Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ransomware via .wsf files

24-05-2016, 16:37 door Erik van Straten, 31 reacties
Vandaag 14:47 ontving ik een e-mail met zip-bijlage met daarin "customers 605.wsf" waarbij uitvoeren daarvan ongetwijfeld naar ransoware leidt.

Advies: check of de door jou gebruikte mailserver (voor het ontvangen van e-mail) zip-bijlagen met daarin .wsf files blokkeert, want detectie door virusscanners is nog uitgesproken mager: zojuist nog slechts 1/56 (alleen NANO-antivirus) [1].

De e-mail zelf zag eruit zoals zovele die ik de afgelopen tijd ontavngen heb (ik heb bewust geen spam- en antivirus filter aan staan op mijn xs4all account):
From: Lana Brennan <BrennanLana0564@{verwijderd}>
Subject: Re:
Attachment: to_sign_inv_3BA02921.zip (4.8KB)
Dear {verwijderd},

Please find attached the statement that matches back to your invoices.


Can you please sign and return.


Thank you,
Lana Brennan
Ultra Petroleum Corp.

[1] https://www.virustotal.com/en/file/1089fec7c634acf2f08cb2f14b5a478cab5ad2407cf2b5f93c5d2bc6f5b6950f/analysis/1464100032/
Reacties (31)
24-05-2016, 18:46 door [Account Verwijderd]
[Verwijderd]
24-05-2016, 19:02 door Anoniem
Door Ageless: Krijg je veel rekeningen van oliebedrijven? Of heb je opties uitstaan bij Ultra? ;-)

Zo simpel is het niet. De afzender varieert en er kan bijvoorbeeld een hoster tussen zitten waar je wel rekeningen van verwacht. Veel mensen zullen niet weten wat een wsf bestand is.

Vandaag werden veel malware spam runs uitgevoerd.
24-05-2016, 19:44 door Erik van Straten
24-05-2016, 1846 door Ageless: Krijg je veel rekeningen van oliebedrijven? Of heb je opties uitstaan bij Ultra? ;-)
Als een ontvanger dat toevallig wel heeft, en dit de eerste malware-spam sinds tijden is die wordt doorgelaten door de mailserver en spamfilter, is het niet zo heel gek als die ontvanger, bijv. in de haast, denkt "wat is dit nou weer" en de bijlage opent.

Feit is dat veel PC's besmet raken met ransomware. Feit is ook dat dit soort spam verzonden wordt - en dat gebeurt alleen als er sprake is van een minimaal "succes" percentage. M.a.w. het feit dat deze spams verzonden worden, betekent dat er mensen zijn die er in trappen.

ICT'ers die aannemen dat gebruikers wel net zo alert en insecurity-aware zullen zijn als zijzelf, wens ik veel sterkte (bij het puinruimen).
24-05-2016, 20:24 door [Account Verwijderd]
[Verwijderd]
24-05-2016, 21:01 door Anoniem
24-05-2016 16:37 door Erik van Straten

"Advies: check of de door jou gebruikte mailserver (voor het ontvangen van e-mail) zip-bijlagen met daarin .wsf files blokkeert"

Erik, hoe moet je dat doen in Thunderbird? Ik kan niet vinden hoe dat moet.
Bij voorbaat hartelijk dank voor jouw antwoord en hulp.
Harry
25-05-2016, 10:43 door Erik van Straten
24-05-2016, 20:24 door Ageless: Ja, niet iedereen is zo bijdehand om zijn browser zo in te stellen dat Flash Player (waar die *.swf's onder draaien als ik me niet vergis?) ...
De e-mail bijlage is een .zip file met daarin een .wsf file (Windows Script File). Dat heeft niets met Adobe Flash te maken.

Niet alle zip-file-uitpakkers "taggen" de uitgepakte file met een "onbetrouwbaar, komt van internet" labeltje waardoor gebruikers niet in alle gevallen een waarschuwing krijgen zodra ze op zo'n .wsf file dubbel-klikken om deze te openen.

By default wordt C:\Windows\System32\wscript.exe gestart, met het pad en filenaam van de .wsf file als parameter. Als ik me niet vergis kan cscript.exe (uit dezelfde Windows map) ook .wsf files verwerken (interpreteren en uitvoeren).

Welk programma op jouw systeem start als je een bestand met extensie .wsf "uitvoert" (door er bijv. op te dubbelklikken) kun je zien met de volgende commando's in ern command prompt (cmd.exe venster ook bekend als DOS-box):
assoc .wsf
Op mijn PC zie ik dan: WSFFile
Daarmee voer je het volgende commando uit:
ftype wsffile
Nb. teksten zijn niet hoofdlettergevoelig, en dit werkt voor elke bestandsnaamextensie (ook korter en langer dan een punt + 3 karakters).
Het antwoord daarop laat zien welk programma gestart wordt.

Als er vraag naar bestaat wil ik (op z'n vroegst vanavond) wel uitleggen hoe je dat wijzigt naar bijv. kladblok (notepad.exe) zodat er geen code wordt gestart maar de inhoud wordt getoond. Als die inhoud OK is, kun je vervolgens altijd nog handmatig met
wscript FILENAME.wsf
die code uitvoeren (waarbij je FILENAME natuurlijk door de werkelijke bestandsnaam moet vervangen).
25-05-2016, 11:03 door Erik van Straten
24-05-2016, 21:01 door Anoniem: 24-05-2016 16:37 door Erik van Straten

"Advies: check of de door jou gebruikte mailserver (voor het ontvangen van e-mail) zip-bijlagen met daarin .wsf files blokkeert"

Erik, hoe moet je dat doen in Thunderbird? Ik kan niet vinden hoe dat moet.
Bij voorbaat hartelijk dank voor jouw antwoord en hulp.
Harry
Thunderbird is geen mailserver (ook bekend als MTA voor Mail Transfer Agent) maar een mail client (MUA = Mail User Agent).

Feitelijk kan een MTA ook niet dit soort bijlagen tegenhouden en andere doorlaten, dat doen spamfilters al dan niet gecombineerd met virusscanners en dergelijke, die je als plug-in op de meeste MTA's kunt installeren. Dit is dus vooral iets dat de beheerder van de mailserver, bijv. jouw ISP of de beheerders van GMail e.d. moeten realiseren.

Er bestaan mogelijk ook desktop virusscanners met MUA-integratie die zip-bijlagen, afhankelijk van de inhoud, kunnen blokkeren, maar ik ken ze niet. Integratie met Thunderbird zal sowieso wel beperkter zijn dan met Outlook. Kijken in jouw virusscanner kan natuurlijk geen kwaad.

Off-topic, maar ik vind dat virusscanners zo ingesteld zouden moeten kunnen worden dat zip files (of ander compressie- en/of verzamelformaat) minstens 1 bestandsnaam bevatten die aan instelbare criteria voldoet (bijvoorbeeld extensie .js, .wsf etc. of meer dan 2 spaties achter elkaar) worden geblokkeerd of er tenminste een vette waarschuwing voor verschijnt (bij voorkeur met daaronder meerdere genummerde knoppen waarbij de gebruiker gedwongen is om de gehele waarschuwingstekst te lezen om te weten welke knop zij moet gebruiken om de inhoud van de zipfile vrij te schakelen).
25-05-2016, 13:15 door Anoniem
@Erik van Straten

Mee eens, het is groot gebrek dat er nog geen attachment blocker lijkt te zijn voor Thunderbird. Het onderzoeken van archiefformaten is overigens enigszins gevaarlijk. Meer formats betekent meer risico.

Thunderbird kan wel op basis van MIME type een actie doen, bijvoorbeeld het bestand opslaan in plaats van openen. Maar dat is onvoldoende. Aanvallers gebruiken vaak met opzet verkeerde of niet herkende MIME typen.
25-05-2016, 17:02 door Anoniem
Advies: check of de door jou gebruikte mailserver (voor het ontvangen van e-mail) zip-bijlagen met daarin .wsf files blokkeert, want detectie door virusscanners is nog uitgesproken mager: zojuist nog slechts 1/56 (alleen NANO-antivirus) [1].
Mijn advies aan Erik: gebruik geen Windows-rommel meer. Stap liever over op een fatsoenlijk besturingssysteem.
25-05-2016, 19:32 door Anoniem
Door Erik van Straten:
24-05-2016, 20:24 door Ageless: Ja, niet iedereen is zo bijdehand om zijn browser zo in te stellen dat Flash Player (waar die *.swf's onder draaien als ik me niet vergis?) ...
De e-mail bijlage is een .zip file met daarin een .wsf file (Windows Script File). Dat heeft niets met Adobe Flash te maken.

Niet alle zip-file-uitpakkers "taggen" de uitgepakte file met een "onbetrouwbaar, komt van internet" labeltje waardoor gebruikers niet in alle gevallen een waarschuwing krijgen zodra ze op zo'n .wsf file dubbel-klikken om deze te openen.

By default wordt C:\Windows\System32\wscript.exe gestart, met het pad en filenaam van de .wsf file als parameter. Als ik me niet vergis kan cscript.exe (uit dezelfde Windows map) ook .wsf files verwerken (interpreteren en uitvoeren).

Welk programma op jouw systeem start als je een bestand met extensie .wsf "uitvoert" (door er bijv. op te dubbelklikken) kun je zien met de volgende commando's in ern command prompt (cmd.exe venster ook bekend als DOS-box):
assoc .wsf
Op mijn PC zie ik dan: WSFFile
Daarmee voer je het volgende commando uit:
ftype wsffile
Nb. teksten zijn niet hoofdlettergevoelig, en dit werkt voor elke bestandsnaamextensie (ook korter en langer dan een punt + 3 karakters).
Het antwoord daarop laat zien welk programma gestart wordt.

Als er vraag naar bestaat wil ik (op z'n vroegst vanavond) wel uitleggen hoe je dat wijzigt naar bijv. kladblok (notepad.exe) zodat er geen code wordt gestart maar de inhoud wordt getoond. Als die inhoud OK is, kun je vervolgens altijd nog handmatig met
wscript FILENAME.wsf
die code uitvoeren (waarbij je FILENAME natuurlijk door de werkelijke bestandsnaam moet vervangen).

Erik, hartelijk dank voor jouw heldere informatie. Ik ben erg benieuwd naar jouw uitleg hoe je dat wijzigt naar bijv. kladblok (notepad.exe) zodat er geen code wordt gestart maar de inhoud wordt getoond. Ik heb er geen haast mee. Dus als het vanavond niet kan, ..... Het steekt wat mij betreft niet op een dagje. Wat voor mij wel van belang is, is een heldere uitleg. Want mijn kennis is veel beperkter dan die van jou.
Bij voorbaat veel dank.
Harry
25-05-2016, 20:02 door Erik van Straten
25-05-2016, 17:02 door Anoniem:
Advies: check of de door jou gebruikte mailserver (voor het ontvangen van e-mail) zip-bijlagen met daarin .wsf files blokkeert, want detectie door virusscanners is nog uitgesproken mager: zojuist nog slechts 1/56 (alleen NANO-antivirus) [1].
Mijn advies aan Erik: gebruik geen Windows-rommel meer. Stap liever over op een fatsoenlijk besturingssysteem.
Zoals?

P.S graag goed bruikbare desktopbesturingssystenen waar geen ransomware voor bestaat
26-05-2016, 00:15 door [Account Verwijderd]
[Verwijderd]
26-05-2016, 09:23 door Erik van Straten
Gisteren [1] (2016-05-25 14:39:09 UTC: 14/57) maar ook vandaag [2] (2016-05-26 06:57:46 UTC: 17/56) is detectie nog beperkt.

Als de .wsf file als bestand op je schijf belandt is de kans dat deze gedetecteerd wordt, groter: vanochtend heel vroeg [3] (2016-05-26 00:01:32 UTC: 19/56) en nu ongewijzigd [4] (2016-05-26 07:07:21 UTC: 19/56).

Ik heb niet geprobeerd exemplaren van de feitelijke ransomware, die door deze Windows Script File wordt gedownload, zelf te downloaden, analyseren en bij VirusTotal aan te bieden. Dat kost me teveel tijd en bovendien vind ik dat, als je virusscanner uitvoerbare code (de .wsf file) niet herkent en uitvoeren daarvan toestaat, er al zoveel aan je systeem veranderd kan zijn -ook voordat de feitlijke ransomware wordt gedownload- dat je account, en als je met admin privileges werkt, je hele systeem, al niet meer betrouwbaar is.

Daarnaast is het de praktijk dat als je zo'n downloader op meerdere systemen en/of meerdere keren start, er iedere keer andere binaries gedownload (kunnen) worden. Het onderzoeken van 1 of enkele daarvan zegt dan niet zoveel.

[1] https://www.virustotal.com/en/file/1089fec7c634acf2f08cb2f14b5a478cab5ad2407cf2b5f93c5d2bc6f5b6950f/analysis/1464187149/
[2] https://www.virustotal.com/en/file/1089fec7c634acf2f08cb2f14b5a478cab5ad2407cf2b5f93c5d2bc6f5b6950f/analysis/1464245866/
[3] https://www.virustotal.com/en/file/198e431cba0e36d6e026b07e53c1a9490cb8a38a661f653550a31cbe86c3fdbe/analysis/1464220892/
[4] https://www.virustotal.com/en/file/198e431cba0e36d6e026b07e53c1a9490cb8a38a661f653550a31cbe86c3fdbe/analysis/1464246441/
26-05-2016, 09:42 door Anoniem
Door Anoniem:
Advies: check of de door jou gebruikte mailserver (voor het ontvangen van e-mail) zip-bijlagen met daarin .wsf files blokkeert, want detectie door virusscanners is nog uitgesproken mager: zojuist nog slechts 1/56 (alleen NANO-antivirus) [1].
Mijn advies aan Erik: gebruik geen Windows-rommel meer. Stap liever over op een fatsoenlijk besturingssysteem.

Alsjeblieft... we komen op dit forum om te information en te leren, niet om elkaars besturingssysteem af te blaffen. Iedereen heeft zijn redenen waarom hij welk OS kiest. Dit soort commentaar als die van jou horen hier niet thuis.

Een verbetering zou zijn:
"Ik zou voor het doen van [actie] niet adviseren om [OS] te gebruiken als dit niet noodzakelijk is, want [goede, gegronde, uitgelegde reden]"
26-05-2016, 12:06 door Anoniem
Gelukkig zit het veilig opgeborgen in een zip bestand in de bijlage, anders was het oppassen geblazen.
26-05-2016, 12:34 door Erik van Straten - Bijgewerkt: 04-06-2016, 08:52
25-05-2016, 19:32 door Anoniem (Harry): Ik ben erg benieuwd naar jouw uitleg hoe je dat wijzigt naar bijv. kladblok (notepad.exe) zodat er geen code wordt gestart maar de inhoud wordt getoond.

Eerder schreef ik hierover in [1] en noemde toen ook dat ik de oplossing in [2] nogal radicaal vind (mogelijk maak je daarmee ook Windows functionaliteit onbereikbaar).

Hoewel je deze wijizging veel eenvoudiger (zonder het register te bewerken) kunt uitvoeren voor jouw eigen account, vind ik het veiliger om dit meteen voor alle gebruikers te doen. Overigens kunnen individuele gebruikers dit dan wel weer wijzigen - maar alleen voor hun eigen account.

Nb. schrik niet van de lengte van deze bijdrage. Als je hiermee aan de slag gaat, zul je zien dat het allemaal best logisch is en niet veel tijd hoeft te kosten. Ik heb het geschreven voor mensen die het register nog niet kennen, maar wel weten hoe ze een programma, waar geen snelkoppeling van voorhanden is, moeten starten. De enigszins ervaren gebruiker dus.

TESTFILES
Zelf vind ik het handig om te testen hoe het systeem reageert voordat en nadat ik wijzigingen heb aangebracht. Zelf heb ik de volgende testfiles gebruikt:

veilig.js
WScript.Echo("Hello World!");

veilig.wsf
<?xml version="1.0"?><job><script language="JScript"><![CDATA[
WScript.Echo("Hello World!");
]]></script></job>

Als je die op jouw eigen systeem wilt opslaan:
1) start kladblok (notepad)
2) Selecteer de tekst in 1 van de bovenstaande grijze vlakken en kopieer deze naar klembord (clipboard)
3) Plak de tekst in kladblok (notepad)
4) Sla het bestand op in een map naar keuze onder de gegeven naam

Als je (op een standaard Windows PC) dubbelklikt op 1 van beide bestanden, zal een dialoogbox verschijnen met alleen een OK knop onderaan, en boven die knop de tekst Hello World!.

REGISTER
Omdat we wijzigingen in het register (registry) gaan maken, eerst beknopte uitleg daarover. Na het starten van regedit.exe zie je een raam (window) met 2 ruiten (panes), links en rechts, goed vergelijkbaar met verkenner.
De linker ruit bevat een hiërarchische structuur (springt steeds verder in) die linksbovenaan begint met "Computer" en daaronder een stel hyves:
- HKEY_CLASSES_ROOT (in de literatuur wordt deze vaak ingekort naar HKCR)
- HKEY_CURRENT_USER (in de literatuur wordt deze vaak ingekort naar HKCU)
- HKEY_LOCAL_MACHINE (in de literatuur wordt deze vaak ingekort naar HKLM)
- HKEY_USERS
- HKEY_CURRENT_CONFIG

Onder de hyves vind je sleutels (keys) die op hun beurt sub-sleutels (subkeys) kunnen bevatten.

Met aan de linkerkant een geselecteerde sleutel of subsleutel zie je rechts 0 of meer waardenamen (value names), een waardetype en waardedata (value data)

Dit kun je min of meer vergelijken met resp. een bestandsnaam, een bestandsextensie (type) en de inhoud, waarbij die inhoud vaak maar "1 ding" is. Nb. dit zit systeem werkt dus anders dan simpele key/value combinaties.

BACK-UPPEN
Voordat je systeemwijzigingen doorvoert is het zeer verstandig om een volledige back-up te maken. Hoewel ik niemand ken die dit doet bij relatief eenvoudige registerwijzigingen, ben je in elk geval gewaarschuwd.

Dringend advies: maak in elk geval back-ups van de registersleutels waaronder je wijzigingen doorvoert, dit kan door zo'n registersleutel te exporteren naar een bestand op je schijf.

Als je met een gewoon gebruikeraccount permissies hebt om een registersleutel met alles daaronder te kunnen lezen, dan heb je, voor het exporteren daarvan, geen admin rechten nodig (tricky kan zijn dat afwijkende permissies op een subkey ervoor kunnen zorgen dat je aanvullende privileges nodig hebt om die subkey überhaupt te kunnen zien, waardoor je mogelijkerwijs niet weet of je alles ziet en dus exporteert). Overigens zijn er ook registersleutels die je, zelfs met admin rechten, niet kunt openen. Dit probleem speelt nu niet, omdat onder de registersleutels die we hier gaan wijzigen, alles gelezen kan worden door alle gebruikers.

Belangrijk: een bestand, gemaakt door een sleutel te epxorteren, kun je eenvoudig weer importeren waarmee je (letterlijk) wijzigingen ongedaan maakt, maar niet eventuele toevoegingen. Aangezien we hier alleen gaan wijzigen, speelt dat geen rol.

STARTEN VAN REGEDIT
Voor het exporteren van de hier bedoelde registersleutels heb je geen adminrechten, een betere naam daarvoor vind ik adminprivileges, nodig. Het is verstandig om het beschikken over adminprivileges tot een minimum te beperken, om zo onbedoelde wijzigingen te voorkomen.

Helaas snapt niet iedereen bij Microsoft dit, want als je regedit met een admin account onder UAC (dus met verlaagde privileges) start, worden die privileges al tijdens het starten van regedit verhoogd. Als de "UAC slider" (schuif) op de bovenste stand staat, leidt dit tot een waarschuwing; anders niet; 2x stom.

REGISTERSLEUTELS EXPORTEREN
Ik beschrijf hieronder wijzigingen aan 2 registersleutels, ik stel voor dat je ze allebei exporteert. Zoals gezegd kan dit met een gewoon gebruikeraccount (je hebt geen adminrechten nodig).
1) Start regedit.exe
2) Zorg dat links HKEY_CLASSES_ROOT geopend is (subkeys zichtbaar zijn) en links iets geselecteerd is (het rechterdeel van het venster moet inactief zijn)
3) Tik de letters: jsf
4) Als het goed is, is nu links Computer\HKEY_CLASSES_ROOT\JSFile geselecteerd

Nb. dit "pad" zie je linksonderaan in regedit. In de literatuur wordt het begin, Computer\, vaak weggelaten, en wordt HKEY_CLASSES_ROOT vaak afgekort tot HKCR, waarmee de huidige locatie wordt: HKCR\JSFile. Netter vind ik het persoonlijk om achter zowel regedit keys als filesystem mapnamen een \ te schrijven ter onderscheid met waardes en bestanden; immers C:\ eindigt ook met \. Wat mij beteft hoort deze locatie dus te worden beschreven met HKCR\JSFile\.

5) Klik met de rechtermuistoets op JSFFile, kies Exporteren (Export), en sla het bestand op. Advies: sla het op met de naam 20160525_1138_HKCR_JSFFile.reg (dus beginnend met de actuele datum en tijd als JaarMaandDag_UrenMinuten).
6) Tik de letters: wsf
7) Als het goed is, is nu links HKCR\WSFFile\ geselecteerd
8) Klik met de rechtermuistoets op WSFFile, kies Exporteren (Export), en sla het bestand op. Advies: sla het op met de naam 20160525_1140_HKCR_WSFFile.reg.
Aanvulling 04-06-2016, 08:52: hierboven, bij 8), stond abusievelijk "JSFFile", dit moet natuurlijk "WSFFile" zijn en heb ik hierboven gecorrigeerd. Mijn excuses voor de verwarring!

REGISTER WIJZIGEN
1) Log in met een admin account (als je dat hierboven al deed kun je deze stap overslaan)
2) Start regedit.exe (als die al draaide kun je deze stap overslaan)
3) Zorg dat links HKEY_CLASSES_ROOT geopend is (subkeys zichtbaar zijn) en links iets geselecteerd is (het rechterdeel van het venster moet inactief zijn)
4) Tik de letters: jsf
5) Als het goed is, is nu links HKCR\JSFile\ geselecteerd
6) Scroll wat en open alle subkeys (door op de [+] te drukken)
7) Selecteer HKCR\JSFile\Shell\Open\Command\, dubbelklikrechts de waardenaam (Default) en wijzig de oude tekst:
C:\Windows\System32\WScript.exe "%1" %*
in:
C:\Windows\System32\Notepad.exe %1

LET OP: als Windows in een andere map en/of op een andere drive is geïnstalleerd, zal de oude tekst een ander pad tonen, dat je natuurlijk in de nieuwe waardedata moet overnemen! En dat geldt ook voor alle wijzigingen hieronder.

8) Selecteer HKCR\JSFile\Shell\Open2\Command\, dubbelklikrechts de waardenaam (Default) en wijzig de oude tekst:
C:\Windows\System32\CScript.exe "%1" %*
in:
C:\Windows\System32\Notepad.exe %1

9) Hiermee verangen we het getoonde icoon bij .js files door een kladblok icoon.
Selecteer HKCR\JSFile\DefaultIcon\, dubbelklikrechts de waardenaam (Default) en wijzig de oude tekst:
C:\Windows\System32\WScript.exe,3
in:
C:\Windows\System32\Notepad.exe,-2
Je kunt desgewenst ook naar een icoon uit een ander bestand wijzen, zoals "C:\Windows\system32\imageres.dll,-102" dat een alternatief icoon voor tekstfiles laat zien. Welke iconen daar allemaal in staan kun je zien door een snelkoppeling op je bureaublad aan te maken naar wat je maar wilt, dan van die snelkoppeling de eigenschappen te wijzigen, en dan te kiezen voor "Change Icon" (of de Nederlandse variant van die tekst).

10) Herlaal de stappen 7, 8 en 9 voor HKCR\WSFFile\.

Je kunt de wijzigingen ongedaan maken door, als admin, op de eerder opgeslagen (dat heb je wel gedaan hè?) .reg files te dubbel-klikken; die zullen dan worden ingelezen in het register, daarmee bovenstaande wijzigingen overschrijvend. Overigens kun je die .reg bestanden gewoon openen in kladblok, het zijn tekstbestanden.

Succes!

[1] https://www.security.nl/posting/468201/Microsoft+waarschuwt+voor+e-mails+met+JavaScript-bijlagen#posting468292
[2] https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
26-05-2016, 17:58 door [Account Verwijderd]
[Verwijderd]
26-05-2016, 20:43 door Erik van Straten - Bijgewerkt: 26-05-2016, 20:45
26-05-2016, 17:58 door Ageless:
Door Erik van Straten: P.S graag goed bruikbare desktopbesturingssystenen waar geen ransomware voor bestaat
http://www.techrepublic.com/article/os2-blue-lion-to-be-the-next-distro-of-the-28-year-old-os/
Arca Noae is developing a new full distribution of OS/2 that should ease the pain of upgrading or deploying the OS on modern hardware.

Arca Noae, an organization run by veterans of the OS/2 ecosystem, obtained a license from IBM to sell a new distribution of that OS, which at present is codenamed Blue Lion.

This new distribution will bundle Arca Noae's updated software package, which includes support for modern ACPI versions, USB 1.1 and 2.0, AHCI support needed for Serial ATA disks, the Panorama display driver, the Multimac driver suite for network cards (wireless support is forthcoming), and Uniaud, an ALSA-compatible sound driver. All of these are available now for existing OS/2 deployments, from Arca Noae, with discounts available for users who upgrade to Blue Lion.


According to Rosenthal, Q3 2016 is as fast as humanly possible to reach general availability, while not being half baked. He is also quick to note that this is not vaporware — a sizable upfront investment has been made in this product, the programmers are experienced, and the demand is substantial enough that IBM signed the contracts.

Idee? :)
Wow, USB2, SATA support, en, de klappppeeerrrrr van de week: wellicht binnenkort zelfs WiFi! Installatiemedia in de vorm van ponskaarten of ponstape?

Helaas, ik heb net mijn 3C503, ET4000, WDAC2540, 72-pins 16MB SIMM zonder parity (kostte destijds meer dan 1000 gulden), 486DX33 en 25-pins-seriële-muis-met-vervuild-balletje weggegooid.

In elk geval heb je wel humor...
27-05-2016, 13:08 door Anoniem
26-05-2016, 12:34 door Erik van Straten:
25-05-2016, 19:32 door Anoniem (Harry): Ik ben erg benieuwd naar jouw uitleg hoe je dat wijzigt naar bijv. kladblok (notepad.exe) zodat er geen code wordt gestart maar de inhoud wordt getoond.

Eerder schreef ik hierover in [1] en noemde toen ook dat ik de oplossing in [2] nogal radicaal vind (mogelijk maak je daarmee ook Windows functionaliteit onbereikbaar).

Hoewel je deze wijizging veel eenvoudiger (zonder het register te bewerken) kunt uitvoeren voor jouw eigen account, vind ik het veiliger om dit meteen voor alle gebruikers te doen. Overigens kunnen individuele gebruikers dit dan wel weer wijzigen - maar alleen voor hun eigen account.

Nb. schrik niet van de lengte van deze bijdrage. Als je hiermee aan de slag gaat, zul je zien dat het allemaal best logisch is en niet veel tijd hoeft te kosten. Ik heb het geschreven voor mensen die het register nog niet kennen, maar wel weten hoe ze een programma, waar geen snelkoppeling van voorhanden is, moeten starten. De enigszins ervaren gebruiker dus.

TESTFILES
Zelf vind ik het handig om te testen hoe het systeem reageert voordat en nadat ik wijzigingen heb aangebracht. Zelf heb ik de volgende testfiles gebruikt:

veilig.js
WScript.Echo("Hello World!");

veilig.wsf
<?xml version="1.0"?><job><script language="JScript"><![CDATA[
WScript.Echo("Hello World!");
]]></script></job>

Als je die op jouw eigen systeem wilt opslaan:
1) start kladblok (notepad)
2) Selecteer de tekst in 1 van de bovenstaande grijze vlakken en kopieer deze naar klembord (clipboard)
3) Plak de tekst in kladblok (notepad)
4) Sla het bestand op in een map naar keuze onder de gegeven naam

Als je (op een standaard Windows PC) dubbelklikt op 1 van beide bestanden, zal een dialoogbox verschijnen met alleen een OK knop onderaan, en boven die knop de tekst Hello World!.

REGISTER
Omdat we wijzigingen in het register (registry) gaan maken, eerst beknopte uitleg daarover. Na het starten van regedit.exe zie je een raam (window) met 2 ruiten (panes), links en rechts, goed vergelijkbaar met verkenner.
De linker ruit bevat een hiërarchische structuur (springt steeds verder in) die linksbovenaan begint met "Computer" en daaronder een stel hyves:
- HKEY_CLASSES_ROOT (in de literatuur wordt deze vaak ingekort naar HKCR)
- HKEY_CURRENT_USER (in de literatuur wordt deze vaak ingekort naar HKCU)
- HKEY_LOCAL_MACHINE (in de literatuur wordt deze vaak ingekort naar HKLM)
- HKEY_USERS
- HKEY_CURRENT_CONFIG

Onder de hyves vind je sleutels (keys) die op hun beurt sub-sleutels (subkeys) kunnen bevatten.

Met aan de linkerkant een geselecteerde sleutel of subsleutel zie je rechts 0 of meer waardenamen (value names), een waardetype en waardedata (value data)

Dit kun je min of meer vergelijken met resp. een bestandsnaam, een bestandsextensie (type) en de inhoud, waarbij die inhoud vaak maar "1 ding" is. Nb. dit zit systeem werkt dus anders dan simpele key/value combinaties.

BACK-UPPEN
Voordat je systeemwijzigingen doorvoert is het zeer verstandig om een volledige back-up te maken. Hoewel ik niemand ken die dit doet bij relatief eenvoudige registerwijzigingen, ben je in elk geval gewaarschuwd.

Dringend advies: maak in elk geval back-ups van de registersleutels waaronder je wijzigingen doorvoert, dit kan door zo'n registersleutel te exporteren naar een bestand op je schijf.

Als je met een gewoon gebruikeraccount permissies hebt om een registersleutel met alles daaronder te kunnen lezen, dan heb je, voor het exporteren daarvan, geen admin rechten nodig (tricky kan zijn dat afwijkende permissies op een subkey ervoor kunnen zorgen dat je aanvullende privileges nodig hebt om die subkey überhaupt te kunnen zien, waardoor je mogelijkerwijs niet weet of je alles ziet en dus exporteert). Overigens zijn er ook registersleutels die je, zelfs met admin rechten, niet kunt openen. Dit probleem speelt nu niet, omdat onder de registersleutels die we hier gaan wijzigen, alles gelezen kan worden door alle gebruikers.

Belangrijk: een bestand, gemaakt door een sleutel te epxorteren, kun je eenvoudig weer importeren waarmee je (letterlijk) wijzigingen ongedaan maakt, maar niet eventuele toevoegingen. Aangezien we hier alleen gaan wijzigen, speelt dat geen rol.

STARTEN VAN REGEDIT
Voor het exporteren van de hier bedoelde registersleutels heb je geen adminrechten, een betere naam daarvoor vind ik adminprivileges, nodig. Het is verstandig om het beschikken over adminprivileges tot een minimum te beperken, om zo onbedoelde wijzigingen te voorkomen.

Helaas snapt niet iedereen bij Microsoft dit, want als je regedit met een admin account onder UAC (dus met verlaagde privileges) start, worden die privileges al tijdens het starten van regedit verhoogd. Als de "UAC slider" (schuif) op de bovenste stand staat, leidt dit tot een waarschuwing; anders niet; 2x stom.

REGISTERSLEUTELS EXPORTEREN
Ik beschrijf hieronder wijzigingen aan 2 registersleutels, ik stel voor dat je ze allebei exporteert. Zoals gezegd kan dit met een gewoon gebruikeraccount (je hebt geen adminrechten nodig).
1) Start regedit.exe
2) Zorg dat links HKEY_CLASSES_ROOT geopend is (subkeys zichtbaar zijn) en links iets geselecteerd is (het rechterdeel van het venster moet inactief zijn)
3) Tik de letters: jsf
4) Als het goed is, is nu links Computer\HKEY_CLASSES_ROOT\JSFile geselecteerd

Nb. dit "pad" zie je linksonderaan in regedit. In de literatuur wordt het begin, Computer\, vaak weggelaten, en wordt HKEY_CLASSES_ROOT vaak afgekort tot HKCR, waarmee de huidige locatie wordt: HKCR\JSFile. Netter vind ik het persoonlijk om achter zowel regedit keys als filesystem mapnamen een \ te schrijven ter onderscheid met waardes en bestanden; immers C:\ eindigt ook met \. Wat mij beteft hoort deze locatie dus te worden beschreven met HKCR\JSFile\.

5) Klik met de rechtermuistoets op JSFFile, kies Exporteren (Export), en sla het bestand op. Advies: sla het op met de naam 20160525_1138_HKCR_JSFFile.reg (dus beginnend met de actuele datum en tijd als JaarMaandDag_UrenMinuten).
6) Tik de letters: wsf
7) Als het goed is, is nu links HKCR\WSFFile\ geselecteerd
8) Klik met de rechtermuistoets op JSFFile, kies Exporteren (Export), en sla het bestand op. Advies: sla het op met de naam 20160525_1140_HKCR_WSFFile.reg.

REGISTER WIJZIGEN
1) Log in met een admin account (als je dat hierboven al deed kun je deze stap overslaan)
2) Start regedit.exe (als die al draaide kun je deze stap overslaan)
3) Zorg dat links HKEY_CLASSES_ROOT geopend is (subkeys zichtbaar zijn) en links iets geselecteerd is (het rechterdeel van het venster moet inactief zijn)
4) Tik de letters: jsf
5) Als het goed is, is nu links HKCR\JSFile\ geselecteerd
6) Scroll wat en open alle subkeys (door op de [+] te drukken)
7) Selecteer HKCR\JSFile\Shell\Open\Command\, dubbelklikrechts de waardenaam (Default) en wijzig de oude tekst:
C:\Windows\System32\WScript.exe "%1" %*
in:
C:\Windows\System32\Notepad.exe %1

LET OP: als Windows in een andere map en/of op een andere drive is geïnstalleerd, zal de oude tekst een ander pad tonen, dat je natuurlijk in de nieuwe waardedata moet overnemen! En dat geldt ook voor alle wijzigingen hieronder.

8) Selecteer HKCR\JSFile\Shell\Open2\Command\, dubbelklikrechts de waardenaam (Default) en wijzig de oude tekst:
C:\Windows\System32\CScript.exe "%1" %*
in:
C:\Windows\System32\Notepad.exe %1

9) Hiermee verangen we het getoonde icoon bij .js files door een kladblok icoon.
Selecteer HKCR\JSFile\DefaultIcon\, dubbelklikrechts de waardenaam (Default) en wijzig de oude tekst:
C:\Windows\System32\WScript.exe,3
in:
C:\Windows\System32\Notepad.exe,-2
Je kunt desgewenst ook naar een icoon uit een ander bestand wijzen, zoals "C:\Windows\system32\imageres.dll,-102" dat een alternatief icoon voor tekstfiles laat zien. Welke iconen daar allemaal in staan kun je zien door een snelkoppeling op je bureaublad aan te maken naar wat je maar wilt, dan van die snelkoppeling de eigenschappen te wijzigen, en dan te kiezen voor "Change Icon" (of de Nederlandse variant van die tekst).

10) Herlaal de stappen 7, 8 en 9 voor HKCR\WSFFile\.

Je kunt de wijzigingen ongedaan maken door, als admin, op de eerder opgeslagen (dat heb je wel gedaan hè?) .reg files te dubbel-klikken; die zullen dan worden ingelezen in het register, daarmee bovenstaande wijzigingen overschrijvend. Overigens kun je die .reg bestanden gewoon openen in kladblok, het zijn tekstbestanden.

Succes!

[1] https://www.security.nl/posting/468201/Microsoft+waarschuwt+voor+e-mails+met+JavaScript-bijlagen#posting468292
[2] https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/

Oef, dat is een heel verhaal! Maar een erg duidelijk verhaal tevens! Erg veel dan hiervoor, Erik. Ik ben van plan om dit in het komende weekend op een rustig moment te gaan uitproberen En ik zal zeker, conform jouw beschrijving in het hoofdstuk 'REGISTERSLEUTELS EXPORTEREN', de .reg files opslaan.

Nog een enkele detail-vraag vanuit mijn positie van nauwkeurige lezer, voor wie deze actie aan de rand van zijn mogelijkheden (maar met jouw handleiding ook net binnen zijn bereik) ligt:

vraag 1: n.a.v. hoofdstuk 'REGISTERSLEUTELS EXPORTEREN' stap 5 en 8:
Worden de actuele datum en tijd als JaarMaandDag_UrenMinuten automatisch toegekend aan de naam van het bestand of moet ik die zelf met hand aan de naam van het bestand toekennen?

vraag 2: n.a.v. hoofdstuk 'REGISTERSLEUTELS EXPORTEREN' stap 8: hier staat ' op JSFFile';
Is dit misschien een verschrijving en had hier misschien ' op WSFFile' moeten staan?

vraag 3: n.a.v. hoofdstuk 'BACK-UPPEN' 'Voordat je systeemwijzigingen doorvoert is het zeer verstandig om een volledige back-up te maken.':
Hoe maak ik op een handige manier een volledige back-up?

vraag 4: n.a.v. hoofdstuk 'BACK-UPPEN' '.... relatief eenvoudige registerwijzigingen, ....':
Als ik het goed begrijp, dan hebben we hier te maken met 'relatief eenvoudige registerwijzigingen'. Heb ik dit inderdaad goed begrepen?

Ik kijk uit naar jouw antwoorden en ik zal je op de hoogte houden van mijn voortgang. Bij voorbaat veel dank.

Harry
27-05-2016, 15:56 door Erik van Straten
27-05-2016, 13:08 door Anoniem: Nog een enkele detail-vraag vanuit mijn positie van nauwkeurige lezer, voor wie deze actie aan de rand van zijn mogelijkheden (maar met jouw handleiding ook net binnen zijn bereik) ligt:

vraag 1: n.a.v. hoofdstuk 'REGISTERSLEUTELS EXPORTEREN' stap 5 en 8:
Worden de actuele datum en tijd als JaarMaandDag_UrenMinuten automatisch toegekend aan de naam van het bestand of moet ik die zelf met hand aan de naam van het bestand toekennen?
Regedit komt bij opslaan in de "file-save-dialog", uit mijn hoofd, met *.reg, de hele naam zul je dus zelf in moeten tikken (of deels copy/pasten).

Of je de datum/tijd vóór de sleutelnaam zet, is een keuze; andersom kan natuurlijk ook (als je een andere groepering wilt). Van die JJJJMMDD notatie ben ik wel een heel grote fan, wie ooit dag-maand-jaar bedacht heeft, of nog gekker, maand-dag-jaar (een enkeling presteert zelfs JJDDMM). Waarom schrijven we de tijd wel in een logische volgorde, maar datum niet?

Door de door mij voorgestelde naamgeving staan bestanden (als je ze op naam sorteert) in chronologische volgorde (en bij identieke datum en tijd, daarna op sleutelnaam) gesorteerd. Vooral met een tool als Total Commander werkt dat erg plezierig als je veel bestanden moet managen.

27-05-2016, 13:08 door Anoniem: vraag 2: n.a.v. hoofdstuk 'REGISTERSLEUTELS EXPORTEREN' stap 8: hier staat ' op JSFFile';
Is dit misschien een verschrijving en had hier misschien ' op WSFFile' moeten staan?
Nee, de meeste ransomware mails die ik op dit moment ontvang bestaan nog uit een zip file met daarin 1 of 3 .js files. Overigens bestaan WSH files vaak gewoon uit javascript met een XML wrappertje erom, zoals je kunt zien in het voorbeeld.

27-05-2016, 13:08 door Anoniem: vraag 3: n.a.v. hoofdstuk 'BACK-UPPEN' 'Voordat je systeemwijzigingen doorvoert is het zeer verstandig om een volledige back-up te maken.':
Hoe maak ik op een handige manier een volledige back-up?
Sja. Met een goed backupprogramma kan dat.

Zelf ben ik lekker eigenwijs en doe dat anders. Als ik heel wilde dingen van plan ben wil ik wel eens een schijf sector voor sector kopiëren naar een minstens even grote schijf, maar dat zullen niet veel mensen doen. Omdat ik niet als admin werk maak ik me eigenlijk nooit zorgen om mijn C: schijf (daar heb ik bijna nergens schrijfrechten, kan dus ook niks belangrijks staan). Als dat een keer echt in de soep loopt (maar dat is me nog nooit gebeurd), installeer ik wel opnieuw.

Belangrijke bestanden op andere partities (feitelijk 1 grote partitie met submappen D,E,F etc. waar ik met subst drive-letters van maak) synchroniseer ik (met een zelf geschreven tool) naar enkele externe harddisks als back-up.

27-05-2016, 13:08 door Anoniem: vraag 4: n.a.v. hoofdstuk 'BACK-UPPEN' '.... relatief eenvoudige registerwijzigingen, ....':
Als ik het goed begrijp, dan hebben we hier te maken met 'relatief eenvoudige registerwijzigingen'. Heb ik dit inderdaad goed begrepen?
Ja, het gaat hier om leesbare tekst (geen binaire data), geen gedoe met permissies en omdat je juist functionaliteit uit wilt schakelen is de kans, dat je wat fout doet, niet zo groot.

27-05-2016, 13:08 door Anoniem: Ik kijk uit naar jouw antwoorden en ik zal je op de hoogte houden van mijn voortgang. Bij voorbaat veel dank.
Dank voor de lovende woorden en veel succes gewenst!
31-05-2016, 19:57 door Anoniem
27-05-2016, 15:56 door Erik van Straten

Erik, even om je op de hoogte te houden: het rustige moment om e.e.a. uit te gaan voeren heeft zich nog niet aangediend. Maar zodra er voortgang te melden is zal ik je informeren. Dank voor jouw succes-wens.
Harry
31-05-2016, 20:45 door Erik van Straten
Door Anoniem: 27-05-2016, 15:56 door Erik van Straten

Erik, even om je op de hoogte te houden: het rustige moment om e.e.a. uit te gaan voeren heeft zich nog niet aangediend. Maar zodra er voortgang te melden is zal ik je informeren. Dank voor jouw succes-wens.
Harry
Dank voor de terugkoppeling! Wat je doet heeft geen haast voor mij. Ik grijp dit soort gebeurtenissen vooral aan om voor mijzelf dit soort beveiligingsinstellingen goed te beargumenteren en te documenteren; uit ervaring weet ik dat ik daar later zelf vaak op teruggrijp. En, hoe meer mensen daarvan profiteren, hoe beter natuurlijk.
01-06-2016, 09:41 door Anoniem
In plaats van die hele lange beschrijving en al die ingewikkelde handelingen, zou je ook het volgende commando uit kunnen voeren:

assoc .wsf=txtfile

Voilá, .wsf files worden nu ook standaard geopend door notepad.
01-06-2016, 10:25 door Erik van Straten
01-06-2016, 09:41 door Anoniem: In plaats van die hele lange beschrijving en al die ingewikkelde handelingen, zou je ook het volgende commando uit kunnen voeren:

assoc .wsf=txtfile

Voilá, .wsf files worden nu ook standaard geopend door notepad.
Maar alleen in jouw huidige account.

26-05-2016, 12:34 door Erik van Straten:
25-05-2016, 19:32 door Anoniem (Harry): Ik ben erg benieuwd naar jouw uitleg hoe je dat wijzigt naar bijv. kladblok (notepad.exe) zodat er geen code wordt gestart maar de inhoud wordt getoond.

Eerder schreef ik hierover in [1] en noemde toen ook dat ik de oplossing in [2] nogal radicaal vind (mogelijk maak je daarmee ook Windows functionaliteit onbereikbaar).

Hoewel je deze wijizging veel eenvoudiger (zonder het register te bewerken) kunt uitvoeren voor jouw eigen account, vind ik het veiliger om dit meteen voor alle gebruikers te doen. Overigens kunnen individuele gebruikers dit dan wel weer wijzigen - maar alleen voor hun eigen account.
[...]
01-06-2016, 12:33 door Anoniem
WSF?

Vage mails met onbekende extensies....

Kwestie van niet openen en weggooien, niks om je druk over te maken.
03-06-2016, 22:35 door Anoniem
Door Erik van Straten:
Door Anoniem: 27-05-2016, 15:56 door Erik van Straten

Erik, even om je op de hoogte te houden: het rustige moment om e.e.a. uit te gaan voeren heeft zich nog niet aangediend. Maar zodra er voortgang te melden is zal ik je informeren. Dank voor jouw succes-wens.
Harry
Dank voor de terugkoppeling! Wat je doet heeft geen haast voor mij. Ik grijp dit soort gebeurtenissen vooral aan om voor mijzelf dit soort beveiligingsinstellingen goed te beargumenteren en te documenteren; uit ervaring weet ik dat ik daar later zelf vaak op teruggrijp. En, hoe meer mensen daarvan profiteren, hoe beter natuurlijk.

Erik, ik heb in mijn Windows 8.1 een begin gemaakt met de aanpassingen die jij op 26-5-2016 12:34 beschreven hebt. Ik zal hieronder mijn ervaringen beknopt weergeven. Je zult zien, dat ik ook nog enkele vragen heb.

TESTFILES aanmaken, opslaan en uitvoeren verliep prima.


Bij “REGISTERSLEUTELS EXPORTEREN” liep ik tegen enkele kleine verrassingen aan. En omdat ik niet vertrouwd ben met het register en het aanpassen ervan, ben ik erg terughoudend met het uitproberen van zaken die mij niet 100% duidelijk zijn. Daarom de volgende beschrijving van wat ik heb gedaan en heb aangetroffen .

Stap 1 verliep prima.

Stap 2 van “REGISTERSLEUTELS EXPORTEREN”:
HKEY_CLASSES_ROOT is geopend en subkeys zijn zichtbaar.
Ik klik daarna met de linker muisknop op .123”, en ik zie rechts “ab(Standaard) REG_SZ (geen waarde ingesteld)”.
Maar wat bedoel je met “het rechterdeel van het venster moet inactief zijn”?

Stap 3 en 4:
Wanneer ik daarna in stap 3 de letters “jsf” tik, dan springt de cursor eerst naar JavaScript, dan naar SAPI en dan naar FaultrepDataCollectionInProc.
Kun je dit verklaren? Doe ik iets fout?

Wanneer ik, in plaats van “jsf” in te tikken, in HKEY_CLASSES_ROOT naar beneden scroll, dan zie ik een JSFile.
Wanneer ik met de linker muisknop op JSFile klik, dan is links Computer\HKEY_CLASSES_ROOT\ JSFile geselecteerd (dit "pad" zie ik linksonderaan in regedit) en verschijnt in de rechterruit o.a. “ab(Standaard) REG_SZ JavaScript File”.
Is dit de file die we in stap 5 nodig hebben? Graag jouw bevestiging of ontkenning.

Stap 6 geeft een vergelijkbaar resultaat als bij stap 3 hierboven.
Wanneer ik, in plaats van “wsf” in te tikken, in HKEY_CLASSES_ROOT naar beneden scroll, dan zie ik een WSFFile.
Wanneer ik met de linker muisknop op WSFFile (niet op JSFILE, zoals, waarschijnlijk abusievelijk, in stap 8 beschreven staat) klik, dan is links Computer\HKEY_CLASSES_ROOT\ WSFFile geselecteerd (dit "pad" zie ik linksonderaan in regedit) en verschijnt in de rechterruit o.a. “ab(Standaard) REG_EXPAND_SZ Windows Script File”.
Is dit de file die we in stap 8 nodig hebben? Graag jouw bevestiging of ontkenning.

Het exporteren (stap 5 en 8) heb ik nog niet uitgevoerd.


Ook het REGISTER WIJZIGEN heb ik nog niet uitgevoerd. Maar ik heb wel gekeken of ik door te scrollen de verschillende (sub)keys kon vinden; dit is gelukt (stap 6).

In stap 7 heb ik HKCR\JSFile\Shell\Open\Command\ geselecteerd en vervolgens met rechts op “ab (Standaard)” geklikt; enkel klik en dubbel klik gaven hier hetzelfde pull down menu:
Aanpassen
Binaire gegevens aanpassen …
Verwijderen
Naam Wijzigen
Ik denk dat ik hier moet kiezen voor “Aanpassen”. Graag jouw bevestiging of ontkenning.


Erik, als mijn aannames door jou correct worden bevonden, dan moet ik in staat zijn om alles succesvol uit te voeren. Ik kijk uit naar jouw reactie (op het moment dat het jou uitkomt).

Bij voorbaat veel dank.
Harry
04-06-2016, 09:37 door Erik van Straten
03-06-2016, 22:35 door Anoniem (Harry): Stap 2 van “REGISTERSLEUTELS EXPORTEREN”:
HKEY_CLASSES_ROOT is geopend en subkeys zijn zichtbaar.
Ik klik daarna met de linker muisknop op .123”, en ik zie rechts “ab(Standaard) REG_SZ (geen waarde ingesteld)”.
Maar wat bedoel je met “het rechterdeel van het venster moet inactief zijn”?
Goed dat je alles wat je niet precies begrijpt, zo nauwkeurig beschrijft - deed iedereen met computervragen en/of problemen dat maar!

Regedit werkt ongeveer net zo als verkenner (indien deze zo is ingesteld dat je links de boomstructuur van mappen ziet). Daarbij is ofwel de linkerruit, ofwel de rechterruit actief (het "glasdeel" bedoel ik. Microsoft noemt "het buitending" een "Window" en een "binnending" wordt "pane" genoemd, de vertaling van Window naar Venster is mogelijk wat ongelukkig omdat sommigen "venster" eerder met "ruit" dan met "raam" (inclusief kozijn) associëren - maar dat terzijde).

Ik schreef het krom maar bedoelde dat de linkerruit actief moet zijn, anders gaan toetsaanslagen niet naar dat deel en heeft het intikken van letters (voor snel zoeken, i.p.v. scrollen en met je ogen zoeken) geen zin.

03-06-2016, 22:35 door Anoniem (Harry): Stap 3 en 4:
Wanneer ik daarna in stap 3 de letters “jsf” tik, dan springt de cursor eerst naar JavaScript, dan naar SAPI en dan naar FaultrepDataCollectionInProc.
Kun je dit verklaren? Doe ik iets fout?
Ik vermoed dat niet de linkerruit geselecteerd was.

03-06-2016, 22:35 door Anoniem (Harry): Wanneer ik, in plaats van “jsf” in te tikken, in HKEY_CLASSES_ROOT naar beneden scroll, dan zie ik een JSFile.
Wanneer ik met de linker muisknop op JSFile klik, dan is links Computer\HKEY_CLASSES_ROOT\ JSFile geselecteerd (dit "pad" zie ik linksonderaan in regedit) en verschijnt in de rechterruit o.a. “ab(Standaard) REG_SZ JavaScript File”.
Is dit de file die we in stap 5 nodig hebben? Graag jouw bevestiging of ontkenning.
Ja, die key bedoel ik.

03-06-2016, 22:35 door Anoniem (Harry): Stap 6 geeft een vergelijkbaar resultaat als bij stap 3 hierboven.
Wanneer ik, in plaats van “wsf” in te tikken, in HKEY_CLASSES_ROOT naar beneden scroll, dan zie ik een WSFFile.
Wanneer ik met de linker muisknop op WSFFile (niet op JSFILE, zoals, waarschijnlijk abusievelijk, in stap 8 beschreven staat)
Goed dat je dit opmerkt, ik heb het in mijn bijdrage gecorrigeerd.

03-06-2016, 22:35 door Anoniem (Harry): klik, dan is links Computer\HKEY_CLASSES_ROOT\ WSFFile geselecteerd (dit "pad" zie ik linksonderaan in regedit) en verschijnt in de rechterruit o.a. “ab(Standaard) REG_EXPAND_SZ Windows Script File”.
Is dit de file die we in stap 8 nodig hebben? Graag jouw bevestiging of ontkenning.
Dat is inderdaad de key die we nodig hebben.

03-06-2016, 22:35 door Anoniem (Harry): Het exporteren (stap 5 en 8) heb ik nog niet uitgevoerd.
Dat moet nu lukken denk ik!

03-06-2016, 22:35 door Anoniem (Harry): In stap 7 heb ik HKCR\JSFile\Shell\Open\Command\ geselecteerd en vervolgens met rechts op “ab (Standaard)” geklikt; enkel klik en dubbel klik gaven hier hetzelfde pull down menu:
Aanpassen
Binaire gegevens aanpassen …
Verwijderen
Naam Wijzigen
Ik denk dat ik hier moet kiezen voor “Aanpassen”. Graag jouw bevestiging of ontkenning.
Klopt, je wilt de waarde (value) van de geselecteerde "waardenaam" (value name) wijzigen. Overigens kun je (uit mij hoofd) door met de linker muisknop te dubbelklikken op die waardenaam, of als de waardenaam is geselecteerd, op de Enter knop te drukken, meteen de waarde wijzigen (of aanpassen, zoals de NL regedit dit kennelijk noemt).

03-06-2016, 22:35 door Anoniem (Harry): Erik, als mijn aannames door jou correct worden bevonden, dan moet ik in staat zijn om alles succesvol uit te voeren. Ik kijk uit naar jouw reactie (op het moment dat het jou uitkomt).
Veel succes!

P.S. veel ervaren computeraars hebben er moeite mee om zich te verplaatsen in minder ervaren gebruikers, en dat geldt ook voor mij. Maar persoonlijk vind ik het heel belangrijk dat ik mij wel in hun denkwijze verdiep (en blijf verdiepen) en in staat ben hen wat bij te brengen; uiteindelijk krijgen we daar een veiliger internet mee. Ik voel er niets voor om een hautaine BOFH te worden (zie Google als je niet weet wat BOFH betekent) door het al heel snel op te geven, of erger, mensen met half- of geheel niet werkende oplossingen af te schepen.

Dus nogmaals dank voor jouw verhelderende vragen, ik hoop dat mijn antwoorden net zo verhelderend zijn!
04-06-2016, 10:54 door Anoniem
Door Anoniem:
Stap 3 en 4:
Wanneer ik daarna in stap 3 de letters “jsf” tik, dan springt de cursor eerst naar JavaScript, dan naar SAPI en dan naar FaultrepDataCollectionInProc.
Kun je dit verklaren? Doe ik iets fout?

Klinkt alsof je te langzaam typt.

--
b.
04-06-2016, 21:16 door Erik van Straten
04-06-2016, 10:54 door Anoniem:
Door Anoniem:
Stap 3 en 4:
Wanneer ik daarna in stap 3 de letters “jsf” tik, dan springt de cursor eerst naar JavaScript, dan naar SAPI en dan naar FaultrepDataCollectionInProc.
Kun je dit verklaren? Doe ik iets fout?

Klinkt alsof je te langzaam typt.

--
b.
Daar heb ik niet aan gedacht (ik heb nooit een typcursus gedaan en gebruik ongetwijfeld te weinig vingers maar ik tik daarmee wel snel).

Dank voor jouw, vermoedelijk spot on, bijdrage!
14-06-2016, 15:50 door Anoniem
Door Erik van Straten:
04-06-2016, 10:54 door Anoniem:
Door Anoniem:
Stap 3 en 4:
Wanneer ik daarna in stap 3 de letters “jsf” tik, dan springt de cursor eerst naar JavaScript, dan naar SAPI en dan naar FaultrepDataCollectionInProc.
Kun je dit verklaren? Doe ik iets fout?

Klinkt alsof je te langzaam typt.

--
b.
Daar heb ik niet aan gedacht (ik heb nooit een typcursus gedaan en gebruik ongetwijfeld te weinig vingers maar ik tik daarmee wel snel).

Dank voor jouw, vermoedelijk spot on, bijdrage!

Te langzaam typen is inderdaad de oorzaak. Door sneller te typen deed het 'probleem' zich niet meer voor. Hartelijk dank voor het advies
Harry
14-06-2016, 15:55 door Anoniem
Door Erik van Straten:
03-06-2016, 22:35 door Anoniem (Harry): Stap 2 van “REGISTERSLEUTELS EXPORTEREN”:
HKEY_CLASSES_ROOT is geopend en subkeys zijn zichtbaar.
Ik klik daarna met de linker muisknop op .123”, en ik zie rechts “ab(Standaard) REG_SZ (geen waarde ingesteld)”.
Maar wat bedoel je met “het rechterdeel van het venster moet inactief zijn”?
Goed dat je alles wat je niet precies begrijpt, zo nauwkeurig beschrijft - deed iedereen met computervragen en/of problemen dat maar!

Regedit werkt ongeveer net zo als verkenner (indien deze zo is ingesteld dat je links de boomstructuur van mappen ziet). Daarbij is ofwel de linkerruit, ofwel de rechterruit actief (het "glasdeel" bedoel ik. Microsoft noemt "het buitending" een "Window" en een "binnending" wordt "pane" genoemd, de vertaling van Window naar Venster is mogelijk wat ongelukkig omdat sommigen "venster" eerder met "ruit" dan met "raam" (inclusief kozijn) associëren - maar dat terzijde).

Ik schreef het krom maar bedoelde dat de linkerruit actief moet zijn, anders gaan toetsaanslagen niet naar dat deel en heeft het intikken van letters (voor snel zoeken, i.p.v. scrollen en met je ogen zoeken) geen zin.

03-06-2016, 22:35 door Anoniem (Harry): Stap 3 en 4:
Wanneer ik daarna in stap 3 de letters “jsf” tik, dan springt de cursor eerst naar JavaScript, dan naar SAPI en dan naar FaultrepDataCollectionInProc.
Kun je dit verklaren? Doe ik iets fout?
Ik vermoed dat niet de linkerruit geselecteerd was.

03-06-2016, 22:35 door Anoniem (Harry): Wanneer ik, in plaats van “jsf” in te tikken, in HKEY_CLASSES_ROOT naar beneden scroll, dan zie ik een JSFile.
Wanneer ik met de linker muisknop op JSFile klik, dan is links Computer\HKEY_CLASSES_ROOT\ JSFile geselecteerd (dit "pad" zie ik linksonderaan in regedit) en verschijnt in de rechterruit o.a. “ab(Standaard) REG_SZ JavaScript File”.
Is dit de file die we in stap 5 nodig hebben? Graag jouw bevestiging of ontkenning.
Ja, die key bedoel ik.

03-06-2016, 22:35 door Anoniem (Harry): Stap 6 geeft een vergelijkbaar resultaat als bij stap 3 hierboven.
Wanneer ik, in plaats van “wsf” in te tikken, in HKEY_CLASSES_ROOT naar beneden scroll, dan zie ik een WSFFile.
Wanneer ik met de linker muisknop op WSFFile (niet op JSFILE, zoals, waarschijnlijk abusievelijk, in stap 8 beschreven staat)
Goed dat je dit opmerkt, ik heb het in mijn bijdrage gecorrigeerd.

03-06-2016, 22:35 door Anoniem (Harry): klik, dan is links Computer\HKEY_CLASSES_ROOT\ WSFFile geselecteerd (dit "pad" zie ik linksonderaan in regedit) en verschijnt in de rechterruit o.a. “ab(Standaard) REG_EXPAND_SZ Windows Script File”.
Is dit de file die we in stap 8 nodig hebben? Graag jouw bevestiging of ontkenning.
Dat is inderdaad de key die we nodig hebben.

03-06-2016, 22:35 door Anoniem (Harry): Het exporteren (stap 5 en 8) heb ik nog niet uitgevoerd.
Dat moet nu lukken denk ik!

03-06-2016, 22:35 door Anoniem (Harry): In stap 7 heb ik HKCR\JSFile\Shell\Open\Command\ geselecteerd en vervolgens met rechts op “ab (Standaard)” geklikt; enkel klik en dubbel klik gaven hier hetzelfde pull down menu:
Aanpassen
Binaire gegevens aanpassen …
Verwijderen
Naam Wijzigen
Ik denk dat ik hier moet kiezen voor “Aanpassen”. Graag jouw bevestiging of ontkenning.
Klopt, je wilt de waarde (value) van de geselecteerde "waardenaam" (value name) wijzigen. Overigens kun je (uit mij hoofd) door met de linker muisknop te dubbelklikken op die waardenaam, of als de waardenaam is geselecteerd, op de Enter knop te drukken, meteen de waarde wijzigen (of aanpassen, zoals de NL regedit dit kennelijk noemt).

03-06-2016, 22:35 door Anoniem (Harry): Erik, als mijn aannames door jou correct worden bevonden, dan moet ik in staat zijn om alles succesvol uit te voeren. Ik kijk uit naar jouw reactie (op het moment dat het jou uitkomt).
Veel succes!

P.S. veel ervaren computeraars hebben er moeite mee om zich te verplaatsen in minder ervaren gebruikers, en dat geldt ook voor mij. Maar persoonlijk vind ik het heel belangrijk dat ik mij wel in hun denkwijze verdiep (en blijf verdiepen) en in staat ben hen wat bij te brengen; uiteindelijk krijgen we daar een veiliger internet mee. Ik voel er niets voor om een hautaine BOFH te worden (zie Google als je niet weet wat BOFH betekent) door het al heel snel op te geven, of erger, mensen met half- of geheel niet werkende oplossingen af te schepen.

Dus nogmaals dank voor jouw verhelderende vragen, ik hoop dat mijn antwoorden net zo verhelderend zijn!

Erik, door tijdsgebrek heeft de uitvoering even op zich laten wachten. Maar ik heb alles nu probleemloos uitgevoerd. Nogmaals veel dank.

Harry
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.