Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Virusscanner aan en uit tegelijk, en browser melding

19-01-2011, 06:43 door Anoniem, 9 reacties
Op een volledig Windows Update's gepatchte pc (met twee gebruikers account's, 1 beheerder, en 1 met minder rechten) werkte de nieuwste versie van Avast virusscanner correct wanneer ik in logde als beheerder.
Wanneer ik overschakelde naar de gebruiker met minder rechten (zonder de vorige gebruiker af te melden),
werkte Avast niet. Alle Shields waren uitgeschakeld. De Fix it button werkte niet.
Met geen mogelijkheid was het mogelijk de virusscanner aan te zetten.
Dit zou toch moeten kunnen voor een gebruiker met minder rechten ?

Foute boel, dus meteen Malwarebytes definities geüpload en de pc volledig laten scannen met malwarebytes.
Ondertussen Secunia PSI gedownload en geïnstalleerd.
Avast alarm bel ging rinkelen en melde: psi.exe bevat ROOTKIT

Veel gezien, maar nog nooit eerder dit.

Secunia PSI verwijderd, en opnieuw geïnstalleerd. Probleem opgelost.
Malwarebytes vond 3 trojan's, 2 rootkit's, en een aantal virussen.
Log bestand gelezen, en alle troep is geïnstalleerd op de account met minder rechten.

Ik begrijp niet dat een virus scanner goed werkt als je ingelogd bent als beheerder, maar niet werkt als gebruiker met minder rechten.

Nog iets anders, dat betreft mijn eigen pc.

Vandaag op mijn Windows 7 pc de nieuwste versie van Secunia gedownload.
(Secunia melde dat er een nieuwe versie was)
Kreeg vervolgens de melding dat de site onbetrouwbaar is, en of ik door wilde gaan, of pleite wilde maken.
Heb advies niet opgevolgd.

In de browser stond niet het gebruikelijke: www.secunia.com, maar www.psi-secunia.com
Uiteraard niks gedowload vanaf die site.
Wat ik niet begrijp is dat de url: ww.psi-secunia.com 3 minuten later niets deed.

Ik gebruik de browser van Comodo, en maak gebruik van hun DNS servers.

Opmerkelijk vind ik dat 5 dagen ik eerder zo'n zelfde waarschuwing kreeg.
Het ging toen om www.twiter.com
Hetzelfde verhaal." Site is niet ok, enz.

Windows 7 is volledig up to date wat Windows update's betreft.
Secunia had ook niks te klagen, behalve dan dat er een nieuwere versie was van Secunia zelf.
Ik gebruik G Data Internet Security 2011.
Volledig laten scannen. (duurt een eeuwigheid by the way) Niks gevonden.
Malwarebytes heeft ook niets gevonden na update definities, en volledige scan.

Extra info: Router is ingesteld (WPA2 personal) met complex wachtwoord, en heb SIDD ingesteld op verbergen.

Rara, hoe kan dit ?
Kan iemand mij vertellen wat een oorzaak kan zijn dat ik op een andere site terecht kom, dan dat ik in de browser in typ ?

Helaas was ik niet zo bijdehand om de url te kopiëren, die ik te zien kreeg na het invullen van twitter.com.
Ik weet me vaag te herinneren dat er een aantal worden stonden voor het woord twitter.
Dat had waarschijnlijk een ingang kunnen zijn tot de oplossing.
Reacties (9)
19-01-2011, 10:53 door Spiff has left the building
Beste topic-starter,

Je verhaal is nogal complex, en betreffende twee verschillende computers.

Op die eerste computer die je beschrijft lijkt me een en ander goed mis.
Dat Avast niet werkt in het standaardgebruikersaccount (met beperkte rechten) dat is uiteraard niet zoals het hoort.
En dat MBAM diverse malware vond, dat laat ook zien dat er iets helemaal mis is of was.
Hoe is de sitatie na het verwijderen van die malware?
Heb je Avast opnieuw geïnstalleerd en werkt die nu wél goed op het standaardgebruikersaccount?
En wat de Secunia PSI die je installeerde betreft, was die wel gedownload van het juiste adres?
http://secunia.com/vulnerability_scanning/personal/

Wat de tweede computer betreft,
had je ook daarmee wel die juiste Secunia pagina bezocht?
http://secunia.com/vulnerability_scanning/personal/
Over de Commodo Dragon browser heb ik te weinig kennis, ik weet niet hoe betrouwbaar die is.

Tenslotte,
twijfel je aan je systeem, en heb je al gescand met Avast of GDATA en MBAM,
dan kun je aanvullend ook nog scannen met SUPERAntiSpyware
http://www.superantispyware.com/
en/of Hitman Pro
http://www.surfright.nl/nl/HitmanPro
19-01-2011, 11:35 door EDLIN
Het kan heel goed zijn dat Avast op het beperkte account (waar zich alle troep bevond) is uitgeschakeld door de malware zelf.
Dat gebeurt wel vaker.

Over de andere computer.De webste met psi-secunia.is zo te zien een beveiligde (https) website van secunia zelf.
Ik heb zelf geen secunia geinstalleerd, en als ik bv naar deze site ga:
https://psi.secunia.com/psi/0905/index.php?page=login
dan krijg ik de volgende melding:

An error occurred.
You PSI installation does not appear to have registered it self correctly. Please ensure that 'psi.exe' is allowed to connect to the Internet, then please close down the PSI and start it again.
19-01-2011, 12:37 door 2tirds
secunia is een popi jopi rootkit bij die scimming cultuurtjes. wel een beetje voor de nitwits maar het werkt goed..
microsoft heeft een paar zerodays in haar beveiliging en sommige zelfs langer bekende laten ze zitten.. sommige menen dat het om fbi dirt achtige backdoors te maken heeft qua automatisering. (dirt == data interception on remote transmission)

het kan zijn maar dat weet ik niet bij avast dat moet je even bij ze navragen dat als je minder rechten hebt dat ze op deze manier afschermen dat er vanuit grote delen van de gebruiksomgeving onder gebruikscredentials uberhaubt IETS met de av gedaan kan worden daarmee de werking proberen te garanderen. kan ook zijn dat dit met secunia te maken heeft moet je ff navragen maar zo gek zou het niet zijn. met secunia zou ik het zeker navragen en ook even doorgeven.

zou je bios flashen als ik jou was, logbestanden en services ff nakijken dmz en dat soort shit contact opnemen met cybercrime centrum. groetjes, geert ;)
[edit]
oh ja en secunia is idd in de basis een beveiliginstool maar het kan dus ook die popi jopi rootkit zijn want er zwerft er eentje rond die zo heet, woeps ;)
[/edit]
19-01-2011, 19:09 door Anoniem
Door Spiff:
Beste topic-starter,

Je verhaal is nogal complex, en betreffende twee verschillende computers.

Op die eerste computer die je beschrijft lijkt me een en ander goed mis.
Dat Avast niet werkt in het standaardgebruikersaccount (met beperkte rechten) dat is uiteraard niet zoals het hoort.
En dat MBAM diverse malware vond, dat laat ook zien dat er iets helemaal mis is of was.
Hoe is de sitatie na het verwijderen van die malware?
Heb je Avast opnieuw geïnstalleerd en werkt die nu wél goed op het standaardgebruikersaccount?
En wat de Secunia PSI die je installeerde betreft, was die wel gedownload van het juiste adres?
http://secunia.com/vulnerability_scanning/personal/

Wat de tweede computer betreft,
had je ook daarmee wel die juiste Secunia pagina bezocht?
http://secunia.com/vulnerability_scanning/personal/
Over de Commodo Dragon browser heb ik te weinig kennis, ik weet niet hoe betrouwbaar die is.

Tenslotte,
twijfel je aan je systeem, en heb je al gescand met Avast of GDATA en MBAM,
dan kun je aanvullend ook nog scannen met SUPERAntiSpyware
http://www.superantispyware.com/
en/of Hitman Pro
http://www.surfright.nl/nl/HitmanPro



Pc 1 functioneert weer goed nadat Malwarebytes de troep verwijderd heeft.
Avast opnieuw geïnstalleerd, en werkt nu op beide account's.
19-01-2011, 19:16 door Anoniem
Door EDLIN:
Het kan heel goed zijn dat Avast op het beperkte account (waar zich alle troep bevond) is uitgeschakeld door de malware zelf.
Dat gebeurt wel vaker.

Over de andere computer.De webste met psi-secunia.is zo te zien een beveiligde (https) website van secunia zelf.
Ik heb zelf geen secunia geinstalleerd, en als ik bv naar deze site ga:
https://psi.secunia.com/psi/0905/index.php?page=login
dan krijg ik de volgende melding:

An error occurred.
You PSI installation does not appear to have registered it self correctly. Please ensure that 'psi.exe' is allowed to connect to the Internet, then please close down the PSI and start it again.



Ik kreeg deze melding:

It may not be safe to exchange information with this site
The security (or SSL) certificate for this website indicates that the organization operating it may not have undergone trusted third-party validation that it is a legitimate business. Although the information passed between you and this website will be encrypted, you have no assurance of who you are actually exchanging information with, and many websites connected to cyber-crimes use this type of security certificate. Prior to exchanging sensitive information including login/password, personal identity information, or financial details such as credit card numbers with any website that generates this warning, you should find some alternative method of validating this business or consider abandoning the transaction.
19-01-2011, 19:35 door Anoniem
Door EDLIN:
Het kan heel goed zijn dat Avast op het beperkte account (waar zich alle troep bevond) is uitgeschakeld door de malware zelf.
Dat gebeurt wel vaker.

Over de andere computer.De webste met psi-secunia.is zo te zien een beveiligde (https) website van secunia zelf.
Ik heb zelf geen secunia geinstalleerd, en als ik bv naar deze site ga:
https://psi.secunia.com/psi/0905/index.php?page=login
dan krijg ik de volgende melding:

An error occurred.
You PSI installation does not appear to have registered it self correctly. Please ensure that 'psi.exe' is allowed to connect to the Internet, then please close down the PSI and start it again.



Het heeft te maken met Comodo browser.
Die waarschuwde over certificaat e.d.
Met Firefox krijg ik geen melding over certificaat e.d., maar dezelfde melding zoals jij had.

An error occured .........

In Firefox krijg ik
20-01-2011, 10:01 door EDLIN
Tijdje terug stond dit artikel hier op de website.
Dat verhelderd het een en ander.
http://www.security.nl/artikel/32642/1/Nieuwe_browser_beschouwt_helft_SSL-sites_als_onveilig.html
20-01-2011, 10:21 door Anoniem
Vergeet niet om naar https://secunia.com te surfen, als je router of de DNS gehackt is wordt je dan gewaarschuwd voor MITM attack.
20-01-2011, 11:23 door Anoniem
Update naar Avast 5.1.889. De versie daarvoor werkte alleen bij een update vanaf 4.8 of een verse installatie. Zie:
http://forum.avast.com/index.php?topic=68569.0

Verder heb ik ook wel eens een melding van een rootkit gehad. Dit betekent alleen dat bij het lezen via het file systeem en daarna via de rootkit detectie, er één keer geen file was. Je moet je pas zorgen gaan maken als je echt een naam voor je rootkit krijgt!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.