Na installatie WIN direct spyware gevonden

Ehh, standaard vindt ie toch al een Alexa regsetting en een DSO exploit (built into windows?)?

Die DSO-exploit is geen spyware, maar een bug in Internet Explorer die o.a. door Search en Destroy "gepatcht" kan worden.

[ Voor 7% gewijzigd door Vunzz op 06-09-2004 09:54 ]

eeehm fdisk /mbr dan maar...

Dit hoort thuis in Beveiliging & Virussen en misschien is dit al eerder aan de orde geweest.

Heb je zelf al naar een oorzaak gezocht en zoja, welke heb je gevonden?

Het kan behoudens de al eerder genoemde zaken nooit zo zijn dat er andere spyware meegeïnstalleerd wordt tenzij dit gebeurt na bijv. het koppelen van een tweede HD met bestanden of programma's.

Lijkt me simpel te stellen dat een originele Windows XP CD geen andere spyware bevat dan er gevonden wordt. Welke zaken worden er eigenlijk ontdekt?

Spyware mag in BV

WOS > BV

Als dit de enige 2 zijn lijkt het me geen enkel probleem. Dit is een extra-feature kennelijk en daarom bekend cq. op te lossen.

Dat er een virus wordt gevonden is vreemd want dat kan normaliter niet tenzij het MBR is geïnfecteerd. Oplossing is simpel, MBR herstellen maar dat was al eerder gezegd.

Hou er rekening mee dat er virussen kunnen staan op back-up-media dus scan voor elke herinstallatie van een programma of bestand hierop.

sniek schreef op 06 september 2004 @ 10:07:
DSO, Alexa, en na het instellen internet worden er na enkele minuten ook virussen in mijn system32 directory gevonden. De cd is legaal bij een pc van MyCom gekregen. Daarom dacht ik ook dat het een probleem betreft met het mbr ofzo....

Het is de bedoeling dat je je windowsbak patcht voordat je een internetaansluiting realiseert op je computer, anders ben je binnen enkele minuten geïnfecteerd.

Zie ook HOWTO: Beveilig je (Windows) pc

Alleen wel SP1 en geen IE gebruiken is niet genoeg. Je wilt alle security patches installeren voordat je rechtstreeks het internet op gaat. Ga van achter een router naar windowsupdate.com en/of stel Zonealarm strakker in

sniek schreef op 06 september 2004 @ 12:45:
[...]Voordat ik inet opga zijn zonealarm, avast antivirus en Firefox al in staat van paraatheid gebracht. Oftewel dat kan het niet zijn.

En waarom zouden je sources van ZoneAlarm, Avast of Firefox niet geïnfecteerd kunnen zijn?

Je mag je netwerkkabel niet in de PC steken vooraleer ZoneAlarm en de virusscanner geïnstalleerd zijn.

Staan ZoneAlarm en de virusscanner op een CD? En ben je zeker dat er geen virussen/spyware op die CD staan?

Kan je aangeven wat voor spyware er op je pc staat na de verse herinstallatie?
Eventueel een HijackThis log?
Zoals al eerder aangegeven is, kan het een vals alarm zijn.

Alexa, DSO exploit, Sasser32WORM (of een variant daarvan)

Aangezien ik inderdaad niet eerst de stekker erin steek voordat zonealarm, avast antivirus en spybot draaien denk ik niet dat ik er erg veel aan kan doen internetgewijs. Daarom dacht ik dat het een andere oorzaak/reden had. Iets wat ik niet schoon had gemaakt ofzo op mijn pc,.. mbr? geheugen?

Sasser = (Internet)network-worm.

Je hangt/hing dus wel degelijk ongepatched aan internet..

Ik snap dit niet: als je gewoon de windows firewall aanzet op SP1 wordt volgens mij al het verkeer vanuit het WAN geblokkeerd. Hangen er soms meer pc's in je netwerk die geinfecteerd kunnen zijn?
http://www.sans.org/rr/papers/index.php?id=1298 volg deze handleiding dan eens en installeer het liefst ook SP2 voor XP de 250mb download is beschikbaar bij MS.

cutter schreef op 07 september 2004 @ 15:18:
Ik snap dit niet: als je gewoon de windows firewall aanzet op SP1 wordt volgens mij al het verkeer vanuit het WAN geblokkeerd...

Tijdens het opstarten van de machine is de tcp/ip stack eerder in de lucht dan de firewall (da's gewoon een van de services die opstart). In de tijd die verstrijkt tussen het opstarten van je tcp/ip stack en je firewall, kun je dus geïnfecteerd worden. Geldt overigens niet meer voor SP2

Hmm er komt een herrinnering boven.

Een tweetal maanden geleden hebben mijn schoonouders een nieuwe pc gekocht bij de MyCom. WinXP Home is door hun geinstalleerd, en er is geen cdtje meegeleverd (cdtje heb ik wel, ze hebben iig de licentie. Dit was x euro goedkoper).
Het weekend na aankoop dat ik bij ze was deed internet vreemd, na een aantal minuten knalde hij er steeds uit, en deed het alleen weer na een reboot.

Ik ben toen het register doorgerend en kwam een aantal items tegen die bij booten werd opgestart waar ik nog nooit van had gehoord. Ze hadden omschrijvingen als "Windows Update Manager", "MSNmessenger", "Rundll", en meer van dat soort zogenaamd verbergende shit.
Na een aantal uurtjes kloten en het gebruiken van een aantal online scans bij Housecall alle shit (4 á 5 verschillende virussen) eraf gekregen, en direct Norton geinstalleerd (stond er nog niet op, wel alle windows updates door Mycom geinstalleerd).

Ik ben alle internet bestanden langs gegaan om te zien of er iemand op een vreemde site was geweest. De firewall van XP stond geactiveerd. En ik geen enkele reden vinden hoe deze virussen op de pc terrecht zijn gekomen. Het enige dat ik kon bedenken, is dat de Mycom (vestiging Breda, NAC stadion) een besmette image heeft gebruikt om de pc te installeren...

Na opschonen overigens nooit meer een virus gevonden op de pc.

[ Voor 10% gewijzigd door frickY op 07-09-2004 19:02 ]

sniek schreef op 07 september 2004 @ 16:58:
[...]


Bedankt voor de moeite jongens. Ik had gehoopt op een metgezel die dit probleem ook heeft gehad. En niet op uit de lucht gegrepen tips and tricks of scepsis omtrent mijn omschrijvingen. Daargelaten dat ik het liefst ook meer info aan jullie zou kunnen verstrekken (en dat kan ik dus nu niet meer) is dit tijd om dit topicje te sluiten.

Dank,
Sniek

Schouw grijpt niks uit de lucht, hij heeft gewoon gelijk en jij bent eigenwijs.

Je zal geen metgezel vinden, omdat wat jij zegt niet kan. Je kan Sasser of zijn varianten niet krijgen als je gepatched en achter een firewall op het internet zit.

Anders ga je dit effe lezen:
http://securityresponse.s...data/w32.sasser.worm.html

[ Voor 8% gewijzigd door Verwijderd op 07-09-2004 19:49 ]

Dicht op verzoek.

[ Voor 52% gewijzigd door Verwijderd op 08-09-2004 17:39 ]