Nucia Security Forums - Weblogs

Privacy ? Nooit van gehoord.

Emphyrio — Thu, 22 Mar 2012 09:42:24 GMT

Privacy ? Nooit van gehoord.
Artikel : Emphyrio � 2012

Er zijn twee soorten PC gebruikers: zij die het niet te nauw nemen met privacy en diegene die er als de dood voor zijn.
Het verbaasd me soms dat er zo licht met priv�gegevens wordt omgesprongen.

Google, bievoorbeeld, is bereidt om jou gratis diensten aan te bieden.
In ruil voor die gratis diensten wil Google alles wat je op het net doet, gadeslaan.

Overdreven denk je? Nee toch niet.

Laten we even aannemen dat je gretig gebruik maakt van deze diensten.

Google Wallet : Ze hebben je naam en adres.
Gmail: Ze hebben elk woord van je post dat je schreef of hebt ontvangen.
GVoice: Ze bewaren en ontleden alles wat je hebt gezegd, geschreven (SMS) of op je voicemail staat.
Google Search: Alles wat je opzoekt wordt ontleed.

Google verkoopt deze gegevens aan de reklame (adverteer) jongens. Voor hen is dit namelijk een goudmijn.
Ze weten alles wat je hebt ge-emaild, alles wat je hebt opgezocht en elke voicemail je ooit hebt ontvangen.
Het enige wat ze (nog) niet hebben zijn je intiemste gegevens. Daar heb je dan FaceBook voor.
Het is immers (nog) niet "cool" om Google+ te gebruiken.

FaceBook heeft dus alle "sappige" details.
Het heeft je politieke voorkeuren, je foto's, favoriete muziek, film, en ga zo maar door.
Je kan ook nog een "GRATIS" emailadres krijgen van FaceBook.
Ik hoop dat de lezer hier de trieste ironie van inziet.

Wanneer deze twee spelers (Google en FaceBook) ooit fusioneren, hebben ze het meest accurate, digitale portet van jou dat erop dit moment bestaat.

"Ooo...maar als dat zo zit, ga ik weg bij Google of FaceBook en sluit ik mijn account.
Dan hebben ze mijn gegevens niet meer...."

Ja dat dacht je dan maar, want het tegendeel is waar.
Ooit al eens geprobeerd een Google account of FaceBook account op te zeggen? Niet gemakkelijk h� ?
En dan mag je vooral niet vergeten dat het sluiten (of verwijderen) van je account alleen betekend dat JIJ je gegevens niet meer ziet of kan bereiken.
ZIJ (Google en FaceBook) nog wel. Die staan lekker in hun database.

We kunnen het hen wel lekker moeilijk maken en wel door "je account te markeren voor verwijdering".
Hoe je dit doet staat op deze webpagina uitgebreidt beschreven.

Conclusie:

Omdat we weten dat alles gemonitord word en je je account nooit echt kan verwijderen of de-activeren, zijn we dus EXTRA voorzichtig met wat we zeggen, doen en delen.
Met de wetenschap dat we nu hebben is er maar ��n degelijke oplossing: Maak er g��n gebruik van.

Referenties :
Why I left Google

Hoe moet ik Java updaten ?

Emphyrio — Fri, 10 Feb 2012 03:17:48 GMT

Woordje vooraf.

De installatie van Java geldt dus voor elke browser.
Heb je enkel Internet Explorer dan gebruik je enkel deze uiteraard.

Heb je meerdere browsers dan moet je met elke browser de volgende punten doorlopen.

De x64 bits systemen gebruiken hier hun Internet Explorer 64 voor.

1 Het controleren van de Java versie

Ga naar www.java.com en klik op Java-versie controleren.

Wanneer je de laatste versie hebt, krijg je het volgend plaatje te zien:

Alles is ok en je moet verder niets meer doen.

Wanneer je dit niet te zien krijgt, zal je dus de nieuwste Java versie moeten downloaden en installeren.

2. Het installeren van de Java versie

Ga naar deze webpagina en kies voor de offline installatie:

Plaats deze op je bureaublad.

Eerst moeten we de oude versies van Java verwijderen.

XP via Software
Vista / Windows 7 via Programma's en onderdelen.

Alle Java-versie met een nummer lager dan de versie, in dit geval lager dan 6.31, mag je verwijderen.
Als dat gedaan is, herstart je je pc.

Nu mag je de nieuwe Java, die op je bureaublad staat, installeren.

XP dubbelklikken
Vista / Windows 7 rechtsklikken en UIvoeren als admin selecteren.

3. Na-controle.

Ga nu even terug naar www.java.com en klik op Java-versie controleren.

Als alles goed is gegaan zou je nu een ok moeten hebben.

En hoe het verder ging.

Tom Poes — Tue, 03 Jan 2012 19:19:43 GMT

Forums!!! Chatten!!!

Het was 1998 en het www bestond uit A2000. En een zoekmachine, die Alta Vista heette.
Mijn horizon was dus tamelijk beperkt, maar stapje voor stapje verkende ik het gebied. Een A2000 forum kan ik me niet herinneren, al zal dat er vast wel geweest zijn.
Er was zeker een chatroom en daar heb ik plezierige uurtjes doorgebracht. Een kleine groep stamgasten, waar ik mij na een poosje ook toe kon rekenen, want we zaten iedere avond te praten. Waar we het over hadden ben ik vergeten. Had ik een nickname? Dat zal wel, net als een avatar, al wist ik waarschijnlijk nog niet hoe zoiets heette.

Kennelijk had ik nog niet veel priv�gegevens prijs gegeven, zoals mijn leeftijd.
Ik herinner me tenminste een gesprek met een jongeman over ditjes en datjes, waarbij hij plotseling mijn leeftijd vroeg. Toen ik antwoordde: �64� schrok hij zo, dat hij met een spontaan �jeeezus� uitlogde. Na korte tijd kwam hij terug om keurig zijn excuus aan te bieden. :)
Daarna heb ik in mijn profiel maar altijd die leeftijd erbij vermeld.

Zo kon het dan wel weer gebeuren, dat tijdens een praatje met een Marokkaanse man over het hiernamaals ( geen onderwerp werd geschuwd) ik hem moest bekennen, dat ik hier niet in geloofde. Sterker nog: dat ik helemaal niet gelovig was. Oprecht verbijsterd riep hij uit: �wat? Op uw leeftijd?�
Als je nog jong was kon je je dat volgens hem kennelijk wel permitteren, maar als oudere kon je toch beter op safe spelen.

Tot de overige stamgasten hoorde Droppie, een echte Amsterdammer van onbestemde leeftijd, die altijd vrolijk was en de boel op een enthousiaste manier bij elkaar hield. Hij trad bemiddelend op, wanneer andere leden in onmin dreigden te raken, heette nieuwkomers hartelijk welkom en trakteerde vaak op biertjes.

De klad kwam, geloof ik, in de chat, toen UPC aan de poort klopte en A2000 overnam. Ik had intussen wat verder om me heen gekeken op het internet en volgende chatrooms wachtten.

Voordat ik dit stukje ging schrijven zocht ik op Google even de A2000 chat op: ze bestaan nog, met, naar ze zelf zeggen, oude leden. Dat ik geen enkele naam herkende zegt natuurlijk niets.
Droppie was er helaas niet bij.

Gedicht over Amsterdam

Tom Poes — Tue, 06 Sep 2011 14:37:55 GMT

In Het Parool van 13 augustus vond ik een gedicht over Amsterdam in het Zuid Afrikaans.

Amsterdam

Ou Amsterdam is tog so mooi

Met al sijn liggies uitgetooi

In donker, donker nagte.

Dis liggies hier en liggies daar

In lange rije aanmekaar,

Wat flikker in die gragte.

En honderd duisend ogies loer

Op spie�lgladde watervloer

Daar bowe uit die hemel.

Dis liggies hier en liggies daar

En bootjes, wat so saggies vaar,

Dat ligte golfies wemel.

Die liggies soek mekaar weer op

In water, wat te�n walle klop

Op stormagtig nagte.

So toweragtig, lief en skoon

Is liggies, wat op walle woon

En flonker in die gragte.

A.D. Kees

De mooiste gedichten over Amsterdam
van vroeger en later,
verzameld door Sipke van der Land
J.H.Kok (1992)
Copyright: Jos Bloemkolk

En zo ligt er een iPhone op het spoor...

linkforsoad — Sun, 04 Sep 2011 12:53:34 GMT

Dinsdagmiddag half 4. Pieter was hier en er waren wat problemen op Cameleon. Na wat telefonische hulp besloten we om samen even naar Zwolle te gaan en daar het probleem op te lossen... We pakken de fiets, fietsen naar station Heino en komen aan zodra de trein vertrekt. We hadden ook niet echt op de tijd gelet. Half uurtje wachten dus. Ik waardeer de anonieme chipkaart even op, zo kan Pieter ook mee in de trein en bus en geef daarna mijn locatie door aan ~~Big Brother~~ TLS (ook wel bekend als "inchecken"). Daarna lopen we richting de bankjes om even lekker te gaan zitten.

Sinds ik met vol verstand bij mijn dagelijkse leven ben valt het mij en mijn omstanders op dat ik alles over het hoofd kan zien, behalve kleine dingen. Terwijl we richting bankjes lopen kijk ik op het spoor. "Pieter, is dat nou een iPhone of een stukje China?!?!?". We kijken elkaar aan, en ik stel voor door te lopen. Pieter denkt daar anders over, kijkt op de klok, checkt of er geen trein komt (je kunt ver vooruit kijken) en springt het spoor op. Hij raapt het ding op en geeft het aan mij. Terwijl hij het perron weer op stapt richt ik mij op het stukje China. Zodra hij weer op het perron staat kijken we elkaar met een wel heel verontwaardigde kop aan als het apparaat start!! We waren met stomheid geslagen.

Het glas bevat een dikke barst en tussen de lagen scherm zit water, wat voor een witte rand zorgt. Het toestel geeft aan leeg te zijn. Helemaal leeg, einde oefening. Terwijl de discussie verder gaat over het wel of niet bevatten van een simkaart en of hij echt is, komt de trein er alweer aan. We besluiten hem in mijn tas te stoppen en op Cameleon verder te kijken.

Op Cameleon als eerste simkaart eruit. Een T-Mobile abonnement! Na een gevecht met het bandje, ik had geen geldig T-Mobile nummer (gek he, pokke T-Mobile, sim had een pincode) kreeg ik een medewerker aan de telefoon. De simkaart was al geblokkeerd. Een bedankje voor het bellen sloot het gesprek af. Op mijn laptop aansluiten vond ik geen prettig idee, je weet immers niet of zo'n apparaat meteen kortsluiting gaat maken, dus met een oude adapter en kabel maar op een stopcontact van de groep "Keuken". Waarrempel, na 10 minuten laden start hij op!

Pieter heeft door onvoorziene omstandigheden op dit moment geen mooie iPhone of BlackBerry, en zag dan ook zijn kans en wou deze telefoon graag hebben. Ik was daar wat minder enthousiast over dan hem, en we begonnen dan ook met een korte inspectieronde. Twitter aangemeld op een vaag account, een e-mailadres van een Italiaan erin en een contactenboek zonder duidelijk nummer van de eigenaar. Ook de foto's vertelden niet veel, maar wel een foto van een man in de 30 op de Schaarshoek. Verklaart ook meteen waarom de telefoon nou juist hier lag.

Uiteindelijk checken we ook de SMS. Nog steeds absoluut niet om eens lekker in z'n gegevens te graven, maar om achter een naam of telefoonnummer te komen. Daar staat een SMS vanaf "Jeroen (Werk)" met daarin de tekst:

Heb je deze telefoon gevonden? Hij's oud en met defecten (o.a. koptelefoon) maar we willen 'm graag terug. Bel even als je kunt, komen we wel uit. Bedankt!

Jeroen neemt de telefoon op en legt uit zijn telefoon inderdaad verloren te zijn, en deze heel graag terug te willen. De defecten waren geen probleem. Waarschijnlijk vanwege de data. Waar ik was? Zwolle. Hij dus in regio Utrecht... Aangezien ik meerdere malen per week richting Hilversum moet daar maar afgesproken. Nogmaals dank en tot vrijdag. Over en sluiten.

Ik verbaas mij er nog steeds (het is nu 11.30P) over. Een iPhone 3G die al een dag of drie langs het spoor ligt, helemaal kapot is. Pieter springt zo het spoor op en pakt hem. En dan werkt hij ook nog! Nouja, hij gaat netjes retour naar de eigenaar zodat die de gegevens eraf kan halen. Heb ik mijn goede daad voor deze week hiermee weer gedaan? :)

Edit vrijdag 2 september
En zo is de iPhone retour naar Jeroen. Aardige man, was heel blij met de iPhone, en gaf zelfs nog een MediaMarkt Cadeaubon als bedankje! (Had helemaal niet gehoeven). Volgende week eens een mailtje sturen of het allemaal nog gelukt is, dat aan iTunes hangen.

Origineel en foto's: http://linkforsoad.nl/iphone.html

Flash Player controleren en updaten

Emphyrio — Sat, 27 Aug 2011 12:52:05 GMT

De laatste versie van Flash Player controleren.

Flash Player updaten:

Verwijder de vorige Flash Player met Uninstall Flash Player
- Download deze op je bureaublad
- Sluit alle openstaande vensters (ook je brower)
- Dubbelklik op de Uninstall Flash Player.
Herstart je PC.
Start IE op en Update Flash Player

(Vergeet niet om de gratis Google Tool Bar uit te vinken voor je installeerd !)

Doe dit voor elke browser (buiten het uninstallen natuurlijk).

Controleer telkens of de nieuwere versie is geinstalleert.

De laatste nieuwe updateversie van Flash Player' (en andere veel gebruikte tools) staat telkens op Anti Malware Help | Info

Facebook heeft mobiele contacten

Sam98 — Mon, 22 Aug 2011 13:36:50 GMT

Facebook heeft mobiele contacten

Facebook kopieert alle telefoonnummers van de simkaart als de mobiele versie van Facebook wordt gebruikt.

Wie ooit met zijn Android-smartphone gebruikmaakte van Facebook heeft mogelijk alle telefoonnummers op zijn Facebookaccount staan. Via �Account�->�Vrienden bijwerken� en vervolgens klikken op �Contacten� zijn alle contactpersonen te zien, inclusief namen en telefoonnummers van mensen die geen Facebook hebben, maar wel in het mobieltje staan.

Het overzetten van de mobiele nummers gebeurt zowel bij gebruikers van Android als van een iPhone. Dit gebeurt wanneer de Facebook-app wordt gebruikt of wanneer Facebook toestemming krijgt om vrienden te zoeken in je Gmail- of Hotmailaccount.

Hoewel die nummers alleen zijn te zien als je op het account inlogt, blijft het een gevoelige kwestie, daar Facebook ook toegang heeft tot deze gegevens.

Toch valt wel op dat Facebook verwarring zaait over wat er wel is gesynchroniseerd en wat niet. Zo kan ervoor gekozen worden om alles te synchroniseren tussen vrienden en contacten, of om te synchroniseren met bestaande contacten door de optie �Alleen gegevens synchroniseren voor vrienden die al in contacten staan�. Het is echter onduidelijk of �contacten� slaat op Facebookcontacten (die niet altijd Facebookvrienden zijn) of Google-, Hotmail- of iPhone-contacten.

Gelukkig kan er wel voor worden gekozen om alle contactpersonen te verwijderen, al moet dan wel eerst de synchronisatie uitgeschakeld zijn in de Facebook-app op de iPhone of de Android-telefoon.
Op de iPhone is de optie te vinden door in het hoofdmenu te klikken op het pictogram �Vrienden�, op de pijl rechtsboven en daarna op �Contacten Synchroniseren�. Verwijder daar eerst de data en haal vervolgens de vinkjes weg.

Tik op een Android telefoon in het hoofdmenu van de applicatie op de menuknop van de telefoon en kies voor �Instellingen�. Onderaan staat de optie �Contacten Synchroniseren�. Volg vervolgens dezelfde procedure als bij de iPhone.

Java opschonen (cache ledigen)

Emphyrio — Sat, 23 Jul 2011 21:56:15 GMT

Java cache ledigen.

Ga naar C:\Program Files\Java\jre6\bin
en selecteer : javacpl en rechtsklik erop, uitvoeren als admin.

Vervolgens:

Worst-Case Shopping

Eagle Creek — Fri, 24 Jun 2011 18:33:05 GMT

Hijackthis Analyst, iets voor jou ?

Emphyrio — Tue, 10 May 2011 01:25:14 GMT

Regelmatig krijg ik de vraag te horen "hoe je een Hijackthis Analyst wordt".
Deze vraag is niet in ��n-twee-drie te beantwoorden en hangt van een paar factoren af.

Inleiding

Eigenlijk is de term "Hijackthis Analyst" voorbijgestreeft en is "Anti Malware Analyst" meer up-to-date.

Hijackthis Analyst stamt nog uit de tijd dat de meeste malware met het Hijackthis tool nog te identificeren en te fixen was.

De dag van vandaag is dit niet meer waar.

Rootkits, bootkits (dikwijls het gevolg/misbruik van exploits),... maken het noodzakelijk naar andere analyse tools te grijpen.

Combofix (sUBs), DDS (sUBs), OTL (Old Timer), Gmer (Gmer), The Avenger (Swandog46) om de meest gebruikte maar eens op te noemen.

Functie omschrijving

Het oplossen van een malware probleem gepost door een topicstarter (TS).

Analyzeren en interpreteren van logs gepost door de topicstarter of op aanvraag van de analyst .
Op deze basis wordt dan een fix geschreven.

Het oplossen van een malware probleem gebeurt in de volgende stappen:

Analyze / diagnose: Het herkennen van symptomen en malware.
Behandeling: Het schrijven van de fix.
Prognose: Het te verwachten resultaat.
Feedback: Bijsturen van de behandeling.

Kwalificaties

Kunnen lezen !
Maturiteit.
Leergierig.
Kennis van Windows en zijn registers.
Dos (batch) kennis.
Kennis van de gebruikte tools.
Kennis van beveiligingssoftware.
Stressbestendig.
Volharding.

De kwalificaties die opgesomd worden zijn of aanwezig of aan te leren.
Wanneer je Analist bent wordt verondersteld deze kwalificaties te bezitten.

Cursussen

Alle vermelde scholen zijn lid van UNITE
Unified Network of Instructors and Trained Eliminators

Alhoewel er een Nederlandstalige HJT opleiding is, zou ik toch de voorkeur geven om Engelstalige opleiding te volgen.
Immers, wanneer je later zaken moet gaan opzoeken (op het Web) of deelneemt in de antimalware community,
is kennis van het Engels toch een noodzaak.

Nederlands: Hijackthis.nl

Engels:

Bleeping Computer
Geeks to Go
Malware Removal
Spyware Info Forum
What the Tech
Tech Support Forum

Tot Slot....

Het oplossen van malware problemen is een intensieve bezigheid dat wel eens meer tijd in beslag neemt dan je had verwacht.

Het onderscheid tussen een analyst en een goede analyst, is de kennis die je hebt vergaard om malware een stap voor te zijn en
de effici�ntie om het probleem tot een goed einde te brengen..

De beloning is de intellectuele overwinning dat je hebt behaald en, niet in het minst, de dankbaarheid van de topicstarter.

Emphyrio :)

Google en privacy

Emphyrio — Tue, 19 Apr 2011 13:11:08 GMT

Opruimen geeft een lekker gevoel

Internet geschiedenis verwijderdt in de browser(s).
DNS cache geledigd
Cookies opgeruimd
Flashcookies verwijderdt
Ccleaner gerunt

Dan zitten we lekker opgeruimd en veilig, niet?
Niet dus !

Als je net als ik een Google account hebt, ga dan eens naar je Google account > Mijn Account
En onder Mijn Producten kies je Webgeschiedenis
Wees vervolgens zo verbaasd als ik.......

Daar staat alles netjes bijgehouden.
Je kan wel verwijderen, maar ik wil dit weg.

Dat kan dus:

Gebruik het liefst IE voor deze bewerkingen.

Ga naar Google account > Mijn Account > Mijn Producten kies Bewerken.
Vervolgens Product verwijderen > Webgeschiedenis definitief verwijderen.
Geef je paswoord in (rechts)
Vink aan : Ja, ik wil Webgeschiedenis permanent verwijderen uit mijn Google-account
Klik op Verwijder Webgeschiedenis

Done!

Als je deze producten niet vind, betekend dit dat ze niet geinstalleerd geweest zijn :)

Bron: Anti Malware Help Blogspot

Gomeo redirect

Emphyrio — Fri, 25 Mar 2011 22:52:21 GMT

Wanneer je regelmatig wordt doorgestuurd naar Gomeo is er wat aan de hand.

Gewoonlijk gaat dit ook samen met het gebruik van Firefox.

Behandeling:

Indien je Teatimer aanstaan hebt (van Spybot,search and destroy), zet deze dan uit:

Open Spybot, Search & Destroy (SSD) en klik op Mode .
Selecteer: Advanced Mode.
Klik op ja (yes) bij het volgend venster.
Klik op Tools in de linkeronderkant.
Klik op Resident en zet de vinkjes uit bij : Teatimer en SDHelper (als ze geinstalleerd zijn).
Klik op Allow change (verandering toestaan)
Sluit SSD en herstart je PC.

Start je PC op in Veilige Modus met Netwerkverbinding.

Daarna....

Open Internet Explorer
Ga naar Extra > Internetopties > Tabblad Verbindingen.
Klik op LAN-instellingen.
Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.
Onder Proxyserver mag er niets aangevinkt zijn.

Sluiten door OK > Toepassen > OK

Herstart je PC in normale modus.

Verwijder alle add-ons en extensies uit je Firefox/Chrome/Opera.

_______________________________________________________________

Stap 1:

Malware scannen en verwijderen....

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:

Update MalwareBytes' Anti-Malware
Start MalwareBytes' Anti-Malware
Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en ge�nstalleerd worden.

Zodra het programma gestart is, ga je naar het tabblad "Instellingen".

Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
Ga naar het tabblad "Updates" en Update MBAM.
Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
Druk vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Indien MBAM vraagt om een herstart, doe dit dan ook.
Wanneer je de restart hebt gedaan, maak je een nieuwe snelle scan met MBAM.
In dit geval post je dus de twee logs.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Bij problemen!!!

___________________________________________________________

Stap 2:
Download GooredFix van ��n van de onderstaande locaties naar je bureaublad
Download Mirror #1
Download Mirror #2

Zorg ervoor dat alle FireFox-vensters gesloten zijn.
XP: Dubbelklik op GooredFix.exe om het programma te starten.
Vista/7: Rechtsklik op GooredFix.exe en kies vervolgens voor Als administrator uitvoeren om het programma te starten.
Kies in het venster dat wordt geopend voor Ja.
GooredFix zal controleren of dat de Goored-infectie op je systeem aanwezig is, en daarna zal er een logje geopend worden. Post de inhoud van dat logje in je volgende bericht (je kan het logje terugvinden op je bureaublad als GooredFix.txt).

___________________________________________________________

Stap 3:

Download TDSSKiller en plaats het op je bureaublad.
Pak de bestanden in tdsskiller.zip uit.
Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
Klik op de knop "Start Scan" en volg de instructies.
Zet de items dat het vind in quarantaine

Als er een Reboot (herstart) wordt gevraagt, dan klik je op Reboot Now.
Anders klik je op Report.
Kopie en plak de logfile die tevoorschijn komt.

Opmerking:

Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt

___________________________________________________________

Stap 4:

Download DDS.com, DDS.scr of DDS.pif van ��n van deze locaties en plaats het op je bureaublad:

DDS - Techsupport download.
DDS - Bleeping download.
DDS - Forospyware Download.

DDS is een diagnosetool en maakt gebruik van scripts.
Is het uitvoeren van scripts uitgeschakeld, dan schakel je dit weer in zodat er geen problemen optreden bij gebruik van DDS.

Dubbelklik op DDS om de tool te starten. (afhankelijk van de download die je gekozen hebt kan dit het bestand DDS.com, DDS.scr of DDS.pif zijn)
Wanneer het klaar is openen er twee logfiles: DDS.txt en Attach.txt
Beide logfiles sla je op je bureaublad.

Post de inhoud van DDS.txt.

De inhoud Attach.txt moet je niet posten en Attach.txt moet je niet als bijlage toevoegen aan je post, tenzij ik er om vraag.

___________________________________________________________

Maak een nieuw topic aan in de HJT sectie en de volgende logs post je daar:

MBAM
Gooredfix
TDDSKiller
DDS

Geef tevens een omschrijving van je probleem.

Emphyrio :)

Windows 7 / Server 2008R2 SP1: wanneer komt die? (Wsus, Windows Update)

Eagle Creek — Sun, 13 Mar 2011 15:00:39 GMT

Windows 7 Service Pack 1 (Overigensook geldig voor Windows Server 2008 R2.) is onlangs (22 februari) uitgebracht door Microsoft. Wanneer kun je deze nu aan de deur verwachten?

Microsoft Download Center
Handmatig kun je Windows 7 SP 1 downloaden sinds 22 februari.
Voluit heet deze download "Windows 7 en Windows Server 2008 R2 Service Pack 1".

Hij is op volgende link verkrijgbaar:
http://www.microsoft.com/downloads/n...b-3a9b77cdfdda
Het Service Pack is geldig voor alle talen.

Welke download moet je hebben?
windows6.1-KB976932-X64.exe = SP1 voor 64-bits versies van Windows 7
windows6.1-KB976932-X86.exe = SP1 voor 32-bits versies van Windows 7.

7601.17514.101119-1850_Update_Sp_Wave1-GRMSP1.1_DVD.iso
= een ISO-bestand van een dvd, waar beide SP-versies opstaan (specifiek voor beheerders).

Deze downloads worden eigenlijk alleen aangeraden wanneer je binnen een (bedrijfs)netwerk meerdere computers wilt bijwerken, of computers wilt bijwerken met geen of een slechte internetverbinding. Voor ��n of enkele computers wordt het gebruik van Windows Update / Microsoft Update geadviseerd.

Windows Update / Microsoft Update
De verspreiding via Windows Update is inmiddels gestart.

Je dient KB976902 ge�nstalleerd te hebben alvorens je SP 1 kunt installeren. Dit zou automatisch moeten gebeuren.

Biedt Windows Update je SP 1 niet aan? Neem dan de volgende link door: U hebt niet de mogelijkheid om Windows 7 SP1 te downloaden als u via Windows Update controleert of er updates zijn
. Hierin staan diverse probleemoorzaken genoemd, waaronder een aangepaste installatie door Vlite ('Er ontbreken een of meer systeemonderdelen die voor het servicepack vereist zijn.').

WSUS
WSUS is een tool om binnen bedrijven eenvoudig updates uit te rollen naar cli�nt-pc's. In de regel komt deze altijd later aan bod. Enerzijds om nog last minute bugs te kunnen opvangen, anderzijds om de belasting op Microsofts servers enigszins te beperken.

Voor hen die SP1 al getest hebben en willen uitrollen via WSUS is er goed nieuws: hij is beschikbaar!

Windows 7 SP1 Available via WSUS.

Persoonlijk raad ik aan om nooit een service pack automatisch goed te keuren. Houd daarom de volgende automatic approvals instelling aan:

Het service pack zelf verschijnt inmiddels in de update console, en kan naar wens goedgekeurd of geweigerd worden.

Bijgevoegde afbeelding(en)

	approvals.jpg (33,7 KB, 390x gelezen)
	wsus_sp1.jpg (77,3 KB, 378x gelezen)
	sp1.jpg (58,1 KB, 386x gelezen)

Bart Smit weet hoe het kinderen warm maakt voor aankopen!

Eagle Creek — Thu, 03 Mar 2011 19:56:49 GMT

Bart Smit verkoopt speelgoed. En dan niet zomaar speelgoed, maar echte Lego. En voor dit voorbeeld specifiek de Lego City stadsauto 3177.

Nu zou je zeggen, kinderen houden van Lego, dus een introductie of opwarmend praatje is niet nodig. Bart Smit denkt echter toch iets zinnigs te kunnen zeggen over de auto, en beschrijft hem dan als volgt.

http://www.bartsmit.com/shop/product...ondid%3D258822

- Met deze kleine, wendbare stadsauto kom je probleemloos de hele stad door!
- # Deze kleine auto kun je haast overal parkeren
- # In de leuke kleuren zwart/wit

En wat staat daar als laatste... inderdaad. De "leuke" kleuren zwart/wit..
Los van de discussie of zwart en wit �berhaupt wel kleuren zijn (hier en hier), zou ik het toch zeker geen "leuke" kleuren willen noemen. Als er iets wel saaie en inspiratieloze kleuren zijn, zijn het wel zwart en wit.

Nee, neem dan midnachtsblauw/olijfgroen. Of indigo/middenvioletrood. Of misschien zelfs patinagroen/aquamarijn met een vleugje donkermagenta.

Of doe zoals Bart Smit.. en houd het op de "leuke kleuren zwart/wit".
8-)

Het Omzeilen van virusscanners!

Anthrax — Sun, 20 Feb 2011 00:07:31 GMT

Dan denk je dat je een virus hebt, maar je virusscanner ziet niks!

Hoe kan dat?

Heel simpel, door het virus te "crypten".

Dit is een methode waarbij je het virus versleuteld (RC4, Rijndael) en toevoegd aan een "stub" (een stukje software om je programma in het geheugen te decoderen en te draaien)

Deze crypters installeren deze stukjes software op de meest irritante plekken (appdata, system32, etc) en kunnen niet worden opgepikt door een virusscanner.

Dat werkt namelijk zo:

Een virusscanner zoekt naar bepaalde stukjes code in een programma, komt deze code overeen met de code in de virusdefinitie-database van je virusscanner, dan neemt de virusscanner actie, zo niet, is het een clean programma.

Crypters maken de code op zodanige manier anders dat een virusscanner deze kwaadaardige code niet zal vinden in zijn virusdefinitie-database.
Daarom is het belangerijk dat je je virusscanner dagelijks update

Dit is wat een crypter dus doet:

+----------+
|........Virus|
+----------+

|
V

+----------+___________ +---------+
|.... Crypter|(append)---> |.......Stub|
+----------+********** +---------+

|
V

+------------------+
| "Clean" Programma|
+------------------+

Wat dus eigenlijk:

+-------------+
|.....RC4(Stub)|
+-----runPE---+
|.....RC4(Virus)|
+-------------+

is.

Mogen er vragen zijn, stel ze gerust.

Kleine tip!

Anthrax — Mon, 14 Feb 2011 22:31:11 GMT

Kijk altijd naar de URL als je ergens inlogt.

ook heb ik vandaag wat geleerd over ARP Poisoning en het tracen van ontvangen packets via die methode.

De Digitale Stad of Hoe ik Internet ingezogen werd.

Tom Poes — Sat, 05 Feb 2011 21:19:47 GMT

Iets meer dan 20 jaar geleden had ik nog nooit een computer gezien. In het dagelijks leven merkte je, dat hier en daar met computers gewerkt werd, want storingen in diensten werden gewoonlijk geweten aan "het uitvallen van de computer." Voor de doorsnee burger was een computer dus iets, dat met argwaan bekeken werd.

Mijn zoon in Amsterdam, die voor zijn werk thuis een computer had wilde hem wel aan ons laten zien. Een klein zwart schermpje met witte letters. Een toetsenbord. Twee gleufjes voorin, waar je zwarte vierkante schijfjes in kon schuiven. Van een muis kan ik mij niets herinneren, maar die zal er wel bij gehoord hebben.

"Ik zal je de digitale stad laten zien" zei mijn zoon. En op het schermpje waren lijnen te zien, als op een plattegrond van een huis. "Dit is een stad, zeg Amsterdam, met een plein, een kroeg, een stadhuis...kijk maar." En hij liet een klein wit pijltje (of zoiets) bewegen d��r die plattegrond! Je kon door straten lopen en een gebouw binnengaan! E�ndimensionaal, zwart/wit.
Maar ter plekke was ik gefascineerd en verkocht. Dit was internet.

Na een poosje kreeg ik zijn afgedankte kleine Schneider 512k Personal Computer.
Nee, nog geen internet. Hij gaf mij floppies met spelletjes en ik leerde muis en keyboard te gebruiken. Z� leuk.
Mijn vriendinnen schilderden, kookten of tuinierden, ik zat dolgelukkig te proberen om een blok in een bepaald gangetje te schuiven.
Ik maakte kennis met Larry Laffer, waarbij wel heel vaak floppies verwisseld moesten worden.

Nog wat later kreeg ik een al veel beter (want met kleur!) afdankertje van mijn dochter.

En in september 1998 kwam de kabel. A2000, de voorloper van UPC.
Ik vl��g het World Wide Web op :)

Van de Digitale Stad was ik in het Digitale Leven terechtgekomen.

Lange dag vandaag

Anthrax — Tue, 01 Feb 2011 17:30:48 GMT

Het is weer om moe van te worden!

Leraren die verdwijnen of er gewoon niet zijn, amper uitleg voor je Cisco en gamende klasgenoten...

Maarja,
Vandaag ben ik bezig geweest met een eigen projectje, kan er niet veel over zeggen, behalve dat het a) engels is b) alleen voor een bepaalde groep leden op een ander forum =]

de grootste uitdaging was toch wel het Invite systeem te maken (Invite code linken aan username / email, automatisch email verzenden & data in database zetten.)

achja, blijft leuk hoor, php.

Volgende project:

Driver Database voor Servicedesk van mijn college.

Eerste post.

Anthrax — Mon, 31 Jan 2011 16:38:30 GMT

Nouja zeg,
Eerst sta je op Nu.nl, dan krijg je minstens 50 mailtjes van mensen die je hulp willen hebben, en bam!
Daar zit ik dan te bloggen op Nucia!

Achja,

Waar ik het over ga/wil hebben?

- Het herkennen van "Social Engineering"
- Programmeren (Denk aan PHP/C#)
- Hacker-preventie

Ik merk het wel als jullie vragen hebben, want jullie kunnen mij altijd wel een Persoonlijk Berichtje sturen :)

Met vriendelijke groet,
Anthrax

Microsoft programmatitels. Makkelijker kunnen we het... eeh...

Eagle Creek — Fri, 03 Dec 2010 14:42:38 GMT

Microsofts naamgeving is niet om het gemakkelijker te maken.

Citaat:

Microsoft Lync (or Microsoft Communicator on the Mac OS platform; previously Microsoft Office Communicator on the Microsoft Windows platform) is an instant messaging client used with Microsoft Lync Server and is the replacement for Windows Messenger which was used with Exchange Messaging Server. Compared to Windows Live Messenger (previously known as MSN Messenger) it has an expanded feature set [...]

Samengevat. We hebben een product, Microsoft Lynch. Voorheen heette dit Microsoft Office Communicator. Maar heb je een Mac dan heette dit Microsoft Communicator. Deze heet echter nog steeds zo. Dit is een messaging client, die gebruikmaakt van Microsoft Lynch Server. Welke op zijn beurt een vervanging is voor Windows Messenger die gebruikmaakte van Exchange Messaging Server. Wanneer we Lynch vergelijken met Windows Live Messenger (die voorheen MSN Messenger heette), [...].

Riiiiiight :w00t::w00t:

Ask.com verwijderen.

Emphyrio — Wed, 24 Nov 2010 23:53:05 GMT

Inleiding

Wanneer je (bv) Device Dr (DD) installeert, bestaat de mogelijkheid als je niet goed oplet, dat je Ask.com toolbar mee installeert en tevens je Startpagina naar Ask.com herzet.

De goede manier om (eender welke) tool te installeren is :

Waarbij je de beide items unchecked.

Stel dat je (per ongeluk) de verkeerde manier van installeren hebt gebruikt.

In dat geval zal het volgende gebeuren:

Klik op de afbeelding om te vergroten....

Er wordt dus een toolbar (Ask.com) in je browser geinstalleert.
Tevens wordt in ��n klap je Startpagina gewijzigd.

Dit zijn de wijzigingen die gebeurt zijn:
(Windows XP SP3 en IE8)

Klik op de afbeelding om te vergroten....

Om deze wijzigingen ongedaan te maken, doe je het volgende:

1. Verwijderen van Ask.com

Ga naar start > Configuratiescherm > Software.
Kies vervolgens (links) voor Programma's wijzigen of verwijderen.

Nu selecteer je Ask.com en klik je op Verwijderen.
(Zie ook bovenstaande printscreen)

Ask.com durft echter ook al eens onder andere namen genoteerd staan:

AskBar
Vuze
AskTBar
AskBarDis

Deze namen (indien aanwezig) mogen verwijdert worden.

2. Opruimen.

Download TFC en sla deze op je Bureaublad op.

Dubbelklik op TFC.exe om het programma te openen.
Het programma zal alle andere programma's sluiten, zorg er dus voor dat je al je werk hebt opgeslagen voordat je verder gaat.
Klik op de knop Start om het programma te starten.
Als het programma klaar is, dan zal het je computer opnieuw opstarten.
Als dit niet gebeurt, start dan je computer handmatig opnieuw op.

3. We zijn er bijna....

Ask.com heeft eveneens je startpagina gewijzigd (weet je nog wel ? ).

Om dit nu te corrigeren ga je met je browser naar een website die je wil instellen als je Startpagina.

In je IE8 ga je naar Extra > Internet Opties > en klik je vervolgens (onder Startpagina) op Huidige behouden.

In het vensterje zou nu je goede Startpagina moeten staan (bij mij is dit http://www.emphyrio.be)

Sluit je brower en herstart je PC.

Download of Update Ccleaner

Start CCleaner op.

Run Ccleaner en klik in de linkse kolom op Opties
Selecteer het tabblad Geavanceerd
Haal het vinkje weg voor Verwijder alleen bestanden in Windows Temp-systeemmap die ouder zijn dan 24 uur
Klik in de linkse kolom op Cleaner.
Klik dan achtereenvolgens op Analyseer en Schoonmaken.
Klik vervolgens in de linkse kolom op Register
Klik op Scan naar problemen.
Als er fouten gevonden worden klik je op Herstel geselecteerde problemen en OK

Opgelost !

Emphyrio

10 (drog)redenen om je PC niet te beveiligen.

Emphyrio — Mon, 20 Sep 2010 20:29:05 GMT

1. Ik heb niets van waarde op mijn PC, dus ik hoef niet te beveiligen.

Zeker indien je een breedband verbinding hebt, heb je zeker iets waardevol : Bandbreedte !
Een heleboel malware is ontworpen om je PC over te nemen en te gebruiken als server. Op die manier verspreiden ze dan SPAM en meer malware.
Ze stelen eveneens je data, paswoorden en accountnummers.

2. Het zijn de antivirus firma's die de virussen online zeten, zodat ze hun producten kunnen verkopen.

Dit is de stomste uitdrukking ooit. Het is waar dat er Rogues zijn die beweren dat je PC geinfecteerd is om zo hun software te kopen.
Een zwarte lijst van deze kan je hier vinden: Rogue Programs

3. Een firewall runnen, vertraagd mijn PC als ik een Game speel.

De meeste firewalls hebben een instelling dat je toelaat om je game te spelen en toch beveiligd te blijven.
Een paar minuten online zonder je firewall is reeds genoeg om besmet te geraken.

4. Het programma is t� gecompliceerd.

De meeste hebben een simpele mode dat je toelaat om op eenvoudige wijze automatisch te updaten en je te beschermen, zodat je niet meer hoeft te doen dan je update(s) binnen te halen.

5. Ik heb het geld niet, de tools zijn t� duur.

Je kan een zeer bruikbaar set van gratis beveiligingssoftware samenstellen.

6. Ik heb gehoord dat SP2 en SP3 problemen veroorzaken en wil het niet riskeren.

Je zou dit kunnen vergelijken met te zeggen: Ik spring van de rots, omdat ik het niet riskeer om van de gladde rotsen af te dalen.
SP2 is waarschijnlijk de meest belangrijke update van MS. Het klopt dat het de eerste maanden voor problemen heeft gezorgd, maar ondertussen zijn we een paar jaar verder en is SP2 op dit moment stabiel te noemen.
Als je SP2 nog niet hebt, ben je blootgesteld aan allerhande infecties.

7. Ik heb een illegale copy van Windows.

Indien je een illegale copy hebt van Windows doe de rest van ons een plezier: Koop een legale versie !
Als je geinfecteerd geraakt, kan je PC opgezet worden als een zombie server en zo malware en spam verspreiden.
Mochten alle zombie servers nu gestopt worden, zou de malware verspreiding met een derde afnemen.
Kan je g��n legale versie kopen, overweeg dan Linux.

8. Ik heb nooit een beveiligings tool gebruikt en ben nooit geinfecteerd geweest.

Kan zijn, maar...de meeste malware de dag van vandaag opereren zo goed als onzichtbaar. G��n popups, g��n merkbare vertraging.
Als je niet beschermd bent, ben je zo goed als zeker reeds geinfecteerd.

9. Het is mijn PC en daarom mijn probleem.

Wel, niet echt. Het is jouw PC en daarom jouw probleem, maar, indien je PC een zombie server is en alsdusdanig ons aanvalt met het spreiden van malware en spam, is het ook ons probleem.
Wanneer je online gaat, maak je deel uit van een community en het besluit dat je maakt, heeft ook zijn effect op die community.
Als het jou niet kan schelen dat derden met je persoonlijke informatie gaan lopen, denk dan op zijn minst dat met deze handelswijze je ons schade berokkend.

10.Ik heb niet de tijd om het te installeren.

Als je dit leest, ben je online. Indien je online bent ben je reeds blootgesteld. Het vergt slechts 10 minuten om geinfecteerd te geraken.
Hoelang ben jij zonder bescherming online?

Bron : SWI, Budfred
Vrije vertaling : Emphyrio

[Her]partitioneren Windows 2000/ XP/ Vista/ 7 (32 bit)

Emphyrio — Sat, 28 Aug 2010 23:04:52 GMT

Onder Vista kan je in Schijfbeheer je partities verkleinen/vergroten.

Wanneer je echter een partitie vrijmaakt (verwijderdt) met het gedacht deze toe te voegen aan je actieve systeempartitie (gewoonlijk C: ), kom je echter bedrogen uit.

Het zal niet lukken. Verkleinen zal gaan, vergroten niet...

Nu zullen er leden zijn die opspringen en zeggen : Ja maar, daar hebben wij GParted voor!

Da's waar, maar jullie vergeten echter dat Vista en GParted niet zo'n beste maatjes zijn en je na de herpartitionering (resize/move) je de Vista DVD nodig hebt.
Je moet namelijk de MBR fixen dmv de Opstart Herstel optie op die DVD.

Dus diegenen onderons die slechts een Recovery DVD meegekregen hebben (in het beste geval) zijn eraan voor de moeite.

Is er dan g��n oplossing ? Jawel !
Anders was ik hier mijn tijd aan het verschrijven :D

De oplossing heet : EASEUS Partition Master en is GRATIS !

Wat kan die zoal ?

Resize (Extend/Shrink), Move, Format, Convert,
Explore Partitions without Losing Data
Partition Copy & Disk Copy Wizard to Protect Data.
Recover & Repair partitions.
Fix, Backup, Restore MBR.
Backup, Restore Partition Table.

Voor welke OS systemen ? Windows 2000/XP/Vista/7 (32 bit)

Zijn er nadelen ? Ja, hij is traaaag.

Maar je mag een gegeven paard niet in de bek zien :p :)

MBAM manueel updaten

Emphyrio — Tue, 17 Aug 2010 22:24:29 GMT

Indien je g��n internetverbinding hebt en je beschikt over een andere PC die w�l internet heeft, kan je MBAM alsvolgt updaten :

Eerst op BEIDE PC's je verborgen bestanden en mappen weergeven.

Op de PC m�t internet update je MBAM.

Kopieer volgend bestand eveneens op je USB stick of CD:

Windows XP en 2000 : C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref
Windows Vista en Wndows 7 : C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref

Zet MBAM eveneens op deze USB flashdrive of CD en installeer deze op je andere PC.

Zet rules.ref vanaf je USB stick in de juiste map.

Start MBAM.

De daginzending "curieuze foutmeldingen"

Eagle Creek — Tue, 17 Aug 2010 00:13:32 GMT

Security Suite removal (verwijderen)

Emphyrio — Mon, 16 Aug 2010 10:29:27 GMT

Voer exact de procedure uit zoals beschreven staat.
Indien je Vista hebt, alles uitvoeren als administrator........

Met deze richtlijnen zou je achteraf op het Internet moeten kunnen.
Controle door een Security Analyst/Expert blijft evenwel nodig
Post daarom een verse Hijackthis log in de Hijackthis sectie en vermeldt wat je reeds hebt gedaan.
(Voeg de gemaakte logs toe, tzz MBAM en TDSSKiller)

De mogelijkheid bestaat dat de infectie je niet toelaat om bestanden te downloaden.
Als dit het geval is dan moet je de nodige (en opgesomde tools) van een ander PC downloaden.
Hiervoor kan je CD/DVD, externe HD of een USB stick gebruiken.

Symptomen in Hijackthis:

Citaat:

O4 - HKLM\..\Run: [] C:\Documents and Settings\Emphyrio\Local Settings\Application Data\\shdw.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Emphyrio\Local Settings\Application Data\\shdw.exe

STAP 1

Start je PC op in Veilige Modus met Netwerkverbinding.

STAP 2

Open IE

Ga naar Extra > Internetopties > Tabblad Verbindingen.
Klik op LAN-instellingen.
Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.
Onder Proxyserver mag er niets aangevinkt zijn.

Sluiten door OK > Toepassen > OK

STAP 3

Eerst moeten we de processen van Security Suite stoppen.
Dit doen we door gebruik te maken van het tool : rkill.com

Download rkill.com naar je bureaublad en dubbelklik erop. Dit zal de processen stoppen.
Wees geduldig want dit kan een beetje tijd in beslag nemen.

Wanneer je tijdens deze procedure een boodschap mocht krijgen dat rkill.com een infectie is, schrik dan niet en negeer dit gewoon.
Het is namelijk een vals alarm van Security Suite.

Wanneer je hiermee problemen blijft houden , download dan iExplorer.exe (hernoemde rkill.com) en probeer deze dan.

ZEER BELANGRIJK !!!! Herstart je PC niet na het uitvoeren van rkill.com

STAP 4

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:

Update MalwareBytes' Anti-Malware
Start MalwareBytes' Anti-Malware
Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en ge�nstalleerd worden.
Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
Ga naar het tabblad "Updates" en Update MBAM.
Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".
Druk vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Indien MBAM vraagt om een herstart, doe dit dan ook.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

STAP 5

Vervolgens :

Deze infectie gaat gewoonlijk samen met een TDL3 infectie.

Download TDSSKiller en plaats het op je bureaublad.
Pak de bestanden in tdsskiller.zip uit.
Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.
Klik op de knop "Start Scan" en volg de instructies.

Als er een Reboot (herstart) wordt gevraagt, dan klik je op Reboot Now.
Anders klik je op Report.
Kopi�er en bewaar de logfile die tevoorschijn komt.

Opmerking:

Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt

Antivir Solution Pro removal.

Emphyrio — Sun, 25 Jul 2010 12:33:35 GMT

Typische Hijackthis symptomen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
O4 - HKLM\..\Run: [] %UserProfile%\local settings\application data\\.exe
O4 - HKCU\..\Run: [] %UserProfile%\local settings\application data\\.exe

Oplossing:

Start Hijackthis op.Selecteer �Do a system scan only�.
Selecteer alleen de items die hieronder zijn genoemd:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
(In dit voorbeeld, het poortnummer kan veranderen)

Sluit alle vensters behalve HijackThis (HJT) en klik op Fix checked.
Indien er een vraag komt over backups antwoord je hierop met 'Ja'.
Sluit HJT.

Open IE
Ga naar Extra > Internetopties > Tabblad Verbindingen.
Klik op LAN-instellingen.
Onder Automatische configuratie moet enkel Instellingen automatisch detecteren aan staan.
Onder Proxyserver mag er niets aangevinkt zijn.

Sluiten door OK > Toepassen > OK

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.

Start je PC op in Veilige Modus.

E�nmaal in Veilige Modus, voer je het volgende uit:

Dubbelklik op mbam-setup.exe om het programma te installeren.
Ga nu naar de Program Files\Malwarebytes' Antimalware map.
Selecteer de mbam.exe file.
Hernoem deze naar nucia.exe
Maak een snelkoppeling en plaats deze op je bureaublad.

Herstart je PC in Normale Modus.

In normale modus doe je het volgende:

Dubbelklik op nucia.exe (<= de hernoemde mbam.exe)
Als MBAM opent UPDATE je MBAM via Update tab > Check for updates.
Vervolgens selecteer je de snelle scan en klik je op Scan.
Als de scan gedaan is, klik je op OK en Show Results.

Vergewis je ervan dat alle items geselecteert zijn en klik op Remove Selected.
Herstart je PC indien MBAM hierom vraagt.
Als alles uitgevoerd is, zal er een log tevoorschijn komen.
Bewaar deze log.

Hernoem nucia.exe (uit de Program Files\Malwarebytes' Antimalware map) terug naar mbam.exe en verwijder de snelkoppeling van je bureaublad.

Emphyrio :)

TDL3 opsporen.

EvelineGirl — Tue, 06 Jul 2010 16:47:07 GMT

Gmer bied vaak geen helderheid omdat het programma vaak blijft crashen, foutmeldingen of een BSOD geeft en de pc herstart of er eeuwen lang over doet om de scan te voltooien.

Indien Gmer blijft crashen kan het programma Rootkit Unhooker worden gebruikt om zo de geinfecteerde driver te kunnen identificeren.

NOTE: Rootkit Unhooker is niet geschikt voor 64Bits systemen.

* Download Rootkit Unhooker en plaats deze op het bureaublad.
* Dubbelklik op RKUnhookerLE.EXE om het programma uit te voeren.
* Klik op het Report tab, en dan op scan.
* Zorg dat de volgende items staan aangevinkt, Drivers en Stealth. Vink alle anderen uit en klik op OK.
* Wacht tot het scannen voltooid is en klik File, Save Report.
* Sla het log bestand ergens op waar je hem makkelijk kan terug vinden.
* Sluit het programma.

Kopieer en plak het logje in je volgende antwoord.

NOTE: Je kan de onderstaande waarschuwing krijgen. Deze kan je negeren.

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove the parasite, okay?"

Een paar voorbeeld logjes.

Indien geinfecteerd laat RKUnhooker ons het volgende zien:

Citaat:

!!!!!!!!!!!Hidden driver: 0x86494AEA ?_empty_? 1302 bytes
!!!!!!!!!!!Hidden driver: 0x86586D78 ?_empty_? 0 bytes
==============================================
>Stealth
==============================================
0xF73C8000 WARNING: suspicious driver modification [iastor.sys::0x86494AEA]
0x05620000 Hidden Image-->Intuit.Spc.Map.WindowsFirewallUtilities.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 1077248 bytes
0x05790000 Hidden Image-->System.ServiceProcess.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 126976 bytes
0x03BE0000 Hidden Image-->System.XML.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 2060288 bytes
0x04360000 Hidden Image-->System.Data.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 2961408 bytes
0x037F0000 Hidden Image-->System.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 3158016 bytes
0x03B70000 Hidden Image-->System.configuration.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 438272 bytes
0xF7744000 WARNING: Virus alike driver modification [imapi.sys], 45056 bytes
0x012D0000 Hidden Image-->Intuit.Spc.Foundations.Portability.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 471040 bytes
0x047F0000 Hidden Image-->Intuit.Spc.Map.Reporter.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 479232 bytes
0x04EA0000 Hidden Image-->System.Windows.Forms.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 5033984 bytes
0x01240000 Hidden Image-->Intuit.Spc.Foundations.Primary.Logging.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 53248 bytes
0x05470000 Hidden Image-->System.Drawing.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 634880 bytes
0x03B00000 Hidden Image-->Intuit.Spc.Foundations.Primary.ExceptionHandling.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 77824 bytes
0x042A0000 Hidden Image-->System.Data.SQLite.DLL [ EPROCESS 0x863C1DA0 ] PID: 464, 778240 bytes
0x03B40000 Hidden Image-->Intuit.Spc.Foundations.Primary.Config.dll [ EPROCESS 0x863C1DA0 ] PID: 464, 86016 bytes

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

In dit logje is dus imapi.sys de feitelijke geinfecteerde driver en is iastor.sys alleen in het geheugen geinfecteerd.

Citaat:

!!!!!!!!!!!Hidden driver: 0x8716BAEA ?_empty_? 1302 bytes
0x8716BEC5 unknown_irp_handler 315 bytes
!!!!!!!!!!!Hidden driver: 0x8715BB10 ?_empty_? 0 bytes
==============================================
>Stealth
==============================================
0xF73B6000 WARNING: suspicious driver modification [atapi.sys::0x8716BAEA]
0x7A4D0000 Hidden Image-->System.Runtime.Serialization.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 1196032 bytes
0x7AA10000 Hidden Image-->System.ServiceModel.Web.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 143360 bytes
0x7B170000 Hidden Image-->System.Windows.dll [ EPROCESS 0x86504020 ] PID: 2536, 1470464 bytes
0x7B080000 Hidden Image-->System.Windows.Browser.dll [ EPROCESS 0x86504020 ] PID: 2536, 151552 bytes
0x79520000 Hidden Image-->mscorlib.dll [ EPROCESS 0x86504020 ] PID: 2536, 1601536 bytes
0x7A300000 Hidden Image-->System.Net.dll [ EPROCESS 0x86504020 ] PID: 2536, 233472 bytes
0x79EE0000 Hidden Image-->System.Core.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 2375680 bytes
0x7A190000 Hidden Image-->system.dll [ EPROCESS 0x86504020 ] PID: 2536, 241664 bytes
0x7AA80000 Hidden Image-->System.Xml.dll [ EPROCESS 0x86504020 ] PID: 2536, 331776 bytes
0x7B0B0000 Hidden Image-->System.Windows.Browser.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 380928 bytes
0x7A460000 Hidden Image-->System.Runtime.Serialization.dll [ EPROCESS 0x86504020 ] PID: 2536, 421888 bytes
0x7B2E0000 Hidden Image-->System.Windows.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 4460544 bytes
0xF76B5000 WARNING: Virus alike driver modification [imapi.sys], 45056 bytes
0x79E50000 Hidden Image-->System.Core.dll [ EPROCESS 0x86504020 ] PID: 2536, 544768 bytes
0x796B0000 Hidden Image-->mscorlib.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 6197248 bytes
WARNING: File locked for read access [C:\WINDOWS\system32\drivers\sptd.sys]
0x7A340000 Hidden Image-->System.Net.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 659456 bytes
0x7A1D0000 Hidden Image-->System.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 671744 bytes
0x7AAE0000 Hidden Image-->System.Xml.ni.dll [ EPROCESS 0x86504020 ] PID: 2536, 847872 bytes
0x7A9F0000 Hidden Image-->System.ServiceModel.Web.dll [ EPROCESS 0x86504020 ] PID: 2536, 86016 bytes

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

Ook hier is imapi.sys (maar dit kan elke willekeurige driver zijn) de feitelijke geinfecteerde driver en is alleen atapi.sys in het geheugen geinfecteerd.

Citaat:

!!!!!!!!!!!Hidden driver: 0x862E7AEA ?_empty_? 1302 bytes
!!!!!!!!!!!Hidden driver: 0x86369B78 ?_empty_? 0 bytes
==============================================
>Stealth
==============================================
0xF73D3000 WARNING: suspicious driver modification [atapi.sys::0x862E7AEA]
WARNING: Virus alike driver modification [cpqdap01.sys]
WARNING: Virus alike driver modification [nikedrv.sys]
WARNING: Virus alike driver modification [rio8drv.sys]
WARNING: Virus alike driver modification [riodrv.sys]
WARNING: Virus alike driver modification [ws2ifsl.sys]
WARNING: Virus alike driver modification [fsvga.sys]
WARNING: Virus alike driver modification [smclib.sys]
WARNING: Virus alike driver modification [hdaudio.sys]
WARNING: Virus alike driver modification [tsbvcap.sys]
WARNING: Virus alike driver modification [cinemst2.sys]
WARNING: Virus alike driver modification [atmepvc.sys]
WARNING: Virus alike driver modification [rawwan.sys]
WARNING: Virus alike driver modification [atmuni.sys]
0xF7570000 WARNING: Virus alike driver modification [isapnp.sys], 40960 bytes
WARNING: Virus alike driver modification [vdmindvd.sys]
WARNING: Virus alike driver modification [rootmdm.sys]
WARNING: Virus alike driver modification [nwlnknb.sys]
WARNING: Virus alike driver modification [mcd.sys]

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

Hoe te herstellen?
TDSSKiller van Kaspersky kan deze infectie aan:

1.
Download TDSSKiller naar je bureaublad en pak het bestand vervolgens uit

Dubbelklik op TDSSKiller.exe om het programma te starten.
Wanneer het programma klaar is, zal er een log op de C:\ schijf worden aangemaakt.
De bestandsnaam van dat logje begint met TDSSKiller.
Post de inhoud van het logje in je volgende bericht.

Herstart handmatig je pc indien TDSSKiller hier niet om vroeg.

Voorbeeld logs:

Citaat:

11:47:30:922 3304 RDPCDD (81f9f82cb8732d26d23c20de4ece710a) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
11:47:30:922 3304 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\RDPCDD.sys. Real md5: 81f9f82cb8732d26d23c20de4ece710a, Fake md5: 4912d5b403614ce99c28420f75353332
11:47:30:922 3304 File "C:\WINDOWS\system32\DRIVERS\RDPCDD.sys" infected by TDSS rootkit ... 11:47:31:172 3304 Backup copy found, using it..
11:47:31:187 3304 will be cured on next reboot
11:47:32:625 3304 Reboot required for cure complete..
11:47:33:047 3304 Cure on reboot scheduled successfully
11:47:33:047 3304
11:47:33:047 3304 Completed
11:47:33:047 3304
11:47:33:047 3304 Results:
11:47:33:047 3304 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
11:47:33:047 3304 File objects infected / cured / cured on reboot: 1 / 0 / 1
11:47:33:047 3304
11:47:33:047 3304 KLMD(ARK) unloaded successfully

Citaat:

15:51:53:953 2764 intelppm (aed42df563ba65d2fef3f0b2fec31cd7) C:\WINDOWS\system32\DRIVERS\intelppm.sys
15:51:53:953 2764 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\intelppm.sys. Real md5: aed42df563ba65d2fef3f0b2fec31cd7, Fake md5: 96fce5216c94b0280d35d4e088268df4
15:51:53:953 2764 File "C:\WINDOWS\system32\DRIVERS\intelppm.sys" infected by TDSS rootkit ... 15:51:56:750 2764 Backup copy found, using it..
15:51:56:875 2764 will be cured on next reboot
15:51:58:781 2764 Reboot required for cure complete..
15:51:59:187 2764 Cure on reboot scheduled successfully
15:51:59:187 2764 Completed
15:51:59:187 2764 Results:
15:51:59:187 2764 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
15:51:59:187 2764 File objects infected / cured / cured on reboot: 1 / 0 / 1
15:51:59:187 2764
15:51:59:187 2764 KLMD(ARK) unloaded successfully

Ook Combofix kan de infectie neutraliseren:

Citaat:

Besmet exemplaar van c:\windows\system32\drivers\redbook.sys werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - Kitty had a snack :p

Eveline. [happy]

Verdwenen Windows Vista partities herstellen

Emphyrio — Mon, 28 Jun 2010 21:07:18 GMT

Door een wispelturige gril van Windows, was ik een partitie kwijtgeraakt.

Mijn Backup partitie van 283 Gb nog wel.
Tijd om opzoek te gaan naar een gratis recoverytool dus.

Eerst had ik Partition Find and Mount 2.31 gedownload.
De free to use versie natuurlijk.

Nadat ik de noodzakelijke scan opties had ingesteld (Thorough), vond deze tool een aantal verloren gewaande partities.

De partitie die ik moest zien te recupereren bedroeg 283 Gb.
Het terugzetten van een directorie van 40 Gb zou 24 uur duren.

Met 283 Gb te herstellen had ik dus enkele dagen te gaan.
Dit duurde me t� lang

Vervolgens PartitionRecovery 1.0 ontdekt. Klein, gratis en vereist geen install.

Unzippen en klikken op PartitionRecovery.exe.
Vervolgens klik je in het vakje waar de partitie zich zou moeten bevinden.
Klikken op Restore en ....pats !!!
In minder dan ��n seconde was mijn partitie hersteld.

Prachtig. :D

Toch nog even een waarschuwing:

Als dit je ooit voorvalt (een verdwenen partitie) ga dan niet zitten te experimenteren.
En al zeker niet een extra of nieuwe partitie aanmaken.

Wanneer je dat doet, is er g��n hoop tot recovery (herstel) meer.

Windows' logica

Eagle Creek — Thu, 06 May 2010 14:54:45 GMT

En we gaan nog even door.

Wel gestart, of toch niet?

Bijgevoegde afbeelding(en)

eventlog.png (41,2 KB, 2548x gelezen)

Logica bij Microsoft

Eagle Creek — Thu, 06 May 2010 08:17:33 GMT

Dat het bestand op de server gewijzigd was, op het moment dat de pc offline was kan ik mij voorstellen. Maar dat een bestand zowel op de server, ALS op de pc gewijzigd is, terwijl de pc offline was, snap ik toch niet helemaal 8-).

Bijgevoegde afbeelding(en)

mslogica.png (37,3 KB, 1988x gelezen)

Ironie bij Microsoft..

Eagle Creek — Sun, 02 May 2010 19:28:11 GMT

Wat kun je hier nog op zeggen 8-)..

Bijgevoegde afbeelding(en)

ironie.png (30,7 KB, 2049x gelezen)

Overdrijven met Windows, aflevering 5.

Eagle Creek — Fri, 25 Dec 2009 17:49:58 GMT

:|

Ach, het is een Amerikaans product; we zullen het ze maar niet kwalijk nemen.

Bijgevoegde afbeelding(en)

wsus.png (6,5 KB, 2987x gelezen)

IE8: Reclame blokkeren met de InPrivate-filtering in IE8

smeenk — Sun, 06 Dec 2009 00:34:53 GMT

Advertenties blokkeren??

Veel mensen worden weerhouden van het gebruik van IE8 omdat er een functie zou ontbreken om Ads te blokkeren zoals Ad-Block bij FireFox.

Misschien is het niet algemeen bekend, maar IE8 bevat in feite een goede advertentieblokkering.
Dit is het zogenaamde "InPrivate-filtering".
Het InPrivate Filtering (in te schakelen door de toetsencombinatie CTRL + SHIFT + F) is eigenlijk bedoeld om onderdelen van websites die privacy gevoelige gegevens verzamelen te blokkeren.
Maar een neveneffect is dat we het ook als reclamefilter kunnen instellen.

Bijzonder van de InPrivate-filter is dat het(indien ingeschakeld) automatisch content kan detecteren die met een hoge frequentie op websites die u bezoekt voorkomt.
Het InPrivate-filter zal dergelijke inhoud weergeven zodat een gebruiker maatregelen kan nemen. De gebruiker kan aangeven of deze content gewenst of ongewenst is en besluiten deze te blokkeren of juist toe te staan.
Ook kan je aangeven op hoeveel verschillende websites content aangetroffen mag worden voordat deze in de lijst zichtbaar wordt en je dus de keuze krijgt om het te blokkeren. Maar het is ook mogelijk om IE automatisch dergelijke inhoud te laten blokkeren.

Het enige wat dan eigenlijk nog nodig is, is een "Lijst" met daarin een omschrijving van ongewenste inhoud om "InPrivate-filtering" als iedere andere Adblock toepassing te laten functioneren.
De werking van het filter wordt dan vergelijkbaar met Adblock Pro in FireFox. Het is dan mogelijk om bepaalde content te blokkeren zonder een beroep te doen op de geschiedenis van uw surfgedrag.

InPrivate-filtering inschakelen.

In de menubalk van IE8, onder "Beveiliging" kan je er voor zorgen dat "InPrivate-filtering" is ingeschakeld. Dit doe je eenvoudig door het te selecteren met je muis waardoor er een vinkje voor geplaatst wordt ten teken dat InPrivate-filtering is geactiveerd.

Daaronder zie je ook "InPrivate-filtering-instellingen" staan. Daar staat ook een lijstje met alle content die op basis van de frequentie van verschijnen op websites is gefilterd.
De standaard frequentie is "10", wat betekent dat de content op 10 verschillende websites voor moet komen om in het lijstje terecht te komen.
U kunt deze frequentie zelf aanpassen met een minimum van 3 en een maximum van 30.

Bovenaan staan een aantal zogenaamde radio buttons, dit zijn keuzerondjes waarbij de eerste "Automatisch blokkeren van de inhoud" geselecteerd dient te worden om InPrivate Filter als Ad-blocker in te stellen.

Iemand heeft de Adblock lijst van FanBoy aangepast om deze te gebruiken als Ad-blocker voor Internet Explorer 8.
Deze kan je hier downloaden als zip-bestand.
Dit zip-bestand bevat een XML-document.
Het XML-bestand kan je bij "Geavanceerde instellingen" laten importeren in het InPrivate Filter zodat deze meegenomen wordt als te blokkeren content.

Vanaf dat moment zal de hoeveelheid Ads in websites vergelijkbaar afnemen dan wanneer je surft met de Ad-Block Pro in FireFox.

Het InPrivate Filter staat niet automatisch ingeschakeld wanneer Internet Explorer wordt gestart, je zult het dus iedere keer zelf moeten selecteren.
Een oplossing hiervoor is een registerfix die het filter automatisch laat starten iedere keer wanneer IE wordt gestart: enable inprivate.reg
Bestandje downloaden, dubbelklikken en toestemming geven wanneer dat wordt gevraagd.
Wanneer je dit ongedaan wilt maken gebruik je: disable inprivate.reg.
Mocht je tijdens het surfen reclamecontent willen laten weergeven dan haal je in het menu "Beveiliging" het vinkje weg bij "InPrivate Filterering" en daarna ververs je de pagina.

Bijgevoegde afbeelding(en)

	inprivate1.JPG (19,0 KB, 5097x gelezen)
	inprivate2.JPG (18,1 KB, 819x gelezen)
	inprivate3.JPG (62,7 KB, 5086x gelezen)
	inprivate4.JPG (59,1 KB, 677x gelezen)
	inprivate5.JPG (30,3 KB, 5071x gelezen)
	inprivate6.JPG (8,7 KB, 5056x gelezen)

Bijgevoegde bestanden

	enable inprivate.reg (282 Bytes, 1102x gelezen)
	disable inprivate.reg (256 Bytes, 733x gelezen)

Avira AntiVir Manueel Updaten

Emphyrio — Sun, 16 Aug 2009 00:22:29 GMT

Het gebeurt soms dat AntiVir bij het updaten blijft hangen.
Je kan AntiVir manueel updaten door het IVDF bestand te downloaden ( info ).

Heb je ��n van de volgende producten :

Avira AntiVir Personal, Premium and Premium Security Suite from version 9
Avira AntiVir Professional (Windows) from version 9
Avira AntiVir Server (Windows) from version 9
Avira AntiVir SharePoint from version 3
Avira AntiVir ISA Server from version 3

Dan download je ivdf_fusebundle.zip en bewaar het op je bureaublad.

Heb je ��n van volgende producten :

Avira AntiVir Personal, Premium and Premium Security Suite version 8
Avira AntiVir Professional (Windows) version 8
Avira AntiVir Server (Windows) up to version 8
Avira AntiVir SharePoint up to version 2
Avira AntiVir ISA Server up to version 2
Avira AntiVir Exchange
Avira AntiVir MIMEsweeper
Avira AntiVir VSA for SAP

Dan download je ivdf_fusebundle_nt_en.zip en bewaar het op je bureaublad.

Vervolgens :

Open AntiVir door er op te dubbel klikken in je systeemvak en kies voor Update > Manual.
Selecteer je bureaublad en daarna het voor jouw toepasbaar IVDF bestand.
Klik op openen. AntiVir zal de update starten.

Na de procedure mag je je AntiVir sluiten en het IVDF bestand verwijderen.

Operating Systeem:

Windows XP / 2000 / Vista / Windows 7 (32/64).

Emphyrio :)

virut infectie

Juisterr — Mon, 13 Apr 2009 18:22:06 GMT

Voor Virut is helaas nog geen oplossing gevonden.

http://miekiemoes.blogspot.com/2009/...-throwing.html

Gerben's Blog

gerbenp — Fri, 23 Jan 2009 18:04:00 GMT

Bezoek nu m'n weblog op
http://gerben.tuxplace.nl

dns hijacker router

Juisterr — Tue, 30 Dec 2008 18:19:16 GMT

Door Bill Castner:

Er is een wijdverspreide DNS Hijacker in omloop.

Hoe weet je of je deze malware infectie hebt opgelopen?
De popups zijn hinderlijk en beduidend meer dan in de "normale" adware infectie. De DNS redirection is eenvoudig te testen:
Type in je browser de volgende tekst: download.microsoft.com

Kom je ergens anders terecht dan op de Microsoft website blijf dan doorlezen.
Type nu in je browser www.google.com. Kom je daar niet terecht, net zomin als bij elke andere Google search, dan heb je een probleem.
Het kan ook gebeuren dat je geen AV's kunt updaten en/of Windows updates kunt downloaden en/of gewone antimalware sites kunt bereiken zoals AdAware, Spybot etc.

Oplossing:
Een mogelijkheid is de problematiek rond de router volledig te omzeilen. Dit kun je doen als de volgende stappen � inclusief resetten van de router � allemaal mislukken.
Wanneer je het statische DNS serveradres instelt, en je voorkomt hiermee de DHCP toewijzing van de DHCP server van je router, dan kun je het probleem omzeilen.
Binnen een lokaal netwerk zul je dit moeten doen op ELK werkstation; resetten van de router is dus altijd de beste optie.
Ook kun je ervoor kiezen het DSN server adres te zetten op statisch OpenDNS, en de router niet toestaan een DHCP toe te wijzen.
Hier vind je info over OpenDSN server adressen: http://www.opendns.com/

!voorbeeld van een geslaagde fix:
http://aumha.net/viewtopic.php?f=30&...205746#p205750

Je kunt hiervoor het volgende script runnen:

Ga naar
start-->uitvoeren

en type dit:
notepad

Klik OK, een kladbok bestandje opent (let op dat automatische terugloop niet staat ingesteld).
Kopieer en plak de onderstaande vetgedrukte tekst in het venster.

ATT!! Dit is een VOORBEELD! JE MOET ZELF EVENTUEEL EEN ANDER DNS ADRES INVULLEN

@echo off
cd %~dp0

REM Aumha Forum malware script only for this user
REM Please do not use.
REM Sets DNS Servers to OpenDNS static entries
REM Unintended consequences are likely if you are not this user.
REM Authored by Bill Castner, AumHa Forum

(
echo.#
echo.# Interface configuration
echo.#
echo.pushd interface
echo.reset all
echo.popd
echo.# End of interface configuration
echo.#
echo.# Interface IP Configuration
echo.#
echo.pushd interface ip
echo.# Interface IP Configuration for "Local Area Network"
echo.set dns name="Local Area Network" source=static addr=208.67.222.222
echo.add dns name="Local Area Network" addr=208.67.220.220 index=2
echo.popd
echo.# End of interface IP configuration
echo.
)>location.txt

netsh exec location.txt
del /a /f location.txt
del ~0
exit

Kies bestand, opslaan als..., en enter (inclusief aanhalingstekens) met als naam: "FixDNS.cmd". Sluit Notepad.

Dubbelklik dit bestand om het script te runnen; het zal snel open als een zwarte box en dan weer sluiten.

De volledige oplossing vereist dat de DNS hijacker totaal wordt uitgeschakeld en verwijderd!

Download de volgende programma's naar je bureaublad en niet naar een map!

Download MalwareBytes' Anti-Malware
PREVX

2. Run MBAM. Sta een reboot toe als hierom wordt gevraagd.
3. Run Prevx CSI. Sta een reboot toe als hierom wordt gevraagd.
4. Zorg ervoor dat je de setup informatie van je router bij de hand hebt.. Je hebt deze nodig om toegang te krijgen tot de router configuratie pagina's, en om de benodigde informatie op te schrijven voor de identificatie van je ISP. Schrijf dit op! als je deze info nergens anders kunt vinden.
Als je twijfelt, bel dan je provider en vraag welke info je nodig hebt voor de identificatie velden van je router.
4. Sluit je computer en alle andere computers die met de router zijn verbonden.
5. Aan de achterkant van de router kun je een klein knopje of gaatje vinden met de tekst RESET.
Gebruik eventueel een paperclip om de resetknop gedurende 20 seconden ingedrukt te houden.
Koppel de router dan los van de elektra en wacht 60 seconden. Opnieuw resetten en daarna weer inpluggen. Opnieuw 20 seconden resetten en dan weer loskoppelen van de elektra.
6. Terwijl de router is losgekoppeld van het stroomnet start je de computer. Run MBAM opnieuw.
7. Run Prevx CSI ook opnieuw.
8. Verbindt dan weer de router met het stroomnet. Als het stabiel blijft herstart dan je computer en probeer internet verbinding te maken. Als je weer problemen hebt zoek dan verbinding met de Router configuratie pagina en voer opnieuw de juiste identificatie gegevens in.
Herstart opnieuw en test via IPCONFIG of de instellingen goed zijn:

Klik > Start > uitvoeren en type in de box die opent CMD, klik enter en OK
In de zwarte box die opent type je:
IPCONFIG /all (vergeet niet de spatie na IPCONFIG�)
Klik enter en er verschijnt informatie in de box. Rechtsklik de tekst en kies markeren. Ga naar het hele kleine dostekentje links bovenin de box en rechtsklik erop, kies > bewerken en > kopi�ren.
Plak deze tekst in je volgende antwoord en sluit het DOS scherm.

Vertaling door Toscane (Anke)

Het gebruik van Cracks\Keygens(filmpje op YouTube)

smeenk — Mon, 01 Dec 2008 13:34:47 GMT

Het volgende filmpje laat zien wat er mogelijk werkelijk gebeurt wanneer je cracks of keygens gebruikt.
Wees je dus bewust van de gevaren van dergelijke software.
Mijn advies: blijf weg van websites die deze troep aanbieden.

Citaat:

usb flash

Juisterr — Wed, 26 Nov 2008 12:22:20 GMT

Deze infectie is een flashdrive infectie, en ze heeft waarschijnlijk ook eventuele andere drives ge�nfecteerd, inclusief je flashdrives zoals bv je usb sticks. Je Je zal deze ook moeten desinfecteren.
Doe dit:

* Download deze volgende tool naar je bureaublad:
http://www.techsupportforum.com/sect...isinfector.exe

Indien je tijdens de aanwezigheid van deze infectie een usbstick/flashdrive heeft gebruikt, moet je ook deze insteken, zodat bovenstaande tool deze ook kan desinfecteren.

Daarna dubbelklik Flash_Disinfector.exe om de tool te starten.
Nadat de tool zijn werk heeft gedaan, start de computer opnieuw op.

EstDomains-site uit de lucht.

jahewi — Wed, 26 Nov 2008 10:10:27 GMT

Kleine update op de 'overname' van EstDomains door ResellersClub

De site van EstDomains is uit de lucht en het lijkt erop dat het voorgoed is ....
De site is inmiddels doorgelinkt naar een pagina op de site van Directi, alwaar het volgende te lezen is

Citaat:

As a result of the EstDomains de-accreditation by ICANN, Directi will be taking over EstDomains� Registrar operations. ResellerClub, Directi�s Reseller arm, will be managing EstDomains� Domains and Digital Certificates henceforth. ResellerClub and EstDomains Inc use LogicBoxes's Registrar Automation platform, OrderBox, which will make the entire migration process a smooth one.

We understand that there might be a sense of confusion or uncertainty concerning domains managed by EstDomains however, you can rest assured that ALL Domain Names registered through EstDomains Inc are absolutely safe and will continue to function normally.

For more updates and information visit the ResellerClub Blog.

Vooral om 1 uitspraak maak ik me toch echter wel zorgen ......

Citaat:

you can rest assured that ALL Domain Names registered through EstDomains Inc are absolutely safe and will continue to function normally.

Vraagje aan ResellersClub:
Geldt dit ook voor de vele malware-pushende en spam-verspreidende domeinen?
Ik hoop van harte dat dat niet het geval zal blijken te zijn .......

ResellersClub laat er geen gras over groeien ...

jahewi — Wed, 26 Nov 2008 05:36:45 GMT

Als jullie mijn blog regelmatig lezen, weten jullie dat ResellersClub de mogelijke kandidaat is om EstDomains' aktiviteiten over te gaan nemen.
Er was echter nog geen officieele bevestiging van .........

was, want volgens mij kan het niet officieeler dan op deze manier .......... :w00t:

Citaat:

WHOIS information for: estdomains.com:

[whois.estdomains.com]
Registration Service Provided By: RESELLERCLUB
Contact: +1.4152361970

Domain Name: ESTDOMAINS.COM

Registrant:
N/A
Legal Department (support@estdomains.com)
110 W. Ninth Street #688
Wilmington
Delaware,19801
US
Tel. +1.3027224217
Fax. +1.8663729936

Creation Date: 19-Aug-2004
Expiration Date: 19-Aug-2010

Domain servers in listed order:
a.estdomains.com
b.estdomains.com
c.estdomains.com

Status:ACTIVE

... en nu maar hopen dat ResellersClub het enige juiste gaat doen ...

Steekje los bij Windows Security Center?

jahewi — Tue, 25 Nov 2008 16:15:30 GMT

Ik heb het er vandaag maar druk mee ... met het Nucia-blog :w00t:

Een collega vroeg me hem te helpen met z'n prive-computer.
Er zat een nep-scanner op (het bleek al gauw om AntiSpywareXP 2009 te gaan) en hij kreeg hem er niet vanaf.

Wat schetste mijn verbazing toen ik de computer startte en ik de volgende melding van het Windows Security Center kreeg .....

Wat het Windows Security Center hier dus feitelijk zegt is dat je een ongeregistreerde versie van AntiSpywareXP2009 gebruikt en dat je er beter een geregistreerde versie van kunt aanschaffen ...... :|

De maker van die nep-scanner zal wel heel blij zijn met deze aanbeveling, maar ik kan je verzekeren dat hij de enige is. :@

Het moet toch niet gekker worden met Windows ........

ResellersClub -> Directi -> PrivacyProtect ..... EstDomains??

jahewi — Tue, 25 Nov 2008 13:14:29 GMT

Al surfend kwam ik het volgende bericht tegen:
DirectI verbreekt banden met malware registrar Estdomains

Pardon? Is dat niet dezelfde Directi-groep waarvan ook ResellersClub deel uitmaakt?
Ja, dus ...

... en dan is dus Directi's PrivacyProtect dezelfde als waarmee ik een aantal maanden geleden in de clinch heb gelegen .......

Ik wil natuurlijk niets suggereren over de (volgens Directi, niet meer bestaande) banden, maar ik krijg toch wel een beetje een naar gevoel bij de op stapel staande overname van de EstDomains-domeinen door ResellersClub ... :|
Als namelijk de werkwijze van PrivacyProtect (gewoon je kop in het zand steken en net doen of je neus bloed ...) de algemene werkwijze van Directi is, dan zullen ze dat bij ResellersClub misschien ook gaan doen bij spam-verspreidende en malware-pushende domain-eigenaren :@

ResellersClub gaat EstDomains-domeinen beheren

jahewi — Tue, 25 Nov 2008 12:23:36 GMT

Nu dat het ICANN EstDomains vleugellam heeft gemaakt, door het contract met de malware-club te verbreken, staan er sinds gisteren bijna 250.000+ domeinen op de tocht.
ICANN had alreeds toegezegd dat alle ex-EstDomains-domeinen onder beheer van een door het ICANN erken erkende hoster zouden gaan vallen.
Door het grote aantal spam- en malware-gerelateerde domeinen was echter al bekend dat deze belofte erg moeilijk zou zijn te vervullen.

Nu is er echter toch een naam boven komen drijven van het hosting-bedrijf dat dit hoogstwaarschijnlijk zal gaan doen.
Alhoewel nog niet officieel door het ICANN aangekondigd, zal dit hoogstwaarschijnlijk ResellersClub (onderdeel van het Indiase concern Directi) worden.

Ik ben heel benieuwd naar de gevolgen van deze super-aktie van het ICANN.

Wordt ongetwijfeld vervolgd 8-)

Het einde van EstDomains?

jahewi — Tue, 11 Nov 2008 13:31:43 GMT

Op 28 oktober heeft een koerier een brief op de mat van EstDomains gedeponeerd.
Deze was afkomstig van het ICANN (The Internet Corporation for Assigned Names and Numbers; de organisatie die de afgifte van domeinen en IP-nummers regeld).

In de brief werd bevestigd wat eigenlijk al bekend was ....
Notice of termination of ICANN registrar accreditation agreement
Oftewel, ICANN ontneemt EstDomains het recht om domeinen en IP-nummers uit te geven en te beheren, wegens fraude, valsheid in geschriften enz. enz. door de directeur van EstDomains mr. Vladimir Tsastsin.
Verder zullen alle 281.000 domeinen, die EstDomains nu beheerd, moeten worden ondergebracht bij een andere, door het ICANN geaccepteerde, hoster.

Dit alles zal plaatsvinden voor aanstaande 12 november (morgen dus ....).

EstDomains zal slechts weer als hoster kunnen gaan optreden als de heer Tsastsin z'n functie neerlegd.

Dit alles is natuurlijk goed nieuws ... Laten we echter niet te vroeg juichen, want ik denk dat een grote criminele organisatie als EstDomains best wel in staat zal blijken dit Zwaard van Damocles af te weren.

Aanvulling
EstDomains heeft op 4 november gereageerd op de brief van ICANN.
Volgens hun zeggen heeft Vladimir Tsastsin op 16 juni beroep tegen het vonnis aangetekend bij het hof van Estland.
Op 25 juni heeft hij z'n functie bij Estland neergelegd.
In de brief wordt dan ook aan ICANN gevraagd om de geplande aktie tegen EstDomains op te schorten tot er een uitslag op het beroep is ....

Wat EstDomains echter niet vermeldt is dat het hof het beroep al op 7 juli had afgewezen .......

Ik ben heel benieuwd wat de volgende truc van EstDomains zal zijn ........

Wordt vervolgd

koe haas

Juisterr — Fri, 31 Oct 2008 08:36:08 GMT

Hoe vangt een koe een haas ?

Rootkits

jahewi — Sat, 27 Sep 2008 22:15:12 GMT

De term RootKit wordt gebruikt voor het beschrijven van*gereedschappen (tools) en methodes, die worden gebruikt om detectie door malware-scanners en systeembeheer-utilities te voorkomen.
Een van de belangrijkste methodes om detectie te voorkomen, is het 'injecteren' van DLL's in bepaalde delen van het bestands-systeem of in de Windows-kernel.

Een RootKit is over het algemeen een verzameling gereedschappen en methodes die door een hacker of door malware (virussen, trojans, keyloggers enz.) kunnen worden gebruikt om:
- de overname van de computer te maskeren
- Administrator-rechten te verkrijgen
Hiertoe zal de inbreker (hacker cq malware) eerst trachten een normale gebruikers-toegang tot het systeem te krijgen, waarna de RootKit kan worden geinstalleerd en in werking kan worden gezet. Voor het verkrijgen van de toegang zal vaak gebruik worden gemaakt van een Trojan.
De gebruikers-toegang kan o.a. worden verkregen door gebruik van ��n van de Windows-lekken of door het kraken van wachtwoorden.
De RootKit kan dan, na installatie op het getroffen systeem, gegevens verzamelen over gebruikers-Id's en wachtwoorden, hetgeen uiteindelijk leidt tot gehele toegang tot het getroffen systeem.
Een RootKit kan de volgende tools ter beschikking hebben:
- Verkeer-monitor
- Toets-aanslagen monitor
- Backdoor
- Het lezen en wijzigen van log-bestanden
- Het overnemen van andere werkstations (als de getroffen computer deel uitmaakt van een netwerk)
- Het wijzigen van systeem-instellingen om detectie te voorkomen.

Werkwijze:
Er zijn 4 soorten Rootkits (klassificaties), afhankelijk van hun mogelijkheden om een reboot van de geinfecteerde computer te overleven en de manier van werk-niveau:
1. Memory-Based Rootkits:
Deze rootkit-klasse bestaat uit malware, dat geen persistente (hardnekkig aanwezige) code bezit en daarom ook een reboot
niet zal overleven.
2. Persistent Rootkits:
Een persistente Rootkit aktiveert zichzelf automatisch, iedere keer dat een geinfecteerde computer wordt gestart of als een
gebruiker inlogt. Hiertoe moet de rootkit zijn opgeslagen in het register of in het bestandssysteem en hiervoor een methode
gebruiken, waarbij de opstart-code van de rootkit, zonder tussenkomst van de gebruiker, automatisch wordt uitgevoerd.
3. User-mode Rootkits:
Er zijn veel methodes waarmee een user-mode rootkit detectie kan proberen te voorkomen.
Zo kan de rootkit API-calls naar FindFirstFile/FindNextFile onderscheppen. Zodoende kunnen de Rootkit-gerelateerde
bestanden, die anders zouden kunnen worden ontdekt, worden gefilterd voordat het resultaat wordt doorgegeven.
De API's in dit voorbeeld worden, door bv. Explorer en de*opdrachtprompt, gebruikt om de inhoud van het bestandssysteem
(mappen en bestanden) te onderzoeken.
Geavanceerde user-mode Rootkits onderscheppen ook API-calls naar bv. het register en naar zg. 'process enumeration'
functies.*Hierdoor kan detectie door scanners, die de resultaten van Windows API's vergelijken met de oorspronkelijke
API's,*worden vermeden.
4. Kernel-mode Rootkits:
Rootkits van dit type gaan nog een stapje verder, omdat ze, behalve dat ze API-calls kunnen onderscheppen en bewerken, ook
de data-strukturen van de kernel kunnen bewerken. Hierdoor is het mogelijk, zonder de API-calls te bewerken, bv. een
malware- proces uit de lijst aktieve processen van de kernel te verwijderen.

Rootkit-varianten en -tools:
- NT Rootkit:
De eerste Windows-gebaseerde Rootkit. Wordt inmiddels door veel virusscanners gedetecteerd.
- Vanquish:
Een DLL-injektie rootkit van Roemeense oorsprong.
Vanquish kan bestanden, mappen en register-entries onzichtbaar maken, alsmede wachtwoorden opslaan.
- AFX:
Een User-mode Rootkit, dat gebruik maakt van DLL-injektie en onderscheppen van oorspronkelijke Windows API-calls.
- Hacker Defender:
Een Rootkit die helpt bij het uitwissen van inbraak-sporen, gemaakt door een hacker op een geinfecteerde computer.
- WinlogonHijack:
Een Rootkit-tool, die, door middel van DLL-injektie in winlogon.exe en onderscheppen van calls naar msgina.WlxLoggedOutSAS,
in staat is elke LogIn weer te geven in gewone tekst.
- NTFSHider:
Een Rootkit-tool, welke data kan opslaan in Bad Blocks en Unallocated Cluster op een IDE-schijf en in NTFS-partities.
- MTDWin:
Een Rootkit-tool, die writable memory-chips, FlashRAM en EEPROM's op een moederbord kan herkennen.
(deze lijst zal nog verder worden uitgebreidt met bredere uitleg en meer varianten en tools)

Detectie- en Verwijder-tools:
RootkitReveal: Een nieuw tooltje, dat wordt uitgebracht door SysInternals.com,*waarmee een aantal Windows-Rootkits kan worden gedetecteerd.
Strider Ghostbuster: Detecteerd Rootkits door het vergelijken van de (mogelijk) geinfecteerde computer met een schone WinPE-installatie op CD.
Let op: Deze tool(kit) is nog niet te gebruiken, om de simpele reden dat hij alleen nog maar bestaat als theorie. Het ligt wel in Microsoft's bedoeling de tool(kit) uit te brengen, maar dan wel als onderzoeks-prototype of als onderdeel van Microsoft produkten.

Handmatig detectie en verwijdering (de Strider Ghostbuster-methode in het kort):
- Open, op de (mogelijk) geinfecteerde computer, een Command-venster of start de betreffende computer op in Command-mode.
- Typ het commando dir /s /b /ah in + en sla de resultaten op.
- Boot nu op vanaf een schone WinPE-CD en typ wederom het commando dir /s /b /ah in + en sla de resultaten op.
Typ nu het commando dir /s /b /a-h in + en sla ook hiervan de resultaten op.
- Gebruik de WinDiff-utility van de CD om de 2 tekstbestanden te vergelijken en ongelijkheden te filteren.
Let op: Er zullen en aantal valse meldingen zijn. Ook kunnen rootkits en tools, die zijn opgeslagen in het BIOS,
Videokaart-EEPROM, Bad Sectors op harddisks en bv. zijn opgeslagen als ADS, niet met deze methode worden
gedetecteerd.

Auteur: Jahewi, april 2005
Bronnen:
http://www.sysinternals.com/ntw2k/fr...itreveal.shtml
http://research.microsoft.com/rootkit/

Cookies vs Tracking-cookies (deel 2)

jahewi — Fri, 26 Sep 2008 03:23:55 GMT

Tracking-cookies; De duistere kant van cookies.

Zo langzamerhand zul je je wel afvragen waarom dit artikel zich bevindt op mijn overwegend beveiligings-gerichte blog staat ....
Cookies zijn er toch om het leven van de surfer eenvoudiger te maken?

Dit klopt inderdaad. Het basis-concept van cookies is en blijft gebaseert op behulpzaamheid.
Er bestaat echter ook een mogelijk om misbruik te maken van cookies.

Laat we eens, als voorbeeld, kijken naar een bedrijf met de fictieve naam Jawwi BV.
Het bedrijf verkoopt goederen en/of diensten via internet.
Om de verkoopt te bevorderen vraagt hij verschillende sites om een reclame-banner te plaatsen.
Tot zover is er niets mis .... maar daar komt nu verandering in.
Jawwi BV. vraagt aan elke site die de banner heeft geplaatst, om ook een zg "3th party cookie" te laten plaatsen op passerende computers.
Dit cookie is dus NIET van de site waarop de banner staat, maar van de site van de plaatser van de banner ... en de gegevens zijn dus ook alleen voor site van de plaatser van de banners uileesbaar.
Zodoende is het dus mogelijk om gebruikers te oormerken. Doordat op elke site, waarop de banner staat, hetzelfde cookie te plaatsen kan door Jawwi BV het surfgedrag van nietsvermoedende surfers in kaart worden gebracht. Als daarbij ook bv. IP-nummer of zelfs persoonlijke gegevens worden opgeslagen wordt dit gezien als een ernstige inbreuk op de privacy .....

Voor degenen die het nog niet door hebben .... we hebben hier dus over Tracking Cookies.
Tracking-cookies zijn dus cookies die worden gedistribueerd vanuit een centrale website, met de bedoeling het surfgedrag in kaart te brengen en, op de specifieke internet-gebruiker, gerichte reclame (in de vorm van banners en/of popup-vensters) te serveren op de deelnemende sites.

Wat is het gevaar van tracking cookies?

De nadruk ligt, wat mij betreft, niet zozeer op gevaar. Een tracking cookie is niets anders dan een gewoon cookie. Het is dus geen virus en kan ook, op zich, niet worden gebruik om andere malware (virussen, spyware enz.) op je computer te plaatsen.
Het 'gevaar' ligt hem simpelweg in het misbruik van het concept van cookies. Cookies zijn er, zoals je nu weet, om het leven de surfer eenvoudiger te maken en NIET om het surfgedrag van een surfer in kaart te brengen ... ook al is het argument, van de plaatsers van tracking cookies, vaak dat door het gebruik van tracking cookies ook beter op de wensen van surfers kan worden ingesprongen. Er kunnen dus banners worden getoond die de surfer meer aanspreken, hetgeen 'targeted advertising' wordt genoemd. Onder andere DoubleClick ��n van de grote plaatsers van tracking cookies.

Hoe voorkom ik de plaatsing van tracking cookies?

De meeste moderne webbrowsers zijn tegenwoordig uitgerust met mogelijkheden om alleen cookies toe te laten van de site die wordt bezocht alsmede mogelijkheden om de privacy te beschermen.

Hoe kan ik cookies beheren?

Het is natuurlijk mogelijk om, in je browser, alle cookies te weigeren ... dit is echter net zoiets als voorkomen dat je een lekke band krijgt door de banden van je fiets af te halen en op de velgen gaan rijden.
In de moderne browsers zijn gelukkig goede mogelijkheden ingebouwd om het plaatsen van Tracking Cookies te voorkomen.

- In Internet Explorer:
Klik Extra > Internet-opties > Privacy > Geavanceerd en zet een vinkje in Automatische cookie-verwerking opheffen.
Selecteer Vragen bij Direkte cookies en selecteer Blokkeren bij 'Indirekte cookies'.

- In Mozilla Firefox:
Klik Tools > Options > Privacy > Cookies
Zet een vinkje bij Allow to set cookies en Zet een vinkje bij for originating web site only
Kies bij Keep cookies voor Ask me every time

Bovengenoemde settings hebben tot gevolg dat je, voordat een gewoon cookie wordt geplaatst, daar eerst toestemming voor moet geven en dat tracking cookies geheel worden geweigerd.
Helaas kan deze werkwijze wel tot gevolg hebben dat sommige site anders reageren of helemaal niet kunnen worden geopend.

- Met behulp van Cookie-Managers:
Om cookies echt te kunnen beheren (dwz cookies van sites die je regelmatig bezoekt behouden en de rest verwijderen) heb je een apart programmaatje nodig.
Gelukkig zijn er verschillende goede, zowel gratis als commercieele, zg. cookie-managers verkrijgbaar.
Dit zijn wat voorbeelden van gratis Cookie-managers en -blockers:
- Cookie Viewer: Een cookie-manager
- Spyware Blaster: Blokkeert tracking cookies.
- WinPatrol: Bevat een cookie-manager

Grote ommekeer bij EstDomains?

jahewi — Fri, 19 Sep 2008 06:30:31 GMT

De meesten van jullie kennen EstDomains wel.
Voor degenen die het niet kennen, EstDomains is een Oost-Europese hosting-bedrijf dat zich al jaren bezighoudt met het terroriseren van internet-gebruikers door het verspreiden van nep-scanners, malware-houdende nep-codecs en andere malware-troep, alsmede het oprichten en beheren van phishing-sites, malware-verspreidende sites. En daarbij houden zich ook nog op grote schaal bezig met het verspreiden van allerhande email- en forum-spam.
Kortom ... een zeer akelig bedrijf waar velen liever vanaf zijn.

Maar is daar nu verandering in aan het komen?
Oordeel zelf.

Sinds enkele weken is er een nieuwe (of vernieuwde) afdeling aktief binnen EstDomains. Ze noemt zichzelf EstMate en het is de Abuse-afdeling van EstDomains.
Nu denk je natuurlijk, net als ik in eerste instantie, dat ook dat zo fake is als AntiVirusXP 2008, maar dat is toch net iets anders ...

Als EstMate heeft deze abuse-afdeling namelijk een lidmaatschap aangemaakt op het MalwareBytes-forum en heeft beloofd dat het elk domein zal sluiten, waarover terecht wordt geklaagd.
En zowaar heeft EstMate de laatste tijd al vele domeins gesloten.

Het lijkt er dus op dat De EstDomains-vos zowaar z'n streken verliest ..... of toch niet .... 8-)

Aan de ene kant worden op dit moment een groot aantal belangrijke (en minder belangrijke) malware- en phishing-sites gesloten. Maar aan de andere kant is het zo dat de malware en de nep-scanners niet echt verdwenen zijn .... dat bevindt zich nog steeds in de klauwen van EstDomain.
Niets zou EstDomains er dus van weerhouden om nieuwe domeinen te openen voor deze troep.
Daarbij komt dat ik nog niet overtuigd ben van EstDomains goede bedoelingen. Ik heb veel te veel het geveol dat dit allemaal een grote reclame-campagne is om in een beter daglicht te komen.

Ben ik te negatief? Misschien, maar ik hou het voorlopig nog bij het welbekende spreekwoord over de vos en z'n streken. ;)