Computerbeveiliging - Hoe je bad guys buiten de deur houdt

PC Vreemd gedrag graag advies

30-01-2014, 13:32 door Bkim, 16 reacties
Hallo allemaal,

Eergisteren schakelde ik mijn beeldscherm over naar HDMI om een film te kijken via mijn PS3. Halverwege was ik de film zat, schakelde ik terug naar mijn DVI en tot mijn grote verbazing stond mijn belastings software wagenwijd open.
Nu heb ik al langere tijd het gevoel dat er iets niet klopt. Voorheen herinstalleerde ik mijn pc om de 3 maanden. Daar heb ik nu geen zin meer in dus deze config gaat al lang mee. Wat en hoe?
Ik heb Bitdefender Total security. De firewall vind ik prut vergeleken met Comodo maar goed. Het vertrouwen maar genomen dat het zijn werk wel doet. Ik heb gedraaid: Malwarebytes, Hitman Pro en Spybot S&D. De laatse viste een paar cookies. Voor de rest niks aan de hand. Firefox doet ook raar. Sluit niet meer goed af. Helemaal gedeinstalleerd, CCleaner erover heen.
GRC shields up bekeken. Via services nog wat remote zaken op slot gezet. Poort 136, 137 en 445 zijn dicht maar niet stealth. Als ik kijk naar netstat dan zie ik 445 helemaal niet terug in de lijst. Ik heb een UPC router in bridge staan met mijn asus router.

Ik heb het gevoel dat er iemand gewoon lekker met mijn pc meekijkt en ik denk zelfs te weten wie diegene is, hoewel ik daar natuurlijk geen hard bewijs voor heb. Ik race veel online en het is volgens mij iemand die ik wel eens spreek via teamspeak. Waarom? Kleine dingen, details die hij niet kan weten floepen er plots uit, onschuldig maar toch...

Wat nu? Moet ik naar een psycholoog (altijd handig) of kan er ergens toch iets verborgen zitten op mijn SSD zodat iemand lekker mee kan kijken.

Gr. B.
Reacties (16)
30-01-2014, 13:38 door Provo - Bijgewerkt: 30-01-2014, 13:40
Anders kan ja altijd nog even ComboFix draaien.
Let wel op eigen risico.

Sluit alles af inclusief virusscanner voordat je het start.

Of even kijken of je verdachte verbindingen ziet.
Dit kan je doen door onderstaande stappen te volgen.

-Start
-typ "cmd" en dan enter
-netstat
30-01-2014, 13:41 door M_iky
Of een rescue disk van kaspersky of gdata (of een andere virusscanner boer) downloaden op een usb stick plaatsen (via Universal USB installer ofzo), pc herstarten met boot naar USB eens een volledige scan laten doen, kan zijn dat het een (b-)rootkit is en die vind je niet zomaar als je de scans draait terwijl win geladen is.
30-01-2014, 13:47 door Bkim
@Provo: jaha...wat zijn verdachte verbindingen. Ik weet een beetje hoe of wat maar al snel zie ik door de bomen het bos niet meer.
Dank voor het advies. Heb Combofix wel eens gedraaid...dat leidde tot een herinstallatie. Tis geen ramp maar gewoon een hoop gedoe. Ik zal de Kaspersky USB doen. Goede tip!

Laat nog weten wat er uit is gekomen. Zal wel even nodig hebben.

Gr. B.
30-01-2014, 14:30 door Provo
Hallo Bkim,

Verdachte verbindingen bedoel ik eigenlijk mee, of je verbindingen ziet staan naar bepaalde ip/poorten
waar jezelf geen opdracht voor hebt gegeven.
Voordat je netstat draait handig alles wat internet gebruikt even af te sluiten.
Hierdoor zal je lijst veel korter worden en makkelijker leesbaar.
30-01-2014, 15:42 door Anoniem
Paar dingen die me opvallen.

1] Software kan ook per ongeluk door jezelf zijn opgestart d.m.v. een windows-toets, een paar pijltjes en de enter-toets.
2] Het gebeurt maar héél zelden dat een digitale inbreker wacht met het uitvoeren van dingen tot jij even niets meer doet. Het zou kunnen, maar de meeste mensen die ik ken die meer verstand van pc's hebben dan ik staan nu niet bepaald bekend om hun geduld ;] Ik ook niet trouwens, hahahaha. Een uitzondering hierop is het externe bureaublad, maar ik neem aan dat je die "service" uit hebt staan.
3] Een RAT (remote-acces-tool) e/o Keylogger is relatief makkelijk aan te passen zodat een AV ze niet meer herkend als zodanig. Ook niet met een scanner als Kaspersky Rescue Disk.
4] De meeste schadelijke software is merkbaar aanwezig, bijvoorbeeld al via het taakbeheer / constante cpu-loads. Dit is natuurlijk alles behalve een garantie.
5] Veel gekraakte games zijn voorzien van malware. (Bedoel ik verder niets mee, just saying!)

Verder, GRC is vooral veel bangmakerij en daar moet je dus niet al te veel waarde aan hechten. Leuk hulpmiddel, geen garantie.


De enige 100% oplossing is een grondige her-installatie van het OS.
TIP: draai een .iso van je vers geïnstalleerde OS, dit scheelt veel tijd in de toekomst.
30-01-2014, 17:14 door Bkim
Update: Kaspersky resque bootte mijn pc halverwege de scan....not good. Combofix gedraaid, vond wat maar PC bleef vreemd aanvoelen. Dus nog maar eens een rootkit scan van Spybot erover heen en bingo. Alleen kon Spybot de malware niet verwijderen. En zo val je van de ene in de andere ellende en ben ik nu mijn 2 GB HD aan het zero-en, hetgeen nog 3 uurtjes duurt. Ben er eigenlijk wel een beetje klaar mee met dat PC gedoe. Jammer want online racen is mijn hobby.
Het wordt echt tijd voor een evolutie in beveiliging want op deze manier loopt het helemaal spaak. Begint te lijken op de bankwereld. Op gegeven is de hacker zijn eigen systeem aan het hacken...moet niet gekker worden.
Dus dan maar weer een dual boor proberen. Drie SSD's....getver!
30-01-2014, 17:18 door Bkim
By the way: nog bedankt voor alle adviezen!! Nu ik er zo over nadenk, zijn er geen anti hack cursussen met basis netwerk topologie, hoe je met netstat moet omgaan, hoe je logs van firewalls uit leest, hoe je je firewall instelt etc. (you tube is waardeloos). Want tegenwoordig kom je er niet meer met een bitdefender total security van 90 euro.

Anyways, back to work. nog bedankt!
30-01-2014, 17:34 door Anoniem
Door Bkim: By the way: nog bedankt voor alle adviezen!! Nu ik er zo over nadenk, zijn er geen anti hack cursussen met basis netwerk topologie, hoe je met netstat moet omgaan, hoe je logs van firewalls uit leest, hoe je je firewall instelt etc. (you tube is waardeloos). Want tegenwoordig kom je er niet meer met een bitdefender total security van 90 euro.

Anyways, back to work. nog bedankt!
Ja toevallig net ook op een ander topic gereageerd met hetzelfde advies:
Gebruik een VM!!!

Bijvoorbeeld: https://www.virtualbox.org/


Succes!
30-01-2014, 19:15 door mcb - Bijgewerkt: 30-01-2014, 19:21
In plaats van netstat kan je beter Currports gebruiken: http://www.nirsoft.net/utils/cports.html
Dit geeft meer details, is erg overzichtelijk, refresh iedere seconde (in te stellen), iedere nieuwe verbinding is highlighted, de gebruikte exe wordt weergegeven, en je kan dit alles loggen.

Daarnaast kan je ook kijken naar de tools van Sysinternals: http://technet.microsoft.com/nl-nl/sysinternals
En dan met name naar Process Explorer en Process Monitor om te zien wat er allemaal gebeurt.
En ook Autoruns om te zien wat er allemaal automatisch opstart bij het booten en inloggen.
Ook handig om alle overbodige zooi te vinden.
30-01-2014, 21:54 door Bkim
Wow, dank voor de adviezen en de hulp! HIer nog bijkomende info. Vroegah (tien jaar geleden ofzo), maakte ik nog wel eens gebruik van download stuff. Dat doe ik niet meer omdat het gewoonweg ellende geeft. Maar ja, koop je netjes alles trouw, heb je nog steeds ellende. Anyways, that's the life of a dedicated gamer i guess..haha.

Ik begrijp dat er geopperd wordt dat ik wellicht zelf schuldig ben geweest aan het opstarten van software. Maybe, maybe not...only the gods know. Anyways, what a mess....reinstall!
Vroegah met XP volgde ik black viper (geweldige naam!) en hij beschreef exact welke XP services uitgeschakeld konden worden. WErk nu met windows 7 en ik ben zwaar allergisch voor het woord " remote". dus die staan straks allemaal uitgeschakeld (niet alles maar het grootste gedeelte). File & printsharing deinstalleer ik, geen netbios over tpc/ip (geen flauw idee wat het betekent maar klinkt goed). Verder rommel ik maar een beetje aan. En iedereen die ik ken is zo onder de indruk van mijn kennis...hahahaaa...moeten ze hier komen. Im impressed!
Currports reeds uitgeprobeerd op de laptop. Ziet er goed uit en daar kan ik wel wat mee. De tools van Sysintervals zijn wat lastiger. Maar ja...heb ik weer wat nuttigs te doen ipv rondjes rijden :)

Thank you all!

B.
30-01-2014, 22:46 door Anoniem
Door Bkim: By the way: nog bedankt voor alle adviezen!! Nu ik er zo over nadenk, zijn er geen anti hack cursussen met basis netwerk topologie, hoe je met netstat moet omgaan, hoe je logs van firewalls uit leest, hoe je je firewall instelt etc.
Graag gedaan.


Dat hangt er van af, wat wil je leren, hoeveel tijd wil je er aan besteden gedurende wat voor periode???
Gratis voorbeelden:
https://www.certifiedsecure.com/frontpage
http://www.geekstogo.com/geeku/


Als je er geld aan wil besteden kun je beter een nieuw topic starten ;]
31-01-2014, 09:51 door M_iky
Je kan altijd is gaan kijken op de http://theeldergeek.com/ voor die services. Ook een aanrader http://schoonepc.nl.
31-01-2014, 12:13 door Anoniem
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
01-02-2014, 19:22 door Ramon.C
Zet hulp op afstand uit > Start > Configuratiescherm > Systeem > Instellingen voor externe verbindingen > Externe verbindingen (TAB) > en vink deze uit.

Controleer anders ook wat voor programma's er opstarten bij het opstarten van Windows;
Start > Programma's en bestanden zoeken (zoek balkje) > Type msconfig > Enter

Controleer het system.ini bestand op vreemde gebruikers (user.drv mag er absoluut niet bij staan!)
Start > Programma's en bestanden zoeken (zoek balkje) > Type system.ini > Enter

Controleer de verbindingen met netstat;
Start > Programma's en bestanden zoeken (zoek balkje) > Type cmd > Enter

Zodra het cmd terminal venster is geopend type > netstat -ano > Enter

Open Windows taakbeheer. En controleer de PID (proces ID) van het het programma. Kijk naar het cmd terminal venster en vergelijk de PID nummers om te achterhalen welk programma is verbonden met een bepaald IP adres.


Zoals eerder vermeld, gebruik een VM. Het beste is om een interne netwerk aan te maken met het gebruik van VM's. Download een software matig firewall OS van b.v PFsense, Endian, IPcop of Smoothwall.

Ik zou de complete internet security pakketten vermijden. Heb meer negatieve reacties gelezen dan positief. Ik zou je AVG pro of Avast Free aanraden in combi met Comodo firewall, MBam pro, en Zemana Anti-logger free. Gebruik daarnaast een second opinion virus scanner van Sophos. Zorg ervoor dat je systeem up-to-date is. Dat laatste geldt ook voor software/plugins. Vermijd IE!
02-02-2014, 20:08 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.