 14:54:45 GMT

En we gaan nog even door.

Wel gestart, of toch niet?

Bijgevoegde afbeelding(en)

eventlog.png (41,2 KB, 728x gelezen)

Logica bij Microsoft

Eagle Creek — Thu, 06 May 2010 08:17:33 GMT

Dat het bestand op de server gewijzigd was, op het moment dat de pc offline was kan ik mij voorstellen. Maar dat een bestand zowel op de server, ALS op de pc gewijzigd is, terwijl de pc offline was, snap ik toch niet helemaal 8-).

Bijgevoegde afbeelding(en)

mslogica.png (37,3 KB, 666x gelezen)

Ironie bij Microsoft..

Eagle Creek — Sun, 02 May 2010 19:28:11 GMT

Wat kun je hier nog op zeggen 8-)..

Bijgevoegde afbeelding(en)

ironie.png (30,7 KB, 710x gelezen)

Overdrijven met Windows, aflevering 5.

Eagle Creek — Fri, 25 Dec 2009 17:49:58 GMT

:|

Ach, het is een Amerikaans product; we zullen het ze maar niet kwalijk nemen.

Bijgevoegde afbeelding(en)

wsus.png (6,5 KB, 2115x gelezen)

IE8: Reclame blokkeren met de InPrivate-filtering in IE8

smeenk — Sun, 06 Dec 2009 00:34:53 GMT

Advertenties blokkeren??

Veel mensen worden weerhouden van het gebruik van IE8 omdat er een functie zou ontbreken om Ads te blokkeren zoals Ad-Block bij FireFox.

Misschien is het niet algemeen bekend, maar IE8 bevat in feite een goede advertentieblokkering.
Dit is het zogenaamde "InPrivate-filtering".
Het InPrivate Filtering (in te schakelen door de toetsencombinatie CTRL + SHIFT + F) is eigenlijk bedoeld om onderdelen van websites die privacy gevoelige gegevens verzamelen te blokkeren.
Maar een neveneffect is dat we het ook als reclamefilter kunnen instellen.

Bijzonder van de InPrivate-filter is dat het(indien ingeschakeld) automatisch content kan detecteren die met een hoge frequentie op websites die u bezoekt voorkomt.
Het InPrivate-filter zal dergelijke inhoud weergeven zodat een gebruiker maatregelen kan nemen. De gebruiker kan aangeven of deze content gewenst of ongewenst is en besluiten deze te blokkeren of juist toe te staan.
Ook kan je aangeven op hoeveel verschillende websites content aangetroffen mag worden voordat deze in de lijst zichtbaar wordt en je dus de keuze krijgt om het te blokkeren. Maar het is ook mogelijk om IE automatisch dergelijke inhoud te laten blokkeren.

Het enige wat dan eigenlijk nog nodig is, is een "Lijst" met daarin een omschrijving van ongewenste inhoud om "InPrivate-filtering" als iedere andere Adblock toepassing te laten functioneren.
De werking van het filter wordt dan vergelijkbaar met Adblock Pro in FireFox. Het is dan mogelijk om bepaalde content te blokkeren zonder een beroep te doen op de geschiedenis van uw surfgedrag.

InPrivate-filtering inschakelen.

In de menubalk van IE8, onder "Beveiliging" kan je er voor zorgen dat "InPrivate-filtering" is ingeschakeld. Dit doe je eenvoudig door het te selecteren met je muis waardoor er een vinkje voor geplaatst wordt ten teken dat InPrivate-filtering is geactiveerd.

Daaronder zie je ook "InPrivate-filtering-instellingen" staan. Daar staat ook een lijstje met alle content die op basis van de frequentie van verschijnen op websites is gefilterd.
De standaard frequentie is "10", wat betekent dat de content op 10 verschillende websites voor moet komen om in het lijstje terecht te komen.
U kunt deze frequentie zelf aanpassen met een minimum van 3 en een maximum van 30.

Bovenaan staan een aantal zogenaamde radio buttons, dit zijn keuzerondjes waarbij de eerste "Automatisch blokkeren van de inhoud" geselecteerd dient te worden om InPrivate Filter als Ad-blocker in te stellen.

Iemand heeft de Adblock lijst van FanBoy aangepast om deze te gebruiken als Ad-blocker voor Internet Explorer 8.
Deze kan je hier downloaden als zip-bestand.
Dit zip-bestand bevat een XML-document.
Het XML-bestand kan je bij "Geavanceerde instellingen" laten importeren in het InPrivate Filter zodat deze meegenomen wordt als te blokkeren content.

Vanaf dat moment zal de hoeveelheid Ads in websites vergelijkbaar afnemen dan wanneer je surft met de Ad-Block Pro in FireFox.

Het InPrivate Filter staat niet automatisch ingeschakeld wanneer Internet Explorer wordt gestart, je zult het dus iedere keer zelf moeten selecteren.
Een oplossing hiervoor is een registerfix die het filter automatisch laat starten iedere keer wanneer IE wordt gestart: enable inprivate.reg
Bestandje downloaden, dubbelklikken en toestemming geven wanneer dat wordt gevraagd.
Wanneer je dit ongedaan wilt maken gebruik je: disable inprivate.reg.
Mocht je tijdens het surfen reclamecontent willen laten weergeven dan haal je in het menu "Beveiliging" het vinkje weg bij "InPrivate Filterering" en daarna ververs je de pagina.

Bijgevoegde afbeelding(en)

	inprivate1.JPG (19,0 KB, 1443x gelezen)
	inprivate2.JPG (18,1 KB, 329x gelezen)
	inprivate3.JPG (62,7 KB, 1442x gelezen)
	inprivate4.JPG (59,1 KB, 295x gelezen)
	inprivate5.JPG (30,3 KB, 1421x gelezen)
	inprivate6.JPG (8,7 KB, 1424x gelezen)

Bijgevoegde bestanden

	enable inprivate.reg (282 Bytes, 442x gelezen)
	disable inprivate.reg (256 Bytes, 320x gelezen)

Avira AntiVir Manueel Updaten

Emphyrio — Sun, 16 Aug 2009 00:22:29 GMT

Het gebeurt soms dat AntiVir bij het updaten blijft hangen.
Je kan AntiVir manueel updaten door het IVDF bestand te downloaden ( info ).

Heb je ��n van de volgende producten :

Avira AntiVir Personal, Premium and Premium Security Suite from version 9
Avira AntiVir Professional (Windows) from version 9
Avira AntiVir Server (Windows) from version 9
Avira AntiVir SharePoint from version 3
Avira AntiVir ISA Server from version 3

Dan download je ivdf_fusebundle.zip en bewaar het op je bureaublad.

Heb je ��n van volgende producten :

Avira AntiVir Personal, Premium and Premium Security Suite version 8
Avira AntiVir Professional (Windows) version 8
Avira AntiVir Server (Windows) up to version 8
Avira AntiVir SharePoint up to version 2
Avira AntiVir ISA Server up to version 2
Avira AntiVir Exchange
Avira AntiVir MIMEsweeper
Avira AntiVir VSA for SAP

Dan download je ivdf_fusebundle_nt_en.zip en bewaar het op je bureaublad.

Vervolgens :

Open AntiVir door er op te dubbel klikken in je systeemvak en kies voor Update > Manual.
Selecteer je bureaublad en daarna het voor jouw toepasbaar IVDF bestand.
Klik op openen. AntiVir zal de update starten.

Na de procedure mag je je AntiVir sluiten en het IVDF bestand verwijderen.

Operating Systeem:

Windows XP / 2000 / Vista / Windows 7 (32/64).

Emphyrio :)

virut infectie

Juisterr — Mon, 13 Apr 2009 18:22:06 GMT

Voor Virut is helaas nog geen oplossing gevonden.

http://miekiemoes.blogspot.com/2009/...-throwing.html

Gerben's Blog

gerbenp — Fri, 23 Jan 2009 18:04:00 GMT

Bezoek nu m'n weblog op
http://gerben.tuxplace.nl

dns hijacker router

Juisterr — Tue, 30 Dec 2008 18:19:16 GMT

Door Bill Castner:

Er is een wijdverspreide DNS Hijacker in omloop.

Hoe weet je of je deze malware infectie hebt opgelopen?
De popups zijn hinderlijk en beduidend meer dan in de "normale" adware infectie. De DNS redirection is eenvoudig te testen:
Type in je browser de volgende tekst: download.microsoft.com

Kom je ergens anders terecht dan op de Microsoft website blijf dan doorlezen.
Type nu in je browser www.google.com. Kom je daar niet terecht, net zomin als bij elke andere Google search, dan heb je een probleem.
Het kan ook gebeuren dat je geen AV's kunt updaten en/of Windows updates kunt downloaden en/of gewone antimalware sites kunt bereiken zoals AdAware, Spybot etc.

Oplossing:
Een mogelijkheid is de problematiek rond de router volledig te omzeilen. Dit kun je doen als de volgende stappen � inclusief resetten van de router � allemaal mislukken.
Wanneer je het statische DNS serveradres instelt, en je voorkomt hiermee de DHCP toewijzing van de DHCP server van je router, dan kun je het probleem omzeilen.
Binnen een lokaal netwerk zul je dit moeten doen op ELK werkstation; resetten van de router is dus altijd de beste optie.
Ook kun je ervoor kiezen het DSN server adres te zetten op statisch OpenDNS, en de router niet toestaan een DHCP toe te wijzen.
Hier vind je info over OpenDSN server adressen: http://www.opendns.com/

!voorbeeld van een geslaagde fix:
http://aumha.net/viewtopic.php?f=30&...205746#p205750

Je kunt hiervoor het volgende script runnen:

Ga naar
start-->uitvoeren

en type dit:
notepad

Klik OK, een kladbok bestandje opent (let op dat automatische terugloop niet staat ingesteld).
Kopieer en plak de onderstaande vetgedrukte tekst in het venster.

ATT!! Dit is een VOORBEELD! JE MOET ZELF EVENTUEEL EEN ANDER DNS ADRES INVULLEN

@echo off
cd %~dp0

REM Aumha Forum malware script only for this user
REM Please do not use.
REM Sets DNS Servers to OpenDNS static entries
REM Unintended consequences are likely if you are not this user.
REM Authored by Bill Castner, AumHa Forum

(
echo.#
echo.# Interface configuration
echo.#
echo.pushd interface
echo.reset all
echo.popd
echo.# End of interface configuration
echo.#
echo.# Interface IP Configuration
echo.#
echo.pushd interface ip
echo.# Interface IP Configuration for "Local Area Network"
echo.set dns name="Local Area Network" source=static addr=208.67.222.222
echo.add dns name="Local Area Network" addr=208.67.220.220 index=2
echo.popd
echo.# End of interface IP configuration
echo.
)>location.txt

netsh exec location.txt
del /a /f location.txt
del ~0
exit

Kies bestand, opslaan als..., en enter (inclusief aanhalingstekens) met als naam: "FixDNS.cmd". Sluit Notepad.

Dubbelklik dit bestand om het script te runnen; het zal snel open als een zwarte box en dan weer sluiten.

De volledige oplossing vereist dat de DNS hijacker totaal wordt uitgeschakeld en verwijderd!

Download de volgende programma's naar je bureaublad en niet naar een map!

Download MalwareBytes' Anti-Malware
PREVX

2. Run MBAM. Sta een reboot toe als hierom wordt gevraagd.
3. Run Prevx CSI. Sta een reboot toe als hierom wordt gevraagd.
4. Zorg ervoor dat je de setup informatie van je router bij de hand hebt.. Je hebt deze nodig om toegang te krijgen tot de router configuratie pagina's, en om de benodigde informatie op te schrijven voor de identificatie van je ISP. Schrijf dit op! als je deze info nergens anders kunt vinden.
Als je twijfelt, bel dan je provider en vraag welke info je nodig hebt voor de identificatie velden van je router.
4. Sluit je computer en alle andere computers die met de router zijn verbonden.
5. Aan de achterkant van de router kun je een klein knopje of gaatje vinden met de tekst RESET.
Gebruik eventueel een paperclip om de resetknop gedurende 20 seconden ingedrukt te houden.
Koppel de router dan los van de elektra en wacht 60 seconden. Opnieuw resetten en daarna weer inpluggen. Opnieuw 20 seconden resetten en dan weer loskoppelen van de elektra.
6. Terwijl de router is losgekoppeld van het stroomnet start je de computer. Run MBAM opnieuw.
7. Run Prevx CSI ook opnieuw.
8. Verbindt dan weer de router met het stroomnet. Als het stabiel blijft herstart dan je computer en probeer internet verbinding te maken. Als je weer problemen hebt zoek dan verbinding met de Router configuratie pagina en voer opnieuw de juiste identificatie gegevens in.
Herstart opnieuw en test via IPCONFIG of de instellingen goed zijn:

Klik > Start > uitvoeren en type in de box die opent CMD, klik enter en OK
In de zwarte box die opent type je:
IPCONFIG /all (vergeet niet de spatie na IPCONFIG�)
Klik enter en er verschijnt informatie in de box. Rechtsklik de tekst en kies markeren. Ga naar het hele kleine dostekentje links bovenin de box en rechtsklik erop, kies > bewerken en > kopi�ren.
Plak deze tekst in je volgende antwoord en sluit het DOS scherm.

Vertaling door Toscane (Anke)

Het gebruik van Cracks\Keygens(filmpje op YouTube)

smeenk — Mon, 01 Dec 2008 13:34:47 GMT

Het volgende filmpje laat zien wat er mogelijk werkelijk gebeurt wanneer je cracks of keygens gebruikt.
Wees je dus bewust van de gevaren van dergelijke software.
Mijn advies: blijf weg van websites die deze troep aanbieden.

Citaat:

usb flash

Juisterr — Wed, 26 Nov 2008 12:22:20 GMT

Deze infectie is een flashdrive infectie, en ze heeft waarschijnlijk ook eventuele andere drives ge�nfecteerd, inclusief je flashdrives zoals bv je usb sticks. Je Je zal deze ook moeten desinfecteren.
Doe dit:

* Download deze volgende tool naar je bureaublad:
http://www.techsupportforum.com/sect...isinfector.exe

Indien je tijdens de aanwezigheid van deze infectie een usbstick/flashdrive heeft gebruikt, moet je ook deze insteken, zodat bovenstaande tool deze ook kan desinfecteren.

Daarna dubbelklik Flash_Disinfector.exe om de tool te starten.
Nadat de tool zijn werk heeft gedaan, start de computer opnieuw op.

EstDomains-site uit de lucht.

jahewi — Wed, 26 Nov 2008 10:10:27 GMT

Kleine update op de 'overname' van EstDomains door ResellersClub

De site van EstDomains is uit de lucht en het lijkt erop dat het voorgoed is ....
De site is inmiddels doorgelinkt naar een pagina op de site van Directi, alwaar het volgende te lezen is

Citaat:

As a result of the EstDomains de-accreditation by ICANN, Directi will be taking over EstDomains� Registrar operations. ResellerClub, Directi�s Reseller arm, will be managing EstDomains� Domains and Digital Certificates henceforth. ResellerClub and EstDomains Inc use LogicBoxes's Registrar Automation platform, OrderBox, which will make the entire migration process a smooth one.

We understand that there might be a sense of confusion or uncertainty concerning domains managed by EstDomains however, you can rest assured that ALL Domain Names registered through EstDomains Inc are absolutely safe and will continue to function normally.

For more updates and information visit the ResellerClub Blog.

Vooral om 1 uitspraak maak ik me toch echter wel zorgen ......

Citaat:

you can rest assured that ALL Domain Names registered through EstDomains Inc are absolutely safe and will continue to function normally.

Vraagje aan ResellersClub:
Geldt dit ook voor de vele malware-pushende en spam-verspreidende domeinen?
Ik hoop van harte dat dat niet het geval zal blijken te zijn .......

ResellersClub laat er geen gras over groeien ...

jahewi — Wed, 26 Nov 2008 05:36:45 GMT

Als jullie mijn blog regelmatig lezen, weten jullie dat ResellersClub de mogelijke kandidaat is om EstDomains' aktiviteiten over te gaan nemen.
Er was echter nog geen officieele bevestiging van .........

was, want volgens mij kan het niet officieeler dan op deze manier .......... :w00t:

Citaat:

WHOIS information for: estdomains.com:

[whois.estdomains.com]
Registration Service Provided By: RESELLERCLUB
Contact: +1.4152361970

Domain Name: ESTDOMAINS.COM

Registrant:
N/A
Legal Department (support@estdomains.com)
110 W. Ninth Street #688
Wilmington
Delaware,19801
US
Tel. +1.3027224217
Fax. +1.8663729936

Creation Date: 19-Aug-2004
Expiration Date: 19-Aug-2010

Domain servers in listed order:
a.estdomains.com
b.estdomains.com
c.estdomains.com

Status:ACTIVE

... en nu maar hopen dat ResellersClub het enige juiste gaat doen ...

Steekje los bij Windows Security Center?

jahewi — Tue, 25 Nov 2008 16:15:30 GMT

Ik heb het er vandaag maar druk mee ... met het Nucia-blog :w00t:

Een collega vroeg me hem te helpen met z'n prive-computer.
Er zat een nep-scanner op (het bleek al gauw om AntiSpywareXP 2009 te gaan) en hij kreeg hem er niet vanaf.

Wat schetste mijn verbazing toen ik de computer startte en ik de volgende melding van het Windows Security Center kreeg .....

Wat het Windows Security Center hier dus feitelijk zegt is dat je een ongeregistreerde versie van AntiSpywareXP2009 gebruikt en dat je er beter een geregistreerde versie van kunt aanschaffen ...... :|

De maker van die nep-scanner zal wel heel blij zijn met deze aanbeveling, maar ik kan je verzekeren dat hij de enige is. :@

Het moet toch niet gekker worden met Windows ........

ResellersClub -> Directi -> PrivacyProtect ..... EstDomains??

jahewi — Tue, 25 Nov 2008 13:14:29 GMT

Al surfend kwam ik het volgende bericht tegen:
DirectI verbreekt banden met malware registrar Estdomains

Pardon? Is dat niet dezelfde Directi-groep waarvan ook ResellersClub deel uitmaakt?
Ja, dus ...

... en dan is dus Directi's PrivacyProtect dezelfde als waarmee ik een aantal maanden geleden in de clinch heb gelegen .......

Ik wil natuurlijk niets suggereren over de (volgens Directi, niet meer bestaande) banden, maar ik krijg toch wel een beetje een naar gevoel bij de op stapel staande overname van de EstDomains-domeinen door ResellersClub ... :|
Als namelijk de werkwijze van PrivacyProtect (gewoon je kop in het zand steken en net doen of je neus bloed ...) de algemene werkwijze van Directi is, dan zullen ze dat bij ResellersClub misschien ook gaan doen bij spam-verspreidende en malware-pushende domain-eigenaren :@

ResellersClub gaat EstDomains-domeinen beheren

jahewi — Tue, 25 Nov 2008 12:23:36 GMT

Nu dat het ICANN EstDomains vleugellam heeft gemaakt, door het contract met de malware-club te verbreken, staan er sinds gisteren bijna 250.000+ domeinen op de tocht.
ICANN had alreeds toegezegd dat alle ex-EstDomains-domeinen onder beheer van een door het ICANN erken erkende hoster zouden gaan vallen.
Door het grote aantal spam- en malware-gerelateerde domeinen was echter al bekend dat deze belofte erg moeilijk zou zijn te vervullen.

Nu is er echter toch een naam boven komen drijven van het hosting-bedrijf dat dit hoogstwaarschijnlijk zal gaan doen.
Alhoewel nog niet officieel door het ICANN aangekondigd, zal dit hoogstwaarschijnlijk ResellersClub (onderdeel van het Indiase concern Directi) worden.

Ik ben heel benieuwd naar de gevolgen van deze super-aktie van het ICANN.

Wordt ongetwijfeld vervolgd 8-)

Het einde van EstDomains?

jahewi — Tue, 11 Nov 2008 13:31:43 GMT

Op 28 oktober heeft een koerier een brief op de mat van EstDomains gedeponeerd.
Deze was afkomstig van het ICANN (The Internet Corporation for Assigned Names and Numbers; de organisatie die de afgifte van domeinen en IP-nummers regeld).

In de brief werd bevestigd wat eigenlijk al bekend was ....
Notice of termination of ICANN registrar accreditation agreement
Oftewel, ICANN ontneemt EstDomains het recht om domeinen en IP-nummers uit te geven en te beheren, wegens fraude, valsheid in geschriften enz. enz. door de directeur van EstDomains mr. Vladimir Tsastsin.
Verder zullen alle 281.000 domeinen, die EstDomains nu beheerd, moeten worden ondergebracht bij een andere, door het ICANN geaccepteerde, hoster.

Dit alles zal plaatsvinden voor aanstaande 12 november (morgen dus ....).

EstDomains zal slechts weer als hoster kunnen gaan optreden als de heer Tsastsin z'n functie neerlegd.

Dit alles is natuurlijk goed nieuws ... Laten we echter niet te vroeg juichen, want ik denk dat een grote criminele organisatie als EstDomains best wel in staat zal blijken dit Zwaard van Damocles af te weren.

Aanvulling
EstDomains heeft op 4 november gereageerd op de brief van ICANN.
Volgens hun zeggen heeft Vladimir Tsastsin op 16 juni beroep tegen het vonnis aangetekend bij het hof van Estland.
Op 25 juni heeft hij z'n functie bij Estland neergelegd.
In de brief wordt dan ook aan ICANN gevraagd om de geplande aktie tegen EstDomains op te schorten tot er een uitslag op het beroep is ....

Wat EstDomains echter niet vermeldt is dat het hof het beroep al op 7 juli had afgewezen .......

Ik ben heel benieuwd wat de volgende truc van EstDomains zal zijn ........

Wordt vervolgd

koe haas

Juisterr — Fri, 31 Oct 2008 08:36:08 GMT

Hoe vangt een koe een haas ?

Rootkits

jahewi — Sat, 27 Sep 2008 22:15:12 GMT

De term RootKit wordt gebruikt voor het beschrijven van*gereedschappen (tools) en methodes, die worden gebruikt om detectie door malware-scanners en systeembeheer-utilities te voorkomen.
Een van de belangrijkste methodes om detectie te voorkomen, is het 'injecteren' van DLL's in bepaalde delen van het bestands-systeem of in de Windows-kernel.

Een RootKit is over het algemeen een verzameling gereedschappen en methodes die door een hacker of door malware (virussen, trojans, keyloggers enz.) kunnen worden gebruikt om:
- de overname van de computer te maskeren
- Administrator-rechten te verkrijgen
Hiertoe zal de inbreker (hacker cq malware) eerst trachten een normale gebruikers-toegang tot het systeem te krijgen, waarna de RootKit kan worden geinstalleerd en in werking kan worden gezet. Voor het verkrijgen van de toegang zal vaak gebruik worden gemaakt van een Trojan.
De gebruikers-toegang kan o.a. worden verkregen door gebruik van ��n van de Windows-lekken of door het kraken van wachtwoorden.
De RootKit kan dan, na installatie op het getroffen systeem, gegevens verzamelen over gebruikers-Id's en wachtwoorden, hetgeen uiteindelijk leidt tot gehele toegang tot het getroffen systeem.
Een RootKit kan de volgende tools ter beschikking hebben:
- Verkeer-monitor
- Toets-aanslagen monitor
- Backdoor
- Het lezen en wijzigen van log-bestanden
- Het overnemen van andere werkstations (als de getroffen computer deel uitmaakt van een netwerk)
- Het wijzigen van systeem-instellingen om detectie te voorkomen.

Werkwijze:
Er zijn 4 soorten Rootkits (klassificaties), afhankelijk van hun mogelijkheden om een reboot van de geinfecteerde computer te overleven en de manier van werk-niveau:
1. Memory-Based Rootkits:
Deze rootkit-klasse bestaat uit malware, dat geen persistente (hardnekkig aanwezige) code bezit en daarom ook een reboot
niet zal overleven.
2. Persistent Rootkits:
Een persistente Rootkit aktiveert zichzelf automatisch, iedere keer dat een geinfecteerde computer wordt gestart of als een
gebruiker inlogt. Hiertoe moet de rootkit zijn opgeslagen in het register of in het bestandssysteem en hiervoor een methode
gebruiken, waarbij de opstart-code van de rootkit, zonder tussenkomst van de gebruiker, automatisch wordt uitgevoerd.
3. User-mode Rootkits:
Er zijn veel methodes waarmee een user-mode rootkit detectie kan proberen te voorkomen.
Zo kan de rootkit API-calls naar FindFirstFile/FindNextFile onderscheppen. Zodoende kunnen de Rootkit-gerelateerde
bestanden, die anders zouden kunnen worden ontdekt, worden gefilterd voordat het resultaat wordt doorgegeven.
De API's in dit voorbeeld worden, door bv. Explorer en de*opdrachtprompt, gebruikt om de inhoud van het bestandssysteem
(mappen en bestanden) te onderzoeken.
Geavanceerde user-mode Rootkits onderscheppen ook API-calls naar bv. het register en naar zg. 'process enumeration'
functies.*Hierdoor kan detectie door scanners, die de resultaten van Windows API's vergelijken met de oorspronkelijke
API's,*worden vermeden.
4. Kernel-mode Rootkits:
Rootkits van dit type gaan nog een stapje verder, omdat ze, behalve dat ze API-calls kunnen onderscheppen en bewerken, ook
de data-strukturen van de kernel kunnen bewerken. Hierdoor is het mogelijk, zonder de API-calls te bewerken, bv. een
malware- proces uit de lijst aktieve processen van de kernel te verwijderen.

Rootkit-varianten en -tools:
- NT Rootkit:
De eerste Windows-gebaseerde Rootkit. Wordt inmiddels door veel virusscanners gedetecteerd.
- Vanquish:
Een DLL-injektie rootkit van Roemeense oorsprong.
Vanquish kan bestanden, mappen en register-entries onzichtbaar maken, alsmede wachtwoorden opslaan.
- AFX:
Een User-mode Rootkit, dat gebruik maakt van DLL-injektie en onderscheppen van oorspronkelijke Windows API-calls.
- Hacker Defender:
Een Rootkit die helpt bij het uitwissen van inbraak-sporen, gemaakt door een hacker op een geinfecteerde computer.
- WinlogonHijack:
Een Rootkit-tool, die, door middel van DLL-injektie in winlogon.exe en onderscheppen van calls naar msgina.WlxLoggedOutSAS,
in staat is elke LogIn weer te geven in gewone tekst.
- NTFSHider:
Een Rootkit-tool, welke data kan opslaan in Bad Blocks en Unallocated Cluster op een IDE-schijf en in NTFS-partities.
- MTDWin:
Een Rootkit-tool, die writable memory-chips, FlashRAM en EEPROM's op een moederbord kan herkennen.
(deze lijst zal nog verder worden uitgebreidt met bredere uitleg en meer varianten en tools)

Detectie- en Verwijder-tools:
RootkitReveal: Een nieuw tooltje, dat wordt uitgebracht door SysInternals.com,*waarmee een aantal Windows-Rootkits kan worden gedetecteerd.
Strider Ghostbuster: Detecteerd Rootkits door het vergelijken van de (mogelijk) geinfecteerde computer met een schone WinPE-installatie op CD.
Let op: Deze tool(kit) is nog niet te gebruiken, om de simpele reden dat hij alleen nog maar bestaat als theorie. Het ligt wel in Microsoft's bedoeling de tool(kit) uit te brengen, maar dan wel als onderzoeks-prototype of als onderdeel van Microsoft produkten.

Handmatig detectie en verwijdering (de Strider Ghostbuster-methode in het kort):
- Open, op de (mogelijk) geinfecteerde computer, een Command-venster of start de betreffende computer op in Command-mode.
- Typ het commando dir /s /b /ah in + en sla de resultaten op.
- Boot nu op vanaf een schone WinPE-CD en typ wederom het commando dir /s /b /ah in + en sla de resultaten op.
Typ nu het commando dir /s /b /a-h in + en sla ook hiervan de resultaten op.
- Gebruik de WinDiff-utility van de CD om de 2 tekstbestanden te vergelijken en ongelijkheden te filteren.
Let op: Er zullen en aantal valse meldingen zijn. Ook kunnen rootkits en tools, die zijn opgeslagen in het BIOS,
Videokaart-EEPROM, Bad Sectors op harddisks en bv. zijn opgeslagen als ADS, niet met deze methode worden
gedetecteerd.

Auteur: Jahewi, april 2005
Bronnen:
http://www.sysinternals.com/ntw2k/fr...itreveal.shtml
http://research.microsoft.com/rootkit/

Cookies vs Tracking-cookies (deel 2)

jahewi — Fri, 26 Sep 2008 03:23:55 GMT

Tracking-cookies; De duistere kant van cookies.

Zo langzamerhand zul je je wel afvragen waarom dit artikel zich bevindt op mijn overwegend beveiligings-gerichte blog staat ....
Cookies zijn er toch om het leven van de surfer eenvoudiger te maken?

Dit klopt inderdaad. Het basis-concept van cookies is en blijft gebaseert op behulpzaamheid.
Er bestaat echter ook een mogelijk om misbruik te maken van cookies.

Laat we eens, als voorbeeld, kijken naar een bedrijf met de fictieve naam Jawwi BV.
Het bedrijf verkoopt goederen en/of diensten via internet.
Om de verkoopt te bevorderen vraagt hij verschillende sites om een reclame-banner te plaatsen.
Tot zover is er niets mis .... maar daar komt nu verandering in.
Jawwi BV. vraagt aan elke site die de banner heeft geplaatst, om ook een zg "3th party cookie" te laten plaatsen op passerende computers.
Dit cookie is dus NIET van de site waarop de banner staat, maar van de site van de plaatser van de banner ... en de gegevens zijn dus ook alleen voor site van de plaatser van de banners uileesbaar.
Zodoende is het dus mogelijk om gebruikers te oormerken. Doordat op elke site, waarop de banner staat, hetzelfde cookie te plaatsen kan door Jawwi BV het surfgedrag van nietsvermoedende surfers in kaart worden gebracht. Als daarbij ook bv. IP-nummer of zelfs persoonlijke gegevens worden opgeslagen wordt dit gezien als een ernstige inbreuk op de privacy .....

Voor degenen die het nog niet door hebben .... we hebben hier dus over Tracking Cookies.
Tracking-cookies zijn dus cookies die worden gedistribueerd vanuit een centrale website, met de bedoeling het surfgedrag in kaart te brengen en, op de specifieke internet-gebruiker, gerichte reclame (in de vorm van banners en/of popup-vensters) te serveren op de deelnemende sites.

Wat is het gevaar van tracking cookies?

De nadruk ligt, wat mij betreft, niet zozeer op gevaar. Een tracking cookie is niets anders dan een gewoon cookie. Het is dus geen virus en kan ook, op zich, niet worden gebruik om andere malware (virussen, spyware enz.) op je computer te plaatsen.
Het 'gevaar' ligt hem simpelweg in het misbruik van het concept van cookies. Cookies zijn er, zoals je nu weet, om het leven de surfer eenvoudiger te maken en NIET om het surfgedrag van een surfer in kaart te brengen ... ook al is het argument, van de plaatsers van tracking cookies, vaak dat door het gebruik van tracking cookies ook beter op de wensen van surfers kan worden ingesprongen. Er kunnen dus banners worden getoond die de surfer meer aanspreken, hetgeen 'targeted advertising' wordt genoemd. Onder andere DoubleClick ��n van de grote plaatsers van tracking cookies.

Hoe voorkom ik de plaatsing van tracking cookies?

De meeste moderne webbrowsers zijn tegenwoordig uitgerust met mogelijkheden om alleen cookies toe te laten van de site die wordt bezocht alsmede mogelijkheden om de privacy te beschermen.

Hoe kan ik cookies beheren?

Het is natuurlijk mogelijk om, in je browser, alle cookies te weigeren ... dit is echter net zoiets als voorkomen dat je een lekke band krijgt door de banden van je fiets af te halen en op de velgen gaan rijden.
In de moderne browsers zijn gelukkig goede mogelijkheden ingebouwd om het plaatsen van Tracking Cookies te voorkomen.

- In Internet Explorer:
Klik Extra > Internet-opties > Privacy > Geavanceerd en zet een vinkje in Automatische cookie-verwerking opheffen.
Selecteer Vragen bij Direkte cookies en selecteer Blokkeren bij 'Indirekte cookies'.

- In Mozilla Firefox:
Klik Tools > Options > Privacy > Cookies
Zet een vinkje bij Allow to set cookies en Zet een vinkje bij for originating web site only
Kies bij Keep cookies voor Ask me every time

Bovengenoemde settings hebben tot gevolg dat je, voordat een gewoon cookie wordt geplaatst, daar eerst toestemming voor moet geven en dat tracking cookies geheel worden geweigerd.
Helaas kan deze werkwijze wel tot gevolg hebben dat sommige site anders reageren of helemaal niet kunnen worden geopend.

- Met behulp van Cookie-Managers:
Om cookies echt te kunnen beheren (dwz cookies van sites die je regelmatig bezoekt behouden en de rest verwijderen) heb je een apart programmaatje nodig.
Gelukkig zijn er verschillende goede, zowel gratis als commercieele, zg. cookie-managers verkrijgbaar.
Dit zijn wat voorbeelden van gratis Cookie-managers en -blockers:
- Cookie Viewer: Een cookie-manager
- Spyware Blaster: Blokkeert tracking cookies.
- WinPatrol: Bevat een cookie-manager

Grote ommekeer bij EstDomains?

jahewi — Fri, 19 Sep 2008 06:30:31 GMT

De meesten van jullie kennen EstDomains wel.
Voor degenen die het niet kennen, EstDomains is een Oost-Europese hosting-bedrijf dat zich al jaren bezighoudt met het terroriseren van internet-gebruikers door het verspreiden van nep-scanners, malware-houdende nep-codecs en andere malware-troep, alsmede het oprichten en beheren van phishing-sites, malware-verspreidende sites. En daarbij houden zich ook nog op grote schaal bezig met het verspreiden van allerhande email- en forum-spam.
Kortom ... een zeer akelig bedrijf waar velen liever vanaf zijn.

Maar is daar nu verandering in aan het komen?
Oordeel zelf.

Sinds enkele weken is er een nieuwe (of vernieuwde) afdeling aktief binnen EstDomains. Ze noemt zichzelf EstMate en het is de Abuse-afdeling van EstDomains.
Nu denk je natuurlijk, net als ik in eerste instantie, dat ook dat zo fake is als AntiVirusXP 2008, maar dat is toch net iets anders ...

Als EstMate heeft deze abuse-afdeling namelijk een lidmaatschap aangemaakt op het MalwareBytes-forum en heeft beloofd dat het elk domein zal sluiten, waarover terecht wordt geklaagd.
En zowaar heeft EstMate de laatste tijd al vele domeins gesloten.

Het lijkt er dus op dat De EstDomains-vos zowaar z'n streken verliest ..... of toch niet .... 8-)

Aan de ene kant worden op dit moment een groot aantal belangrijke (en minder belangrijke) malware- en phishing-sites gesloten. Maar aan de andere kant is het zo dat de malware en de nep-scanners niet echt verdwenen zijn .... dat bevindt zich nog steeds in de klauwen van EstDomain.
Niets zou EstDomains er dus van weerhouden om nieuwe domeinen te openen voor deze troep.
Daarbij komt dat ik nog niet overtuigd ben van EstDomains goede bedoelingen. Ik heb veel te veel het geveol dat dit allemaal een grote reclame-campagne is om in een beter daglicht te komen.

Ben ik te negatief? Misschien, maar ik hou het voorlopig nog bij het welbekende spreekwoord over de vos en z'n streken. ;)

Mamutu? ja en nee

jahewi — Mon, 15 Sep 2008 19:20:32 GMT

Ik ben de laatste dagen aan het testen met Mamutu.
Mamutu is een van de nieuwe malware-scanners die meer gebruik maakt van gedrags-analyse en minder afhankelijk is van een malware-database, waar de meeste virus- en spyware-scanners gebruik van maken.

Dit is slechts m'n eerste indruk, maar na een paar dagen met Mamutu moet ik eerlijk zeggen dat ik eigenlijk al op het punt sta om het te deinstalleren ...
Niet omdat het slecht werkt, hoor! Ik heb, tijdens een aantal testen, gemerkt dat het goed werkt.
Mamutu werkt echter, met z'n standaard instellingen, zeeeeeeeeer irritant.

Zelfs bij een Windows update vraagt het of je dat wel wilt doen omdat de Windows update in de achtergrond werkt .......
En toen ik met mijn screenshot-programma Snagit (een welbekend en absoluut veilig programma) een screenshot wilde maken, werd dat helemaal geblokkeert omdat Mamuta wilde weten of de handelingen van Snagit wel veilig waren.

Veiligheid voor alles. Daar ben ik helemaal voor!
Maar kunnen de ontwikkelaars van een prima programma als Mamutu alsjeblieft met een database van veilig handelingen door veilige programma's gaan werken .....

Alvast hartelijk dank ;-)

Antivirus 2009

jahewi — Sun, 03 Aug 2008 08:02:51 GMT

Een blik in de toekomst ..........
[IMG][/IMG]

Het enige juiste advies: Links laten liggen en de benen nemen :D

Antivirus XP 2008

jahewi — Sun, 03 Aug 2008 08:01:27 GMT

Eentje die een tijdje geleden ook al rondging op het internet, is nu weer terug.

Advies: links laten liggen en maken dat je wegkomt! 8-)

Gratis filmpje = gratis trojan

jahewi — Thu, 31 Jul 2008 13:26:04 GMT

Er zijn weer eens een paar sites gekraakt en overgenomen.

Volgens de berichten van Malware Diaries en Vital Security gaat het om honderden sites cq pagina's, welke er nu alsvolgt uitzien:

In plaats van de beloofde flashplayer-update, wordt je echter opgezadeld met een downloader-trojan:

Mocht je dus een dergelijke melding tegenkomen, maak je dan uit de voeten ......

Jagen katten ook op virussen?

jahewi — Fri, 25 Jul 2008 07:34:44 GMT

Op Paperghost's Vital Security kwam ik een tijdje geleden een artikeltje tegen dat me nieuwsgierig maakte.

Een Hello Kitty-antivirus?

Hello Kitty is (zover ik weet) hier niet zo heel erg bekend, maar in Japan is het een gigantische hype. En dat zo'n hype tot fanatisch verzamelen en tot slachtoffers leidt, kun je lezen op Hello Kitty Hell.

Ondertussen hebben we hier dus een Japans antivirus (dat alleen in de Japanse taal wordt verspreid) en waarvan mij eigenlijk niets bekend is.
Tijd voor een onderzoekje, dus .....

Na wat zoektermen in google te hebben ingeklopt en wat heen en weer surfen kom ik er uiteindelijk achter dat het Hello Kitty-antivirus (+firewall, trouwens) wordt aangedreven door de techniek van een firma Custodia. Custodia is een van de vele kleine antivirus/firewall-bakkers die onze wereld tegenwoordig rijk is.
Belangrijkste vraag is dan natuurlijk meteen ... Hoe goed (of slecht) is het beveiligings-programma van Custodia (en daarmee ook gelijk het Hello Kitty-Antivirus+Firewall)?

Dat is iets dat ik in de nabije toekomst nog wel wil gaan uitzoeken .....

Blijft verder nog slechts 1 vraag .... werd de Hello Kitty scanner uitgebracht als reaktie op het Hello Kitty virus?

Ziggo's manier van probleem-oplossen

jahewi — Thu, 24 Jul 2008 13:57:43 GMT

Tja ....

IBODFix

Juisterr — Wed, 04 Jun 2008 17:35:03 GMT

Download IBODFix en sla het op je bureaublad op.

Sluit eerst MSN Messenger volledig af!

Dubbelklik IBODFix.exe en kies voor je besturingssysteem.

Wacht af tot IBODFix klaar is. Meld even of je verbetering bemerkt .

Bezige bij

jahewi — Mon, 14 Apr 2008 09:01:12 GMT

Regelmatig krijg ik in verschillende catcher-accounts berichten binnen van scammers ... da's niets bijzonders. Daar zijn ze voor gemaakt ;)

Bijzonder is het echter wel dat ik dit bericht, gisteren en vandaag, in het totaal 8 keer binnenkreeg.
Dit bericht moet dus niet zomaar aan een paar duizend email-adressen zijn gestuurd, maar waarschijnlijk naar tienduizenden.

Dit is het bericht:

Citaat:

Subject:
Hi from Russia
From: "Carol Oakley"
Date: Mon, 14 Apr 2008 08:38:27 +0200
To: [Cachter-account]

Hi my friend!

I only wished to write to you the letter and to tell as in general my
letter got to you! First I would like to speak a little about myself
my name is Anna to me 28 years I live in Russia to Kirov. All the
others wash data and a photo in the appendix to the letter data. I was
in agency of acquaintance and to me advised yours e-mail the address I
do not know whence they him took but they gave me yours e-mail that I
could have acquaintance to you. And I only wanted that you have spent
about 10 minutes both looked wash a photo and wash data and received
from you the answer you would like to have acquaintance to me or you
only would not like this? Tell to me I so only the nobility it much
would like. Also I shall wait much your answer. I started to search
the man as to me very alone and 28 years and I do not have man if you
wish to begin with me correspondence or easier to begin acquaintance
tell to me your answer. I shall wait much!

I hope your new friend well I hope that I can become for you friend
Anna!

Can you send me you photo and story life on my e-mail: anaplotnikk@gmail.com

P. S. My photo and all data are in archive.

Er zitten 2 bijlages bij de email; myphoto.jpg en mydata.docx..
Alhoewel Russische scammers nogal eens malware (vooral keyloggers en backdoor-trojans) met scamberichten meezenden, zijn deze bijlages schoon.
Ze bevatten een foto (niet van de scammer uiteraard, maar van een model, welke van ��n van de online modellen-bureau's is gejat) en een overzicht van de zg. vrouw in kwestie.

(Klik bovenstaande afbeelding aan voor een vergroting!)

Het moge duidelijk zijn dat, mocht het bovenstaande emailtje ontvangen, je dit het beste gewoon kunt weggooien.

Ik heb de scammer inmiddels aangemeld bij een anti-scammer forum.
Die zullen zich er wel verder over ontfermen :)

Setup - de steeds veranderende ZLob-installer (3)

jahewi — Sat, 12 Apr 2008 18:10:22 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: PORNWIZARDRY.COM
Registrant: n/a - Igor Feklistov - Ufa - RU
Creation Date: 07-Feb-2008
Expiration Date: 07-Feb-2009
Domain servers in listed order:
ns2.pornwizardry.com
ns1.pornwizardry.com

De trojan-file wordt nu gedownload vanaf flwsolution.com
Registration Service Provided By: ESTDOMAINS INC
Domain Name: FLWSOLUTION.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 07-Apr-2008
Expiration Date: 07-Apr-2009
Domain servers in listed order:
ns2.flwsolution.com
ns1.flwsolution.com

Date: april 12 2008
File size: 12288 bytes
MD5...: 4319adedcbf177ca6ff5e75878e2b10f
AntiVir - TR/Crypt.CFI.Gen
eSafe - suspicious Trojan/Worm
Ikarus - Trojan-Downloader.Win32.Zlob.abw
Kaspersky - Trojan-Downloader.Win32.Zlob.las
Microsoft - TrojanDownloader:Win32/Zlob.gen!AW
Prevx1 - Generic.Malware
VBA32 - suspected of Downloader.Zlob.3
Webwasher-Gateway - Trojan.Crypt.CFI.Gen

Online XPScanner

jahewi — Sat, 12 Apr 2008 07:45:16 GMT

Deze nepscanner wordt op de volgende manier op je computer geinstalleerd.
Het begint met de volgende waarschuwing, die verschijnt als je een link aanklikt die naar deze scanner verwijst.

Het maakt niet uit of je op OK of Cancel klikt.
Je wordt naar de online scanner gebracht, alwaar er direkt met een scan wordt begonnen.

(Klik bovenstaande afbeelding aan voor een vergroting!)

De uitslag van deze scan (die uiteraard hartstikke nep is) is niet echt verbazingwekkend

(Klik bovenstaande afbeelding aan voor een vergroting!)

... en als je de zogenaamd gevonden troep wilt verwijderen, moet je natuurlijk wel even een extra bestandje downloaden en installeren .........

(Klik bovenstaande afbeelding aan voor een vergroting!)

Mocht je zover door zijn gegaan en de nep-scanner ook echt downloaden en installeren, dan kan ik je een hoop problemen voorspellen.

AccessMediaSetup .... ook weer gewijzigd

jahewi — Sat, 12 Apr 2008 07:19:30 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: HDTV-ONLINERIP.COM
Registrant:
PrivacyProtect.org - Moergestel - NL
Creation Date: 11-Apr-2008
Expiration Date: 11-Apr-2009
Domain servers in listed order:
ns2.hdtv-onlinerip.com
ns1.hdtv-onlinerip.com

De trojan-file wordt nu gedownload vanaf GlobalSoftwareAgreement (what's in a name ...):
Registration Service Provided By: ESTDOMAINS INC
Domain Name: GLOBALSOFTWAREAGREEMENT.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 11-Apr-2008
Expiration Date: 11-Apr-2009
Domain servers in listed order:
ns2.globalsoftwareagreement.com
ns1.globalsoftwareagreement.com

Date: april 12 2008
File size: 93710 bytes
MD5...: d5abdc969ecb81cf757c7509a65477b8
eSafe - Suspicious File
eTrust-Vet - Win32/Burgspill!generic
F-Secure - Trojan-Downloader.Win32.Delf.goh
Fortinet - W32/Fake.B!tr.dldr
Ikarus - Virus.Win32.Delf.JHW
Kaspersky - Trojan-Downloader.Win32.Delf.goh
Microsoft - Trojan:Win32/Delflob.I
Panda - Suspicious file
Sophos - Mal/DelpDldr-E
VBA32 - suspected of Win32.Trojan.Downloader

AccessMediaCodec ... wederom gewijzigd

jahewi — Sat, 12 Apr 2008 06:46:32 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: FUN****PORN.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 14-Mar-2008
Expiration Date: 14-Mar-2009
Domain servers in listed order:
ns2.fun****porn.com
ns1.fun****porn.com

De trojan-file wordt gedownload vanaf SoftwareDestributionOnlineCorp.com
Registration Service Provided By: ESTDOMAINS INC
Domain Name: SOFTWAREDESTRIBUTIONONLINECORP.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 18-Mar-2008
Expiration Date: 18-Mar-2009
Domain servers in listed order:
ns2.softwaredestributiononlinecorp.com
ns1.softwaredestributiononlinecorp.com

Date: april 11 2008
File size: 93595 bytes
MD5...: a6b1671c8cafde00367b2f5272b12257
AVG 2008.04.10 Downloader.Delf
eSafe 2008.04.09 Suspicious File
eTrust-Vet 2008.04.10 Win32/Burgspill!generic
F-Secure 2008.04.11 Suspicious:W32/Malware!Gemini
Fortinet 2008.04.10 W32/Fake.B!tr.dldr
Ikarus 2008.04.11 Virus.Win32.Delf.JHW
Microsoft 2008.04.11 Trojan:Win32/Delflob.I
Panda 2008.04.10 Suspicious file
Sophos 2008.04.11 Mal/DelpDldr-E
VBA32 2008.04.06 suspected of Win32.Trojan.Downloader
Webwasher-Gateway 2008.04.10 Win32.Malware.dam (suspicious)

GameCodec

jahewi — Sat, 12 Apr 2008 06:41:22 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: PW INET
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 21-Mar-2008
Expiration Date: 21-Mar-2009
Domain servers in listed order:
ns2.ioprd.net
ns1.ioprd.net

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: GAMECODEC.COM
Registrant: CityCODEC inc - Timothy Seely- New York - US
Creation Date: 04-Oct-2007
Expiration Date: 04-Oct-2008
Domain servers in listed order:
ns2.gamecodec.com
ns1.gamecodec.com

Date: april 11 2008
File size: 235178 bytes
MD5...: 8a2a9e436d9079d3e5ef9e9115f5478e
AntiVir - DR/Dldr.DNSChanger.Gen
AVG - DNSChanger.AA
BitDefender - Dropped:Trojan.DNSChanger.SB
CAT-QuickHeal - Win32.Trojan-Proxy.Agent.aab.5
ClamAV - Trojan.DNSChanger-3046
eSafe - Win32.Agent.aab
F-Secure - W32/Malware
Fortinet - W32/Agent.AAB!tr
Kaspersky - Trojan-Proxy.Win32.Agent.aab
Microsoft - Trojan:Win32/Agent
Norman - Agent.FCOL
Prevx1 - TROJAN.PROXY.G
Rising - Trojan.Win32.DNSChanger.gpo
Sophos - Mal/Generic-A
TheHacker - Trojan/Proxy.Agent.aab
VBA32 - MalwareScope.Trojan.DnsChange.2
Webwasher-Gateway - Trojan.Dropper.Dldr.DNSChanger.Gen

MediaTubeCodec ver. 1.769.0

jahewi — Fri, 11 Apr 2008 06:56:39 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: ADULT-FREETUBE-8.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 18-Mar-2008
Expiration Date: 18-Mar-2009
Domain servers in listed order:
ns2.adult-freetube-8.com
ns1.adult-freetube-8.com

Deze nepcodec wordt gedownload vanaf HOTSTARS2008-17.COM
Registration Service Provided By: ESTDOMAINS INC
Domain Name: HOTSTARS2008-17.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 01-Apr-2008
Expiration Date: 01-Apr-2009
Domain servers in listed order:
ns2.hotstars2008-17.com
ns1.hotstars2008-17.com

Date: april 11 2008
ile size: 100864 bytes
MD5...: b1fba9a72cffd952c5001f1c10d18762
AVG - Downloader.Zlob.12.AD
CAT-QuickHeal - (Suspicious) - DNAScan
eSafe - Suspicious File
Fortinet - W32/PolyZlob!tr.dldr
Ikarus - MalwareScope.Worm.Nuwar-Glowa.1
Kaspersky - Trojan-Downloader.Win32.Zlob.kxp
Microsoft - Trojan:Win32/Tibs.gen!lds
Prevx1 - Downloader.Zlob.12.AD
Sophos - Mal/EncPk-DA
VBA32 - MalwareScope.Worm.Nuwar-Glowa.1

MediaTubeCodec ver1.161.0

jahewi — Wed, 09 Apr 2008 05:59:42 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: FREE-PORNTUBE-8.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 18-Mar-2008
Expiration Date: 18-Mar-2009
Domain servers in listed order:
ns2.free-porntube-8.com
ns1.free-porntube-8.com

De ZLob-installer wordt gedownload van BIGCODECADULT2008-17.COM
Registration Service Provided By: ESTDOMAINS INC
Domain Name: BIGCODECADULT2008-17.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 01-Apr-2008
Expiration Date: 01-Apr-2009
Domain servers in listed order:
ns2.bigcodecadult2008-17.com
ns1.bigcodecadult2008-17.com

Date: april 9 2008
File size: 100864 bytes
MD5...: 8e16cc66feb22707cdfe72a455d0cd56
BitDefender - Trojan.Downloader.Zlob.ABSR
CAT-QuickHeal - (Suspicious) - DNAScan
eSafe - Suspicious File
F-Secure - Trojan-Downloader:W32/Agent.GEF
Kaspersky - Trojan-Downloader.Win32.Zlob.kfa
Microsoft - Trojan:Win32/Tibs.gen!G
Prevx1 - Generic.Dropper.xCodec
Sophos - Mal/EncPk-DA
VBA32 - suspected of Downloader.Zlob.8

Setup - de steeds veranderende ZLob-installer (2)

jahewi — Tue, 08 Apr 2008 18:17:37 GMT

Toevallig liep ik tegen deze gewijzigde setup.exe aan .... :w00t:
Deze is al wat eerder gepushed, maar is nog steeds aktief en wordt nog steeds niet zo goed herkend ...

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: HOTVIDEOSTUBE.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 06-Feb-2008
Expiration Date: 06-Feb-2009
Domain servers in listed order:
ns2.hotvideostube.com
ns1.hotvideostube.com

Date: april 8 2008
File size: 12800 bytes
MD5...: 43fa9af9cdfa0426f17b9a5b39432a3f
AntiVir - TR/Zlob.iyh
Authentium - W32/Downldr2.BMKO
eSafe - suspicious Trojan/Worm
F-Prot - W32/Downldr2.BMKO
Prevx1 - Trojan.Zlob
VBA32 - suspected of Downloader.Zlob.3
Webwasher-Gateway - Trojan.Zlob.iyh

EstDomains en PrivacyProtect

jahewi — Tue, 08 Apr 2008 12:17:19 GMT

PrivacyProtect is zo'n internet-bedrijfje dat iets aanbied, waar eigenaren van websites iets aan zouden kunnen hebben .... en ze bieden het nog gratis aan ook!
Hetgene dat PrivacyProtect doet zou de veiligheid en anti-spam maatregelen van domein-eigenaren zeker kunnen ondersteunen.
PrivacyProtect biedt nl een service met betrekking tot de zichtbaarheid van prive-gegevens van website-eigenaren in de databases van WhoIs-zoekmachines.
Dat ziet er bv. alsvolgt uit

De echte gegevens:
Domain: abcxyz.com
Registrant: Piet Puk, Parklaan 2, 8345 GV, Amsterdam, NL
Telefoon: 020-5789436

Dit wordt door PrivacyProtect vervangen door:
Domain: abcxyz.com
Registrant: PrivacyProtect.org, PO.box 97, Moergestel, 5066 ZH, NL
Telephone: +45.36946676

Daarbij wordt tevens duidelijk gemaakt dat noch op post, noch op telefoontjes zal worden gereageerd .....

Citaat:

All Postal Mails Rejected, visit Privacyprotect.org

Als je het opgegeven telefoon-nummer belt, krijg je dan ook een antwoord-apparaat die je ook weer naar de PrivacyProtect-site verwijst.

Op zich zou daar nog niks mis mee hoeven te zijn .... ware het niet dat ook criminelen en louche organisaties, zoals EstDomains, gebruik maken van deze service.
Veelvuldig kom je de volgende WhoIs-informatie tegen:

Citaat:

Oorspronkelijk geplaatst door Slechts een voorbeeld

Registration Service Provided By: ESTDOMAINS INC
Contact: +1.3027224217
Website: http://www.estdomains.com

Domain Name: EEN_ESTDOMAINS_ZLOB_SITE.COM
Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676
Creation Date: 01-Apr-2008
Expiration Date: 01-Apr-2009
Domain servers in listed order:
ns2.WHATEVER2.com
ns1.WHATEVER1.com

Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
P.O. Box 97
All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
NL
Tel. +45.36946676

Technical Contact
.......................................
ENZ. ENZ. ENZ.

Hoogste tijd, dus, om eens een klacht omtrent EstDomains te deponeren bij PrivacyProtect.
Op zich is dat niet moeilijk. Je gaat naar de PrivacyProtect-website, vult de velden voor "Request Domain Owner Contact Info" in en verstuurd je klacht via de site.
Dat is dan ook wat ik, inmiddels anderhalve week geleden, heb gedaan .....

Citaat:

Domain Name; See below in the Details-box
Type of Abuse: Transmission of Viruses or any other code
Abuse Complaints Details:
I have been reviewing your site and basically your cause seems to be okay. So i'll give it a shot.
Let's talk about one of your big clients; ESTDOMAINS.
They are one of the biggest pushers of malware on the net and you're providing them with WhoIs-protection.
Just look at the WhoIs-information in the ZLob Installers-list at http://www.jahewi.nl/lists/fakecodecs/fakecodecs.html

I hope that says enough and you will stop giving EstDomains protection.

Kind regards,
jahewi

..... en vervolgens wachtte ik af .... en ik wacht nog steeds.

PrivacyProtect heeft er blijkbaar geen oren naar dat ��n van hun grootste klanten (tevens ��n van de grootste (zo niet de allergrootste) verspreiders van malware op het internet) zich bezighoud met criminaliteit.
Ze hebben, tot op heden, geen enkele aktie ondernomen tegen de misbruik van hun service door EstDomains.

Als ik nu naar de site van PrivacyProtect ga en lees

Citaat:

NOTE:

1. If any domain is engaged in spam, abuse or any illegal / unlawful activity you may report the same.
2. Please enclose evidence of spam or abuse or the activity in question.
3. Our abuse team will review the complaint and reveal the actual contact information of the owner where appropriate.

dan word ik echt een beetje triest, want het lijkt erop dat hun 'abuse team' blind is voor de werkelijk gevaarlijke 'klanten'.

EDIT 8 april 2008 14.53 uur:
Nooit geweten dat de Nucia-weblog zo'n impact had ...
Het zal best wel toeval zijn, maar ik kreeg zojuist antwoord van PrivacyProtect:

Citaat:

Tuesday, 08 April 2008, 02:30:55 PM (Tue, 8 Apr 2008 14:30:55 +0200)
From: PrivacyProtect.org Abuse Team
Hello Jahewi,

We have forwarded your feedback to the management and they shall review it.

Thank you for your concern.

Regards,
PrivacyProtect.org

Klein maar fijn, zoals ze dat noemen ....
Ik hou het in de gaten ..... en jullie natuurlijk op de hoogte. :thumb:

UPDATE: Gezien de huidige ontwikkelingen omtrent EstDomains, wil ik toch nog even melden dat het, na hun eerste (en enige) antwoord, verder heel stil werd bij PrivacyProtect.
Na nogmaals een aantal klachten over EstDomains (met bijbehorende links enz. enz.) te hebben gedeponeerd ben ik in juni maar gestopt ... met ernstige twijfels over PrivacyProtect .... :@

Setup - de steeds veranderende ZLob-installer

jahewi — Tue, 08 Apr 2008 05:51:43 GMT

Setup.exe duikt constant weer op in gewijzigde vorm, om detectie door anti-virus software te voorkomen ... en dat lukt 'm vrij goed.
Op zich is dat niet zo bijzonder. Wel bezonder is de frequentie waarmee deze trojan wordt gewijzigd. Sinds begin maart is het bestand al meer 10 keer gewijzigd, waarvan 3 keer in april ....... :|

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: HOTVIDEOSTUBE.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 06-Feb-2008
Expiration Date: 06-Feb-2009
Domain servers in listed order:
ns2.hotvideostube.com
ns1.hotvideostube.com

Date: april 8 2008
File size: 12800 bytes
MD5...: 50ebcca632c6e7cff26c8d16e98f7d6b
AntiVir - TR/Dldr.Zlob.12800
Authentium - W32/Downldr2.BMKO
AVG - Downloader.Zlob
eSafe - suspicious Trojan/Worm
F-Prot - W32/Downldr2.BMKO
icrosoft - TrojanDownloader:Win32/Zlob.AMP
Prevx1 - Trojan.Zlob

MediaTubeCodec

jahewi — Tue, 08 Apr 2008 05:23:05 GMT

Ook MediaTubeCodec duikt weer op.
Sinds de laatste keer, halverwege vorige maand, is deze trojan-installer weer gewijzigd.

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: FREE-PORNTUBE-8.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 18-Mar-2008
Expiration Date: 18-Mar-2009
Domain servers in listed order:
ns2.free-porntube-8.com
ns1.free-porntube-8.com

Date: april 8 2008
File size: 100880 bytes
MD5...: 97d0029983ce5df4ae55d938a0889423
AntiVir - TR/Crypt.XPACK.Gen
AVG - Downloader.Zlob.VTI
CAT-QuickHeal - (Suspicious) - DNAScan
eSafe - Suspicious File
eTrust-Vet - Win32/Pripecs.NY
F-Secure - Trojan-Downloader.Win32.Zlob.kpv
Kaspersky - Trojan-Downloader.Win32.Zlob.kpv
Microsoft - Trojan:Win32/Tibs.gen!G
Prevx1 - Generic.Dropper.xCodec
Sophos 4.28.0 2008.04.08 Mal/EncPk-DA
VBA32 - suspected of MalwareScope.Worm.Nuwar-Glowa.1 (paranoid heuristics)
VirusBuster - Trojan.DL.Agent.ECVY
Webwasher-Gateway - Trojan.Crypt.XPACK.Gen

AccessMediaDownload in GoogleGroups

jahewi — Tue, 08 Apr 2008 04:51:59 GMT

Om te laten zien dat je werkelijk nergens meer veilig bent voor die trojan-dumpende codecs, zie je hier een GoogleGroups-account die elke link naar AccessMediaDownload verwijst.

(Klik bovenstaande afbeelding aan voor een vergroting!)
Klik ��n van de images of links en je wordt vol-automatisch naar de download-pagina van de ZLob-installer gebracht.
De rest is een welbekend verhaal ;)

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: ONLINE-DVDRIP.COM
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 12-Mar-2008
Expiration Date: 12-Mar-2009
Domain servers in listed order:
ns2.online-dvdrip.com
ns1.online-dvdrip.com

Date: april 8 2008
File size: 99767 bytes
MD5...: 53d6354cafd91fc649671f2105eeb43e
AVG - Downloader.Delf
DrWeb - Trojan.MulDrop.14424
eSafe - Suspicious File
eTrust-Vet - Win32/Burgspill!generic
F-Secure - Trojan-Downloader.Win32.Peregar.ac
Fortinet - W32/Fake.B!tr.dldr
Kaspersky - Trojan-Downloader.Win32.Peregar.ac
Microsoft - Trojan:Win32/Delflob.I
Panda 9.0.0.4 - Suspicious file
Prevx1 - Generic.Malware
Sophos - Mal/DelpDldr-E
VBA32 - suspected of Win32.Trojan.Downloader
Webwasher-Gateway - Win32.Malware.dam (suspicious)

IxCodec

jahewi — Tue, 08 Apr 2008 04:16:01 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: PW INET
Domain Name: UYTIE.NET
Registrant: PrivacyProtect.org - Moergestel - NL
Creation Date: 21-Mar-2008
Expiration Date: 21-Mar-2009
Domain servers in listed order:
ns2.uytie.net
ns1.uytie.net

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: IXCODEC.COM
Registrant: CityCODEC inc - New York - US
Creation Date: 04-Oct-2007
Expiration Date: 04-Oct-2008
Domain servers in listed order:
ns2.ixcodec.com
ns1.ixcodec.com

Datum: april 7 2008
File size: 235178 bytes
MD5...: 8a2a9e436d9079d3e5ef9e9115f5478e
AntiVir - DR/Dldr.DNSChanger.Gen
AVG - DNSChanger.AA
BitDefender - Dropped:Trojan.DNSChanger.SB
CAT-QuickHeal - Win32.Trojan-Proxy.Agent.aab.5
ClamAV - Trojan.DNSChanger-3046
F-Secure - W32/Malware
Fortinet - W32/Agent.AAB!tr
Kaspersky - Trojan-Proxy.Win32.Agent.aab
Microsoft - Trojan:Win32/Agent
Norman - Agent.FCOL
Prevx1 - TROJAN.PROXY.G
Sophos - Mal/Generic-A
Symantec - Trojan.Zlob
TheHacker - Trojan/Proxy.Agent.aab
VBA32 - MalwareScope.Trojan.DnsChange.2
Webwasher-Gateway - Trojan.Dropper.Dldr.DNSChanger.Gen

UinCodec

jahewi — Mon, 07 Apr 2008 20:03:58 GMT

(Klik bovenstaande afbeelding aan voor een vergroting!)
Domain Name:JSFEED.INFO
Created On:27-Dec-2006
Last Updated On:03-Feb-2008
Expiration Date:27-Dec-2008
Registrant Name:Homer Simpson
Registrant Organization:N/A
Registrant City:Pekin
Registrant Country:CN
Name Server:NS1.GRAYRESELLER.COM
Name Server:NS2.GRAYRESELLER.COM

(Klik bovenstaande afbeelding aan voor een vergroting!)
Registration Service Provided By: ESTDOMAINS INC
Domain Name: UINCODEC.COM
Registrant: CityCODEC inc - Timothy Seely - New York - US
Creation Date: 04-Oct-2007
Expiration Date: 04-Oct-2008
Domain servers in listed order:
ns2.uincodec.com
ns1.uincodec.com

Date: april 6 2008
File size: 235602 bytes
MD5...: 0389953824819032bcb418afd8653795
AntiVir - DR/Dldr.DNSChanger.Gen
AVG - DNSChanger.AA
BitDefender - Dropped:Trojan.Downloader.Zlob.ABOU
F-Prot - W32/Trojan2.AIES
F-Secure - W32/Malware
Fortinet - W32/DNSChanger.ARN!tr
Ikarus - Trojan.Win32.DNSChanger.arn
Kaspersky - Trojan.Win32.DNSChanger.arn
Norman - W32/Malware
Prevx1 - Generic.Dropper.xCodec
Sophos - Mal/Generic-A
Symantec - Trojan.Zlob
VBA32 - MalwareScope.Trojan.DnsChange.2
Webwasher-Gateway - Trojan.Dropper.Dldr.DNSChanger.Gen

malwarebytes

Juisterr — Sat, 15 Mar 2008 15:32:42 GMT

* Download Malwarebytes' Anti-Malware via hier of hier.

Dubbelklik mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Launch Malwarebytes' Anti-Malware, Klik daarna op "finish".
Indien een update gevonden werd, zal het die downloaden en de laatste versie installeren.
Wanneer het programma volledig up to date is, selecteer "Perform Quick Scan", daarna klik Scan.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik OK, daarna "Show Results" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik: Remove Selected.
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan)
De log wordt automatisch bewaard door MBAM die je kan zien door de "Logs" tab te klikken in MBAM.
Kopieer en plak de resultaten van de log in je volgend antwoord, samen met een nieuw HijackThislog.

Extra Nota:
Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Problemen met CID

patsy — Thu, 31 Jan 2008 21:34:31 GMT

Hallo ,

Ik heb een probleem met de CID pop ups
ik krijg ze gewoonweg niet weg ik heb een log bestandje gemaakt met Hijackthis. Wie kan en wil mij helpen
Alvast bedankt Patrick

Bijgevoegde bestanden

Log hijackthis.txt (9,2 KB, 223x gelezen)

Enquete Nucia

H3nk — Tue, 29 Jan 2008 09:56:40 GMT

Hoi allemaal,

Naar aanleiding van de enquete van Nucia ben ik me toch maar eens wat meer gaan verdiepen in Nucia en zie dat het eigenlijk een hartstikke leuk forum/site is. Normaal kwam ik hier altijd via links die ik via google tegenkwam als ik op zoek was naar informatie die een probleem moesten oplossen en heb ik dus eigenlijk nooit een bericht geplaatst zag ik zojuist. Kort samengevat ben ik dus zo'n passief lid die gewoon een keer een schop onder z'n kont nodig heeft om wat meer van zichzelf hier te laten zien. Dus alsnog een pluim voor al diegenen die door actief hun ervaringen te delen dit forum tot een succes maken.

Goed dit wilde ik even kwijt en de hartelijke groeten allemaal.

H3nk:thumb:

IBODFix

BendeBoy — Thu, 27 Dec 2007 01:28:20 GMT

The "Impossible Bug of Death" is een bug in MSN Messenger dat er voor zorgt als je een stukje code in je persoonlijke bericht zet dat je niet meer kunt inloggen op je account.

Download IBODFix en sla het op je bureaublad op.

Sluit eerst MSN Messenger volledig af!
Dubbelklik IBODFix.exe en kies voor je besturingssysteem.

Wacht af tot IBODFix klaar is en start daarna MSN Messenger weer op.