Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hulp sophos anti-rootkit met MSN

05-10-2009, 12:42 door Anoniem, 7 reacties
Sophos antirootkit vind echt honderden unknown hidden files op de gezins pc(Win XP) in verborgen mapjes van MSN. In laptops met ook MSN en XP(ook vista) met dezelfde MSN accounts is dat niet zo. De locatie is altijd:
C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Microsoft\Messenger\*adres van een MSN account*\SharingMetadata\*adres van een contactpersoon*\DFSR\Staging\CS-{FAE717EB-BEC0-5ECE-CD0A-BB4DE-30F20AC}-\28\1392-{51169fA9-BEF9-48EC-9A06-F04D20F15083}-v1328

De lange sleutel is vaak een aantal resultaten hetzelfde, maar dat mapje 28, de 1392 voor de 2e sleutel en het getal achter de laatste v is altijd anders, en soms staat daarachter ook nog iets. Weet iemand wat dit betekend? Hij is ook echt uren aan het scannen (nu al bijna 4, statusbalk is op ongeveer 3/4, maar eerste helft ging heel snel.) Andere programma's vinden niks(Kaspersky internet security 2010, Malwarebytes' antimalware, Superantispyware, Hitman Pro 3.5)
Reacties (7)
05-10-2009, 14:31 door Thasaidon
Deze anti-rootkit ken ik niet. Ook gebruik ik geen MSN maar andere chat programma's dus ik kan je helaas niet vertellen wat hier aan de hand is.

Je zou als alternatief deze rootkit scanner, Blacklight van F-secure eens kunnen proberen:
http://www.f-secure.com/en_EMEA/products/technologies/blacklight/
05-10-2009, 15:40 door Anoniem
Blacklight gerund, maar die vond ook niets.
05-10-2009, 16:48 door Thasaidon
Door Anoniem: Blacklight gerund, maar die vond ook niets.
Dan denk ik dat het wel mee zal vallen. Maarja, 100% garantie heb je nooit.
05-10-2009, 20:23 door Ilja. _V V
Waarschijnlijk bedoeld Anoniem deze, Thasaidon, overigens een hele leuke:
http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

Anoniem zelf doet er verstandig aan om deze even door te lezen, & een ieder die dat nog niet gedaan heeft kan via Windows Update Aangepast de Windows Live Essentials ophalen in de Optionele Updates:
http://www.security.nl/artikel/30787/1/Microsoft_dwingt_MSN_gebruikers_te_updaten.html

Update: Ik heb het zelf even uitgevoerd & Sophos vind bij mij hetzelfde (plus nog een heleboel meer!) maar:.. Ik heb even de Details gekopieerd:
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Documents and Settings\username\Local Settings\Application Data\Microsoft\Messenger\xxx@xxx.com\SharingMetadata\xxx@xxx.com\DFSR\Staging\CS{1B158F09-9013-704D-2FA1-10B205AFF2A0}\18\218-{8EBE0862-F9FE-4C38-90FA-AB68E73FE6F9}-v218-{8EBE0862-F9FE-4C38-90FA-AB68E73FE6F9}-v218-Downloaded.frx
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Zover ik heb gekeken staat dat bij alle gevonden verborgen onderdelen.

Overigens zijn de Mijn Gedeelde Mappen in Msn één van de redenen dat upgraden verplicht word gesteld, in de nieuwe versie zijn die dan ook verwijderd. Ook Msn-Explorer, Windows Messenger & Outlook Express mogen niet meer worden gebruikt.
06-10-2009, 12:31 door Anoniem
Per gebruiker worden je gegevens in verschillende useraccount opgeslagen (ook wel in map op hardschijf en vergrendeld opgeslagen! In deze map C:\Documents and Settings\ bevinden zicht de data van de overigen gebruikers hun instelligen, email, documenten, afbeelding en Msn messenger data en programma's instellingen, je heb geen recht om bijvoorbeeld de map van je buurvrouw teopenen, zij heeft ook recht op privacy, zie voorbeeld.

"buurvrouw". (map is vergrendeld)
C:\Documents and Settings\Ancilla tilia\Local Settings\Application Data\Microsoft\Messenger

"mijn gebruiker account" heb ik alleen de toegang toe!
C:\Documents and Settings\Undercover\Local Settings\Application Data\Microsoft\Messenger
06-10-2009, 14:02 door Anoniem
Maar op die PC hebben we geen aparte gebruikersaccounts, bij de gevonden mapjes heten sommigen gebruiker, sommigen de oude PC naam, en anderen de nieuwe PC naam(moest een andere, conflict in netwerk.)
Eigenlijk zit daar gewoon iedereen op de admin account(weet ik, niet handig.)

Overigens heb ik de laatste versie van live messenger erop gezet, de 2008 versie stond er nog op(wel vreemd, ik dacht dat de update verplicht was en dus al wel door iemand anders erop gezet zou zijn omdat je anders niet meer kon inloggen o.i.d.)
Daarna opnieuw gescand, zelfde resultaten, het waren er overigens uiteindelijk 1500(!)

Ik bedoelde idd. die Anti-rootkit waarvan Ilja de link geeft, hier is voor de geïnteresseerden een directe link(geen registratie nodig)
https://secure.sophos.com/support/cleaners/sar_15_sfx.exe
06-10-2009, 15:58 door Anoniem
Sophos is memory consumer en ECHT CRAP
ik heb t in een netwerk onder beheer gehad
en tijdje prive gebruikt
WAT EEN POEP PRODUCT
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure