Beveiliging
- Introductie
- Windows Defender
- Algemene firewall info
- Windows firewall
- Algemene info over virussen, spyware, e.d.
- Virus- en spywarescanners
- Gebruik van VirusTotal i.c.m. Sysinternals tools
- Rootkits en scanners
- Manieren waarop malware je PC kan binnendringen
- Wat je zelf kan doen om besmetting te voorkomen
- Verwijderen van malware met Sysinternals tools
- Links
Introductie
In hoofdlijnen moet je je tegen 2 dingen beschermen:
- Programma's/personen die proberen binnen te dringen op je PC,
maar ook, en dat beseffen veel mensen niet, programma's die zonder dat
je dat wilt een verbinding naar de buitenwereld proberen op te zetten.
Daarvoor heb je een firewall nodig. - Software die iets op je PC probeert te verzieken,
zoals virussen, spyware en
rootkits (een wat nieuwer fenomeen).
Hiervoor heb je een virusscanner, spywarescanner, rootkitscanner of een combinatie nodig. Vooral virussen en spyware worden trouwens steeds meer op 1 hoop gegooid. De meeste scanners maken geen onderscheid meer tussen deze categorieën.
Naast gebruik maken van hulpmiddelen als firewalls en scanners, kan je zelf ook het nodige doen om problemen te voorkomen.
Windows Defender
Defender
is het ingebouwde antivirus-programma
van Microsoft.
Het is niet zo slecht meer als het ooit was, maar toch kunnen er redenen
zijn om Defender
uit te willen schakelen.
Algemene firewall info
Vanaf het moment dat je PC met Internet verbonden is moet je een firewall actief hebben. Tegenwoordig hebben de kastjes (routers/modems) die voor de verbinding met de buitenwereld zorgen vaak ook al een ingebouwde firewall, dus in principe zou het moeilijk moeten zijn om je PC ongevraagd te benaderen vanaf het Internet.
Maar een firewall heeft nog een andere functie, nl. verhinderen dat programma's op je PC dingen naar buiten sturen zonder dat dat jouw bedoeling was. Een goede firewall vraagt dus bij elk nieuw programma dat verbinding met Internet probeert te maken aan de gebruiker of hij daar toestemming voor geeft, en zo ja, eenmalig of (min of meer) permanent.
In principe hoef je zo'n vraag maar 1 keer te beantwoorden. Maar als je bv. je browser vervangt door een hogere versie, ook al is het maar 10.1 door 10.2, dan is het niet meer hetzelfde programma en krijg je de vraag opnieuw.
Er zit standaard een firewall in Windows ingebouwd, maar die is, zoals de meeste Microsoft produkten, zeer middelmatig.
ZoneAlarm
Als je meer mogelijkheden wilt kan je ook nadenken over de gratis versie
van
ZoneAlarm
.
Je kan naast alleen de firewall (ZoneAlarm Free Firewall) ook
kiezen voor een combinatie met antivirus (ZoneAlarm Free Antivirus + Firewall),
maar daar heb ik geen ervaring mee.
In tegenstelling tot de Microsoft firewall bestookt die je wel af en toe
met lastige vragen (of een programma toegang tot Internet mag hebben),
waarop het antwoord vaak zelfs voor een expert niet zo eenvoudig is.
Hier meer info over ZoneAlarm
.
Emsisoft firewall (Online Armor)
En als je het echt goed wilt doen kan je het beste de firewall van Emsisoft
aanschaffen (niet gratis, dus), maar die produceert nog ingewikkelder vragen
dan ZoneAlarm
Windows firewall
Windows firewall uitschakelen
Als je een andere firewall, zoals
ZoneAlarm
hebt draaien, kan je het beste
de ingebouwde Windows firewall uitschakelen.
Dat doe je als volgt:
- Open het
Configuratiescherm (Control Panel)
. - Klik met rechts op
LAN-verbinding (Local Area Connection).
De naam zou anders kunnen zijn, maar hij moet in elk geval staan in de categorieLAN- of snelle Internet-verbinding (LAN or High-Speed Internet).
- Klik dan op
Eigenschappen (Properties)
. - Klik op tabblad
Geavanceerd (Advanced)
, en dan op de knopInstellingen (Settings)
. - Je staat nu als het goed is op het tabblad
Algemeen (General).
Klik opUitgeschakeld (niet aanbevolen) (Off (not recommended)).
Misschien krijg je nog een extra waarschuwing waarin om bevestiging gevraagd wordt.
ZoneAlarm
Onderstaand info over problemen met dit programma, de lastige vragen die het stelt, en later uitleg over de meer ingewikkelde aspecten van het programma.
Betekenis van de vragen die ZoneAlarm stelt
Melding | Versie | Extra informatie | Betekenis en/of oplossing |
---|---|---|---|
SUSPICIOUS BEHAVIOR Handy Backup 5.4 may be trying to prevent 'Handy Backup 5.4' from running each time your computer is started by modifying the registry key: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN |
11.0.000.057 | ||
SUSPICIOUS BEHAVIOR programma may be trying to prevent 'ander_programma' from running each time your computer is started by modifying the registry key: register_sleutel |
11.0.000.057 | ||
SUSPICIOUS BEHAVIOR Handy Backup 5.4 Agent is trying to launch D:\PROGRAM FILES\Novosoft\HANDY BACKUP\backup.exe, or use another program to gain access to privileged resources |
11.0.000.057 | Application: D:\PROGRAM FILES\Novosoft\HANDY BACKUP\hbagent.exe | Zie hier voor de algemene betekenis van dit
soort meldingen. In dit geval wil de service die bij mijn backup-programma hoort het backup-programma zelf starten, dus niets aan de hand. |
SUSPICIOUS BEHAVIOR programma is trying to launch ander_programma, or use another program to gain access to privileged resources |
11.0.000.057 | Application: nog_een_ander_programma | Houdt vaak in dat het ene programma het andere probeert te starten, wat op zich niet zo ongewoon is. Als je bv. op een link in een mail klikt en je browser draait nog niet, zal je browser alsnog gestart worden. |
REPEAT PROGRAM Handy Backup 5.4 is trying to access the Internet. |
11.0.000.057 | Identification: Unknown Application: D:\PROGRAM FILES\Novosoft\HANDY BACKUP\backup.exe Destination IP: 127.0.0.1 Port 7507 * This program has previously asked for Internet access. |
|
REPEAT PROGRAM PSPad.exe is trying to access the trusted zone. |
11.0.000.057 | Identification: Unknown Application: N:\Tools DVD\Tools\Editors\PSPad\PSPad.exe Destination IP: 192.168.178.1 DNS * This program has previously asked for Internet access. |
|
SUSPICIOUS BEHAVIOR procexp11.33 is trying to install a new driver or service: PROCEXP113 |
11.0.000.057 | Application: N:\Tools DVD\Tools\System internals\Procexp\procexp11.33.exe | Zie hier voor de algemene betekenis van dit
soort meldingen. In dit geval is het geen probleem, want ik heb dit programma van de site van Microsoft, en weet dat het 100% betrouwbaar is. Bovendien staat in de help-informatie van het programma ook dat het een nieuwe driver installeert. |
SUSPICIOUS BEHAVIOR programma is trying to install a new driver or service: driver_of_service |
11.0.000.057 | Application: padnaam_van_het_programma | Dit is echt gevaarlijk, want een stuurprogramma of service heeft vaak veel meer privileges dan een normaal programma. Blokkeren tenzij je behoorlijk zeker weet dat het geen kwaad kan. |
Melding | Versie | Betekenis en/of oplossing |
---|---|---|
Autorun detected Program: C:\Program Files (x86)\ABBYY FineReader 11\Bonus.ScreenshotReader.exe Which program requested this change? E:\Tools DVD\Tools\System internals\Autoruns\autoruns11.1.exe What does this mean? The program Bonus.ScreenshotReader.exe wants to start automatically with your computer. What should I do? If you are installing a program you know is safe, then Allow this action. If you see that an unwanted program runs next time you start Windows, you can block it in the "Autoruns" list. |
8.1.0.4 | Ik verwijderde met
AutoRuns
een programma waarvan het bestand toch niet gevonden werd (File not found).
Dat was meegekomen met een OCR-programma.
|
Autorun detected Driver: ...\PROCEXP151.SYS Product Name: Process Explorer Product Version: 15.00 Company: Sysinternals - www.sysinternals.com Descripton: Process Explorer Which program requested this change? E:\Programs\Sysinternals\procexp64.exe What does this mean? The program PROCEXP151.SYS wants to start automatically with your computer. What should I do? If you are installing a program you know is safe, then Allow this action. If you see that an unwanted program runs next time you start Windows, you can block it in the "Autoruns" list. |
8.1.0.4 | Ik verwijderde met
AutoRuns
een programma waarvan het bestand toch niet gevonden werd (File not found).
Dat was meegekomen met een OCR-programma.
|
Autorun detected Program: D:\Install.exe Which program requested this change? C:\Windows\explorer.exe What does this mean? The program Install.exe wants to start automatically with your computer. What should I do? If you are installing a program you know is safe, then Allow this action. If you see that an unwanted program runs next time you start Windows, you can block it in the "Autoruns" list. |
8.1.0.4 | Ik deed een CD van een Engelse cursus in de DVD-speler. Ik weet niet waarom alleen deze CD een dergelijke melding geeft. |
An installer wants to run Module: ...\DBUpdate.atw Product Name: TUTUpdate Product Version: 1.00 Parent program: ...\TUT_UPDATER.EXE What does this mean? Online Armor has detected that this program is probably an installer. What should I do? If you are intentionally installing software and trust DBUpdate.atw, check "Trust this program" and "Install mode" and click Allow. If this alert appeared without a known action by you (particularly if you are currently surfing the internet), you should consider Blocking it. |
8.1.0.4 | Deze melding volgde op deze. |
UltimateTroubleshooter.exe wants to set global hook Program: UltimateTroubleshooter.exe Product Name: TUT Product Version: 4.92 Company: AnswersThatWork.com Descripton: The Ultimate Troubleshooter Hook details: HOOK_MOUSE Module: C:\Windows\system32\MSVBVM60.DLL What does this mean? The program may try to control other processes by placing a dll into their address space. What should I do? If you do not recognize UltimateTroubleshooter.exe then you should Block this request and seek help on the Online Armor support forums. |
8.1.0.4 | Ik startte een programma dat informatie geeft over andere programma's. |
Driver Magician Lite.exe wants to set global hook Program: ...\Driver Magician Lite.exe Product Name: Driver Magician Lite Product Version: 3.98 Company: GoldSolution Software, Inc. Descripton: Device drivers backup tool for Windows Hook details: HOOK_MSGFILTER Module: C:\Windows\SysWow64\mscomctl.ocx What does this mean? The program may try to control other processes by placing a dll into their address space. What should I do? If you do not recognize Driver Magician Lite.exe then you should Block this request and seek help on the Online Armor support forums. |
8.1.0.4 | |
A program wants to run Program: ...\FreeCommanderPortable.exe Product Name: FreeCommander 2009 Portable Product Version: 2009.02b Company: Marek Jasinski & contributors Descripton: FreeCommander 2009 Portable Parent Program: ...\2xExplorer.exe What does this mean? Online Armor can't make a decision on whether this file is good or bad because it has not been classified by us yet. What should I do? If that program was intentionally started and you trust the source of the file, click Allow. If this alert appeared without any known action and you're currently surfing the internet, consider Blocking it. |
8.1.0.4 | Ik startte FreeCommander, een zeer bekende file manager. |
A program you have trusted has changed Module: ...\nvSCPAPI.dll Product Name: NVIDIA GeForce 3D Vision Product Version: 7.17.13.3158 Company: NVIDIA Corporation Descripton: NVIDIA 3D Vision Control Panel API Parent Program: ...\Google\Chrome\Application\chrome.exe What does this mean? Online Armor takes a unique fingerprint of a program. This means that any changes to the program are detected, so you can decide again whether or not to allow the program to run, or access the internet. This protects you from programs that try to replace legitimate programs with malware. What should I do? Usually, this will happen after you have updated to a new version of a program. In which case, everything is fine. However, if something "suspicious" just happened, for example you received an email with an attachment and ran it - consider blocking. |
8.1.0.4 | Ik startte FreeCommander, een zeer bekende file manager. |
A dangerous program wants to run Program: ...\DriverView.exe Product Name: DriverView Product Version: 1.16 Company: NirSoft Descripton: DriverView Parent Program: ...\2xExplorer.exe What does this mean? Online Armor has detected that this file is a virus or a dangerous program. What should I do? The program DriverView.exe was determined to be dangerous. It is highly recommended that you Block this action. |
8.1.0.4 | Ik startte een oude versie van een programma waarvan ik zeker weet dat het betrouwbaar is. |
2xExplorer.exe wants to access hard disk directly Program: ...\2xExplorer.exe Product Name: 2xExplorer Application Product Version: Omega Company: Varate Vgiolitzndes Records Descripton: 2xExplorer MFC Application Device name: \??\O: What does this mean? Direct disk access is a dangerous and unusual action. Malware, viruses and rootkits can use this to install themselves to a system or to access sensitive data. What should I do? Until you are sure this program is safe, you should Block it. |
8.1.0.4 | 2xExplorer.exe is een file manager die ik zeer veel gebruik, en (afgezien van dat het programma een aantal bugs bevat, en soms iets niet wil doen) me nog nooit problemen heeft bezorgd. Maar wel interessant om te leren dat het programma blijkbaar Windows (deels) omzeilt, en de schijf op een dubieuze (maar wel snellere) manier benadert. |
A program wants to use the internet Program: ...\DriverGenius\Liveupdate.exe Product Name: LiveUpdate Product Version: 10.00.0526 Company: Driver-Soft Inc. Descripton: LiveUpdate What does this mean? The program is not flagged as good or bad by the Online Armor team. We cannot make this decision for you automatically. What should I do? Some programs need to connect to the internet to get updates or activate. Other programs use the internet to serve advertising or other undesirable content. If you expect this program to connect to the internet, consider Allowing this request. |
8.1.0.4 | Ik startte een programma dat controleert of alle stuurprogramma's in orde zijn, en het moet dus logischerwijs contact maken met Internet om de nieuwste definities op te halen. |
Diagnosis: Program is attempting to download data invisibly
from the internet File name: c:\...\Adobe AIR Updater.exe What does this mean? While executing this program, Anti-Malware detected a possibly malicious behavior. The program is attempting a hidden transfer of data from the Internet. If you haven't intentionally started the program displayed above, then it is a good idea to block the program and possible also place it in quarantine. If you know what the program is, and are sure that it is not dangerous, then click on [Allow this behavior] or [Exclude from protection]. |
8.1.0.4 | Updaten van Adobe AIR, melding 1. |
Diagnosis: Program is behaving in a similar manner to Spyware
(LAN bypass backdoor) File name: c:\...\Adobe AIR Updater.exe What does this mean? While executing this program, Anti-Malware detected a possibly malicious behavior. The program is attempting a hidden transfer of data to the Internet. If you are sure you want this program to continue its invisible dat transfer, allow it. If you haven't intentionally started the program displayed above, then it is a good idea to block the program and possible also place it in quarantine. If you know what the program is, and are sure that it is not dangerous, then click on [Allow this behavior] or [Exclude from protection]. |
8.1.0.4 | Updaten van Adobe AIR, melding 2. |
Diagnosis: Program is attempting to install invisibly File name: c:\...\AppData\Local\Cln9E0A.tmp What does this mean? While executing this program, Anti-Malware detected a possibly malicious behavior. The program is attempting to install something invisibly. If you haven't intentionally started the program displayed above, then it is a good idea to block the program and possible also place it in quarantine. If you know what the program is, and are sure that it is not dangerous, then click on [Allow this behavior] or [Exclude from protection]. |
8.1.0.4 | Updaten van QuickTime |