:strip_exif()/u/46648/psycho.gif?f=community)
Spyware / Adware scanner test - april 2004
Disclaimer: ik ben hier geen expert in. Ik heb gewoon met gezond verstand en de programma's die hiervoor verkrijgbaar zijn wat opschoonacties gedaan. Misschien behaalt een professionele instantie compleet andere resultaten
Tijdje geleden heb ik ook al zoiets gedaan (zie hier), en ik vond het weer eens tijd voor een nieuwe ronde. Dit keer heb ik ook een aantal virusscanners meegetest, omdat deze steeds meer spyware / adware beginnen te herkennen.
Nuttige links
• GoT: SA FAQ: virussen & spyware - lees dit als dit allemaal nieuw voor je is
• GoT: [rml][ Howto] Spyware scannen en opruimen[/rml] - standaard leesvoer
• GoT: [rml][ Spyware] Hoe preventief tegengaan?[/rml]
• http://www.spywareinfo.com/ - algemene spyware info
• http://www.spywareinfo.com/~merijn/ - HijackThis en CWShredder
• http://www.sysinfo.org/ - overzicht van startup items en CLSID's
• http://www.liutilities.com/ - overzicht van startup items
Werkwijze
Binnen VMWare heb ik een standaard installatie gedaan van Windows XP SP1 inclusief alle updates die er op dat moment beschikbaar waren (9 april 2004). Géén firewall, géén virusscanner. De beveiligingsinstellingen van Internet Explorer op zeer laag gezet (op die manier wist ik zeker dat alles er doorheen komt). Met Ad-Aware en Spybot Search & Destroy een complete scan gedaan, om spyware wat bij een standaard installatie zit te verwijderen (Alexa internetzones oid). Daarna met JV16 Powertools het register gecleaned + loze snelkoppelingen verwijderd. Het systeem met HijackThis zodanig opgeschoond dat alleen het volgende over bleef:
Daarna met Internet Explorer een paar uurtjes intensief naar "foute" sites gesurfd en alle popups aangeklikt, toolbars geinstalleerd etc. Het viel me op dat bepaalde spyware elkaar lijkt tegen te werken; op een gegeven moment verschenen er geen toolbars meer, terwijl deze wel degelijk geinstalleerd waren. Ook als ik bepaalde spyware processen afsloot, openden anderen zich weer die nog niet gestart waren. Je kan begrijpen dat het systeem zo traag als dikke stront door een rietje was geworden
Om een idee te krijgen hoe verrot het systeem was na deze actie hier een screenshot (klikbaar) :
HijackThis log van deze configuratie
Aan de hand van bovenstaand HijackThis log ben ik gaan kijken hoe de verschillende programma's presteren. Let op: HijackThis is niet 100% representatief, want bv bepaalde varianten van CoolWebSearch zijn niet te zien in het log. Zo zullen er vast nog wel wat uitzonderingen zijn. Als ik naar het log kijk, zie ik zo snel 79 regels die er niet thuis horen. Sommige regels komen dubbel voor, anderen zijn misschien niet eens zo schadelijk, maar ik ga er niet te diep op in, wat ik zie als troep, telt mee
Op dit moment heb ik een snapshot binnen VMWare gemaakt, zodat elke scanner dezelfde uitgangspositie heeft. Eerst wordt de scanner geinstalleerd + geupdate, dan een scan + clean, daarna een registerclean / shortcutclean met JV16 Powertools, en pas dan wordt het uiteindelijke HijackThis log gemaakt. Bij het testen van een nieuw programma wordt eerst weer het snapshot teruggezet.
Nog even over de virusscanners, deze zullen een verkeerd beeld gaan geven, omdat ik ze pas installeer na alle spyware binnengehaald te hebben. Daarom zullen bv start- en zoekpagina's niet worden gecleaned, alleen .exe en .dll's die de scanner ziet als geinfecteerd. Daarom zijn het aantal troep-regels uit het HijackThis log hoger dan bij de andere scanners. Mocht de virusscanner al draaien voordat de spyware wordt gedownloadt, zal deze natuurlijk alle verdachte handelingen tegenhouden (mits deze herkend worden). Ik denk dat het beter is om alleen naar de BHO's, Run-items en .CAB's te kijken in dit geval.
De resultaten
Genoeg geluld, we willen de uitslagen
De tabellen hieronder spreken voor zich.
• Spyware / Adware scanners:
• Virusscanners:
• Overig:
Conclusie
Ad-Aware lijkt het weer goed te doen, maar niet goed genoeg. Ik ben alleen de standaard "verkeerde" sites afgegaan (astajeweetwel, google zoeken op hack porn virii etc), dus ik verwacht geen exotische spyware / adware op dit testsysteem. Alle programma's lopen achter de feiten aan, maar dat hou je helaas altijd met dit onderwerp.
De virusscanners geven zoals ik al zei een verkeerd beeld, dus daar moet je maar niet te veel waarde aan hechten. Kaspersky deed het het best, maar dat was dus na wat configgen en met hulp van Schouw, dus dat is ook niet echt eerlijk. Jammer dat NAV2004 een aantal files niet wilde deleten, ook niet na opnieuw scannen in de veilige modus.
Aanbeveling
Als je gratis op spyware / adware wil scannen, raad ik aan om de combinatie Ad-Aware en Spybot Search & Destroy te gebruiken. De één vindt dingen die de ander niet vindt en andersom. Er lijkt geen betaald product te zijn dat het beter doet.
/me Realiseer je goed dat je met een andere browser dan Internet Explorer (bv Mozilla Firefox) zo goed als immuun bent voor dit soort troep!
Disclaimer: ik ben hier geen expert in. Ik heb gewoon met gezond verstand en de programma's die hiervoor verkrijgbaar zijn wat opschoonacties gedaan. Misschien behaalt een professionele instantie compleet andere resultaten
Tijdje geleden heb ik ook al zoiets gedaan (zie hier), en ik vond het weer eens tijd voor een nieuwe ronde. Dit keer heb ik ook een aantal virusscanners meegetest, omdat deze steeds meer spyware / adware beginnen te herkennen.
Nuttige links
• GoT: SA FAQ: virussen & spyware - lees dit als dit allemaal nieuw voor je is
• GoT: [rml][ Howto] Spyware scannen en opruimen[/rml] - standaard leesvoer
• GoT: [rml][ Spyware] Hoe preventief tegengaan?[/rml]
• http://www.spywareinfo.com/ - algemene spyware info
• http://www.spywareinfo.com/~merijn/ - HijackThis en CWShredder
• http://www.sysinfo.org/ - overzicht van startup items en CLSID's
• http://www.liutilities.com/ - overzicht van startup items
Werkwijze
Binnen VMWare heb ik een standaard installatie gedaan van Windows XP SP1 inclusief alle updates die er op dat moment beschikbaar waren (9 april 2004). Géén firewall, géén virusscanner. De beveiligingsinstellingen van Internet Explorer op zeer laag gezet (op die manier wist ik zeker dat alles er doorheen komt). Met Ad-Aware en Spybot Search & Destroy een complete scan gedaan, om spyware wat bij een standaard installatie zit te verwijderen (Alexa internetzones oid). Daarna met JV16 Powertools het register gecleaned + loze snelkoppelingen verwijderd. Het systeem met HijackThis zodanig opgeschoond dat alleen het volgende over bleef:
code:
Kortom maar 3 "echte" entries (R0/O4) 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| Logfile of HijackThis v1.97.7 Scan saved at 12:54:11, on 9-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\VMware\VMwareTray.exe C:\Program Files\VMware\VMwareUser.exe C:\Program Files\VMware\VMwareService.exe C:\Apps\HijackThis 1.97.7\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMwareTray.exe O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMwareUser.exe |
Daarna met Internet Explorer een paar uurtjes intensief naar "foute" sites gesurfd en alle popups aangeklikt, toolbars geinstalleerd etc. Het viel me op dat bepaalde spyware elkaar lijkt tegen te werken; op een gegeven moment verschenen er geen toolbars meer, terwijl deze wel degelijk geinstalleerd waren. Ook als ik bepaalde spyware processen afsloot, openden anderen zich weer die nog niet gestart waren. Je kan begrijpen dat het systeem zo traag als dikke stront door een rietje was geworden
Om een idee te krijgen hoe verrot het systeem was na deze actie hier een screenshot (klikbaar) :
HijackThis log van deze configuratie
Aan de hand van bovenstaand HijackThis log ben ik gaan kijken hoe de verschillende programma's presteren. Let op: HijackThis is niet 100% representatief, want bv bepaalde varianten van CoolWebSearch zijn niet te zien in het log. Zo zullen er vast nog wel wat uitzonderingen zijn. Als ik naar het log kijk, zie ik zo snel 79 regels die er niet thuis horen. Sommige regels komen dubbel voor, anderen zijn misschien niet eens zo schadelijk, maar ik ga er niet te diep op in, wat ik zie als troep, telt mee
Op dit moment heb ik een snapshot binnen VMWare gemaakt, zodat elke scanner dezelfde uitgangspositie heeft. Eerst wordt de scanner geinstalleerd + geupdate, dan een scan + clean, daarna een registerclean / shortcutclean met JV16 Powertools, en pas dan wordt het uiteindelijke HijackThis log gemaakt. Bij het testen van een nieuw programma wordt eerst weer het snapshot teruggezet.
Nog even over de virusscanners, deze zullen een verkeerd beeld gaan geven, omdat ik ze pas installeer na alle spyware binnengehaald te hebben. Daarom zullen bv start- en zoekpagina's niet worden gecleaned, alleen .exe en .dll's die de scanner ziet als geinfecteerd. Daarom zijn het aantal troep-regels uit het HijackThis log hoger dan bij de andere scanners. Mocht de virusscanner al draaien voordat de spyware wordt gedownloadt, zal deze natuurlijk alle verdachte handelingen tegenhouden (mits deze herkend worden). Ik denk dat het beter is om alleen naar de BHO's, Run-items en .CAB's te kijken in dit geval.
De resultaten
Genoeg geluld, we willen de uitslagen
De tabellen hieronder spreken voor zich.• Spyware / Adware scanners:
| Applicatie | Lavasoft Ad-Aware Professional v6.0 build 181 - refs 01R380 07.04.2004 |
| Kosten | Standard versie is gratis, Professional versie kost $39,95 |
| Scan | 904 New objects: - 7 processes - 413 register keys - 62 register values - 398 files - 24 folders |
| HijackThis | HijackThis log na opschonen (31 regels troep) |
| Opmerkingen | Programma ziet er verzorgd uit en doet z'n werk goed. In m'n vorige test kwam deze min of meer als winnaar uit de bus. |
| Applicatie | Spybot Search & Destroy 1.3 Beta 6 - updates t/m 4-3-4 |
| Kosten | Gratis |
| Scan | 523 Problems found |
| HijackThis | HijackThis log na opschonen (33 regels troep) |
| Opmerkingen | Nieuwe Beta versie, voor de huidige zie hieronder. Geeft de gevonden items erg overzichtelijk weer geordend per herkend type. Scant ook op onbekende dingen. Link hierboven wijst naar normale website, maar daar is deze Beta versie niet te downloaden. Kijk even hier: [google=Spybot Search Destroy 1.3 beta 6]. |
| Applicatie | Spybot Search & Destroy 1.2 - updates t/m 4-3-4 |
| Kosten | Gratis |
| Scan | 491 Problems found |
| HijackThis | HijackThis log na opschonen (42 regels troep) |
| Opmerkingen | Programma ziet er simpel uit en doet z'n werk redelijk. Herkent dingen die Ad-Aware niet herkent. Immunize functie kan handig zijn, maar er zijn betere verkrijgbaar (bv Javacool Spywareblaster). Deze functie blokkeert preventief de installatie van bepaalde spyware / adware. |
| Applicatie | Webroot Spy Sweeper 2.6.1 build 45 - defs 334 |
| Kosten | Gratis trial versie die cleant, volledige versie kost $29,95 |
| Scan | Software found: 110 Associated traces found: 11.238 |
| HijackThis | HijackThis log na opschonen (44 regels troep) |
| Opmerkingen | Matige prestatie voor een betaald product. Programma ziet er verzorgd uit en is makkelijk te configureren. |
| Applicatie | BPS Spyware Remover v8.2 build #9 - updates van 31-3-4 |
| Kosten | Gratis trial versie die cleant, volledige versie kost $29 |
| Scan | Spyware components found: 2032 |
| HijackThis | HijackThis log na opschonen (45 regels troep) |
| Opmerkingen | Duidelijk programma, valt weinig in te stellen. Teleurstellend resultaat voor een betaald product. |
| Applicatie | PestPatrol Corporate Edition v4.3.0.7 - updates van 12-4-4 |
| Kosten | Trial versie cleant niet  Home User versie kost $39,95 |
| Scan | Meerdere malen moeten scannen. 1e keer: Pests found: 2008 2e keer: Pests found: 1045 |
| HijackThis | HijackThis log na opschonen (50 regels troep) |
| Opmerkingen | Scannen en cleanen duurt erg lang. Matig resultaat. Hun website www.pestpatrol.com biedt wel veel informatie over diverse spyware / adware en een online scan optie op www.pestscan.com (niet getest). Op het internet vind ik tests van dit soort programma's waar PestPatrol als beste uit de bus komt, maar in deze test bakt ie er niet veel van. |
• Virusscanners:
| Applicatie | Kaspersky Antivirus 5.074 beta - extended bases t/m 10-4-4 |
| Kosten | (versie 4.5, de geteste beta is gratis) 30 dagen gratis trial, Personal versie kost $49,95 |
| Scan | 93 Viruses detected 99 Objects deleted |
| HijackThis | HijackThis log na opschonen (65 regels troep, 10 Run items) |
| Opmerkingen | Dit is nogal een apart verhaal. Versie 4.5 wilde niet goed installeren (misschien door de spyware) en Schouw raadde me aan om de extended bases te gebruiken. Daarom maar de versie 5 beta geprobeerd. Die ziet er stukken beter uit als versie 4.5. Die extended bases zorgen ervoor dat meer dailers en spyware herkend worden. Dit staat helaas standaard uit, omdat dit ook False Positives (valse virusmeldingen) op kan leveren. Daarom is dit niet echt een "out-of-the-box" test. |
| Applicatie | Mcafee Virusscan Professional v8.0 - updates t/m 11-4-4 |
| Kosten | 15 dagen gratis trial, Professional versie kost $59,99 |
| Scan | 22 Files infected Potentially unwanted programs: 97 |
| HijackThis | HijackThis log na opschonen (76 regels troep, 21 Run items) |
| Opmerkingen | Mcafee heeft sinds kort ook een nieuw product: Mcafee AntiSpyware. Helaas is daar nog geen trial versie van dus die heb ik niet kunnen testen. 10 files kunnen niet worden deleted, maar kunnen wel in quarantine geplaatst worden, dat is voldoende voor deze test. |
| Applicatie | Symantec / Norton Antivirus 2004 Professional - updates t/m 11-4-4 |
| Kosten | 15 dagen gratis trail, Professional versie kost $69.95 |
| Scan | 1 Infected file 84 At-risk files. |
| HijackThis | HijackThis log na opschonen (78 regels troep, 23 Run items) |
| Opmerkingen | Drama. Doet blijkbaar niet aan scannen in het geheugen, want gaat niet zeuren na installatie over verdachte dingen in het geheugen. Vindt wel een hoop, maar kan van de 85 die ie er vindt 47 niet verwijderen! Ook niet in de veilige modus. Je krijgt wel een optie om per gevonden item naar de Symantec site te gaan voor info over hoe je handmatig kan verwijderen. |
• Overig:
| Applicatie | SpyCop Corporate v5.6 |
| Opmerkingen | Geen demo / trial verkrijgbaar Site ziet er zielig uit, alleen maar wat "verklaringen" van zogenaamde mensen die het gebruikt hebben en waardoor hun leven helemaal omgeslagen is enzo  Volledige versie vond helemaal niets  |
| Applicatie | Aluria Spyware Eliminator v3.0 |
| Opmerkingen | Demo versie kan niet cleanen Vindt wel een hoop maar ik moet kunnen cleanen om een nuttig HijackThis log te hebben. |
| Applicatie | X-Cleaner Professional |
| Opmerkingen | Geen demo / trial Programma doet veel meer dan alleen scannen op spyware, ook IE beveiligingsinstellingen aanpassen, bepaalde services disablen en een file shredder. |
| Applicatie | SpyBuster |
| Opmerkingen | Demoversie niet te downloaden. Moet je aanvragen. Heb een mail gestuurd. Na bijna 2 weken nog steeds geen reply gehad  |
Conclusie
Ad-Aware lijkt het weer goed te doen, maar niet goed genoeg. Ik ben alleen de standaard "verkeerde" sites afgegaan (astajeweetwel, google zoeken op hack porn virii etc), dus ik verwacht geen exotische spyware / adware op dit testsysteem. Alle programma's lopen achter de feiten aan, maar dat hou je helaas altijd met dit onderwerp.
De virusscanners geven zoals ik al zei een verkeerd beeld, dus daar moet je maar niet te veel waarde aan hechten. Kaspersky deed het het best, maar dat was dus na wat configgen en met hulp van Schouw, dus dat is ook niet echt eerlijk. Jammer dat NAV2004 een aantal files niet wilde deleten, ook niet na opnieuw scannen in de veilige modus.
Aanbeveling
Als je gratis op spyware / adware wil scannen, raad ik aan om de combinatie Ad-Aware en Spybot Search & Destroy te gebruiken. De één vindt dingen die de ander niet vindt en andersom. Er lijkt geen betaald product te zijn dat het beter doet.
/me Realiseer je goed dat je met een andere browser dan Internet Explorer (bv Mozilla Firefox) zo goed als immuun bent voor dit soort troep!
[ Voor 28% gewijzigd door Mike Jarod op 25-04-2004 13:15 ]
:strip_icc():strip_exif()/u/6838/crop5f5d0e19683d6_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/59535/sfox18ico.jpg?f=community)
:strip_icc():strip_exif()/u/19865/CooperS.jpg?f=community)
:strip_exif()/u/74551/crop5603d0198ea2e_cropped.gif?f=community)
:strip_icc():strip_exif()/u/41950/revenge1.jpg?f=community)
:strip_exif()/u/6563/zwemA.gif?f=community)
:strip_icc():strip_exif()/u/1158/twister-icon-nw.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/32590/Meteora60.jpg?f=community)