Wie kan me helpen tegen een Explorer.exe virus

quote:

Op maandag 4 juli 2005 17:33 schreef yvette1982 het volgende:
dankzij jullie tips is het gelukt om in de veilige modus op te starten.
Echter is het haast niet te geloven maar zelfs in de veilige modus kreeg ik steeds de foutmelding en werkt het allemaal voor geen meter.

Kijk ik niet van op. Ook in de veilige modus is explorer.exe een cruciaal proces en probeert Windows die op te starten. In werkelijkheid wordt dan nail.exe opgestart en dat merk je.

Maar kun je wel HijackThis starten in veilige modus?

http://www.kaspersky.com/scanforvirus

Doe me eens een plezier en scan je explorer.exe en wininet.dll eens.

Wat ook nog kan is KAV webscanner proberen, die is momenteel in RC status.
http://www.kaspersky.com/beta?product=161744315

Ik zou bij de opties de extended bases aanzetten en het scannen van mailarchives uitzetten.

er is wel een methode om een programma te starten nog voordat Windows echt start, maar dat is een hele sneaky truuk. Je moet dan in het register gaan rommellen en ipv. Checkdisk HijackThis starten. Geen idee of het werkt, maar het is te proberen.

quote:

Op maandag 4 juli 2005 18:01 schreef Schouw het volgende:
Doe me eens een plezier en scan je explorer.exe en wininet.dll eens.

Ben bang dat in explorer.exe geen virus gevonden wordt, dit kan gerust de standaard explorer zijn. Probleem is dat alle verzoeken aan explorer.exe naar nail.exe worden gestuurd door de vermelding in de registry.

Niet helemaal.

Als Explorer gestart wordt bij het opstarten moet Explorer Nail.exe starten.

Download deze bestanden eens:
http://securityresponse.symantec.com/avcenter/FixBinet.exe
en
http://www.noidea.us/easyfile/file.php?download=20050515010747824

Start dan op in de veilige modus (start, uitvoeren, msconfig, boot.ini, safeboot) en laat FixBinet.exe scannen. Pak dan de nailfix.zip uit en start nailfix.cmd.
Nu weer in de gewone modus opstarten en kijken of het geholpen heeft.

Succes

quote:

Op maandag 4 juli 2005 18:22 schreef foo-fighter het volgende:
Download deze bestanden eens:
http://securityresponse.symantec.com/avcenter/FixBinet.exe
en
http://www.noidea.us/easyfile/file.php?download=20050515010747824

Start dan op in de veilige modus (start, uitvoeren, msconfig, boot.ini, safeboot) en laat FixBinet.exe scannen. Pak dan de nailfix.zip uit en start nailfix.cmd.
Nu weer in de gewone modus opstarten en kijken of het geholpen heeft.

Succes

Lijkt me idd beter, nu je wél in veilige modus kunt komen, eerst dit soort removal tools er op los te laten, vóórdat je Windows helemaal opnieuw gaat installen.

Werkt deze niet, google dan even met nail.exe en je zult nog veel meer fixes vinden.

Succes

C:\Windows\System32

quote:

Op maandag 4 juli 2005 19:47 schreef yvette1982 het volgende:

[..]

zal ik doen.
Als ik moet bladeren in mijn bestanden waar zal ik die explorer.exe en wininet.ddl dan vinden?

c:\windows\explorer.exe
c:\windows\system32\wininet.dll

Als het goed is kun je die locaties ook gewoonweg ingeven.

Maar als je die webscan gaat doen is dit niet nodig, sla het report aub op, dat kan mogelijk nog helpen.

Heb je deze nu al geprobeerd?
http://securityresponse.symantec.com/avcenter/FixBinet.exe
Als veilige modus niet lekker werkt kan je ook de normale gebruiken..

quote:

Op dinsdag 5 juli 2005 14:41 schreef foo-fighter het volgende:
Heb je deze nu al geprobeerd?
http://securityresponse.symantec.com/avcenter/FixBinet.exe
Als veilige modus niet lekker werkt kan je ook de normale gebruiken..

Als ze op Symantec kan komen...

daar had ze eerder problemen mee dat ze niet op symantec.com kon ofzo.

quote:

Op dinsdag 5 juli 2005 14:23 schreef yvette1982 het volgende:

[..]

gedaan en het is clean.

Je hebt je hele pc gescand met extended bases en alles is clean? Moeilijk te geloven.

quote:

Op dinsdag 5 juli 2005 15:12 schreef yvette1982 het volgende:

[..]

nee alleen die 2 bestandjes explorer. exe en het dll bestandje.

wat is je probleem op dit moment? en na het scannen en rebooten is er niks veranderd?

quote:

Op dinsdag 5 juli 2005 15:17 schreef yvette1982 het volgende:
alles is nog hetzelfde.
En ik heb besloten niks meer te proberen maar gewoon te formateren en windows opnieuw te installeren.

En dan naast je virusscanner en firewall een goede antispyware erop te zetten (Microsoft AntiSpyware, werkt op je XP en blijft op de achtergrond checken).

Ook nu weer: succes!

quote:

Op dinsdag 5 juli 2005 16:35 schreef r_one het volgende:

[..]

En dan naast je virusscanner en firewall een goede antispyware erop te zetten (Microsoft AntiSpyware, werkt op je XP en blijft op de achtergrond checken).

Bij een goede AV is een anti-spyware tool alleen nog maar redundant.

De AV vangt de Exploit en/of Trojan al die de adware moet installeren.
Daarnaast detecteert de AV natuurlijk ook de adware.

En een anti-spyware app kan geen files disinfecten, noch ook maar enigzins in de buurt komen van de responsetijd die een AV heeft.

quote:

Op dinsdag 5 juli 2005 16:47 schreef Schouw het volgende:

[..]

Bij een goede AV is een anti-spyware tool alleen nog maar redundant.

De AV vangt de Exploit en/of Trojan al die de adware moet installeren.
Daarnaast detecteert de AV natuurlijk ook de adware.

En een anti-spyware app kan geen files disinfecten, noch ook maar enigzins in de buurt komen van de responsetijd die een AV heeft.

meen je dat? ik dacht dat de combinatie die "r_one" noemde juist ideaal is.

quote:

Op dinsdag 5 juli 2005 16:47 schreef Schouw het volgende:

[..]

Bij een goede AV is een anti-spyware tool alleen nog maar redundant.

De AV vangt de Exploit en/of Trojan al die de adware moet installeren.
Daarnaast detecteert de AV natuurlijk ook de adware.

En toch is TS geïnfecteerd. AV alleen is voor mij niet zalig makend, Adware/Spyware glipt me te vaak door mijn AV maar wordt wel afgevangen door MSAS. Liever wat redundantie dan voor mij.

Verder doet een AV volgens mij geen zak met browser hijackers, tracking cookies en meer van die spy-/ad-/malware bagger. Alleen exploits, trojans, worms en andere virussen.

quote:

En een anti-spyware app kan geen files disinfecten,

Dan ben je dus al te laat imo. Realtime heeft mijn voorkeur. Buiten dat, Hitman Pro laat een batterij tools erop los die wél je systeem desinfecten, geen virussen uit exe's uiteraard.

quote:

noch ook maar enigzins in de buurt komen van de responsetijd die een AV heeft.

Symantec AV Virus Definitions File: 6/29/2005 rev. 8
Spyware defintions MSAS: juli 4, 2005 at 21:30:10

[ Bericht 11% gewijzigd door r_one op 05-07-2005 17:21:31 ]

quote:

Op dinsdag 5 juli 2005 16:55 schreef SlimShady het volgende:

[..]

meen je dat? ik dacht dat de combinatie die "r_one" noemde juist ideaal is.

Het ligt nogal aan de gebruikte AV, maar ja, dit kan zeker waarheid zijn.

quote:

Op dinsdag 5 juli 2005 17:01 schreef r_one het volgende:

[..]

En toch is TS geïnfecteerd. AV alleen is voor mij niet zalig makend, Adware/Spyware glipt me te vaak door mijn AV maar wordt wel afgevangen door MSAS. Liever wat redundantie dan voor mij.

All AV are not created equal.

quote:

[..]

Dan ben je dus al te laat imo. Realtime heeft mijn voorkeur.

Goed punt, anti-spyware apps zijn niet gericht op het kunnen detecteren van virussen.
Het is niet meer dan wachten op polymorphics en metamorphics welke AdWare 'installeren'.

quote:

[..]

Symantec AV Virus Definitions File: 6/29/2005 rev. 8
Spyware defintions MSAS: juli 4, 2005 at 21:30:10

Zonder zo nodig te willen spammen.
Kaspersky Anti-Virus: uurlijkse virus en ad/spyware updates.
Beide sets bases nog geen 10 minuten geleden voor het laatst geüpdate.

Spammen voor KAV had je eerder al gedaan.
Vind je een firewall dan misschien ook redundant naast je KAV?

Zelf blijf ik zweren bij het complete pakket Antivirus + Firewall + MSAutoUpdate + Antispy + Internetten "met beleid".

quote:

Op dinsdag 5 juli 2005 17:33 schreef r_one het volgende:
Spammen voor KAV had je eerder al gedaan.

Spammen is iig niet mijn intentie, ook geen zin of tijd voor. Ik reply alleen in threads die interessant lijken te zijn.

quote:

Vind je een firewall dan misschien ook redundant naast je KAV?

Nee, maar die heeft dan ook een compleet andere taak.
Een AV behoort gewoon alle malware te kunnen detecteren, waaronder adware.

quote:

Zelf blijf ik zweren bij het complete pakket Antivirus + Firewall + MSAutoUpdate + Antispy + Internetten "met beleid".

Daar valt natuurlijk eigenlijk niets op aan te merken, hoewel je je kan afvragen of 'internetten met beleid' nog wel betekenis heeft met de vele hacks die plaatsvinden...

Ik heb hier McAfee Virusscan Enterprise 8.0, en dan Hitman Pro voor Spyware, Adware e.d. (nu we toch aan het spammen zijn)
Nooit problemen mee gehad.

quote:

Op dinsdag 5 juli 2005 17:47 schreef yvette1982 het volgende:
Als ik ga formateren raak ik dan ook mijn programma's zoals word en kazaa kwijt? Hoe kan ik makkelijk een aantal bestanden opslaan zodat niet alles verloren gaat?

Die zul je sowieso opnieuw moeten installeren. Zorg dat je je data veilig stelt en dat je de installatiebestanden hebt.

quote:

Op dinsdag 5 juli 2005 17:44 schreef Schouw het volgende:
Nee, maar die heeft dan ook een compleet andere taak.

Maar is in theorie overbodig behoren te zijn als andere maatregelen al exploits, virussen, malware afvangen en je systeem up-to-date is.

quote:

Een AV behoort gewoon alle malware te kunnen detecteren, waaronder adware.

De praktijk is vaak anders, vandaar bij mij het meer dedicated antispyware

quote:

Daar valt natuurlijk eigenlijk niets op aan te merken, hoewel je je kan afvragen of 'internetten met beleid' nog wel betekenis heeft met de vele hacks die plaatsvinden...

Hackers zoeken jou, met verkeerd surfen vind jij hackers. Twee verschillende richtingen.

quote:

Op dinsdag 5 juli 2005 17:56 schreef r_one het volgende:

[..]

Maar is in theorie overbodig behoren te zijn als andere maatregelen al exploits, virussen, malware afvangen en je systeem up-to-date is.

Wat als je apps gewoonweg geen inet toegang wil geven? Je netbios of VNC wel in je LAN maar niet in je WAN wil gebruiken? etc etc

quote:

[..]

De praktijk is vaak anders, vandaar bij mij het meer dedicated antispyware

Dat kan, maar ik ben niet van mening dat een anti-spyware app meerwaarde heeft tov. KAV.

quote:

[..]

Hackers zoeken jou, met verkeerd surfen vind jij hackers. Twee verschillende richtingen.

Nee, dat was mijn hele punt juist.
Lees http://www.viruslist.com/en/weblog?weblogid=166347489 maar eens.

quote:

Op dinsdag 5 juli 2005 18:04 schreef yvette1982 het volgende:

[..]

o jammer.
over welke data en installatiebestanden heb je het?

Data zijn je Word-bestanden en MP3'tjes b.v., eventueel instellingbestanden en (Word) sjablonen en zo.
Installatiebestanden staan op CD (Word) of misschien op je harddisk ergens (Kazaa) toen je het gedownload hebt.

Het heeft iig geen zin je map Program Files te backuppen met het idee die later zo weer terug te kunnen zetten.

quote:

Op dinsdag 5 juli 2005 18:07 schreef Schouw het volgende:
Wat als je apps gewoonweg geen inet toegang wil geven? Je netbios of VNC wel in je LAN maar niet in je WAN wil gebruiken? etc etc

How 'bout a router?

quote:

Lees http://www.viruslist.com/en/weblog?weblogid=166347489 maar eens.

Dit soort ongein blijf je altijd houden natuurlijk. Een groot deel van de HTK-users loopt troep echter op via onveilig surfen en P2P-en. Dat bedoel ik met beleid, dat de andere tools je geen gevoel van schijnveiligheid geven.

quote:

Op dinsdag 5 juli 2005 18:53 schreef r_one het volgende:

[..]

How 'bout a router?

Dat behoudt apps ervan een outbound connectie aan te gaan?
Zoals ik al zei, een firewall heeft een compleet andere taak dan een AV.
Als dit, als dat, tja dat is leuk maar daar koop je natuurlijk niets voor.

Trouwens, in je rijtje van security apps mis ik o.a. nog een anti-trojan.
Als je voor elke specifieke dreiging een apart programma wil draaien hoort die er natuurlijk ook bij.

quote:

Op dinsdag 5 juli 2005 19:15 schreef Schouw het volgende:
Dat behoudt apps ervan een outbound connectie aan te gaan?

Je had het ook over Netbios in je WAN/LAN, die poort gooi je toch op je router dicht, klaar.

quote:

Trouwens, in je rijtje van security apps mis ik o.a. nog een anti-trojan.
Als je voor elke specifieke dreiging een apart programma wil draaien hoort die er natuurlijk ook bij.

Ik hou me aanbevolen voor elk goed advies.

quote:

Op dinsdag 5 juli 2005 19:27 schreef yvette1982 het volgende:
Hoe en waar kan ik mijn databestanden het best en makkelijkste opslaan?

Branden op CD's of DVD's als het niet te veel is
Anders naar een 2e harddisk pompen of, als je 2 computers in een netwerkje hebt, op die 2e computer parkeren.

Om mij even te mengen in de Anti- virus, spyware, trojan discussie... ik heb een paar uitgangspunten:
- Geen ENKELE virusscanner detecteert ALLE virussen, en geen ENKELE Spyware-scanner vind ALLE spyware. Hoe up to date je definities ook zijn.
- Je PC goed beveiligen is gewoon lastig. Je PC waterdicht en schokbestendig maken is onmogelijk.

Veel virusscanners mikken op performance, wat ten kostte gaat van de kwaliteit van de scanner. Het grootste nadeel van virusscanners is dat de virusdefinities binnen een vastgelegd 'framework' moeten passen. Als een virusscanner eenmaal door heeft hoe het framework van die fabrikant in elkaar zit, kan hij een virus schrijven wat onmogelijk door die scanner gedetecteerd wordt. De fabriakant is dan genoodzaakt om het framework aan te passen of een aparte scanner de wereld in te sturen. (Symantec doet dit regelmatig).

En juist op DAT soort stugge scanners moet ik gaan vertrouwen? Helaas kun je sowieso niet zonder AV... maar programma's als AdAware en Spybot hebben voor mij al meer spyware gevonden en weggehaald dan Norton AV of McAfee. Simpelweg omdat ze een heel ander framework en detectie-mechanisme hebben.

Dan firewalls. Die rotzooi die bij XP-SP2 geleverd wordt is sowieso compleet bagger. Okay, het beschermd tegen inkomend verkeer, maar uitgaand heeft de vrije loop. En mensen die op hun router vertrouwen, hebben OF een hele dure router, OF weten niet waar ze het over hebben. @r_one: Heb jij bijvoorbeeld poort 6667 naar buiten toe geblokkeerd? De meeste routers bieden een *klein* beetje bescherming tegen inkomend verkeer, doordat ze NAT toepassen. Maar van binnenuit kun je meestal probleemloos overal komen op elke willekeurige poort, TCP of UDP.

Een softwarematige firewall is wat dat aan gaat een betere oplossing, mits deze goed geconfigureerd is. Maar met de meeste consumenten-firewalls is het droevig gesteld. Een virus wat zich in Explorer.exe nestelt (om een beetje ontopic te blijven) krijgt bij NIS onbeperkt toegang. Onder het mom van: explorer.exe is een bekend en goedgekeurd programma waarvoor de toegangsregels (nagenoeg onbeperkt) al door Symantec zijn bepaald.

Dus alle software heeft zo zijn zwakke plek. (En dan heb ik het nog niet eens over de gebruikers, die na het zoveelste "mag dit programma toegang hebben tot bron X" op 'altijd toestaan' klikken). Om deze zwakke plekken op te vangen gebruik ik dus meerdere programma's naast elkaar, afhankelijk van hoe belangrijk die PC voor mij is. En ook in het netwerk heb ik het een en ander aan beveiligingen ingebakken.

Ik heb het als volgt geregeld:
== netwerk ==
Tussen mijn router en mijn netwerk zit een Linux-bakje met IP-Tables die alleen een aantal specifieke poorten toestaan. Daarnaast draait SQUID, die toegang verleent op poort 80 naar alle websites, muv. een aantal op de blacklist. Voor sommige bekende websites is poort 443 ook toegestaan. Al het overige verkeer naar exotische poorten vereist een wachtwoord waarom gevraagd wordt zodra je probeert om dit te bezoeken.
== 'speelpc' ==
Voorzien van NIS en AdAware Pro. Deze machine met enige regelmaat opnieuw voorzien van een schone image (Norton Ghost)
== 'experimenteer-pc' ==
Deze machine is NIET beveiligd, maar wordt bij elke keer dat hij opstart opgeschoond dmv. Norton GoBack en eens per maand krijgt hij een schone Ghost image.
== werklaptop ==
Hiermee kom ik bij de baas en de klanten over de vloer en in het netwerk. Deze zit dus zo dicht mogelijk. Dat wil zeggen 2 virusscanners (NIS en McAfee) waarvan er 1 continu actief is en de ander 's nachts een volledige scan draait. Ad-Aware Pro en Spybot worden regelmatig gedraaid en ook HijackThis ontbreekt niet. Verder staat de firewall van NIS zo ingesteld dat er *geen* automatische acties plaats vinden. SMB toegang (laptop->server) is alleen mogelijk als ik dat voor dat netwerk specifiek aangegeven heb. En vanaf het netwerk naar de laptop zit gewoon dicht. In NIS wordt de poort geblokkeerd en in Windows bestaan de Computerbrowser en Server-services niet. De browsers Firefox en IE en Outlook Express worden door NIS beschermd wordt tegen scripts, active-X e.d. Alleen van vooraf ingevoerde sites en afzenders wordt het toegestaan.

Wie de moeite heeft genomen om dit allemaal door te lezen zal misschien denken dat ik (vooral op de laptop) uitstekend beveiligd ben. Ik blijf alleen van mening dat als ze echt willen, ze dat ding toch kunnen besmetten. Ookal zijn er bij mij een aantal zaken redundant uitgevoerd.

Oh jah, nog zoiets leuks... ik probeerde laatst een programmatje uit waarmee ik bepaalde bestanden zou moeten kunnen versleutellen. Dat programmatje was van een bekende speler op de security-markt. Het had een mooie indicator die aangaf hoe veilig je wachtwoord was, wanneer je een moest bedenken. Dus ik begin te tikken, en die indicator die groeit en groeit, gaat van rood via geel naar groen terwijl het blijft groeien... en opeens wordt die weer rood! Alsof een wachtwoord van meer dan 256 tekens minder veilig is dan een van 255 tekens. Buffertje was blijkbaar over gelopen. Want 256 tekens later gebeurde hetzelfde.

Nu vraag ik je... een buffer-overflow in een gevestigd security-product.... het moet niet gekker worden.

quote:

Op dinsdag 5 juli 2005 20:40 schreef RiDo78 het volgende:
Om mij even te mengen in de Anti- virus, spyware, trojan discussie... ik heb een paar uitgangspunten:
- Geen ENKELE virusscanner detecteert ALLE virussen, en geen ENKELE Spyware-scanner vind ALLE spyware. Hoe up to date je definities ook zijn.
- Je PC goed beveiligen is gewoon lastig. Je PC waterdicht en schokbestendig maken is onmogelijk.

Eensch

quote:

Dan firewalls. Die rotzooi die bij XP-SP2 geleverd wordt is sowieso compleet bagger. Okay, het beschermd tegen inkomend verkeer, maar uitgaand heeft de vrije loop. En mensen die op hun router vertrouwen, hebben OF een hele dure router, OF weten niet waar ze het over hebben. @r_one: Heb jij bijvoorbeeld poort 6667 naar buiten toe geblokkeerd? De meeste routers bieden een *klein* beetje bescherming tegen inkomend verkeer, doordat ze NAT toepassen. Maar van binnenuit kun je meestal probleemloos overal komen op elke willekeurige poort, TCP of UDP.

NAT is leuk maar niet voldoende. Daarnaast kan ik In mijn router wel poorten dichtgooien via een whitelist, maar ook dat is me nog te tricky. Vandaar dat ik zelf ook wel een soft firewalls heb draaien. Ik was alleen benieuwd of aan Kapersky ook wonderen werden toegedicht.
En nee, 6667 heb ik niet dicht. Hoezo 6667 speciaal?

quote:

(En dan heb ik het nog niet eens over de gebruikers, die na het zoveelste "mag dit programma toegang hebben tot bron X" op 'altijd toestaan' klikken).

Dát bedoel ik nou ook met "Internetten met (wan)beleid"

quote:

Het grootste nadeel van virusscanners is dat de virusdefinities binnen een vastgelegd 'framework' moeten passen. Als een virusscanner eenmaal door heeft hoe het framework van die fabrikant in elkaar zit, kan hij een virus schrijven wat onmogelijk door die scanner gedetecteerd wordt.

Dat mag je eens wat specifieker uitleggen, want dit klinkt als BS namelijk.

quote:

Maar met de meeste consumenten-firewalls is het droevig gesteld. Een virus wat zich in Explorer.exe nestelt (om een beetje ontopic te blijven) krijgt bij NIS onbeperkt toegang.

Nestelen? Infecteren? Dll injection? Code injection?

quote:

Op dinsdag 5 juli 2005 19:37 schreef r_one het volgende:

[..]

Branden op CD's of DVD's als het niet te veel is
Anders naar een 2e harddisk pompen of, als je 2 computers in een netwerkje hebt, op die 2e computer parkeren.

Ik dacht dat het veel gemakkelijker zou zijn, maar nu je begint over pompen en parkeren snap ik er niks meer van.

quote:

Op dinsdag 5 juli 2005 21:09 schreef classpc het volgende:

[..]

Ik dacht dat het veel gemakkelijker zou zijn, maar nu je begint over pompen en parkeren snap ik er niks meer van.

Is 't ook.
_Kopiëren

quote:

Op dinsdag 5 juli 2005 20:40 schreef RiDo78 het volgende:
Ik heb het als volgt geregeld:

Netjes gedaan.. alhoewel ik het wel lichtelijk overdreven vind .
Ik heb alles simpel beveiligd (kav, windows firewall, router + firewall, en ms antispyware)... nooit problemen mits je met een beetje gezond verstand rondsurft. Daarnaast zorg ik voor een wekelijkse backup van mijn bestanden onder het mom van "just in case" .

quote:

Op dinsdag 5 juli 2005 20:44 schreef RiDo78 het volgende:
Oh jah, nog zoiets leuks... ik probeerde laatst een programmatje uit waarmee ik bepaalde bestanden zou moeten kunnen versleutellen. Dat programmatje was van een bekende speler op de security-markt. Het had een mooie indicator die aangaf hoe veilig je wachtwoord was, wanneer je een moest bedenken. Dus ik begin te tikken, en die indicator die groeit en groeit, gaat van rood via geel naar groen terwijl het blijft groeien... en opeens wordt die weer rood! Alsof een wachtwoord van meer dan 256 tekens minder veilig is dan een van 255 tekens. Buffertje was blijkbaar over gelopen. Want 256 tekens later gebeurde hetzelfde.

Nu vraag ik je... een buffer-overflow in een gevestigd security-product.... het moet niet gekker worden.

Slecht programmeerwerk achter een goede naam verstoppen . Ik vind dit soort programma's trouwens ook niet echt geschikt voor de huis-tuin-en keuken consument.. alhoewel reclames je vaak anders doen willen geloven .

(erg offtopic bezig is hier )

quote:

Op dinsdag 5 juli 2005 21:07 schreef Schouw het volgende:
Dat mag je eens wat specifieker uitleggen, want dit klinkt als BS namelijk.

Dit was iets wat ik in een security-column opgepikt had. Waar het in het kort op neer kwam was dat om de snelheid in de scanner te houden, er meestal een soort framework opgezet is waar developers de definities in moeten gieten. Zo is het mogelijk dat een complex virus niet in die definites te passen valt en er kunstgrepen toegepast moesten worden. Een voorbeeld wat gegeven werd was Norton Internet Security die in het begin moeite had met de eerste Blaster-varianten. Symantec bracht daar een separate scanner voor uit omdat de NAV engine niet in staat was om Blaster op te sporen.

quote:

Nestelen? Infecteren? Dll injection? Code injection?

Hoe je het ook wilt noemen, of welke methode je ook wilt toepassen... het was in de brede zin van het woord bedoeld. Of dat nu is door het appenden (en misschien comprimeren) van code en het invoegen van een JMP instructie in een van de eerste codeblocks, of dat je het hele bestand vervangt en de vervanger het origineel aan laat roepen of een nog andere manier verzint... maakt niet uit.

quote:

Op dinsdag 5 juli 2005 21:04 schreef r_one het volgende:
En nee, 6667 heb ik niet dicht. Hoezo 6667 speciaal?

Ach er zijn wel meer poorten die je dicht zou kunnen zetten, maar van een aantal wormen is bekend dat ze verbinding maken met de IRC-netwerken en daar in een verborgen en met wachtwoord beveiligde chatroom om daar te wachtten op commando's van de auteur of eigenaar van de worm. Zo kunnen DDoS attacks geïnitieerd worden.

De IRC netwerken zijn doorgaans te bereiken over poort 6667, maar meestal is de reeks 6667-7000 in gebruik.

quote:

Op woensdag 6 juli 2005 09:20 schreef RiDo78 het volgende:

[..]

Een voorbeeld wat gegeven werd was Norton Internet Security die in het begin moeite had met de eerste Blaster-varianten. Symantec bracht daar een separate scanner voor uit omdat de NAV engine niet in staat was om Blaster op te sporen.

Right, ik geloof er geen snars van.
Blaster/Lovesan kan desnoods gedetecteerd worden met een MD5, so to speak, niets anders als een hoop static code. Ik kan me niet indenken dat er ook maar één scanner is geweest die moeite had ermee. Slammer zou al een ander geval zijn geweest, net zoals een metamorphic of EPO malware.

quote:

[..]

Hoe je het ook wilt noemen, of welke methode je ook wilt toepassen... het was in de brede zin van het woord bedoeld. Of dat nu is door het appenden (en misschien comprimeren) van code en het invoegen van een JMP instructie in een van de eerste codeblocks, of dat je het hele bestand vervangt en de vervanger het origineel aan laat roepen of een nog andere manier verzint... maakt niet uit.

Ik geloof dat NPF sinds de 2003 versie or so al dll injection kan detecteren, net zoals de grote meerderheid van de andere firewalls.
Code injection wordt ook door een aardig rijtje FWs gedetecteerd.

Jammer dat ik dat artikel niet meer terug kan vinden.

Feit blijft dat ik niet veel vertrouwen heb in de gemiddelde virusscanner. Daarvoor zijn er teveel virussen 'doorheen' geglipt.

quote:

Op woensdag 6 juli 2005 09:59 schreef RiDo78 het volgende:
Jammer dat ik dat artikel niet meer terug kan vinden.

En dan nog zou ik het niet geloven totdat ik het van een analyst of engineer van Symantec zou horen.

Volgende keer moet ik het toch eens vragen.

quote:

Op woensdag 6 juli 2005 10:04 schreef Schouw het volgende:

[..]

En dan nog zou ik het niet geloven totdat ik het van een analyst of engineer van Symantec zou horen.

Volgende keer moet ik het toch eens vragen.

---> GOT

quote:

Op woensdag 6 juli 2005 10:16 schreef r_one het volgende:

[..]

---> GOT

Als je GoT bedoeld, daar zit geen analyst/engineer van Symantec? Iig niemand die zich zo kenbaar heeft gemaakt.

@RiDo78
Je Usericon heeft problemen

quote:

Op woensdag 6 juli 2005 10:27 schreef Schouw het volgende:

[..]


Als je GoT bedoeld, daar zit geen analyst/engineer van Symantec? Iig niemand die zich zo kenbaar heeft gemaakt.

GoT ja, dit gaat aardig offtopic, hier is TS niet mee geholpen.

quote:

Nu doet mijn pc ook wel heel gek want mijn 2 vensters internet doen het prima en vlot zonder foutmeldingen. Maar verder is mijn hele computer blank. En kom ik ook niet meer in start, zijn er geen pictogrammen, als ik op knopje windows druk gebeurt er ook niks.

Dit betekent dat er nog steeds iets mis is met je Explorer.exe. Ik denk dat het dan toch het beste is om opnieuw te (laten) installeren.

quote:

Op woensdag 6 juli 2005 11:47 schreef yvette1982 het volgende:
c:msprss32.exe
Fout er is al een extended memory geinstalleerd.
En in het zwarte scherm stond: bestandsnaam onjuist

Trojan

quote:

Op woensdag 6 juli 2005 10:44 schreef r_one het volgende:

[..]

GoT ja

Daar loopt er maar eentje rond, iig eentje die daadwerkelijk op dat gebied post, en ik werk niet voor Symantec.

quote:

Op woensdag 6 juli 2005 11:47 schreef yvette1982 het volgende:
Nu doet mijn pc ook wel heel gek want mijn 2 vensters internet doen het prima en vlot zonder foutmeldingen. Maar verder is mijn hele computer blank. En kom ik ook niet meer in start, zijn er geen pictogrammen, als ik op knopje windows druk gebeurt er ook niks.

Heb je nog bestanden verwijderd sinds de laatste keer?
Dat zou dit gedrag kunnen verklaren.

Maar het wordt hoe langer hoe hopelozer, zorg er dus voor dat je je data kan backuppen en daarna formatteren.

quote:

Op woensdag 6 juli 2005 12:23 schreef Schouw het volgende:
Daar loopt er maar eentje rond, iig eentje die daadwerkelijk op dat gebied post, en ik werk niet voor Symantec.

Stoer

quote:

Op woensdag 6 juli 2005 10:42 schreef r_one het volgende:
@RiDo78
Je Usericon heeft problemen

Niet alleen mijn usericoon. M'n hele homepage is op dit moment down. Moet straks maar even de provider bellen. Tnx anyway.

quote:

Op zondag 3 juli 2005 23:41 schreef heijx het volgende:

[..]

Systeemherstel:

Windows normaal laten opstarten.
Dan menu Start openen en naar Help en Ondersteuning.
Vijfde groene pijltje kiezen: Veranderingen ongedaan maken met Systeemherstel (Ik vertaal het Engels, het kan iets anders heten in het Nederlands)
Dan kies je de eerste optie, naar een eerdere datum herstellen
Daarna kies je een datum waarvan je weet dat je systeem nog goed was. Alleen vetgedrukte data hebben een restore punt dacht ik, de andere kan je niet kiezen.

Helpt dat niet, dan kan je alsnog windows herinstalleren.

Hey
Wat ik me nu afvraag is of bestanden zoals Adobe Photoshop ook worden verwijderd als je gebruik maakt van 'n herstelpunt..
Want ik heb ook dit probleem met explorer.exe de laatste dagen..
Normaal neemt explorer.exe bij mij nauwelijks geheugen in beslag, terwijl dat programma nu zowat de helft van me geheugen inneemt, en vaak ook nog 's vastloopt

Verder vroeg ik me af of de topicstarter ook last heeft van een foutmelding van windows, wanneer je de pc opstart (WINDOWS - Geen schijf)
Dit gebeurt mij dus wel, en sinds ik dit heb doet explorer.exe raar.

Als IEMAND weet wat 't probleem is, a little help would be appreciated!!

Groetjsssss