Hai Cantalibre,

Bedankt voor de melding.
Ik krijg vrijwel hetzelfde resultaat, enkel de wmplayer.exe sleutel wordt in mijn geval niet door MBAM gedetecteerd als "Security.Hijack".

Het zal niet gerelateerd zijn aan .NET Framework 4, want dat had ik al veel langer op mijn systeem zonder melding door MBAM. Ook na een recente update/upgrade naar .NET Framework 4.5 signaleerde MBAM niks. (N.B. de update/upgrade van .NET Framework 4 naar 4.5 is geen essentiële of security update. .NET Framework 4.5 is slechts een nieuwere uitgebreidere opvolger van versie 4.)

Het zal hoogstwaarschijnlijk een false positive zijn in reactie op EMET 4.0 final.
Blijkbaar doet die iets waar MBAM van opkijkt en 'schrikt'. Waarschijnlijk heeft Malwarebytes onvoldoende de gelegenheid gehad rekening te houden met EMET 4.0 final, óf het is een blunder van Malwarebytes.

Op het Malwarebytes forum
http://forums.malwarebytes.org/
zie ik er echter nog geen melding van
en ook vind ik bij webzoeken nog geen vermeldingen van het betreffende fenomeen.

Had ik nu wat ruimer de tijd, dan meldde ik het gelijk op het Malwarebytes forum
http://forums.malwarebytes.org/index.php?showforum=42
maar ik heb nu beperkt tijd, en ik zou eerst nog een Malwarebytes account moeten aanmaken,
dus een ander moet maar even melden, zoals jij, Cantalibre, of het moet wachten.
Wacht je af, dan zal er overigens een goeie kans zijn dat een ander dit binnenkort aankaart bij Malwarebytes en dat de false positive verdwijnt.

Cantalibre,

Het is niet meer nodig te posten op het Malwarebytes forum.
Ik heb dat zonet al even gedaan.
Ik ben er momenteel nog mee bezig.
Ik zal straks hier uitgebreider reageren.

Je hoeft je, zoals Spiff al schrijft, geen zorgen te maken.
Ik heb op dit moment helaas niet de gelegenheid om dit zelf te testen en zonder de inhoud van jullie register-sleutels is het onmogelijk om exact te zeggen waar deze meldingen vandaan komen, maar waarschijnlijk heeft EMET een 'hook' geplaatst bij de genoemde executionables. Het kan ook het gevolg zijn van een specifieke, handmatige configuratie-instelling in EMET ("deep hooks" bijvoorbeeld?).

Zodra je een van de genoemde programma's start, zorgt de register-sleutel bij die executionable in >>>HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<<< er voor dat EMET óók (iets) start. Dit is dus goed in het geval van EMET, maar kan natuurlijk wel een false positive (flag) veroorzaken.

Zoals Spiff al meldt is het uitgesloten dat het aan het .NET Framework ligt.
Let op: Na het installeren van .Net Framework 4.0 zijn er misschien nieuwe updates beschikbaar via MS-Update !!!
De optionele updates zijn niet nodig in jouw geval; de eerdere versies + bijbehorende SP's (.NET 1.0 t/m 3.5) ook niet.

Een melding maken bij MBAM is altijd netjes, zeker omdat het voort zou kunnen komen uit een handmatige instelling in EMET. Exporteer dan wel even de bewuste register-sleutels en vermeld deze in je post anders wordt het voor MBAM ook erg lastig om de exacte oorzaak te bepalen.

Whoops, die had ik even gemist...

Waarschijnlijk heeft systeemherstel geen nut nu.
Als eerste zou ik even onder het tabje logs in MBAM kijken of je de bewuste register-keys kunt terugvinden. Is dit niet het geval meer, of ben je niet op je gemak om met regedit zelf wijziging in het register aan te brengen zou ik het volgende doen:

1] De-installeer EMET
2] De-installeer Chrome
3] Installeer Chrome opnieuw
4] Installeer EMET opnieuw
5] Scan met MBAM en plaats de register-flags onder ignore / false positive.

Of geef MBAM de schuld op hun forum natuurlijk, maar dan moet je waarschijnlijk wat langer wachten op een fix :]

Dubbel post.

Hum.. nee, dat was niet zo'n goed advies van die kennis.
En heb je niet door MBAM in quarantaine laten plaatsen, maar gekozen voor verwijderen?
Een in quarantaine gezet item kun je gemakkelijk herstellen.
Heb je een item verwijderd, dan is het een andere zaak.
Ik hoop dat je het kunt oplossen door middel van het advies dat AdHd inmiddels heeft gegeven.


Inmiddels heb ik gepost op Malwarebytes forums.
Zie
"Probably EMET 4.0 related MBAM false positives":
http://forums.malwarebytes.org/index.php?showtopic=127984

Antwoord van Malwarebytes forum administrator/ Product Manager:
Ik heb daar nog op gereageerd met onder meer:

Deep Hooks inderdaad aangevinkt in EMET,
en hetzelfde heeft Cantalibre gedaan, lees ik:

Dat toepassen van Deep Hooks is inderdaad nieuw in EMET 4.0.
Wel was het al aanwezig in EMET 4.0 Beta, en daar had MBAM opvallend genoeg nog geen moeite mee.

Malwarebytes heeft me inmiddels verzocht om de betreffende registersleutels te exporteren en toe te sturen, zodat MBAM daar in het vervolg rekening mee kan houden en in principe geen false positives meer hoeft te geven.
Ik heb die geëxporteerde sleutels inmiddels via het forum aangereikt aan Malwarebytes.

Een uitzondering is de sleutel
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmplayer.exe
Die is bij mij opvallend genoeg niet aanwezig, dus die kon ik niet aan Malwarebytes aanreiken.

Het zou wellicht nuttig zijn wanneer iemand anders die betreffende sleutel nog zou kunnen exporteren en (gezipt) aan Malwarebytes zou kunnen aanleveren.

Marwarebytes gaf een link waarin duidelijk getoond wordt hoe je een registersleutel kunt exporteren:
http://support.kaspersky.com/common/service.aspx?el=7507
Zie onder How to export registry sections.
Vervolgens moet nog gecomprimeerd worden naar zip.

Echter:
Advies aan wie wat chaotisch kan zijn: blijf dan veiligheidshalve liever weg uit het register !!

Merkwaardig.
EMET 3.0 zou volgens de EMET 4.0 informatie automatisch gedeïnstalleerd worden bij het installeren van EMET 4.0.

De rest van de vragen / onduidelijkheden laat ik héél even in het midden nu, het belangrijkste is dat je weer een zo goed mogelijk systeem krijgt.
-Het is inderdaad verstandig om zowel EMET 3.0 als 4.0 te verwijderen om verdere foutjes te voorkomen, maar als het goed is heeft 4.0 er al voor gezorgd dat 3.0 er af is. Kun je 3.0 nog starten / terugvinden?
-Indien gewenst kun je het huidige configuratie-profiel even opslaan via EMET voor je het er af gooit om het installeren van EMET wat makkelijker te maken voor jezelf.
-Bij mijn weten heeft EMET 3.0 géén toegevoegde waarde t.o.v. 4.0, je hoeft deze dus ook niet opnieuw te installeren.

Het feit dat je met MBAM (en wellicht in het verleden met CCleaner bijvoorbeeld) wijzigingen in het register hebt aangebracht kan ervoor zorgen dat EMET niet helemaal meer naar behoren werkt. Daarom zou ik het er even volledig afgooien en het systeem opnieuw opstarten voordat je Chrome en EMET 4.0 weer installeert.
De keys die je abusievelijk verwijderd hebt met MBAM zouden verder geen invloed mogen hebben op de genoemde programma's. Het feit dat Chrome niet meer werkt kan komen doordat de key die je hebt verwijderd informatie bevat over het al dan niet inschakelen van SEHOP voor Chrome.

Edit: typo

Aanvullend op de reactie van AdHd van 16:28 uur,

Cantalibre schreef,
Uiteraard doe je dat niet via het register.
Bedoelde je dat?
Voor alle duidelijkheid:

Je deïnstalleert EMET via Configuratiescherm\ Een programma verwijderen.
Zouden zowel EMET 4.0 als ook nog EMET 3.0 zijn geïnstalleerd, verwijder dan achtereenvolgens EMET 4.0 en daarna 3.0.

Verder heeft AdHd alles al aangegeven.

Dat heb ik gelezen ja, vandaar mijn opmerking. Een prima advies hoor, maar het kan dus wel invloed uitoefenen op AV's.

Zoals Spiff ook al meldt, is het niet verstandig om zonder voorbereiding en kennis het register in te duiken. Het linkje van Spiff is verder een prima handleiding.

Ik zou ALLE log-files behouden in CCleaner, ze nemen maar weinig plek in, kosten geen snelheid (enkel de services, maar die wijzig je niet met CCleaner), en zijn erg handig als er een onregelmatigheid optreedt in het systeem.

Daar zijn de meningen over verdeeld. Mijn mening is dat beide browsers, mits gebruik makend van wat plug-ins en vooral een klein beetje gezond verstand, veilig zijn. Daarnaast vind ik dat Chrome gewoon zou moeten werken op je systeem, puur uit principe. Je bent admin of je bent het niet :p

Daar ben ik het niet mee eens. Niet alleen staan er al wat eigenaardigheden m.b.t EMET (MBAM) en de oplossingen daarvoor in dit topic, maar meerdere forum-topics over één onderwerp is nóg minder overzichtelijk in mijn ervaring.

Ik moest Freemake even nazoeken, en de laatste versie draait inderdaad over . Net Framework 4.0
Kun je daarom:
1] Even nakijken welke .NET Frameworks er zijn geïnstalleerd op je systeem? (Onder software)
2] Even nakijken welke versie je van Freemake draait?
Het zou namelijk zomaar kunnen dat je een verouderde versie draait die nog met een eerdere .NET Framework werkt.

We komen er wel aan uit met z'n tweetjes ;]

Malwarebytes is inmiddels al aan het werk met de betreffende false positives.
Het aantal detecties is inmiddels teruggebracht van acht naar twee.
Die laatste twee verdwijnen wellicht met de volgende database update.

Op dit moment worden deze nog getoond:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmplayer.exe (Security.Hijack)

Je kunt de ontwikkeling volgen op:
"Probably EMET 4.0 related MBAM false positives"
http://forums.malwarebytes.org/index.php?showtopic=127984

Na wat meer onderzoek naar een machine met Win7 met EMET 4.0 is het me duidelijk geworden dat EMET geen daadwerkelijke hooks plaatst in de IFEO-hive, maar juist blanks. Op het eerste gezicht een beetje vreemd, maar dit kan er wel voor zorgen dat malware geen hooks meer kan plaatsen bij de respectievelijke executionables, of dat wijzigingen gedetecteerd worden door bijvoorbeeld de eerder genoemde "deep-hooks-API" van EMET.

Het resultaat blijft echter hetzelfde, alle keys in de IFEO-hive zijn nu eenmaal verdacht.
Wel is het dan vreemd dat Google Chrome helemaal niet meer werkte na het verwijderen van de betreffende sleutel dmv MBAM Cantalibre, maar dan kunnen we nog op terug komen indien nodig.
Ik hoop dat je alles snel weer aan de praat hebt in ieder geval!


@Spiff: Goed bezig op MBAM!
(Blij dat dit wat sneller wordt opgepakt dan dat akkefietje met MSXML bij MS...)


En nu lekker naar huis! :]

Inmiddels zijn de betreffende MBAM false positives verholpen.
Zie:
http://forums.malwarebytes.org/index.php?showtopic=127984&p=693129

Jammer voor jou, Cantalibre, dat je er zo'n gedoe door had.
Ik hoop dat je je probleem goed opgelost krijgt door deïnstalleren en herinstalleren van EMET en Chrome.

Ik weet niet precies wat je bedoelt, Cantalibre.
Uiteraard wist ik niet dat MBAM false positives zou geven naar aanleiding van EMET 4.0 final. Insinueer je dat ik dat wel wist?
Zelfs Malwarebytes was verrast.
Het enige dat ik wél weet, dat is dat geen enkele virusscanner/malwarescanner volkomen te vertrouwen is. Er bestaat altijd een kleine kans op false positives. Ik kom met elke goed aangeschreven scanner eens in de zoveel tijd wel een keer een false positive tegen. De kunst is daarom om bij een melding niet gelijk bestanden te gaan verwijderen, maar eerst te onderzoeken wat er aan de hand is, of er wellicht sprake kan zijn van een false positive.

Dat is natuurlijk hoogst vervelend en potentieel lastig, maar het is niet anders. False positives zijn zo goed als onvermijdelijk. Ze zijn het gevolg van de 'gevoeligheid' van virusscanners/malwarescanners die nodig is om moeilijke malware te detecteren. Waren de scanners minder gevoelig, dan misten ze de moeilijke malware.

Wie bedoel je, Cantalibre?
AdHd en ik?
In één huis? Wat bedoel je daar nu weer mee? Ik vind dat nogal een vreemde opmerking.

Ik begrijp dat waar het op Security.nl zoal over gaat niet altijd makkelijk is.
Maar ik denk dat ik altijd m'n best doe om een en ander zo begrijpelijk mogelijk neer te zetten. Hetzelfde geldt voor AdHd en voor veel andere bijdragers op Security.nl. Dat betekent echter niet dat het altijd voor iedereen even goed te begrijpen is. En het betekent ook niet dat er nog meer uitleg nodig is. Gebruikers hebben ook een eigen verantwoordelijkheid om informatie te vergaren, niet alles kan op sites zoals deze tot in detail uitgelegd worden (al doen we toch vaak ons best, denk ik). Heel veel makkelijker kunnen we het niet maken, vrees ik. Een zekere 'moeilijkheid' is inherent aan de computer 'tech'-sites waartoe ook Security.nl behoort. Weet dat het niveau hier vaak nog licht is vergeleken met de echte tech-sites.

Ten slotte -
Ik bespeur weer een zekere ergernis bij je.
Dat kan ik best begrijpen, gezien je tegenvaller met MBAM.
Maar ga niet weer zoals eerder je ergernis uiten tegen wie je helpt, en probeer vooral geen rare insinuaties en vreemde opmerkingen te maken zoals ik in je reactie van 21:53 opmerkte.

Wil graag nog ff in het kort een andere duit in het zakje doen.
Mijn desktop draait Win 7 Pro. Vooraf Emet 3.0 gedéïnstalleerd.
Emet 4.0 liet zich niet installeren, bleef hangen na 2/3, install was alleen af te breken met taskman,
machine moest ook gereboot worden omdat proces niet weg was; een 2e poging lukte niet.
Ook meldingen over ontbrekend/onvolledige .net 4.0 framework gehad.
Eerst maar 's alles van .net 4.0 framework gedéïnstalleerd.
Met (Her)installatie van .net 4.0 framework en veel keer windows update erachteraan ben ik (met intervallen) 3 dagen aan het sukkelen geweest. Maar goed, uiteindelijk lukte dat en kwamen er geen updates meer.
Pff .net 4.0 framework stond er met alle updates op.
Toen dacht ik Emet 4.0 er even achteraan te installeren, maar hetzelfde probleem, Emet 4.0 install hing na 2/3 weer.
Van armoe Emet 3.0 erop gezet en dat ging vlekkeloos. Hij staat nu in de tray.
Per saldo dus niks wijzer geworden.
vraag: wat is wijsheid? 4.0 FW eraf en 4.5 FW erop en alles zo goed mogelijk over doen?
Ik kan een advies (en een te hanteren volgorde) nu wel gebruiken! Dank, GeminiAlpha.
PS, aan een MBAM check ben ik nog helemaal niet toegekomen...

@ GeminiAlpha,

.NET Framework wordt nogal eens vervloekt om de problemen die ermee kunnen zijn.
Er is van alles te proberen om een probleem met .NET Framework op te lossen, maar soms moet je meerdere stappen proberen om tot een goed resultaat te komen.

Allereerst,
Om .NET Framework 4.5 te installeren hoeft niet eerst .NET Framework 4 verwijderd te worden.
Bij de installatie van .NET Framework 4.5 wordt .NET Framework 4 en de bijbehorende onderdelen automatisch verwijderd. (N.B. Dat is althans de opzet.)
.NET Framework 4.5 vind je hier:
http://www.microsoft.com/nl-nl/download/details.aspx?id=30653
http://www.microsoft.com/en-us/download/details.aspx?id=30653

.NET Framework 4 handhaven en repareren is uiteraard ook een optie.
Het toepassen van de Microsoft .NET Framework repair tool is wellicht het eerste om te proberen.
http://support.microsoft.com/kb/2698555
N.B.
Ondersteund voor .NET Framework 4, 3.5 SP1, 3.0 SP2, 2.0 SP2
maar mogelijk nog niet voor .NET Framework 4.5 (?)

Nog diverse andere opties vind je hier:
.NET Framework Troubleshooting Guide:
http://blogs.msdn.com/b/astebner/archive/2005/08/22/unified-net-framework-troubleshooting-guide.aspx
What to do if other .NET Framework setup troubleshooting steps do not help:
http://blogs.msdn.com/b/astebner/archive/2008/03/07/8108332.aspx
.NET Framework Cleanup Tool,
.NET Framework Cleanup Tool User's Guide:
http://blogs.msdn.com/b/astebner/archive/2008/08/28/8904493.aspx
.NET Framework Setup Verification Tool,
.NET Framework Setup Verification Tool User's Guide:
http://blogs.msdn.com/b/astebner/archive/2008/10/13/8999004.aspx

Het is wellicht goed om voor het aan de slag gaan hoe dan ook eerst even te lezen op de Microsoft .NET Framework repair tool pagina en op de .NET Framework troubleshooting pagina's.

Succes.

Zelf weten hoor, maar wie is er nu de baas bij jou thuis; jij of die machine? (Daar heb je ook gelijk het verschil tussen een 'beginnende' en 'gevorderde' gebruiker...)
Aan te raden plug-ins, zowel voor Chrome als FF zijn AdBlock, No(t)Script, een pop-up blocker, Ghostery & HTTPS-everywhere en eventueel WOT. Zorg wel dat je ze via een betrouwbare bron download, bij voorkeur van de website van de aanbieder zelf.

Hahaha grapjas. Ik geloof dat je beter de term "onder één dak" had kunnen gebruiken, maar daar kijk ik wel doorheen. Ik doe m'n uiterste best om mijn reacties zo SIMPEL & DUIDELIJK mogelijk te houden, geloof me ;]

Daar staat wel tegenover dat ik een paar goedbedoelde, en vooral constructieve adviezen heb voor jou Cantalibre.
1] Gezondheid is het allerbelangrijkste wat er is. Als je je op wat voor manier dan ook niet zo lekker voelt, is het IMHO niet handig om nieuwe c.q. 'lastige' problemen aan te pakken. Ik en Spiff blijven hier voorlopig nog wel even, dus géén haast.

2] Als je om hulp vraagt, volg dan ook de gegeven raad op. Als iemand je wil helpen is het daarnaast wel zo handig als je alleen de raad van diegene opvolgt om misverstanden te voorkomen. (Voorbeeld, de tegenstrijdige raad van ons hier op Security.nl en de raad van je kennis, waardoor je problemen ontstaan zijn. Als er iemand verantwoordelijk is voor je issue ben je het zelf, en anders je kennis, maar mij & Spiff kun je in mijn optiek niets kwalijk nemen.)

3] Als je om advies vraagt. doe dit dan bij meerdere bronnen vóór je actie onderneemt. Een simpele formule zegt:
3x Informeren + 2x Plannen = 1x Uitvoeren!

4] Blijf lekker bij jezelf, gebruik geen woorden / termen die je niet kent en als je iets niet (helemaal) begrijpt, VRAAG HET DAN!!! (Ik kan geen gedachten lezen namelijk.) Hier hoort ook bij dat het handig is om stap voor stap te werken, en niet teveel op zaken vooruit te lopen als de huidige 'problemen' nog niet zijn opgelost.

5] Ik merk dat je nogal snel van de hak op de tak springt af en toe, dat geeft niets, maar probeer tussen verschillende onderwerpen af en toe eens de "Enter-toets" te gebruiken :p

Tot slot, mocht je nog hinder ervaren met je systeem, lees dan even dit topic terug, volg ons advies, en als je er niet aan uit komt horen we graag van je wat er aan de hand is! (Ik blijf van mening dat je huidige systeem met een klein beetje tijd en moeite beter kan functioneren!)

Succes, beterschap (indien van toepassing) en vooral veel sterkte!

Hmm, .NET Framework 4 is een behoorlijk groot pakket, maar dat je er zo lang mee bezig bent laat me vermoeden dat noch .NET, noch EMET de oorzaak zijn van je issue eerlijk gezegd. Daarnaast kan het zo zijn dat je systeem even nodig heeft om EMET te installeren.

0] Hoelang heb je gewacht voordat je het installatie-proces hebt afgebroken? Één minuut of iets in de richting van een half uur?

1] Werkt de rest van je systeem wél vlekkeloos? (Hoeveel vrije ruimte heb je op je systeem-schijf? Wanneer heb je voor het laats gedefragmenteerd?) Krijg je wel eens foutmeldingen van Windows-Installer als je iets probeert te installeren??? Of andere meldingen van WIndows / AV / applicaties bijvoorbeeld???


2] Werk je vanuit een admin-account tijdens het updaten / installeren van EMET?
(Zou niet noodzakelijk moeten zijn, kan wél schelen)

3] Staat je actieve AV uit als je EMET installeert? (Firewall maakt niet uit, maar Anti-Virus en andere bescherming kan voor conflicten zorgen die je beschrijft.)

4] Heb je een VM, Sandboxie of andere virtualisatie-software geïnstalleerd?

Hahaha, gelukkig zijn er (mede) door alle tijd en moeite die Spiff heeft besteed aan MBAM daar voor zover bekend geen problemen meer mee! :]

Hier heb ik overheen gelezen gisteren, sorry van mijn late reactie.
Het zou kunnen zijn dat je een andere media-speler gebruikt als standaard speler (VLC bijvoorbeeld), waardoor Windows Media Player (wmplayer.exe) niet meer door EMET herkend wordt. Dit is verder geen enkel probleem en in mijn optiek juist positief aangezien wmplayer.exe nog steeds regelmatig wordt aangevallen door malware (voornamelijk in de vorm van codecs).

Dat is een interessante gedachte.
Is het iets dat je vermoedt, of iets dat je vrij zeker weet?

Het is inderdaad zo dat een andere media player ingesteld is als standaardprogramma op mijn systeem.
En door jouw opmerking sluit ik zeker niet uit dat dat de reden is dat WMP geen 'blank' sleutel kreeg toebedeeld.
Maar ik ben nog niet overtuigd.
Dit met name doordat software die helemaal niet op mijn systeem aanwezig is juist wél de 'blank' sleutel kreeg toebedeeld, denk aan iTunes, Chrome, Winamp en meer.
Dat sluit natuurlijk niet uit dat juist doordat WMP nadrukkelijk niet meer als standaardprogramma ingesteld is, maar een alternatief, een andere situatie bestaat die niet geldt voor de helemaal niet geïnstalleerde programma's zoals iTunes e.a.

Ik ben er nog niet helemaal uit.
Maar ik ben er ook niet bezorgd over :-)

Bedankt voor je reactie, AdHd.

Het is een vermoeden ("zou kunnen"):
Ik heb gisteren EMET (het register na installatie om precies te zijn) snel even wat beter bekeken in VM met 3 verschillende schone Windows-images (XP Pro SP3 / Server 8R2 / 7 Ultimate) waarbij ik wel overal de wmplayer.exe-sleutel ben tegengekomen. Het zou makkelijk kunnen dat je een instelling in het OS zelf, app-locker, applicatie, Fix-It, AV, VM, Sandboxie of iets anders hebt draaien (op de achtergrond) wat ervoor zou kunnen zorgen dat de bewuste key niet meer aangeroepen / gewijzigd mag worden. De mogelijkheden zijn bijna eindeloos... (Vandaar ook mijn tips voor GeminiAlpha)

Zo is er bijvoorbeeld een beschermingsmodule in SAS (als ik me niet vergis, anders is het een vergelijkbaar programma), dat een deel van het register "vergrendelt," zonder dat het SAS-proces zelf actief hoeft te zijn.

Dat de software die je niet geïnstalleerd hebt wél sleutels krijgt toebedeeld sluit mooi aan bij die gedachte eigenlijk, aangezien er in deze situatie geen restricties zijn op niet-bestaande sleutels.

"Just a thought"

Heeft iemand gekeken wat er onder HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ vermeld staat?

Ik heb geen Windows machine bij de hand om dit zelf te checken maar ik vermoed dat alle geïnstalleerde applicaties (executables) daar onder vermeld staan. Normaal gesproken wordt Image File Execution Options gebruikt om de debugger te op te starten. In het register van de gemiddelde huis-tuin-en keuken gebruiker zal onder die sleutel dus niks vermeld staan behalve de diverse .exe's van geïnstalleerde applicaties.

Zoals de mod van het vMBAM forum al aangaf wordt die locatie ook gebruikt om malware te (her)starten. Welke meldingen je krijgt van MBAM zal waarschijnlijk afhankelijk zijn van de configuratie van je computer en van EMET (die waarschijnlijk bepaalde waardes aan de registersleutel toevoegt) zelf. Maar nogmaals, dit is een vermoeden want ik heb geen machine om e.e.a zelf te bekijken maar ik ben wel benieuwd welke aanpassingen EMET aan het register maakt.

Opvallend genoeg is het anders.
Er staan ook applicaties die niet geïnstalleerd zijn (zoals ik al noemde, in mijn geval iTunes, Chrome, Winamp en meer). Dit althans in de situatie dat EMET 4.0 final is geïnstalleerd en geconfigureerd.
Iemand met een Windows systeem waarop nog geen EMET is geïnstalleerd en geconfigureerd zou kunnen bekijken wat er in dat geval staat onder
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

Het is wat off-topic bij de oorspronkelijk post van Cantalibre en zijn vervolgvragen,
maar niettemin is wat AdHd aangeeft betreffende de op mijn systeem niet aanwezige sleutel
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmplayer.exe
het toch waard er nog even op te reageren, vind ik.
Ik hoop dat je dat geen probleem vindt, Cantalibre.

Ik heb niks kunnen achterhalen dat er op mijn systeem voor zou kunnen zorgen dat de bewuste key niet meer aangeroepen/ gewijzigd mag worden. Niettemin kan ik zoiets niet uitsluiten. Zoals je zegt, AdHd, de mogelijkheden zijn bijna eindeloos.

Naar aanleiding van je eerdere reactie hierover, betreffende het op mijn systeem ingesteld zijn van een andere media player als standaardprogramma, heb ik daarmee nog wel de proef op de som genomen:
Ik heb WMP opnieuw als standaardprogramma ingesteld, WMP gestart, EMET geopend, systeem herstart, de wmplayer.exe mitigations onder EMET uitgeschakeld en weer teruggezet, WMP gestart, systeem herstart, WMP gestart, maar dat veranderde allemaal niets.
De wmplayer.exe sleutel in kwestie blijft 'ontbreken'.
Het ook nog deïnstalleren en herinstalleren van EMET 4.0 bij als standaardprogramma ingestelde WMP, dat vond ik wat te ver gaan om ook nog uit te proberen. Het is echter niet uit te sluiten dat dat nog verschil zou kunnen maken.
Ik vind het best zo.
Ik heb inmiddels de alternatieve media player weer als standaardprogramma ingesteld.


Nog één puntje in verband met EMET 4.0 en de wmplayer.exe mitigations onder EMET:

Opvallend was dat de EMET SEHOP mitigation niet standaard aangevinkt was voor wmplayer.exe.
Ik heb dat gelijk ook maar even gecorrigeerd.
Volgens de EMET 4.0 User Guide zijn enkel de twee EMET mitigations Mandatory ASLR en EAF niet compatible met wmplayer.exe, de SEHOP mitigation echter wél.

Wat nou weer de oorzaak was van dat niet standaard toepassen van de SEHOP mitigation op wmplayer.exe, ik heb geen idee. (Ook) een specifieke instelling op mijn systeem?

Daarmee kom ik op mijn systeem overigens al op drie merkwaardigheden met EMET 4.0 na configuratie op basis van het importeren van het "Popular Software.xml" protection profile:
- "Deep Hooks" was niet standaard toegepast,
- de SEHOP mitigation was niet toegepast op wmplayer.exe,
- de eerdergenoemde ontbrekende wmplayer.exe sleutel.

Dit houdt het wel interessant ;-)

Jazeker, zie de reacties hierboven, zowel met als zonder EMET... Om te kunnen begrijpen wat de inhoud van HKLM\-\-\IFEO is (vooral m.b.t. de binaries) en wat dat voor gevolgen heeft, is enige basis-kennis van het register wel vereist.


Alle executionables? Neen, daar is HK_Local_Machine helemaal niet voor! (Foei!)
IFEO bevat naast een beperkt aantal systeem-executionables, Dynamically Linked Libraries (.dll), OLE - control extensions (.ocx) en (mogelijk) andere script-vormen die systeem-breed moeten kunnen werken. IFEO kan gebruikt worden om debuggers te starten, vooral in test-omgevingen, maar dit is alles behalve een "best-practice," zeker voor 3rd-party software! Zelfs alle legitieme AV-suites blijven braaf uit IFEO voor zover ik weet.
Ik ben zelf eigenlijk helemaal géén 3rd-party applicaties tegengekomen, behalve wat entries van Flash- en Google-update, welke elevated-rights (vandaar HKLM dus, i.p.v. HKU / HKCU) gebruiken.
Dat is JUIST de reden dat MBAM deze nieuwe register-keys als verdacht aanmerkte...


De meldingen van MBAM zijn, herstel, waren allemaal hetzelfde:
"Registry-flag = HKLM\-\-\IFEO -> *.exe = Security.hijack."
Inmiddels zijn -voor zover bekend- alle register-flags ten gevolge van EMET 4.0 (en dan vooral de deep-hooks-functie) opgenomen in de definities van MBAM en vormen dus geen probleem meer. Daarnaast heb ik gisteren ook gezien (parallel aan MBAM) dat er geen hooks maar juist blanks worden toegevoegd. Zie ook hiervoor de reacties hierboven.

EMET maakt voor een aantal veel-gebruikte applicaties nieuwe sleutels aan in HKLM\-\-\IFEO, voorzien van blanks. Ik VERMOED dat het dit doet om eventuele malware te kunnen onderscheppen, via de eerder genoemde "deep-hooks-functie," maar daar zou een mailtje richting MS-EMET dev-team wellicht meer duidelijkheid over kunnen geven, ik ben namelijk niet van plan om de volledige installatie van EMET te gaan de-compilen eerlijk gezegd, als me dat al lukt wel te verstaan. Ik kan me overigens goed voorstellen dat MS dit liever voor zichzelf houdt, om malware-makers niet in de kaart te spelen.

Dat malware gebruik kan maken van IFEO is al langer bekend, vooral rogue-AV en ransomware doen dit om precies te zijn, maar dat vond ik minder relevant persoonlijk, vooral om mensen (en dan met name particulieren) die dit topic lezen omdat ze problemen met EMET hebben niet onnodig te verontrusten.

Een iets uitgebreider & technischer verhaal deze keer, maar ik hoop dat het zo wat duidelijker is allemaal.

Kijk, dat kan ik nou oprecht waarderen, lekker zelf aan de gang gaan en dan nog een mooi verslag uitbrengen ook, +10!
Als laatste schiet me te binnen dat het ook nog kan voortkomen uit het soort rechten dat je aan wmplayer.exe hebt toebedeeld, maar dan nog zou EMET de betreffende sleutel wel degelijk aan mogen maken inderdaad.
Her-installatie van EMET zou natuurlijk niet van toepassing moeten zijn, daar je ook software kan installeren / wijzigen nadat EMET is geïnstalleerd. Ik ben het volstrekt met je eens. het blijft een beetje vreemd.

Dat deep hooks niet ingeschakeld is, is standaard. Dit was bij mij en Cantalibre ook het geval. Waarschijnlijk omdat de gevolgen hiervan wat verder strekken dan goed is voor iedere gebruiker, zoals (helaas) gebleken.

Dat wmplayer.exe bij jou anders reageert dan bij mij, blijft ook mij verbazen.
Je draait Win7 Pro neem ik aan?

Je hebt gelijk.
Dat het me verbaasde, dat was doordat het onder EMET 4.0 Beta nog wél standaard was ingeschakeld, als ik me niet vergis.
Dat (of als) dat veranderd is, is wellicht wegens voortschrijdend inzicht, vermoed ik.

Nee, nog Vista Ultimate. Win7 Pro ligt al geruime tijd op de plank ter installatie, maar daar moet ik nog stééds een keertje de tijd voor vinden ;-)
Een verschil tussen Vista en Win7 betreffende die eerdergenoemde wmplayer.exe sleutel is niet uitgesloten, maar ik zie vooralsnog niet voor me waarom dat dan zo zou zijn.

Duidelijk, ik had zoiets gisteren al gelezen, nu je het zegt.

Hoewel ik Vista praktisch helemaal heb overgeslagen (geen waarde-oordeel!) kan ik me herinneren dat er toch wel wat verschillen zaten in WMP-XP & -Vista, vooral door die wildgroei aan malware-codecs voor WMP-XP indertijd.

Ik ga even he-le-maal off-topic nu:
Ik zou lekker blijven hangen op Vista als er geen noodzaak is om over te stappen eerlijk gezegd, Win7 installeren gaat vanzelf, maar alle instellingen overzetten en vooral alle applicaties weer installeren is echt een hoop werk. Daarnaast is het me al vaak opgevallen dat Win7 niet altijd even soepel draait op iets oudere hardware. Het is dat ik mee moet...
Maar als je er dan toch ooit nog eens voor gaat zitten:
Tip 1: MS Windows Easy Transfer Tool: http://windows.microsoft.com/nl-nl/windows7/products/features/windows-easy-transfer (Zet automatisch geselecteerde bestanden over bij een UPGRADE (dus niet voor een verse installatie, wat ik eigenlijk altijd aanbeveel), al moet ik erbij zeggen dat de easy-transfer ook wel eens fout gaat, zoals MS zelf al beaamd.)
Tip 2: Youtube-video van Win 1.0 (ja je leest het goed!) installeren tot en met upgraden naar Win 8 in VMWare:
https://www.youtube.com/watch?v=eY-UHdswFkg (gewoon voor de grap, inclusief Doom II!)

@ AdHd,
Dankjewel voor je (he-le-maal off-topic) gedachten over het overstappen van Vista naar Win7.
Je hebt gelijk, voor het betreffende systeem bestaat (vooralsnog) geen noodzaak tot overstappen naar Win7. Dat is ook waardoor het zo lang is blijven liggen ;-) De hardware zou echter geen probleem moeten zijn, die heeft al een keer een afdoende upgrade gehad.
Voer ik die overstap op een gegeven moment een keer door, dan wordt dat absoluut een schone installatie. En inderdaad, daar gaat aardig wat tijd inzitten, met name wanneer je allerlei specifieke wensen hebt voor de configuratie.
Windows Easy Transfer ken ik, maar ga ik niet gebruiken om instellingen over te zetten van Vista naar Win7. Wel vind ik het een handig middel om de instellingen van een eerste optimaal geconfigureerd (administrator)account te kopiëren naar een tweede (standaardgebruiker)account. Dat scheelt véél handelingen. Enkel wat voor het tweede account anders geconfigureerd moet worden moet dan even bijgesteld worden.
Tot zover dit he-le-maal off-topic :-)

Ik haak even in. Hier Vista 32 bits en nooit EMET gebruikt (ben niet zo bang voor 0days op mijn windows ;-) ).

Ik heb programma's staan in deze sleutel. Voornamelijk Adobe Acrobat en Flash lijkt het. Specifiek heb ik opera.exe niet, hoewel die wel geïnstalleerd staat. Ook de anderen heb ik niet. iexplore.exe weer wel.

Malwarebytes heeft erop gestaan, maar F-Secure vond die niet lief en heeft deze tijdens zijn installatie eraf gegooid. Heb dit maar zo gelaten.

Het lijkt mij dat het probleem ontstaan is met de installatie van EMET 4.0 en gedetecteerd door Malwarebytes hierbij. Dus deze registry sleutels zijn er door EMET 4.0 opgezet. hth.

(P.S. de sleutels zijn niet leeg)

Het aanmaken van die sleutels door EMET 4.0 is geen probleem. Het is zo bedoeld.
En dat MBAM alarm sloeg over die sleutels, dat kwam doordat Malwarebytes nog niet wist dat EMET 4.0 die sleutels aanmaakt. Malwarebytes heeft dat inmiddels gecontroleerd.
Het enige werkelijke probleem was voor Cantalibre, die het advies van zijn kennis opvolgde de door MBAM aangeduide items te verwijderen.

Dat bedoel ik :-) Het probleem van de 'false positive' door MBAM. Zoals ook in het onderwerp van deze thread staat.

Ha, dank je, Fwiffo.
Dan begreep ik je formulering verkeerd, excuus.

FF reageren op m'n eigen melding want ik ga met vakantie, daarna duik ik er weer in, lage prio voor mij.
inst. check van .net fw 4.0 levert niks fouts op, alleen een flinke (voor mij) tamelijk ondoorgrondelijke logfile, waarin ik niets verontrustends zie. Dus ben ff op de achtergrond, tot ziens! Geminialpha.

Hai Cantalibre,
Ik begrijp nog steeds niet wat je bedoelt, hoor.

Je hebt me verkeerd begrepen, Cantalibre.
Jij was de eerste met die MBAM scan-resultaten.
Dat was waarom ik je bedankte voor die melding.
Ik heb pas een MBAM-scan uitgevoerd ná jouw melding, en vond toen diezelfde (danwel vrijwel dezelfde) resultaten.
Had ik die resultaten eerst gevonden, en niet jij, dan had ik daar uiteraard voor gewaarschuwd.
Nogmaals, je hebt me dus verkeerd begrepen.

Ik weet niet hoe anderen dat ervaren, ik zie in de bijdragen van AdHd ook genoeg 'moeilijke' dingen.
Maar als het jouw ervaring is dat ik niet genoeg moeite doe om iets 'makkelijk' uit te leggen en AdHd wel, prima dan, hoor.
De stijl van AdHd en mij is nu eenmaal niet dezelfde, en die van jou en mij is nog veel verschillender. Ik ben geen wonderdoener die elk verschil in stijl en persoonlijkheid kan overbruggen.

Mooi, Cantalibre, dat er geen ergernis was.
Dan was dat een onjuiste interpretatie door mij van jouw manier van uitdrukken.

Dat heb ik hierboven al aangegeven -
Je had me verkeerd begrepen, jij was de eerste met die MBAM scan-resultaten. Had ik die resultaten eerst gevonden, en niet jij, dan had ik daar uiteraard voor gewaarschuwd.

En daar interpreteerde jij op jouw beurt mijn stijl verkeerd :-)
Hier was bij mij geen sprake van wrevel.
Ik gebruikte die formulering aan Fwiffo, om aan te geven dat er geen probleem bestond met EMET 4.0 final, en dat het probleem met MBAM was opgelost, maar dat jij jammer genoeg wel een probleem had gekregen door de door MBAM aangeduide items te verwijderen.

Ik houd beslist van een beetje humor.
Maar je opmerkingen over AdHd en mij in één huis of onder één dak, die zijn slechts onbegrijpelijk voor me.
Ik snap de humor ervan niet. Ik zou het op prijs stellen wanneer je het zou willen uitleggen.
Grappen die voor de partij waaraan ze gericht zijn volstrekt onbegrijpelijk zijn, dat is geen humor, maar dat zijn slechts vreemde opmerkingen. En vreemde opmerkingen zijn niet leuk, integendeel zelfs.
Om die reden deed ik eerder al het verzoek geen vreemde opmerkingen te maken.


[wijzigingen: op één punt de formulering verbeterd, plus een typo gecorrigeerd, en een woord vervangen]

Bedankt voor de feedback, we zien je, indien nodig, wel verschijnen als je weer terug bent.
Mocht je dan nog vragen hebben, is het misschien handig als je even opnieuw je 'probleem' (situatie) uitlegt in een nieuw topic om verwarring te voorkomen, zeker ook omdat MBAM bij jou niet de oorzaak is.

Een hele fijne vakantie toegewenst!

Ik ben blij dat je even hebt doorgezet en dat alles weer naar behoren werkt, bedankt voor de feedback!

Bedankt, het heeft mij al VEEL werk gescheeld in het verleden...

Geduld is een schone zaak, maar ik begrijp je frustratie, want we zullen -ondanks alles- toch vóóruit moeten!
Dat EMET 3.0 nog in het startmenu (en dergelijke) staat, betekent niet dat EMET 3.0 nog daadwerkelijk geïnstalleerd is. De pictogrammen / menu's zijn namelijk snelkoppelingen naar het programma. Heb je toevallig nog geprobeerd om EMET 3.0 daadwerkelijk te starten, en zo ja, deed EMET 3.0 het nog?
Heb je EMET 3.0 via "Configuratiescherm - Software" verwijderd?
En, als je via "Deze Comuter" naar C:\Program Files\ kijkt, staan er dan 2 EMET - mappen???

Ondanks die vragen is het handig om te weten dat er nog restanten van een vorige installatie zijn blijven staan bij jou, zodoende is het nu duidelijk dat het misschien toch verstandig is om eerst EMET 3.0 te verwijderen alvorens EMET 4.0 te installeren.

Het gebeurt maar zelden dat twee mensen die proberen te helpen helemaal op één lijn zitten in hun reacties, zeker als de communicatie enkel via het geschreven woord loopt. Ik denk dat je het in die hoek moet zoeken...

En, EDIT:
&Ik hoop dat het duidelijk is dat Spiff hier helemaal NIETS mee insinueerde, maar enkel reageerde op een kleine onduidelijkheid tussen hem en Fwiffo. De waarheid is soms niet even leuk voor iedereen (jouw kennis bijvoorbeeld), maar dat doet niets af aan de feitelijk correcte weergave door Spiff van de oorzaak van jouw probleem.

Ik zou deze laatste opmerkingen kunnen beschouwen als een poging om tussen mij en Spiff te splitten / stoken, maar ik denk eerlijk gezegd niet dat je het zo bedoeld. Ook klinkt het een behoorlijk ondankbaar ten opzichte van Spiff, terwijl ik ook daarvan denk dat het helemaal niet zo bedoeld is!
Ik ben het overigens helemaal eens met de stelling dat iedereen een eigen verantwoordelijkheid heeft om zelf informatie te vergaren, maar waar mogelijk probeer ik een en ander samen te vatten inderdaad. Ik vind het fijn om te lezen dat dit op prijs gesteld wordt. Vergis je daarentegen niet in het feit dat de reacties en links die Spiff heeft gegeven zéér zeker de moeite waard zijn, voor iedereen die iets over EMET wil weten!
Ik zou je dus aan willen raden hier even over na te denken, je weet namelijk nooit wanneer je hulp nodig hebt / krijgt van Spiff in de toekomst!

Tot slot dank ik je hartelijk voor het mooie compliment! (Graag gedaan!)

Edit: typo

Dank je voor je uitleg, Cantalibre, ik begrijp nu wat je intentie was.
Ik kende de betreffende manier van uitdrukken volstrekt niet, en ervoer daardoor de bedoelde humor ervan niet.
Dat is waarom ik aangaf dat grappen die voor de partij waaraan ze gericht zijn volstrekt onbegrijpelijk zijn niet als humoristisch ervaren worden, maar als vreemd en onprettig.
Ik ben heus geen droogkloot, maar voor mij was jouw manier van uitdrukken niet te herkennen als humor. Onze stijl zal te verschillend zijn.
Humor kan erg persoonlijk zijn, en/of (sub)cultureel bepaald, en is daarom niet altijd te begrijpen voor een ander. Bij direct persoonlijk contact is dat nog wel te ondervangen door goed op de ander te letten en door de feedback bij zo'n direct persoonlijk contact, maar in tekst, op fora etc., is het veel lastiger. Humoristisch bedoelde opmerkingen kunnen dan al (veel te) gauw verkeerd begrepen worden. Dat is iets om altijd mee op te passen.

Welja, met een uitroepteken zelfs.
Waar doel je nu weer op, Cantalibre?
Ik maakte geen humoristisch bedoelde opmerkingen over jou of over een ander die verkeerd begrepen konden worden.
Wat insinueer je nu weer?
Wees alsjeblieft duidelijk.

Doelde je mogelijk op wat ik aangaf op wo.19-06, 23:09 uur, dat ik een zekere ergernis bij je meende te bespeuren en dat ik vond dat je rare insinuaties en vreemde opmerkingen maakte?
Je gaf later aan dat er geen ergernis bestond, en dat heb ik van je aangenomen.
En je herhaalde insinuatie dat ik wist van MBAM false-positives ten gevolge van EMET 4.0 final maar dat ik dat niet had gemeld, dat bleek voort te komen uit de onjuiste aanname door jou dat ik al een MBAM-scan had uitgevoerd voordat jij met de resultaten van wo.19-06,02:10 uur kwam. Dat werd later duidelijk.
En je opmerkingen over AdHd en mij in één huis of onder één dak, dat heb je later uitgelegd, dat was bedoeld als humor, zo gaf je aan. Maar eerder in deze thread, voordat je het uitlegde, waren het voor mij slechts vreemde opmerkingen.
Ik denk daarom niet dat er iets mis was met wat ik aangaf.
Ik begrijp daarom niet waarop je doelt.

Zullen we maar proberen dit af te sluiten?
Onze stijl is dusdanig verschillend dat er al gauw misverstanden zullen blijven ontstaan, dat is ook in het recente verleden al gebleken.
Beperken we ons 'droog' tot computerbeveiliging etc., dan hebben we al genoeg ruimte voor misverstanden.
Laten we proberen elkaar niet onnodig te vermoeien met voor de ander onbegrijpelijke opmerkingen op ander vlak.
Bedankt.

dit doen valt voor mij nog niet mee, aangezien nog maar echt serieus 4 maanden echt ''computer''.

Wat bedoel je precies met "dit doen valt voor mij nog niet mee"?

Dit onderwerp was van juni 2013, dus anderhalf jaar oud,
en het probleem met EMET 4.0 en Malwarebytes Anti-Malware is op 19-06-2013 al opgelost, zie:
https://www.security.nl/posting/41507#posting355998
https://forums.malwarebytes.org/index.php?/topic/127984-probably-emet-40-related-mbam-false-positives/?p=693129

Bedoel je met "dit doen valt voor mij nog niet mee" misschien dat je het gebruik van EMET moeilijk vindt?
Als je vragen hebt, dan kun je denk ik het beste een nieuw topic starten, via https://www.security.nl/community/submit/1, en daarin goed beschrijven wat je vragen zijn.

Beginnerstips voor het gebruik van EMET:
1.
Kies bij het installeren "Recommended Settings".
2.
Open na het installeren de EMET gebruikersinterface, via Menu Start, of via het EMET pictogram in het Windows Systeemvak.
In de EMET gebruikersinterface, onder System Status,
klik achter Data Execution Prevention (DEP) op het pijltje rechts, en selecteer "Application Opt Out",
3.
en achter Structured Exception Handling Overwrite Protection (SEHOP), klik daar eveneens op het pijltje rechts, en selecteer ook daar "Application Opt Out", met Windows 7 en 8, of met Windows Vista "Always On".
4.
Vervolgens, bovenin, links bovenin in de balk,
klik "Import", selecteer "Popular Software.xml", klik Openen.
Heb je EMET 4.1 Update 1 geïnstalleerd, dan ben je daarmee klaar.
5.
Heb je EMET 5.1 geïnstalleerd, dan bestaat de kans dat je browser of browsers (Internet Explorer, Firefox, Google Chrome, e.a.) flink vertraagd zijn. In dat geval kan voor je browser of verschillende browsers EAF+ uitgeschakeld worden, dat helpt enigszins.
In EMET 5.1 EAF+ uitschakelen, dat doe je via EMET, "Apps", en dan het weghalen van het vinkje onder EAF+ voor je browser of browsers die vertraagd zijn door EMET 5.1.

Maar nogmaals, als je andere en/of meer vragen hebt, dan kun je denk ik het beste een nieuw topic starten, via https://www.security.nl/community/submit/1, en daarin goed beschrijven wat je vragen zijn.
Succes.


14:00 uur aangevuld met de DEP en SEHOP informatie.

Mijn reactie van vandaag 10-01-2015, 12:41 uur, die heb ik om 14:00 uur aangevuld met relevante informatie.
Ik wil niet dat Anoniem van 10-01-2015, 08:33 uur, die aanvulling mist.
Daarom zekerheidshalve even deze 'bump'.