Gisteren belde een kennis op dat al haar bestanden weg waren en dat de PC constant meldingen gaf van disk foutmeldingen. In eerste instantie dacht ik nog aan een echt probleem met de harddisk totdat ze aangaf “En hier staat dat ik het nu kan kopen” – Wacht even, de standaard detectie voor problemen met een harddisk in Windows heeft geen “Buy now” button!
Kwestie van hijackware? Absoluut!
Deze malware was geïnstalleerd doordat er een popup scherm had aangegeven dat er problemen waren met de PC. Maar met de installatie die daarna start beginnen de problemen pas.
Dan komen er foutmeldingen als deze naar voren:
PC Performance & Stability Analysis report: Errors detected! Defragmentation is required.
System Error! Exe file is corrupted and can’t be run. Hard drive scan required
Critical Error RAM memory usage is critically high. RAM memory failure.
Windows – No Disk Exception processing Message 0x0000013 Parameters
0x000007FEFE032740
Windows – Delayed Write Filed (Note: Not Failed!)
Windows was unable to save all the data for the file \System32\496A8300. The data has been lost. This error may be caused by a failure of your computer hardware.
Het goede nieuws: Dit alles is NEP. Er zijn geen problemen met de harddisk, geheugen of processen. Dit is enkel een manier om de gebruiker in paniek het bedrag te laten betalen voor de malware en dat noemen we een Hijack.
Vanochtend heb ik het EXE bestand opgestuurd naar Microsoft Spynet en zojuist al de bevestiging dat de laatste anti-malware definities herkennen nu ook dit bestand. Om het programma te verwijderen werk je dus je antivirus definities bij en scan je de computer. Experts kunnen met Autoruns van Sysinternals de verwijzingen naar de bestanden in %TEMP% of de Userdata map zonder een geldige signature verwijderen.
Het slechte nieuws is dat het programma alle gebruikers bestanden en data als “verborgen” bestanden heeft gemarkeerd. Standaard staat in Windows uit dat je deze bestanden weergeeft.
Klik op Start | Computer.
Druk 1x op de ALT knop op het toetsenbord. De menu balk verschijnt nu bovenin en kies hier voor Extra | Mapopties:
Vink hier “Beveiligde besturingssysteembestanden verbergen” uit:
We scrollen dan wat naar beneden en kiezen daar onder “Verborgen bestanden en mappen” voor de opties dat deze ook worden weergegeven.
De mappen zijn nu weer zichtbaar maar lijken wat doorzichtig:
Klik met de rechtermuisknop op de map(pen) en kies voor Eigenschappen.
Hier moet je het vinktekentje bij verborgen weghalen. Doe dit voor alle bestanden en mappen die je graag wilt zien op de PC (Dus ook op de Desktop, Foto’s, muziek,etc) en zet daarna de opties om systeembestanden en verborgen bestanden niet weer te geven weer aan.
Overigens was in mijn geval was ook de Volume Shadow Service uitgeschakeld en Systeem Herstel uitgezet, de achtergrond van het bureaublad veranderd in een zwarte achtergrond en Aero Glass uitgezet.
18/4 Update: De informatie is nu ook opgenomen in de Microsoft Malware Protection Center (MMPC): Link
Stay in touch? Wil je op de hoogte worden gehouden van de laatste ontwikkelingen schrijf je dan in voor onze gratis nieuwsbrief, volg mij op Twitter (of TechNet) en neem gratis een abonnement op het TechNet Magazine!
Naar aanleiding van de presentaties die Daniel en ik hadden gedaan op de Springboard tour afgelopen jaar in Europa heeft Stephen Rose ons uitgenodigd om te spreken op de Canada-USA editie van de tour! Helaas voor Daniel vallen de data echter samen met een belangrijke persoonlijke happening…
De tour dates zijn als volgt:
2 Mei – Toronto, Canada
4 Mei – Detroit, Michigan
6 Mei – Chicago, Illinois
9 Mei – Indianapolis, IN
11 Mei – Dallas, TX
13 Mei – Columbus, OH
- en dan naar Atlanta voor de presentaties op TechEd US!
Voor meer information over de sessies en de collega’s op de tour kun je hier kijken http://www.springboardseriestour.com
Stephen heeft ook al een gave introductie video op de Windows Team blog gezet als introductie. Grappig om te zien hoe ze de foto en videobeelden die ik hier op zolder heb opgenomen hebben gemixt met de content die ze in de US hebben opgenomen. Erg cool, ik heb er zin in!
Helaas zal er geen TechEd Europe zijn dit jaar. Het team uit de US wat TechEd Europe sinds vorig jaar managed heeft het verschoven naar de zomer van 2012 zodat het beter aansluit op het TechEd evenement in de US. Voor 2012 betekent dat TechEd 2012 North America op 11 tot 14 juni 2012 in Orlando zal zijn en dat aansluitend op 25-29 juni TechEd Europe is in de Rai te Amsterdam.
Vanuit het TechNet team Nederland organiseren wij natuurlijk nog het TechNet_Live evement op 26-27 april 2011 waar we vele (inter)nationalie topsprekers voor invliegen. Je kunt je nog registeren voor dit evenement via de website www.techdays.nl. Daar staat ook de complete agenda nu van alle sprekers en hun sessies. Samen met Daniel en Erwin Hartenberg werken we op dit moment aan de keynote presentatie en demonstraties. Het wordt zeker een spectaculair evenement, dus hopelijk zie ik je daar!
Mocht je nog naar TechEd US 2011 in Atlanta willen (16 tot 19 mei) wordt er tot 15 april 2011 $200 korting gegeven. Deze korting krijg je door de promotie code ATGNEURO op te geven bij de registratie. Ik zal zelf ook voor het eerst op TechEd US zijn dus ik ben erg benieuwd.
We zijn uiteraard benieuwd naar uw mening dus gebruik zeker de feedback optie hieronder.
Tx,
Stay in touch? Wil je op de hoogte worden gehouden van de laatste ontwikkelingen schrijf je dan in voor onze gratis nieuwsbrief, volg mij op Twitter (of TechNet) en neem gratis een abonnement op het TechNet Magazine!