Ja, heb ik ook gehad. Heb er zelfs een screenshot van gemaakt maar weet niet meer op welk systeem.... en kan 'm nu dus niet meer vinden

Aha ok,maar best wel vreemd toch?

Vreemd ja, maar dit soort dingen zie je natuurlijk heel vaak.
Ik heb nog nooit een programma gebruikt dat na de deïnstallatie ook écht weg was.
Er blijft altijd wel wat in het register achter.

Och.... er blijft vaak iets in je systeem achter van een online scanner. Dat zal op zich geen kwaad kunnen en bij de volgende online scan met dezelfde scanner zal 't waarschijnlijk wat tijd schelen doordat je minder hoeft te downloaden.
Echter wordt er nu door een controle tijdens de installatie van ESS/NOD32 één van die bestanden gevonden en lijkt het misschien alsof F-Secure als programma op je systeem staat geïnstalleerd.


Zo vond ik met ESET SysInspector een bestand genaamd CO_Mon.sys in C:\WINDOWS\system32\drivers dat in het geheugen was geladen.

De naam zei me helemaal niets, en dan wil ik natuurlijk weten wat het is....

Bleek een overblijfsel van een Symantec online scan die ik ooit (maanden geleden) eens had uitgevoerd.

zie;

Nu gooide dit bestand niets in de war, maar dat had natuurlijk wel gekund.




Ik heb dat bewuste bestand natuurlijk wel uit mijn systeem gefl%$&#

Aha ok.

ESET SysInspector nooit van gehoord,wat voor programma is het?

Hoi metriod,

Bij mn vond ie helemaal niks,en toch heb ik ook OnlineScanner erop staan...

Het is een handig gratis programma om een flink aantal dingen mee te bekijken.
Mooiste optie is eigenlijk een schuifknop in het programma waarmee je de resultaten (alle weergegeven informatie) kunt filteren zodat je alles waarvan bekend is dat het goed is niet meer ziet. Dan zie je alleen nog onbekende of alleen de "risky" bestanden.

Dit programma spoort géén malware op en geeft ook niet aan of iets malware is, het geeft alleen erg veel informatie over processen en opstartregels en andere zaken die van belang zijn m.b.t. eventuele malware op een systeem.


Hier een draadje op Wilders; http://www.wilderssecurity.com/showthread.php?t=192812


Mooi voorbeeldje op mijn systeem; Ik heb ontzettend veel dingen (duizenden) in mijn hosts bestand staan en ESET SysInspector vind slechts 1 daarvan risicovol (risky).

Ik heb namelijk ook iets van McAfee gefilterd in mijn hosts bestand en dat doe je normaal gesproken niet. Maar in dit geval was dat ads.mcafee.com want ik houd niet zo van reclame.

Verder zit er o.a. een erg handige zoekfunctie in en kun je recchtsklikken op een bestand en dan informatie zoeken daarover met Google.

Het programma hoeft niet geïnstalleerd te worden. Gewoon de juiste versie downloaden en starten. Dan een minuutje wachten, er wordt informatie verzameld.... en daarna kun je een heleboel informatie bekijken.
Natuurlijk kun je er ook een mooi logbestand mee maken.


Als ik wat meer tijd heb van de week zal ik ergens een korte NL handleiding op het net zetten.

Dat zou mooi zijn ctrlaltdelete -
Ik heb het programma ook een keer gedraaid maar ik wist me niet veel raad met de vele 'Unknowns' die werden weergegeven. Dit kunnen toch ook gewoon vertrouwde systeembestanden zijn?

Hier een plaatje van de melding waar de vraag eigenlijk over ging.

(let niet op de typ(e)fout, wordt vast wel bijgewerkt in volgende versies)

"Unknowns" blijven "Unknowns", misschien heb je het programma geen toestemming gegeven om een verbinding te maken?
Het programma controleert namelijk de digitale handtekening van een heleboel bestanden via een server van Microsoft.

Het is onmogelijk om alle bestaande bestanden te kunnen bestempelen als goed of fout. Veel voorkomende bestanden zullen echter wel bekend zijn.

Op mijn systemen zie ik ook zat "Unknowns" maar ik weet dat die bestanden op mijn systemen wel goed zijn doordat ik hier van alles en nogwat gebruik om de boel te controleren.

Toch is het een beetje apart. Bestanden van AVG Free etc. worden ook als 'Unknown' weergegeven evenals een hoop drivers van andere geïnstalleerde programma's. Is het ook mogelijk om deze bestanden op 'Safe' te zetten of ze door te geven aan ESET, zodat ze opgenomen worden in de herkende bestanden database?

Ik ben absoluut geen technicus (hoewel ik wel redelijk goed weet wat er allemaal op mijn pc draait en hoort te draaien). Waarmee check jij dan de bestanden die als 'Unknown' vermeld staan? Of zijn dit tooltjes die alleen voor techneuten geschikt zijn?

ESET SysInspector is een programma om te zien wat er allemaal draait op je systeem en geeft allerlei andere informatie over instellingen en opstartlocaties. Het is niet een programma om alle bestanden te controleren, het is gewoon mooi meegenomen dat er veel bestanden worden gecontroleerd door het programma. Een programma als HijackThis geeft bijvoorbeeld ook een boel informatie maar controleert helemaal niets online. Je ziet alleen een naam en locatie. Eventueel kun je HijackThis ook zo instellen dat alle MD5 Hashes in het rapport verschijnen en kun je daar eventueel meer mee uitzoeken.

Als je gewoon van zoveel mogelijk bestanden wilt weten of ze veilig zijn of niet, dan moet je bijvoorbeeld gebruik maken van Prevx. Dat programma maakt gebruik van een gigantische database (en daar draait om, whitelist/blacklist) die veel informatie bevat over uitvoerbare bestanden. Die database wordt automatisch steeds groter doordat alle gebruikers informatie leveren aan die database.

Zo verschijnt er over een nieuw bestand allerlei informatie in de database. Wat het bestand allemaal doet, meest voorkomende locatie, aantal gebruikers die dit bestand op het systeem hebben staan enz...
Bij bestanden die veel voorkomen is er snel bekend of ze goed of slecht zijn. Bestanden die niet zoveel voorkomen zullen niet direct een stempel "goed" of "slecht" krijgen maar als een "Uknown" in de database staan.
Ook worden erg veel bestanden steeds weer aangepast door updates, en zal er weer opnieuw een classificatie aan zo'n bestand gegeven moeten worden.

Voorbeeldje van 1 van de bestanden van de laatste versie van WinPatrol;



Daar zie je wat zo'n bestand allemaal heeft gedaan op diverse systemen van Prevx gebruikers. Daar zitten een aantal handelingen tussen die ook door malware bestanden worden uitgevoerd. Veel HIPS, IDS of andere beveiliging die naar het gedrag van een bestand kijkt zal met een waarschuwing komen bij een aantal van de handelingen die door winpatrol.exe zijn uitgevoerd, terwijl dit programma wel betrouwbaar is.
Pas als het uitvoerende bestand ook als "goed" bekend staat in de database waarin gecontroleerd wordt zal er geen waarschuwing meer verschijnen. Of wanneer je als gebruiker ervoor kiest dat dit bestand wel goed is.

WinPatrol is trouwens een erg mooi en gratis programmaatje, een aanrader!!



Er zijn verschillenden programma's die het gedrag van bestanden controleren, het ene programma is weer beter dan het andere programma, of 't ene programma maakt gebruik van een database en 't andere laat alles aan de gebruiker over.

Zo zal WinPatrol ook met de melding kunnen komen dat programma X je hosts bestand wil aanpassen, mag dat?
Dan is het wel de bedoeling dat jij weet wat programma X is en waarom programma X dat wil doen.

Wanneer je ergens een spelletje of screensaver hebt gedownload en opeens vraagt je beveiliging of dat spelletje of die screensaver in je adresboek mag snuffelen dan moet er een belletje gaan rinkelen....


Kortom, het is onmogelijk om van alle bestanden te kunnen zien of ze "goed" zijn, er verschijnen elk uur ook ontelbaar veel nieuwe uitvoerbare bestanden. Als je wel kunt zien wat zo'n programma doet, en een beveiliging gebruikt die dat gedrag in de gaten houdt en bij twijfel de gebruiker vraagt of dat mag.... dan zit je al een stuk veiliger te computeren.

En dat is iets wat WinPatrol dus doet (als ik je goed begrijp)?:

"Als je wel kunt zien wat zo'n programma doet, en een beveiliging gebruikt die dat gedrag in de gaten houdt en bij twijfel de gebruiker vraagt of dat mag.... dan zit je al een stuk veiliger te computeren."

Zelf gebruik ik Prevx CSI iedere week om snel een check te doen. Deze maakt van dezelfde database gebruik als Prevx2.0?

WinPatrol controleert niet in een database. Het geeft informatie over gebeurtenissen en vraagt (afhankelijk van de instellingen) of dat mag.
Natuurlijk kun je ook een licentie voor WinPatrol kopen, daarmee kun je via het programma weer makkelijk online informatie opzoeken.

En ja, Prevx CSI maakt gebruik van dezelfde database als Prevx 2.0.
Het verschil tussen CSI en de 2.0 versie is dat CSI achteraf malware vindt op een aantal locaties die worden gescand.
Met 2.0 kun je je hele systeem scannen en wordt de installatie van malware al tegengehouden. Je download bijvoorbeeld een trojan, dan wordt 'ie geblokkeerd voordat die wordt uitgevoerd. Moet 'ie natuurlijk wel bekend zijn in de database of door heuristische scan worden gedetecteerd. Met CSI kun je alleen achteraf de rommel opruimen.

Maar CSI is natuurlijk ook een mooi programma om gewoon gratis te gebruiken als controle van je andere beveiliging. En als er iets wordt gevonden zie je welk bestand het is en waar het staat. Dan kun je het meestal ook gewoon handmatig verwijderen.

Maar wat je ook installeert aan beveiliging, geen enkel programma is perfect. Combineer een paar bijna perfecte programma's en dan heffen zij elkaars zwakke punten op.

Hé, wat zeg ik dat mooi



En natuurlijk zorgen voor goede backups !!!!!