woensdag 8 juni 2011

XP Antivirus 2012.

XP Antivirus 2012 verwijderen.


Sypmtomen van deze infectie.
* pop-ups van nep beveiligings centrum;
= FireWall is uitgeschakeld.
= Antivirus is uitgeschakeld.
= Automatische updates zijn uitgeschakeld.
= Infectie gevaar meldingen bijvoorbeeld deze 'system hacked!' melding:

 




= Internet wordt geblokkeerd.

 











= Malwarebytes start niet op gebruik hiervoor Rkill

Overige afbeeldingen:











Gevonden bestanden:
C:\Documents and Settings\Test1\Local Settings\Application Data\3 random letters.exe

bijvoorbeeld:
C:\Documents and Settings\Test1\Local Settings\Application Data\xsf.exe
C:\Documents and Settings\Test1\Local Settings\Application Data\cwk.exe

Malwarebytes resultaten:

Registerdata geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Test1\Local Settings\Application Data\cwk.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.



Removal instructies:

1.
Download rkill via één van de onderstaande links naar het bureaublad.


[*] rkill (exe)
[*] rkill (com)
[*] rkill (scr)
[*] rkill (pif)


Dubbelklik op "rkill" om het te starten


Dit kan een beetje tijd in beslag nemen.

Indien er een melding komt dat rkill een infectie is kunt u dit negeren, het is namelijk een vals alarm.
Indien u problemen blijft houden qua meldingen download dan iExplorer.exe; een hernoemde rkill versie naar uw bureaublad en voer deze uit.


Let op!!! Herstart niet de computer na het gebruik van rkill.

2.
Malwarebytes anti' Malware uitvoeren.

dinsdag 7 juni 2011

WhiteSmoke verwijderen.

WhiteSmoke verwijderen.

WhiteSmoke is vervelende adware. Het veranderd je startpagina, stelt de search conduit zoekmachine in als standaard en installeerd de WhiteSmoke toolbar.

Voorbeelden:






Een HijackThis logje kan het volgende tonen:

Running Processes:
* C:\Program Files\WhiteSmoke\WSEnrichment.exe

Regels:
* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1369718
* R3 - URLSearchHook: WhiteSmoke Tools Toolbar - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Program Files\WhiteSmoke_Tools\prxtbWhit.dll
* O2 - BHO: WhiteSmoke Tools - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Program Files\WhiteSmoke_Tools\prxtbWhit.dll
* O3 - Toolbar: WhiteSmoke Tools Toolbar - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Program Files\WhiteSmoke_Tools\prxtbWhit.dll
* O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
* O4 - S-1-5-20 Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe (User 'Netwerkservice')
* O4 - S-1-5-18 Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe (User 'SYSTEM')
* O4 - .DEFAULT Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe (User 'Default user')


VirusTotal geeft geen resultaten en ook MBAM vind geen geinfecteerde bestanden:
http://www.virustotal.com/file-scan/report.html?id=d1000571bad790294d03eb3fdfd6814c76c40de0afa19ff41ad3f5cdeea72374-1307459050

Overige:
* c:\program files\Conduit
* c:\documents and settings\test1\local settings\application data\WhiteSmoke_Tools
* c:\documents and settings\test1\local settings\application data\conduitEngine
* c:\windows\system32\ConduitEngine.tmp
* c:\program files\ConduitEngine
* c:\documents and settings\test1\local settings\application data\Conduit
* c:\program files\WhiteSmoke_Tools


Hoe te verwijderen:

Gelukkig is deze eenvoudig via het configuratiescherm te verwijderen.

Selecteer de conduit search engine en klik op verwijderen:

Selecteer de WhiteSmoke applicatie en klik op verwijderen:


Herstart de computer.

(Indien nog aanwezig) Verwijder de bovenstaande mappen bij 'overige' en verwijder ConduitEngine.tmp uit de system32 map. Stel zelf weer je gewenste startpagina in en klaar!


(NOOT!! Mocht je toch nog problemen ondervinden dan is er wellicht nog meer aan de hand.
Scan de computer met een geupdate databaseversie van Malwarebytes anti'Malware en twijfel niet om hulp te vragen.)

maandag 23 mei 2011

Opgepast ongewenste toolbars.

Opgepast ongewenste toolbars.

Iedereen heeft het wel eens ondervonden. Je hebt een programma gedownload en tijdens de installatie niet goed gelezen en doelgericht op 'volgende, next, akkoord of op voltooien' geklikt.
Met als gevolg een ongewenste toolbar, addon, startpagina of zoekmachine geinstalleerd.
De meeste zijn niet schadelijk echter zijn er een x aantal dat wel en hebben een ad-ware reputatie.
Niet gevaarlijk maar wel hinderlijk en moeilijk te verwijderen. want je zal geplaagd worden door, toch meestal ongewenste, reclame, en snelkoppelingen naar websites waar jij geen behoefte aan hebt.

Het vervelende is dat je zelf toestemming geeft deze rommel te installeren.
Het nare bij dit verschijnsel is dat, als deze troep eenmaal geïnstalleerd is, je er vaak moeilijk weer vanaf komt.

Een aantal die je zeker niet wilt hebben zijn:
•Security Toolbar 7.1
•Mirar Toolbar
•MyWebSearch
•Baidu Toolbar
•Tango Toolbar
•ShopAtHomeSelect
•Pvnsmfor Toolbar




Maar ook de onderstaande toolbars zijn niet aan te raden:
*Ask Toolbar
*BS Player Toolbar
*Conduit Engine
*Elf 1.12 Toolbar
*gamesgamesob.com Toolbar
*MediaBar
*PHPNukeDU Toolbar
*ToggleDU Toolbar
*uTorrentBar_NL Toolbar
*DVDVideoSoft toolbar

*Zynga Toolbar
*Zwangy Toolbar

*LimeWire Toolbar
*Vuze Toolbar
*Searchqu Toolbar



Hier een lijst met programma's die tijdens de installatie zullen vragen om een toolbar te installeren.
http://www.calendarofupdates.com/updates/index.php?app=calendar&module=calendar&cal_id=&do=showevent&event_id=44514

Als je een programma installeerd dus goed opletten en niet zomaar overal op 'volgende, next of akkoord' klikken.

Zoals gezegd zijn sommigen van deze toolbars zeer vervelend en moeilijk te verwijderen.
Staat het programma niet in je softwarelijst, krijg je hem niet volledig verwijderd of ondervind je problemen, twijfel dan niet en vraag hulp om hem volledig te verwijderen.

maandag 22 november 2010

Help! "Niet actieve systeemprocessen" gebruikt veel (tot 99%) CPU.

Beste lezer,

Met enige regelmaat komt het "probleem" voorbij, dat gebruikers melden dat de processenlijst van Windows Taakbeheer toont dat het proces "Niet actieve systeemprocessen" (eigenaar System), een zeer hoog CPU-gebruik heeft.



Men maakt zich hier vaak druk om, en denkt dat er sprake is van een malafide proces, dat de pc traag maakt. Eigenlijk is hier sprake van een paradox: het kopje "Niet actieve systeemprocessen" geeft aan hoeveel procent van de tijd, de processor niet actief is. Het is dus geen enkel proces dat processortijd inneemt, maar een (vaak wat verwarrende) beschrijving van het vrije percentage processorkracht.

Wanneer je Taakbeheer enigszins oprekt, zie je dit ook bij de beschrijving staan:


In bovenstaande afbeeldingen neemt "Niet actieve systeemprocessen" respectievelijk 96% en 94% in. Dat betekent dat het processorgebruik (100-96 en 100-94) slechts 4% en 6% is. Kortom:de processor heeft vrijwel alle kracht beschikbaar. Wanneer de pc toch erg traag is, zal dit in ieder geval niet veroorzaakt worden door ondercapaciteit van de processor.

Om te zien hoeveel procent van de processor echt in gebruik is, dien je onderin Taakbeheer te kijken. Hier wordt aangegeven voor hoeveel procent de processor in gebruik is. Ook op het tabblad "Prestaties" geeft de groene grafiek "Processorgebruik" / "Geschiedenis van processorgebruik" het daadwerkelijke verbruik van de processor weer.



Hoewel er rootkits (verborgen malafide software) bestaan, die de weergave van Taakbeheer kunnen beïnvloeden, is hier in de meeste gevallen geen sprake van.

vrijdag 19 november 2010

Malwarebytes 'Anti Malware

Ben je geinfecteerd geraakt met malware dan kan een scan met Malwarebytes Anti-Malware tegenwoordig niet ontbreken. Tevens is dit vaak ook 1 van de basistools die gebruikt wordt.

Download MalwareBytes' Anti-Malware  en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:
  • Update MalwareBytes' Anti-Malware
  • Start MalwareBytes' Anti-Malware
Klik daarna op "Voltooien".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
  • Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
  • Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
  • Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
  • Druk vervolgens op "Scannen" om de scan te starten.
  • Het scannen kan een tijdje duren, dus wees geduldig.
  • Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  • Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
  • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

=======Problemen met MBAM?=======

Soms zijn er problemen waardoor MBAM niet werkt of wordt geblokkeerd. Enkele problemen met oplossingen staan hieronder beschreven.

**Problemen bij het installeren van MBAM:**
Als u problemen heeft bij het installeren van Malwarebytes' Anti-Malware (MBAM) probeer dan één voor één de onderstaande opties om Malwarebytes' Anti-Malware (MBAM) te installeren.



--Optie 1--

Ga naar start>configuratiescherm>software of programma's en onderdelen en verwijder daar Malwarebytes' Anti-Malware.


•Herstart nu de computer
Download mbam-clean naar het bureaublad en voer deze uit.
Er word gevraagd om de computer opnieuw te starten, sta dit toe. (belangrijk!!!)


Download MalwareBytes' Anti-Malware opnieuw en sla het op je bureaublad op.
Zorg dat er na de installatie een vinkje is geplaatst bij:


•Update MalwareBytes' Anti-Malware
•Start MalwareBytes' Anti-Malware

Klik daarna op "Voltooien".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Indien u de "Pro" versie van 'MalwareBytes' Anti-Malware' heeft dient u deze opnieuw te activeren met de toegezonden activatie gegevens. Tevens dient de "realtime bescherming" na het activeren terug ingeschakeld te worden.


Start MalwareBytes' Anti-Malware (MBAM)


Kies de optie "snelle scan" en klik op "scannen"
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.


Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.




--Optie 2--


Download MBAM (Malwarebytes' Anti-Malware) random hier naar het bureaublad.
Je zal zien dat het een random naam zal hebben en er ongeveer zo zal uitzien:






Belangrijk!!! Verander de bestandsnaam niet.

Dubbelklik erop om het automatisch te laten uitpakken en de installatie te starten.


Volg de instructies op het scherm om de installatie te voltooien.


Als de installatie gereed is zal Malwarebytes' Anti-Malware vanzelf opstarten.


Klik hierna op het tabblad "Update" en vervolgens op "Controleer op updates"


Klik op het tabblad "scanner"


Kies de optie "snelle scan" en klik op "scannen"


Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.


Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".


Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.


Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.



--Optie 3--


Download MBAM (Malwarebytes' Anti-Malware) random hier naar het bureaublad.

Zorg ervoor dat de optie Extensies voor bekende bestandstypen verbergen weergeven is ingeschakeld.


Windows XP
  • Ga naar Start>>Configuratiescherm>>Mapopties
  • Kies het tabblad Weergave
  • Haal het vinkje weg bij Extensies voor bekende bestandstypen verbergen
  • Klik Toepassen

Windows Vista/Windows 7
  • Ga naar Computer
  • Kies Organiseren>> Map- en zoekopties
  • Kies het tabblad WeergaveHaal het vinkje weg bij Extensies voor bekende bestandstypen verbergen
  • Klik Toepassen
Hernoem nu mbam-setup.exe naar mbam-setup.com

Dubbelklik op mbam-setup.com om de installatie te starten.
Volg de instructies op het scherm om de installatie te voltooien.
Als de installatie gereed is zal Malwarebytes' Anti-Malware vanzelf opstarten.
Klik hierna op het tabblad "Update" en vervolgens op "Controleer op updates"
Klik op het tabblad "scanner"
Kies de optie "snelle scan" en klik op "scannen"
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.


Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.


**Problemen bij het updaten van MBAM:**

Als u problemen heeft bij het updaten van Malwarebytes' Anti-Malware (MBAM) probeer dan één voor één de onderstaande opties om Malwarebytes' Anti-Malware (MBAM) te updaten.



--Optie 1--

[*] Internetconnectie is vereist of download het bestand via een andere computer en zet deze over door middel van b.v. een USB stick.
[*]Download mbam-rules.exe:
[*]Dubbelklik op mbam-rules.exe om de laatste updates te installeren.


--Optie 2--

Door middel van deze optie kopiëren we update (database) bestanden vanaf een andere computer waarvan de gebruikte versie van Malwarebytes' Anti-Malware wel up-to-date is.

[*] Kopieer het onderstaande bestand (rules.ref) van de computer met de up-to-date versie van MBAM en plaats deze b.v. op een USB stick.

[*] Windows 2000 - Windows XP: C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref

[*] Windows Vista - Windows 7: C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref
[*] Kopieer (rules.ref) van de up-to-date computer naar de computer die geen up-to-date versie van Malwarebytes' Anti-Malware heeft in de onderstaande map.

[*]Windows 2000 - Windows XP: C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware
[*]Windows Vista - Windows 7: C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware


**Problemen bij het uitvoeren van MBAM:**

Als u problemen heeft bij het starten van Malwarebytes' Anti-Malware (MBAM) probeer dan de onderstaande optie om Malwarebytes' Anti-Malware (MBAM) te starten.





--Optie 1. --
Download rkill via één van de onderstaande links naar het bureaublad.


[*] rkill (exe)
[*] rkill (com)
[*] rkill (scr)
[*] rkill (pif)


Dubbelklik op "rkill" om het te starten


Dit kan een beetje tijd in beslag nemen.

Indien er een melding komt dat rkill een infectie is kunt u dit negeren, het is namelijk een vals alarm.
Indien u problemen blijft houden qua meldingen download dan iExplorer.exe; een hernoemde rkill versie naar uw bureaublad en voer deze uit.


Let op!!! Herstart niet de computer na het gebruik van rkill.

 


--Optie 2.--

Als Malwarebytes' Anti-Malware is gestart voert u de onderstaande instructies om Malwarebytes' Anti-Malware te updaten.


[*] Klik op het tabblad "Update" en vervolgens op "Controleer op updates"
[*] Klik op het tabblad "scanner"
[*] Kies de optie "snelle scan" en klik op "scannen"
[*]Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
[*]Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
[*]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.


Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

woensdag 17 november 2010

Het doel van deze blog.

**Welkom op mijn anti malware blog.**

 Ik zal deze blog vanaf heden gebruiken om allen te informeren en waarschuwen voor malware. De malware makers worden steeds slimer en de malware zelf steeds moeilijker om te analyseren en te neutraliseren. Als malwarefightster en analyst wordt je hier elke dag opnieuw mee geconfronteerd. Met deze blog hoop ik ook anderen te helpen die geinfecteerd zijn geraakt.


Klink mooi allemaal maar laten we bij het begin beginnen.

* Wat is malware nu eigenlijk?
Heeft u last van popups, vervelende reclame, traagheid, internet sites die blokkeren, Windows update wilt niet werken, antivirus definities zijn niet bij te werken?
Dan is uw computer hoogstwaarschijnlijk geinfecteerd met malware.

Malware is een verzamelnaam voor kwaadaardige en/of schadelijke software. Het woord is een samenvoeging van het Engelse malicious software (kwaadwillende software).

Voorbeelden van malware:
* Adware; infecteert de computer met reclamesoftware, en zorgt doorgaans voor popups.
* Spyware; geeft gegevens van de gebruiker door aan derden.
* Virussen; infecteert bestanden en richt vaak schade aan.
* Wormen; verspreidt zich direct over het netwerk en richt vaak schade aan.
* Rootkits; software om een cracker toegang te geven tot een computer.
* Bootkits;  infecteert de boot sector op een harde schijf of diskette.
* Trojan Horse; (Trojaans paard) - doet zich voor als iets anders dan het daadwerkelijk is en richt dan schade aan of functioneert als spyware.

Ook kom tegenwoordig veel malware tegen die hybride zijn; de functies zijn dan gecombineerd.

Op mijn blog komen met de tijd verschillende behandelmethoden om infecties te verwijderen.
Zelf proberen is natuurlijk prima maar ga a.u.b. niet zelfstandig aan de slag met programma's als ComboFix. Helaas komt dit nog veel voor en zie je dat veel mensen na verkeerd gebruik blijven zitten met een corrupte Windows installatie of een computer wat niet meer opnieuw op wilt starten. Wanneer dit gebeurd is het voor ons ook moeilijk te achterhalen wat er gebeurd is en het bemoeilijkt onze hulpverlening doordat we geen overzicht hebben van wat er allemaal al wel en niet gedaan is. Als je door een specialist geholpen wordt is het ook aan te raden verder geen andere acties te ondernemen en andere programma's te downloaden en te proberen die je niet opgegeven hebt gekregen.

Blijf je na de basis schoonmaak problemen houden kan je op de volgende forums om hulp vragen en terrecht met een HijackThis en/of DDS.txt log.

Nederlands/Belgisch:
# HijackThis.nl: http://www.hijackthis.nl/forum/index.php
# Manitica.be: http://www.minatica.be/forum.php
# Nucia.eu: http://www.nucia.eu/forum/index.php
# Mivercon Security Forum (ook voor Engels talige support): http://www.mivercon.be/forum/
# PcWebPlus: http://www.pcwebplus.nl/phpbb/

Engels:
# BleepingComputer: http://www.bleepingcomputer.com/forums/index.php?
# GeeksToGo: http://www.geekstogo.com/forum/
# MajorGeeks: http://forums.majorgeeks.com/index.php
# SWI: http://www.spywareinfoforum.com/index.php?act=idx
# Malwarebytes forum: http://forums.malwarebytes.org/index.php?


Hierbij wens ik u veel succes bij het oplossen van uw malware probleem.
PS: Ik had mijn blog eerst op onderstaand adres: http://eveline-antimalware.blogspot.com/
Maar om de een of andere reden kan ik me daarop niet meer inloggen.

Eveline.