Bericht 1 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Pimmetje | Datum | : | 19-09-2004 |
| Aan | : | Allen | MsgID | : | 1599.1 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Hallo allemaal,
Vanmorgen was ik weer eens aan het rondneuzen op de PPC. Ik heb voor 2 gwone gebruiksters eens runhunt laten draaien.
1. ik zie bij beide en dat zal vast ook voor de andere 2 gebruiksters gelden, bij HKCU/software/... ctfmon.exe en swchost.exe. Er staat me iets van bij, dat die 2 niet echt nodig zijn bij het opstarten en kunnen dus verwijderd worden. Klopt dat?
2. Spybot is op dat systeem geinstalleerd. Ik zie in de runhuntlijst van de beheerder (ben ik dus, zei de gek) wel teatimer voorkomen, maar in die van de gebruiksters niet. Is er iets fout, niet goed ingesteld, of hoort dat zo? Ik zie nl. ook niet de pictogram van teatimer in de taakblak indien ik inlog als gebruikster. Is de machine niet beveiligd als een gewone gebruiker inlogt?
Groetjes
Pim
Bericht 2 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 19-09-2004 |
| Aan | : | Pimmetje | MsgID | : | 1599.2 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Dag Pim,
Ctfmon.exe is het resultaat van een standaard installatie van Office XP. Het is de ondersteuning voor de zogenaamde "alternatieve gebruikersinvoer". Je kan het wegvinken als je in het configuratiescherm ondersteuning voor tekst en spraakservices (of termen van gelijke strekking) hebt uitgezet. Niet te verwarren met Ctfmon.dll, wat het Mydoom virus is.
Swchost.exe (*deze* spelling) is een ettertje. Er zijn meerdere varianten, welke door Norton AV herkend zouden moeten worden. Acties zijn ondermeer: wachtwoorden stelen, hackers toegang verlenen (backdoor).
Zou eenvoudig met de hand te verwijderen moeten zijn, door in veilige mode te starten en het ding te wissen. Verzeker je ervan dat het gaat om het bestand Swchost in de map windows, en niet Svchost in de map windows/system32.
Kijk de pc ook na op de aanwezighied van Svohost.exe en sloop die indien gevonden.
De beste methode is echter een goede virusscanner de gehele pc laten doorzoeken, want zoals gezegd er zijn een aantal varianten, die ook nog andere bestandsnamen genereren.
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 3 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Pimmetje | Datum | : | 19-09-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1599.3 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Hi Michel,
SWchost, svchost??
Typo, ik moet nog eens goed gaan kijken, doe ik vanmiddag wel.
Ik gebruik trouwens antivir en die heeft na enkele malen scannen nog niets ondeugends op dat systeem gevonden.
Maar belangrijker vond ik mijn vraagje over spybot. Heb je daar nog een antwoord op?
Groetjes
Pim
Bericht 4 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Pimmetje | Datum | : | 19-09-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1599.4 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Hi Michel,
In tweede instantie.
Heb ff met F3 op het systeem naar "swchost.*" gezocht en vond het volgende:
swchost.exe in c:\windows\system32
en !!
SWCHOST.EXE.VIR in c:\program files\AVpersonal\INFECTED
Moet ik nu blij zijn, of .....
Groetjes
Pim
Bericht 5 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 20-09-2004 |
| Aan | : | Pimmetje | MsgID | : | 1599.5 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Dag Pim,
Stel die TeaTimer optie even in als je als de gebruiker in kwestie bent ingelogd.
De Teatimer komt in de Curent user run key, en dus moet je dat per gebruiker instellen.
Ik ken dat Antivir niet, maar zo te lezen staat er al een versie in quarantaine (vreemd dat dat programma zijn eigen quarantaine doorleest..). Die versie in system32 lijkt mij dus nog steeds aanwezig. Start antivir even in Veilige mode, en kijk of je zo dat kreng van een trojan/virus om kroosjes kan krijgen.
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 6 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Pimmetje | Datum | : | 20-09-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1599.6 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Hi Michel,
>>Stel die TeaTimer optie even in als je als de gebruiker<<
Aiii, dat is een streep door de (mijn) rekening. Ik ben er van uit gegaan, dat dat soort programma's altijd systeem-breed worden geinstalleerd en ook geactiveerd. En dat zou toch ook moeten, toch? Antivir wordt wel per gebruiker geactiveerd, maarre... Is dat zo moeilijk dan? Ik wil ook bv. liever niet, dat de gewone gebruiker een pictogram op de desktop heeft staan met die specifieke programma's. Hebben ze niets mee te maken, is iets voor de beheerder van een systeem. Die programmatuur moet stilletjes op de achtergrond zijn/haar werk doen. Iets anders, mbt Spybot. Jij hebt de maker ooit een keer gemeeld over teatimer en gewone gebruiker, die geen melding moet krijgen bij register-wijziging, maar gewoon geblokkeerd moet worden. Zou in een volgende versie worden aangepast, schreef jij toen. Is dat al gebeurd?
Groetjes
Pim
Bericht 7 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 20-09-2004 |
| Aan | : | Pimmetje | MsgID | : | 1599.7 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
>> Ik ben er van uit gegaan, dat dat soort programma's altijd systeem-breed worden geinstalleerd en ook geactiveerd. En dat zou toch ook moeten, toch? <<
Dag Pim,
Wat Spybot betreft, ja en nee:
Spybot zelf wordt system wide genstalleerd, net als de meeste programma's. Dat geldt ook voor de ingebouwde opties als Hosts-file aanpassing (er is maar n hosts file per computer), en SdHelper.dll, een browser helper object (BHO) die toegang vanaf internet voor veel spyware blokkeert. (BHO's zijn aan de browser zelf gekoppeld). Maar TeaTimer is een uitzondering. Het is een zelfstandig tooltje dat veranderingen aan de opstartlocaties en bepaalde registerwaarden detecteert en tegenhoudt. Dat tooltje kan in principe op alle mogelijke manieren gestart worden:
Met de hand,
Via de groep opstarten
Via Gpedit of een registry key in HKeyLocalMachine, of HkeyCurrentUser
Patrick heeft ervoor gekozen de standaard opstart via HKCU te laten lopen, zodat er per gebruiker bepaald kan worden of het tooltje al dan niet zinnig/lastig is. Niets houdt jou tegen TT aan te roepen via een snelkoppeling in het menu Opstarten, of systeembreed via het register.
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 8 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Pimmetje | Datum | : | 20-09-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1599.8 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Hi Michel,
>>het tooltje al dan niet zinnig/lastig is<<
Uhhhhh?
Nogmaals, ik ga (ging) ervan uit, dat software installeren, aanpassingen aan het register, enz. alleen voorbehouden is en was aan de beheerder van een systeem en niet aan de gewone gebruiker en nu gaat Patrick ervan uit, dat ook een gewone gebruiker dingen kan laten geburen, die eigenlijk verboden zijn. Of zie ik dat dan allemaal verkeerd?
Groetjes
Pim
Bericht 9 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 20-09-2004 |
| Aan | : | Pimmetje | MsgID | : | 1599.9 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Dag Pim,
>> nu gaat Patrick ervan uit, dat ook een gewone gebruiker dingen kan laten geburen, die eigenlijk verboden zijn. <<
Nee, dat zie je m.i. toch een beetje eenzijdig.
Alhoewel het aanbevolen wordt dat er per pc slechts n account is met beheerdersrechten, houdt niemand je tegen om op een pc iedere account beheerdersrechten te geven. Sterker, standaard is dat ook zo tenzij je die rechten expliciet afneemt. Het is tenslotte MS software en geen Novell of zo.
Dus zijn er in de wereld heel wat pc's met een paar beheerders. Soms is dat ook met opzet zo, omdat de rechtenbeperking soms ook erg lastig kan zijn. Een kwestie van keuze's maken. Wil je meer veiligheid, dan zal je inderdaad de rechten van de "gewone" gebruiker moeten beperken. Veel mensen hebben echter geen weet van rechten, en die voegen dan via die handige muisklikjes de kid's en mama toe, zonder iets in te stellen.
Patrick gaat dus van alle mogelijke situaties uit, en wil niet priori iedere gebruikersaccount opzadelen met die soms wat erg technische TeaTimer. Op deze wijze heb je als beheerder altijd nog de keuze het tooltje ook bij andere accounts te activeren.
Dat is wat extra werk, maar het leven van een beheerder gaat toch al lang niet altijd over rozen. <G>
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 10 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Pimmetje | Datum | : | 21-09-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1599.10 |
| Onderwerp | : | spybot/runhunter | Forum | : | ws-nlcomputer |
Hi Michel,
>>het leven van een beheerder gaat toch al lang niet altijd over rozen<<
Ik heb altijd gedacht, dat jij daar een (dikke) boterham aan over hield<g>. Dus wat moet je nou met rozen?
Maar in ieder geval weer bedankt, weer iets duidelijk.
Groetjes
Pim
