Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
[Vista] Ondanks Panda UAC + Security Center disabled
20-03-2009, 16:13 door tweaktubbie, 10 reacties
Ik draai Vista Home Premium met laatste SP en alle fixes van windows updates. Met Panda Global Protection 2009 waarmee ik sinds gebruik voor het eerst onder vista bsod's kreeg.
Gisteren had ik 'n dvdtool gedownload (freeware IMTOO), die deed na opstarten niets, dus ging ik vrezen. Panda had niets geroepen, maar het viel me op dat er icoontjes uit de taakbalk waren verdwenen.
Resultaat:
-peerguardian was gesloten; starten geeft aan dat het een ongeldige 32-bits toepassing is (timestamp ongewijzigd van de file!)
-securitycenter is gestopt
-windowsupdate geeft updatescherm met rood kruisje erop
-windows defender wil niet gestart worden
-na boot zie je een proces met wisselend 6-cijferig getal.exe in de takenlijst 9 (bv 981122.exe); na killen is en blijft ie weg
-installatie van bv mcafee gaat goed tot aan eind waar ie service niet kan starten
-sites van AV tools blijven bereikbaar
-windows firewall is via omweg (netwerkkaart, dan starten) op te starten maar geen enkel proces wordt voor gewaarschuwd - heb de lijst trusted programma's uiteraard leeggemaakt
-UAC is ook derhalve down; dus vrees ik voor m'n restorepartitie
Oja, dacht met systeemherstel te fixen, maar ondanks een stuk of 10 herstelpunten van weken terug kreeg ie die niet gerestored :(
Was van AVG en McAfee overgegaan vanwege traagheid van die tools en hoop false positives. Maar de 'beveiliging' die Panda geeft is nu vervangen door alles open. Moet thuis ff kijken naar tips hierboven, maar je bent dus gewaarschuwd...
Kennelijk is een slimme programmeur in staat om je hele securitycenter/UAC/updates te disablen, buiten de scope van een scanner te blijven en alle bekende tools (heb het geprobeerd) tegen te houden...
Gisteren had ik 'n dvdtool gedownload (freeware IMTOO), die deed na opstarten niets, dus ging ik vrezen. Panda had niets geroepen, maar het viel me op dat er icoontjes uit de taakbalk waren verdwenen.
Resultaat:
-peerguardian was gesloten; starten geeft aan dat het een ongeldige 32-bits toepassing is (timestamp ongewijzigd van de file!)
-securitycenter is gestopt
-windowsupdate geeft updatescherm met rood kruisje erop
-windows defender wil niet gestart worden
-na boot zie je een proces met wisselend 6-cijferig getal.exe in de takenlijst 9 (bv 981122.exe); na killen is en blijft ie weg
-installatie van bv mcafee gaat goed tot aan eind waar ie service niet kan starten
-sites van AV tools blijven bereikbaar
-windows firewall is via omweg (netwerkkaart, dan starten) op te starten maar geen enkel proces wordt voor gewaarschuwd - heb de lijst trusted programma's uiteraard leeggemaakt
-UAC is ook derhalve down; dus vrees ik voor m'n restorepartitie
Oja, dacht met systeemherstel te fixen, maar ondanks een stuk of 10 herstelpunten van weken terug kreeg ie die niet gerestored :(
Was van AVG en McAfee overgegaan vanwege traagheid van die tools en hoop false positives. Maar de 'beveiliging' die Panda geeft is nu vervangen door alles open. Moet thuis ff kijken naar tips hierboven, maar je bent dus gewaarschuwd...
Kennelijk is een slimme programmeur in staat om je hele securitycenter/UAC/updates te disablen, buiten de scope van een scanner te blijven en alle bekende tools (heb het geprobeerd) tegen te houden...
Reacties (10)
Door tweaktubbieIk draai Vista Home Premium met laatste SP en alle fixes van windows updates.
Met Panda Global Protection 2009 waarmee ik sinds gebruik voor het eerst onder vista bsod's kreeg.
Gisteren had ik 'n dvdtool gedownload (freeware IMTOO), die deed na opstarten niets, dus ging ik vrezen. Panda had niets geroepen, maar het viel me op dat er icoontjes uit de taakbalk waren verdwenen.
Resultaat:
-peerguardian was gesloten; starten geeft aan dat het een ongeldige 32-bits toepassing is (timestamp ongewijzigd van de file!)
-securitycenter is gestopt
-windowsupdate geeft updatescherm met rood kruisje erop
-windows defender wil niet gestart worden
-na boot zie je een proces met wisselend 6-cijferig getal.exe in de takenlijst 9 (bv 981122.exe); na killen is en blijft ie weg
-installatie van bv mcafee gaat goed tot aan eind waar ie service niet kan starten
-sites van AV tools blijven bereikbaar
-windows firewall is via omweg (netwerkkaart, dan starten) op te starten maar geen enkel proces wordt voor gewaarschuwd - heb de lijst trusted programma's uiteraard leeggemaakt
-UAC is ook derhalve down; dus vrees ik voor m'n restorepartitie
Oja, dacht met systeemherstel te fixen, maar ondanks een stuk of 10 herstelpunten van weken terug kreeg ie die niet gerestored :(
Was van AVG en McAfee overgegaan vanwege traagheid van die tools en hoop false positives. Maar de 'beveiliging' die Panda geeft is nu vervangen door alles open. Moet thuis ff kijken naar tips hierboven, maar je bent dus gewaarschuwd...
Kennelijk is een slimme programmeur in staat om je hele securitycenter/UAC/updates te disablen, buiten de scope van een scanner te blijven en alle bekende tools (heb het geprobeerd) tegen te houden...
Klinkt zo op het eerste gezicht als de symptomen van conficker, hoewel dat een worm is gebruiken ze wellicht ook deze aanvalsvector. Met Panda Global Protection 2009 waarmee ik sinds gebruik voor het eerst onder vista bsod's kreeg.
Gisteren had ik 'n dvdtool gedownload (freeware IMTOO), die deed na opstarten niets, dus ging ik vrezen. Panda had niets geroepen, maar het viel me op dat er icoontjes uit de taakbalk waren verdwenen.
Resultaat:
-peerguardian was gesloten; starten geeft aan dat het een ongeldige 32-bits toepassing is (timestamp ongewijzigd van de file!)
-securitycenter is gestopt
-windowsupdate geeft updatescherm met rood kruisje erop
-windows defender wil niet gestart worden
-na boot zie je een proces met wisselend 6-cijferig getal.exe in de takenlijst 9 (bv 981122.exe); na killen is en blijft ie weg
-installatie van bv mcafee gaat goed tot aan eind waar ie service niet kan starten
-sites van AV tools blijven bereikbaar
-windows firewall is via omweg (netwerkkaart, dan starten) op te starten maar geen enkel proces wordt voor gewaarschuwd - heb de lijst trusted programma's uiteraard leeggemaakt
-UAC is ook derhalve down; dus vrees ik voor m'n restorepartitie
Oja, dacht met systeemherstel te fixen, maar ondanks een stuk of 10 herstelpunten van weken terug kreeg ie die niet gerestored :(
Was van AVG en McAfee overgegaan vanwege traagheid van die tools en hoop false positives. Maar de 'beveiliging' die Panda geeft is nu vervangen door alles open. Moet thuis ff kijken naar tips hierboven, maar je bent dus gewaarschuwd...
Kennelijk is een slimme programmeur in staat om je hele securitycenter/UAC/updates te disablen, buiten de scope van een scanner te blijven en alle bekende tools (heb het geprobeerd) tegen te houden...
Verder, als de bestanden niet te groot zijn die je download kun je ze wellicht het beste laten scannen op https://www.virustotal.com/. Die gebruikt een heel veel scanners met de laatste updates om je bestand te controleren. Is de kans op detectie van malware maximaal.
Je ben goed geïnfecteerd lijkt een beetje op conficker worm.
Hier de analyze van microsoft zelf: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.D
Deze worm blokkeert installaties van antivirus software, je kan de avira bootcd proberen (Hiermee scan je vanaf de cd)
succes
Hier de analyze van microsoft zelf: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.D
Deze worm blokkeert installaties van antivirus software, je kan de avira bootcd proberen (Hiermee scan je vanaf de cd)
succes
20-03-2009, 17:47 door
Ilja. _V V
Resultaat: (...)
Alle beschreven symptomen wijzen op een Conficker .C of .D besmetting. Probeer BitDefender-tool: [url=http://www.bdtools.net]http://www.bdtools.net[/url]
20-03-2009, 18:22 door
Pr3torian
Je hele harde schijf formatteren...geen risico nemen..het is een besmetting
Door Pr3torianJe hele harde schijf formatteren...geen risico nemen..het is een besmetting
Ja, en begreep ik laatst in een forum-topic, dan is er ook nog een beduidend verschil in gewoon formatteren en een low-level format in de BIOS (als die mogelijkheid er nog is).Alleen in het laatste geval, zo meen ik me te herinneren, wordt alles vanaf de bootsector helemaal overschreven.
Doe je geen low-level format, dan ben je van sommige besmettingen nog steeds niet af.
Maar corrigeer me gerust.
21-03-2009, 11:46 door
Jachra
Door tweaktubbieKennelijk is een slimme programmeur in staat om je hele securitycenter/UAC/updates te disablen, buiten de scope van een scanner te blijven en alle bekende tools (heb het geprobeerd) tegen te houden...
Malware makers testen hun software tegen alle anti-virus scanners. En: 100% veiligheid bestaat niet.
21-03-2009, 12:09 door
Pr3torian
Door Anoniem
Alleen in het laatste geval, zo meen ik me te herinneren, wordt alles vanaf de bootsector helemaal overschreven.
Doe je geen low-level format, dan ben je van sommige besmettingen nog steeds niet af.
Maar corrigeer me gerust.
Door Pr3torianJe hele harde schijf formatteren...geen risico nemen..het is een besmetting
Ja, en begreep ik laatst in een forum-topic, dan is er ook nog een beduidend verschil in gewoon formatteren en een low-level format in de BIOS (als die mogelijkheid er nog is).Alleen in het laatste geval, zo meen ik me te herinneren, wordt alles vanaf de bootsector helemaal overschreven.
Doe je geen low-level format, dan ben je van sommige besmettingen nog steeds niet af.
Maar corrigeer me gerust.
gebruik Hirens boot cd, en gebruik dan Killdisk
GData heeft ook een mogelijkheid om de CD te booten ;-)
bij mij geen geflikker met conficker :-)
bij mij geen geflikker met conficker :-)
23-03-2009, 15:34 door
tweaktubbie
Kreeg via de netwerkkaartsettings *wel* toegang tot firewall van windows en kon deze activeren. WINTEMS.exe probeerde erdoor te komen. Bleek te herleiden tot dit enge stukje malware: http://www.siusic.com/wphchen/hard-to-kill-malware-wintems-exe-and-hldrrr-exe-143.html
Formatje c-schijf was genoeg; scan op andere harddisk leverde gelukkig niets engs meer op.
Safemode starten lukte niet (reboot/BSOD); alle antivir-spul kreeg je gewoon niet gestart (of service startte niet).
Formatje c-schijf was genoeg; scan op andere harddisk leverde gelukkig niets engs meer op.
Safemode starten lukte niet (reboot/BSOD); alle antivir-spul kreeg je gewoon niet gestart (of service startte niet).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
