Toon posts:

[Spyware] Hoe preventief tegengaan?

Pagina: 1
Acties:
  • 1.583 views sinds 30-01-2008
  • Reageer

  • Mike Jarod
  • Registratie: januari 2002
  • Niet online
In eerste instantie zal ik even melden dat ik hierover met F_J_K (mod SA) al een klein beetje via de mail heb gecorrespondeerd. Hij is bezig met een FAQ aanvulling over (oa) dit onderwerp, maar daar heeft hij nog wat meer tijd voor nodig. Kortom nuttige replies in dit topic zouden best aan die toekomstige FAQ toegevoegd kunnen worden.

Waar gaat dit topic over :?
In dit topic zou ik graag wat tips willen krijgen/uitwisselen over het preventief tegengaan van Spyware/Adware.

Wat is Spyware :?
Dat weet je natuurlijk al, want je leest FAQ's :+. Zie ook hier.

Nuttige software
Lavasoft Ad-Aware en Spybot Search & Destroy. Deze programma's scannen en verwijderen Spyware. Altijd eerst kijken of er een update beschikbaar is. Mijn persoonlijke ervaring is dat deze 2 elkaar goed aanvullen. Ad-Aware vindt dingen die Spybot niet herkent, en vice versa. Gebruik ze dus altijd samen.
HijackThis. Dit programma kan helpen met het opsporen van Spware (maar ook bv virussen). Het geeft een overzicht van opstartitems / ingestelde zoekpagina's / extra knoppen in IE / aanpassingen in de HOSTS file. Mochten deze instellingen nou allemaal wat onbegrijpelijk voor je zijn, dan is het aan te raden de HijackThis log file op het forum neer te zetten (tussen code tags voor de overzichtelijkheid ajb).
• Een recente virusscanner. Logisch. Sommige Spyware wordt herkend door bepaalde virusscanners.
• Voor meer software en websites zie het betreffende deel in de SA FAQ hier.

Genoeg ge-OH'd, hoe ga ik Spyware preventief tegen :?
• Gebruik geen Internet Explorer. De meeste Spyware maakt gebruik van lekken in IE. Alternatief is bijvoorbeeld Mozilla. Graag zou ik van iemand technische details krijgen waarom Mozilla beter is in dit geval. Ik heb er zelf geen ervaring mee, en ben (nog) niet van plan over te stappen. Ook zijn deze tips bedoeld voor "Jan-en-alleman", en IE is nog steeds de meest gebruikte browser.
• Internet Explorer - de laatste updates installeren via Windows Update.
• Spybot Search & Destroy - Immunize optie (IE only). In de help staat:
This allows you to tweak some internal Internet Explorer settings to block the installation of known spyware (and similar threats) installers.
Dat is weer lekker vaag. Als iemand hier meer technische details over weet te vertellen?
• Internet Explorer -> Extra -> Internet-opties -> Beveiliging. Hier kan je oa instellen dat ActiveX componenten etc uitgeschakeld worden. Heb hier geen verstand van. Wanneer is dit juist niet wenselijk? Wanneer wel? Etc.
• Gebruikersrechten. Misschien moet ik hier een apart topic voor openen. Ik zou graag willen weten wat jullie doen op bv publiekelijk toegankelijke internetpc's. Mijn ervaring is dat ook al geef je de gebruiker geen schrijfrechten op bepaalde dir's, de Spyware er doodleuk tussendoor komt omdat deze via user SYSTEM geinstalleerd worden. En op zo'n internetbak wil je ook niet weer teveel dichttimmeren omdat je dan als systeembeheerder veel te veel wordt ingeroepen. Een Ghost image of Reborn Card is dan wel weer een oplossing.

Graag hoor ik van jullie wat ik vergeten ben en wat ik verkeerd uitleg.

  • kamerplant
  • Registratie: juli 2001
  • Niet online

kamerplant

lekker toch

Als je onder Windows 2000 of XP een gebruiker gewoon Userrechten geeft, ipv Administrator rechten, dan kan het geen meuk meer installeren, dus ook geen spyware geloof ik.

Soms word ik gevraagd door familieleden ook hun spyware-doos op te ruimen. Ik installeer daarna geen antispyware tools of ontneem ze rechten aangezien ze dan ook minder dingen kunnen doen, of zoals bij Adwatch: Je krijgt vrij regelmatig irrelevante opmerkingen dat iets aan je register is veranderd (gek, tijdens een installatie =)).
Ik probeer ze duidelijk te maken hoe je wel op een veilig manier kunt surven. :)
In gevallen van een internetcafé kan dat natuurlijk niet, en zul je gewoon lekker moeten blokken.

IE ActiveX settings veiliger zetten: Kan, maar je krijgt (geloof ik) wel elke keer een errorschermpje dat je geen ActiveX aan hebt staan, iedere keer als je een website bezoekt die dat gebruikt. Daarom is Mozilla/Opera een betere oplossing.
Sommige website's die wel serieus die meuk gebruiken zullen uiteraard dan ook niet werken, maar dat valt in de praktijk wel mee.

  • bolke
  • Registratie: oktober 2000
  • Laatst online: 21-07-2021

bolke

Klikt nu met een 50D.

De meeste spyware gebruikende lekken van de gebruiker. Ze klikken veel te snel YES. En zijn er maar enkele die een software bug gebruiken.

Dus ipv IE een andere browser gebruiken heeft niet zoveel zin.

Ikgebruik zelf PestPatrol Deze scaned veel meer dan Adaware 6 pro.

[Voor 15% gewijzigd door bolke op 04-12-2003 14:57]

http://www.hroling.nl


  • blackd
  • Registratie: februari 2001
  • Niet online
bolke schreef op 04 december 2003 @ 14:56:
Dus ipv IE een andere browser gebruiken heeft niet zoveel zin.
Jawel, de methode waarmee je met zo'n 'YES' scherm software installeert werkt alleen met IE, en niet met Firebird. Met Firebird krijg je dus niet eens zo'n scherm, en kan je dus helemaal niet op YES drukken.
mikejarod
[Spybot search & Destroy, immunize]
Dat is weer lekker vaag. Als iemand hier meer technische details over weet te vertellen?
Je kan regmon van sysinternals.com downloaden, die immunize uitvoeren en zien wat er veranderd wordt in het register.

[Voor 29% gewijzigd door blackd op 04-12-2003 15:01]


Anoniem: 55140

Spywareblaster is ook aan te raden, blockt meer dingen dan Spybot z'n immunize.

Feit 1: Er zijn zo'n dikke 20 niet gepatchte IE vulns.
Feit 2: Door er 5 te combineren is zo ongeveer alles mogelijk op de client z'n pc.
Feit 3: Enige huidige remedie is active scripting disablen(Wat IE onwerkbaar maakt imo)
Feit 4: De vroegere backdoorschrijvers worden nu ingehuurd door bedrijven etc. om de 'spyware' te schrijven..
Feit 5: Het tempo waarin nieuwe 'spyware' uitkomt is eigenlijk niet bij te houden qua detectie.

Mening 1: Gebruik geen IE.

  • JozyDaPozy
  • Registratie: december 2002
  • Laatst online: 11-01 12:23
Anoniem: 55140 schreef op 04 december 2003 @ 15:51:
Spywareblaster is ook aan te raden, blockt meer dingen dan Spybot z'n immunize.

Feit 1: Er zijn zo'n dikke 20 niet gepatchte IE vulns.
Feit 2: Door er 5 te combineren is zo ongeveer alles mogelijk op de client z'n pc.
Feit 3: Enige huidige remedie is active scripting disablen(Wat IE onwerkbaar maakt imo)
Feit 4: De vroegere backdoorschrijvers worden nu ingehuurd door bedrijven etc. om de 'spyware' te schrijven..
Feit 5: Het tempo waarin nieuwe 'spyware' uitkomt is eigenlijk niet bij te houden qua detectie.

Mening 1: Gebruik geen IE.
Ik ben het helemaal met je eens dat als je geen IE gebruikt dat je het grootste deel spyware tegen gaat (Ik gebruik zelf ook Firebird om o.a. die reden), maar waar haal je die dikke 20[..] vandaan??

Anoniem: 55140

jozy2002 schreef op 04 december 2003 @ 15:57:
[...]


Ik ben het helemaal met je eens dat als je geen IE gebruikt dat je het grootste deel spyware tegen gaat (Ik gebruik zelf ook Firebird om o.a. die reden), maar waar haal je die dikke 20[..] vandaan??
My bad..Zijn er een paar gefixt.
Nu nog maar 19 unpatched vulns. source

  • vacuumcleaner
  • Registratie: september 2001
  • Laatst online: 24-01 15:34
Ik denk dat er mensen zijn zoals ik die op een gezamelijke thuiscomputer zit. Mensen die geen verstand hebben van computers in huis (moeder, vader en broertje bij mij) klikken op van alles bij popups en je zit zo met spyware of erger, een virus.

Hoe ik het doe is als volgt

- Niemand installeerd wat zonder mijn weten.
- Bij vage mailtjes niets doen en mij roepen/bellen/ik niet bereikbaar --> verwijderen
- Niet naar site's gaan met veel pop-ups.
- Draai ad-aware elke dag
- Alle patches van microsoft geinstalleerd
- Realtime virusscanner draaien

Dit werkt tot nu toe prima.

Het niet gebruiken van IE is voor de doorsnee thuisgebruiker eigelijk niet denkbaar. Elke doorsnee-windows--thuisgebruiker gebruikt IE en is dus extra gevoelig voor spyware.

[Voor 4% gewijzigd door vacuumcleaner op 04-12-2003 16:12]

[Helpdesk]"While you're waiting, read the free novel which came with the product. Its a spanish story about a guy called "MANUAL."


  • Mike Jarod
  • Registratie: januari 2002
  • Niet online
Heb binnen VMWare XP geinstalleerd, en ga nu eens een beetje spelen met de tips die hierboven al gegeven zijn. Ik zal deze post in de loop van de tijd editen met mijn bevindingen. Klaar :)

Post verwijderd, had niet met alle bekende spywarescanners gescand. Ga dit even opnieuw doen in een nieuwe post.

[Voor 255% gewijzigd door Mike Jarod op 08-12-2003 15:07]


Anoniem: 55140

Bit off-topic: Als je interessante virussen/trojans tegenkomt, mag je me ze(of de url)sturen :)

  • Spider.007
  • Registratie: december 2000
  • Niet online

Spider.007

* Tetragrammaton

Mike Jarod schreef op 04 december 2003 @ 13:09:
[...]
• Spybot Search & Destroy - Immunize optie (IE only). In de help staat:
[...]
Dat is weer lekker vaag. Als iemand hier meer technische details over weet te vertellen?
[...]
Er wordt bij dit soort tools gebruik gemaakt van de CLSID's van de malafide ActiveX instanties. Deze worden door de tool in het register als 'niet bruikbaar' opgenomen....

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


  • DeTeraarist
  • Registratie: november 2000
  • Laatst online: 19:56

DeTeraarist

#Boots2Asses

Spyware komt niet alleen van internet, ook software wil nog wel eens wat installeren(dus goed lezen wat er staat tijdens de install).

Soms, als ik heel stil ben, kan ik de zon horen schijnen


  • Mike Jarod
  • Registratie: januari 2002
  • Niet online
Even min of meer bevestigen wat Schouw een paar posts geleden zei

Heb net ook binnen VMWare geprobeerd de IE beveiligingsinstellingen op hoog te zetten en dan foute sites te bezoeken. Dat werkt op zich wel, er komt geen troep binnen, maar "echt" surfen is niet echt meer mogelijk.

Als er gebruik wordt gemaakt van ActiveX op een pagina krijg je een irritante popup met de melding dat met de huidige beveiligingsinstellingen het script niet uitgevoerd kan worden. Heb gezocht op Google hoe je die popup uit kan schakelen, maar kan niks vinden (heb ook NL versie, en weet niet goed waarop ik moet zoeken in het engels).

Ook Javascripts werken niet (of maar half, raar want het zou helemaal uit moeten staan :?). Overigens krijg je dan ook geen popups meer, maar ja... dit is dus echt geen optie.

--------------------------------------------------------------------------------------
DataBeest schreef op 04 december 2003 @ 13:34:
Als je onder Windows 2000 of XP een gebruiker gewoon Userrechten geeft, ipv Administrator rechten, dan kan het geen meuk meer installeren, dus ook geen spyware geloof ik.
Dat werkt voor een deel zo te merken. Zowiezo krijg je nog steeds kilo's popups voor je kiezen. Javascript/ActiveX msgboxen met YES/NO opties verschijnen wel, maar als je op YES druk gebeurt er niets. Pagina's die automatisch een file downloaden (bv popup met "wil je file xyz downloaden") werken wel, als je dan op die vraag "openen" kiest dan installeert de meuk zich alsnog. Na een reboot lijkt overigens alle meuk weer weg, Spybot vindt alleen maar cookies, AAW helemaal niks :?.

Weet iemand misschien (evt een link naar) meer info over wat een user uit de groep "Gebruikers" precies wel en niet mag? (dan denk ik aan NTFS rechten en policies etc)

--------------------------------------------------------------------------------------

Heb Mozilla Firebird ook uitgeprobeerd. Tja dat is is 'm he. Geen popups, geen YES/NO vensters. Geen spyware :). Wel bestanden die automatisch geopend/gedownd worden (eerst een popup met een vraag natuurlijk). Had wel wat problemen met het installeren van Java en de browser wilde ook af en toe helemaal niet starten (proces draaide wel) totdat ik rebootte, hopelijk komt dat door VMWare. Deze browser smaakt naar meer :P .

--------------------------------------------------------------------------------------
offtopic:
De hele tijd op foute sites zitten om dit uit te pluizen is anders best leerzaam: ik weet nu dat mummification ook een vorm van sex is :+

[Voor 23% gewijzigd door Mike Jarod op 08-12-2003 22:07]


  • Mike Jarod
  • Registratie: januari 2002
  • Niet online
Preventieve software

Komen voornamelijk van deze lijst.

Deze heb ik uitgetest door het volgende te doen:
• ieplugin[dot]com bezoeken
• astalavista[dot]com bezoeken, dan zoeken naar een crack op meerdere sites, vooral de sites met popups en exe popups
• porn xxx slut etc intikken bij google
En dan naar hartelust op alle banners popups etc klikken :P.

--------------------------------------------------------------------------------------

JavaCool SpywareBlaster (freeware). Info:
SpywareBlaster doesn`t scan and clean for so-called spyware, but prevents it from being installed in the first place. It achieves this by disabling the CLSIDs of popular spyware ActiveX controls, and also prevents the installation of any of them via a webpage. This allows you to run Internet Explorer with Active-X enabled, but it will never download or even prompt you for any of the known ActiveX controls.
Werkt zeer goed. Krijg het idee dat je ook minder popups krijgt. YES/NO en INSTALL schermen verschijnen niet meer, ook vragen of je een exe file wilt downloaden ben ik niet tegengekomen. Na 20 minuten foute sites bezoeken vinden zowel AAW als Spybot helemaal niets. Ook via HijackThis zie ik geen gekke dingen. Aanrader!

--------------------------------------------------------------------------------------

Spybot Search & Destroy (freeware) - Immunize functie.

Ik kan hier geen nuttige info over vinden in de help of op de site. Behalve het vage verhaal uit mijn startpost. Zal vermoedelijk ook foute CLSID's preventief disablen.

• Permanent Internet Explorer immunity aangezet.
• Permanently running bad download blocker for IE aangezet. Bij deze optie wordt zo te zien een BHO object toegevoegd (SDHelper.dll).

Sja, dit is gewoon dikke drama. Een aantal dingen werden zo leek het wel tegengehouden (waarschijnlijk de meest bekende adware), maar uiteindelijk zit ik weer met genoeg toolbars/dialers/active desktop zooi opgescheept. Afrader dus.

--------------------------------------------------------------------------------------

meer volgt...

[Voor 39% gewijzigd door Mike Jarod op 08-12-2003 14:33]


  • Freee!!
  • Registratie: december 2002
  • Laatst online: 20:13

Freee!!

Trotse papa van Toon en Len!

DeTeraarist schreef op 07 december 2003 @ 18:56:
Spyware komt niet alleen van internet, ook software wil nog wel eens wat installeren(dus goed lezen wat er staat tijdens de install).
Na het installeren van W2K heb je al spyware staan (Alexa van Brilliant Digital).

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT]


  • Anoniem: 45837
  • Registratie: januari 2002
  • Niet online
-Geen onbetrouwbare software installeren
-In plaats van IE Mozilla Firebird gebruiken. Java uitschakelen, Adblock extension installeren en eventueel wat Javascript functies blokkeren (windows resizen enzo).

Nooit meer last van spyware...

Anoniem: 99372

er komt een hoop bij kijken... bedankt voor alle tips!

  • Mike Jarod
  • Registratie: januari 2002
  • Niet online
Spyware scanners test

Disclaimer: ik heb hier geen verstand van. Ik snap niks van kompjoeters. Deze tests doe ik puur voor de lol. Misschien dat een professionele instantie compleet andere resultaten zou krijgen. Dat je het ff weet ;).

Testsysteem: XP Pro SP1 + alle updates, binnen VMWare. System Restore staat uit. IE security settings op laagst. Geen virusscanner of firewall. Ad-Aware en Spybot gedraaid om spyware wat bij al bij de installatie zit (Alexa, internetzones) te verwijderen. Daarna ongeveer een uur op foute sites gezeten zoveel mogelijk troep proberen binnen te halen. Toen een snapshot gemaakt in VMWare. Bij elke test van elk programma de snapshot weer geladen om de uitgangssituatie gelijk te houden.

Om een idee te krijgen hoe verneukt het systeem was (klikbaar):



HijackThis log voor de liefhebbers. Staan zover ik kan zien 101 items in die met spyware te maken kunnen hebben. Dit zijn oa BHO's / startpages / toolbars / Run items etc.

Wat zeggen de specialisten? :)

Ik heb eerst het programma ge-update en laten scannen/cleanen. Daarna met JV16 Powertools het register opgeschoond en dode snelkoppelingen verwijderd. Doe je dit niet dan is mijn ervaring dat het HT log verwijzingen weergeeft naar files die niet meer bestaan, das niet eerlijk. Toen pas HT log gemaakt.

Lavasoft Ad-Aware v6 build 181 (normale versie is freeware, pro versie kost $39,95): 677 New objects. HT log na opschonen. Ongeveer de helft van de snelkoppelingen op de desktop (vnl dialers) staan er nog. In het HT log zie ik zo snel 8 items die met spyware te maken kunnen hebben.

Spybot Search & Destroy v1.2 (freeware): 348 Problems found. HT log na opschonen. Alle snelkoppeling op de desktop staan er nog, blijkbaar doet Spybot niet aan dialers. In het HT log zie ik zo snel 35 items die met spyware te maken kunnen hebben.

Webroot Spy Sweeper v2.1.0 build 23 (free trial, full $29,95): Spyware found: 74, Traces found: 3.964. Cleanen duurt erg lang. HT log na opschonen. Ongeveer de helft van de desktopitems is verwijderd. In het HT log zie ik zo snel 27 items die met spyware te maken kunnen hebben.

Intermute SpySubtract Pro v1.06 (free trial, full $29,95): vindt 313 items. HT log na opschonen. Heeft deze wel wat verwijderd? Alle desktopitems staan er nog. In het HT log zie ik zo snel 65 items die met spyware te maken kunnen hebben. Slechte prestatie voor een betaald product.

Overig - niet (goed) kunnen testen:
Enigma SpyHunter (demo, full $29,99): demoversie kan niet cleanen! Kon geen import versie vinden.
NetCop System Shield (demo, full $49.95): vindt helemaal niks! Onduidelijk programma. Import versie vond ook niets. Kan niet kloppen.
PestPatrol (demo, full $39,95): demo kan niet cleanen! Heb zowel trail als import versie geprobeerd maar die wilden niet updaten. Update van site gedaan. Na aantal keer cleanen wilde deze wel automatisch updaten maar ging zeiken dat een file niet op de updatesite bestond. Resultaten waren belabberd.
InfoWorks SpyRemover (free trial, $29,95): demo kan niet cleanen! Niet naar een import versie gezocht omdat deze op andere sites slecht gereviewed wordt.

Ik heb ook nog even naar online spyware scan sites gekeken, maar hier kon of niet gecleaned worden of ze vonden niet veel.

Beetje jammer dat er zoveel programma's problemen gaven, PestPatrol en NetCop worden hier en daar goed gereviewed maar deden het niet goed. Daarom is deze test een beetje incompleet.

Samengevat:
Ad-Aware vond in deze test de meeste meuk. Sybot minder, maar vindt wel dingen die AAW niet vond. Ik raad ze aan beide te gebruiken. Webroot Spysweeper doet het ook redelijk, maar is niet gratis, en de resultaten wegen niet op tegen het gratis Ad-Aware.

[Voor 255% gewijzigd door Mike Jarod op 09-12-2003 13:35]


  • Miki
  • Registratie: november 2001
  • Laatst online: 19:32
verhaal
Zeer mooi werk Mike Jarod _/-\o_ _/-\o_

Ben zelf ook onder de indruk van deze uitslag, had meer verwacht van alle "anti"spyware progs :|

Samsung QE55Q9F 2018 | Sonos Beam gen1 | Sonos Sub gen3 | Sonos One 2x | APsystems 14x315Wp - ZW |  MacBook Pro 13" 2017 |  MacBook Air 13" 2017 I  iPad 2018 |  iPhone 12 |  TV 4K |  AirPods


Anoniem: 55140

Aardige test :)

Resultaten ongeveer gelijk aan mini-testje die ik een tijdje geleden heb uitgevoerd.
(Hoewel dat meer kijken naar spul voor KAV was, heb toen ook alleen gekeken hoe spybot en ad-aware het deden).

Kijken naar HT logs is beter dan blindelings op anti-spy progs afgaan, maar ben laatst ook al een situatie tegengekomen waarbij HT een dll gewoonweg miste. Maar HT wordt regelmatig geupdate, dus misschien is die bug er wel weer uit.

  • bolke
  • Registratie: oktober 2000
  • Laatst online: 21-07-2021

bolke

Klikt nu met een 50D.

Leuke test. Ik moet mijn vooroordeel tov AAW even herzien. Ik vond het een K!@#$te pakket.

Ik heb zelf de beste ervaringen met pestPatrol. Maar daar heb ik dan ook een corporate versie van.

http://www.hroling.nl


  • WimB
  • Registratie: juli 2001
  • Laatst online: 20-09-2021
bolke schreef op 09 december 2003 @ 16:11:
... Ik moet mijn vooroordeel tov AAW even herzien. Ik vond het een K!@#$te pakket.
...
Mogelijk heb je deze voororrdelen gekregen door een versie voor Ad-aware 6 build 181. Toen vond ik ad-aware ook niet zo goed. Maar deze laatste build is echt schitterend en nog eens snel ook !!
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee