Bericht 1 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | GAEANL | Datum | : | 26-04-2007 |
| Aan | : | Allen | MsgID | : | 3358.1 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Vervolg op eerder bericht over een Trojan Horse/Spyworks.
Heb het programma Spyhunter gekocht en gedraaid. Dat vond 89 nare dingen, vooral registry keys, ook 4 corrupted files, ofwel files die er niet moesten zijn. Die werden keurig opgeruimd. Maar het probleem is niet weg. Enkele files van Windows (ook een backup copie daarvan?) zijn nog steeds besmet en Spyhunter kan daar niets aan doen. Ik het juist te denken dat ik Windows opnieuw moet installeren en eerst alles verwijderen? AVG7 (alleen de gratis virus beveiliging) toont deze Trojan Horses en kan er ook nets mee aan.
Rien Nederlof
Bericht 2 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 27-04-2007 |
| Aan | : | GAEANL | MsgID | : | 3358.2 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Rien,
>> Ik het juist te denken dat ik Windows opnieuw moet installeren en eerst alles verwijderen? <<Draai eerst eens AVG in veilige mode (F8 indrukken tijdens het opstarten, en uit de lijst velige mode kiezen).
Je kan ook even Nod32 ophalen, de trial versie kan je zonder kosten 30 dagen proberen. Dat programma is zo'n beetje the top of the bill. Draai het desnoods ook in veilige mode. Kies voor grondige systeemscan. Nod32 vind je bij
www.nod32.nl/downloadWel Avg even deïnstalleren voor je Nod32 installeert.
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 26/04/2007 18:37 CET door
Michel Uphoff (Sysop)
Bericht 3 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 27-04-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3358.3 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Michel,
Wat is het verschil tussen versie 2.5 en 2.7?
GroetjesHenk
Bericht 4 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 27-04-2007 |
| Aan | : | Henk | MsgID | : | 3358.4 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Henk,
>> Wat is het verschil tussen versie 2.5 en 2.7? <<Belangrijkste verschillen zijn dat 2.7 ook Vista ondersteunt en een live Rootkit verwijderaar heeft.
2.7 is dus ook voor XP aan te raden.
Michel Uphoff (NLcomputer)
Homepage
Bericht 5 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 29-04-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3358.5 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Michel,
>>live Rootkit verwijderaar<<Wat is dat?
GroetjesHenk
Bericht 6 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 05-05-2007 |
| Aan | : | Henk | MsgID | : | 3358.6 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Henk,
>> Wat is dat? <<Beetje late reactie, was even weg.
Een 'rootkit' is een programma dat de interne werking van Windows aanpast. Het nestelt zich diep in de 'kernel' van het besturingssysteem, en kan er zo bijvoorbeeld voor zorgen dat alle mappen die beginnen met XXX volslagen onzichtbaar zijn. Of er voor zorgen dat het bestand "eennaam.txt" hernoemd wordt tot de echte naam "malware.exe" en vervolgens volledig verstopt wordt en zo zijn werk ongezien kan doen. Onzichtbaar voor de gebruiker, voor Windows zelf en ook voor een gewone malwarescanner. Rootkits kunnen dus erg gevaarlijk zijn want ze zijn volledig 'stealth'. Omdat onbekend is wat de rootkit doet, en welke zaken ze verbergen, is het zoeken naar een rootkit erg lastig (je zoekt immers naar iets waarvan je bijvoorbeeld de naam niet weet, noch waar het ongeveer staat).
De firma Sony werd een tijd geleden beroemd (berucht is een beter woord) omdat ze onder meer ter bescherming tegen kopiëren een rootkit op haar cd's had gezet. Mark Russinovich was de ontdekker hiervan, en de wereld sprak er terecht schande van dat Sony haar eigen belangen diende door de computers van de gebruikers ongevraagd aan te passen. Sony brak in feite gewoon in op jouw computer. Sony moest in alle haast dat stuk malware weer van de markt halen en de gedupeerden een schadevergoeding betalen. Zie ook:
HIEROok Symantec bleek van rootkit technieken gebruik te maken, ondermeer de backup map van Systemworks werd met rootkit technieken volledig onzichtbaar gemaakt. Nadat het beveiligingsbedrijf door o.m. Russinovich openbaar werd gewezen op de gevaren die dit beveiligingsbedrijf nu zelf creëerde (de gebruikte techniek kon immers gekopieerd worden door kwaadwillenden om zo software met minder goede bedoeligen te verhullen) moest Symantec wel toegeven dat ze - zeker voor een be3veiligingsbedrijf - ongelofelijk stom bezig waren en hebben ze via update's deze rotzooi weer ongedaan moeten maken.
Als je een computer scant op rootkits vanaf bijvoorbeeld een Windows XP opstartbare cd, dan zijn de rootkits op de harddisk dus niet actief, en eenvoudig te vinden. Maar een live rootkit die zich bewust 'stealth' heeft gemaakt, is erg moeilijk te vinden. Nod32 heeft sinds versie 2.70 techniek aan boord om dit soor actieve rootkit malware toch op te sporen. Ook enkele andere scannerproducenten hebben dergelijke technieken inmiddels in hun producten ingebouwd.
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 5/05/2007 12:40 CET door
Michel Uphoff (Sysop)
Bericht 7 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 06-05-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3358.7 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Michel,
>>Als je een computer scant op rootkits vanaf bijvoorbeeld een Windows XP opstartbare cd, dan zijn de rootkits op de harddisk dus niet actief<<Geldt dit ook als je opstart vanaf een opstartbare schijf met daarop ghost en eventuele extra programma's? Zo ja, welk programma moet je dan op deze schijf zetten om de rootkit te verwijderen?
GroetjesHenk
Bericht 8 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 06-05-2007 |
| Aan | : | Henk | MsgID | : | 3358.8 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Henk,
>> Geldt dit ook als je opstart vanaf een opstartbare schijf met daarop ghost en eventuele extra programma's? <<Ja, zolang de 'geinfecteerde' windowsversie maar niet gestart wordt is de rootkit inactief, en heeft geen kans zichzelf te verbergen.Zo ja, welk programma moet je dan op deze schijf zetten om de rootkit te verwijderen? <<Een simpele malwarescanner (die deze rootkit versie wel moet herkennen, dus minimaal moet hij up-to-date zijn) volstaat dan.
Soms kom je er gewoon met de verkenner al achter dat er iets niet pluis is, omdat je vreemde onbekende mapnamen ziet staan, die onder het geïnfecteerde OS volledig onzichtbaar waren. Dit vereist wel goede kennis van de legitieme mappen en bestanden onder Windows, zodat je niet per ongeluk een systeemmap oid weggooit.
Michel Uphoff (NLcomputer)
Homepage
Bericht 9 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 06-05-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3358.9 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Michel,
>>een simpele malwarescanner <<Welke bijvoorbeeld?
GroetjesHenk
Bericht 10 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 06-05-2007 |
| Aan | : | Henk | MsgID | : | 3358.10 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Henk,
>> Welke bijvoorbeeld? <<Ik neem aan, dat iets als AVG dan wel zou moeten werken. Maar ik radd dat niet aan als standaard malware scanner. Dan is Nod32 een veel betere (maar niet gratis) keus.
Michel Uphoff (NLcomputer)
Homepage
Bericht 11 van 11NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 08-05-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3358.11 |
| Onderwerp | : | Spyworks remove | Forum | : | ws-nlcomputer |
Hoi Michel,
Je hebt in bericht
http://community.compuserve.com/n/pfx/forum.aspx?webtag=ws-nlcomputer&nav=messages&msg=3166.5 een bijlage toegevoegd, met daarin een image voor een opstartbare schijf. Ik heb deze image op een cd gebrand met Nero 6.3.1.25 en ik kan nu opstarten vanaf deze cd.
Na het opstarten verschijnt er een menu met 4 optie's: image maken, restore image, ghost 2003 starten, dos.
Tevens heb ik hierop Ghostexp.exe toegevoegd.
>> neem aan, dat iets als AVG dan wel zou moeten werken<<Werkt dit ook als ik AVG toevoeg op de schijf zoals ik hierboven beschreef, of moeten er nog meer programma's op? Ik neem aan dat AVG alleen onder Windows draait, zoja, hoe doe ik dat?
GroetjesHenk
