een hacker?

[marjan39]

Goede morgen,
(sorry als ik hem bij het verkeerde onderwerp plaats)
heb een vraag over het volgende:

was vannacht op een chat en er gebeurde het volgende
Iemand drong zich op met iets wat ik me kan herinneren
met een site over hacken.
zei dat ik daar niets mee te maken wilde hebben, en
men zei van kijk maar als je je computer opnieuw opstart. (met de woorden erbij van leuke bestanden heb je)

Vertrouwde het toch niet helemaal en ben eraf gegaan
computer opnieuw opgestart, en toen ik het internet
op wilde naar mijn startpagina van chello begon mijn firewall norton 2003 te piepen over een of ander
actieve-x bestand.
moest dat toestaan anders kwam ik mijn chello pagina niet op. ook toen ik een poort scan wilde doen via firewall moest ik weer toestemming geven.
Terwijl ik daar normaal geen last van heb.

Heb gescand bij housecall geen virussen gevonden
(weet niet of ik daar goed aan gedaan heb)

Mijn vraag luid nu eigenlijk als volgt hoe weet ik zeker
dat er niemand in mijn pc zit te rotzooien, of moet ik
alles eraf gaan gooien.

alvast bedankt voor jullie hulp

 

[gezina]

Je kan om te beginnen ff een eenvoudige firewall-test uitvoeren.

 

[crash]

Download hier een shareware versie van Trojanhunter en scan daar je pc mee.
http://www.webattack.com/get/trojanhunter.shtml

 

[marjan39]

heb dat programma gedownload en dit was het resultaat:

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Warning: Executable file with double extensions found: C:\WINDOWS\Desktop\ICQ2001b_3659 v.5.18 .exe
Error: Directory not found: D:\
Error: Directory not found: E:\
No trojan files found

over firewalltest kom ik terug moet even kijken hoe dat precies werkt.

alvast bedankt marjan

 

[crash]

Geplaatst door marjan39
Warning: Executable file with double extensions found: C:\WINDOWS\Desktop\ICQ2001b_3659 v.5.18 .exe

Ik zou deze toch ff van je pc weghalen.
Gooi ook de mappen Temp en Temporary internet files eens leeg.

 

[marjan39]

temps inmiddels leeggemaakt

check firewall :
Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!

Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.

Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.


dit is daar de uitkomst van.
en wat kan ik nog meer doen?

bvd
marjan

 

[marjan39]

Heb ook logboek van firewall nagekeken en vond het volgende:

Geblokkeerde inhoud:

Datum Tijd: 2-7-2003 4:23:15
Gebruiker:
Actie: Geblokkeerd
Type: ActiveX
URL: http://security.symantec.com/ssc/lu...nl&venid=sym&plfid=20&pkj=HYTBQLVDKDNVRQQCZUF
Gegevens: (ActiveX)

weet niet of jullie er wat aan hebben, maar geef maar door wat ik vind.

toen die kerel dat zei wilde ik namelijk gelijk een poortscan doen middels norton firewall 2003 en toen begon de ellende dat ik die melding kreeg van active x stond op blokkeren wil ik dat toestaan ja of nee, moest anders kwam ik de site niet op.

daarna heb ik pc afgesloten en opnieuw opgestart en toen kreeg ik ook die melding toen ik mijn chello pagina opwilde.

weet niet of jullie er wat aan hebben, maar geef maar door wat ik vind.

vind toch geen prettig idee als er iemand in mijn pc rondsnuffeld.
b.v.d.
marjan

 

[Bennie]

Je zou wel eens het slachtoffer kunnen zijn geworden van de lek die in de ActiveX Control zat van Symantec. Die is namelijk zo lek als een mandje. Full details

Groetjes,
Bennie

 

[marjan39]

Bennie

Bedankt voor je antwoord en heb die full details van
wat je me gegeven hebt bekeken.

het gaat me eerlijk gezegd nu een beetje duizelen allemaal.

heb inmiddels wel een nieuwe security test gedraaid bij
symantec en dit is het resultaat ervan

Scannen op netwerkkwetsbaarheid Veilig
Scannen NetBIOS-beschikbaarheidscan Veilig
Scannen op actieve Trojaanse paarden Veilig

Bepaalde scans zijn niet voltooid

Let op: de volgende scans konden niet worden voltooid omdat Microsoft Internet Explorer 5.0 of hoger vereist is, waarbij ActiveX en het uitvoeren van scripts ingeschakeld zijn:

Browserprivacy-scan

Heb ie6. en heb bij internet opties beveiliging gekeken of de instelling zo stonden als op de info van symantec stond
en dat was goed dus waarom die dat niet uitvoerd is mijn ook een raadsel.
misschien doe ik dan toch iets verkeerds nu.

wat is de volgende stap wat ik nu moet gaan doen
is dat die verwijder tool downloaden?

bvd
marjan

 

[Bennie]

Yep, verwijder die ActiveX met dat tooltje. Probeer het dan eens opnieuw. Er zal gevraagd worden om een nieuwe ActiveX Control te downloaden.

Groetjes,
Bennie

 

[marjan39]

Ik heb die tool gedraaid.
en kreeg dus het bericht dat de file verwijderd was
pc opnieuw opgestart en zag wel het icoontje van
nav lopen dat er wat werd binnengehaald maar heb
niet gezien wat.

heb niet de vraag gekregen om een nieuwe ActiveX Control te downloaden.

http://www-cu.symantec.com/avcenter/security/Content/2003.06.25a.html
moest ik dat tweede gedeelte ook doen van die
Digital signature?

sorry voor het ongemak

bvd

 

[Bennie]

Als je die vraag niet hebt gekregen, heb je je beveilingsinstellingen te laag ingesteld (niet verstandig): Extra\internet-opties\Beveiliging\Aangepast niveau. Zet bij de ActiveX-besturingselementen alles op vragen.

Dat tweede hoef je niet te doen. Dat is alleen nodig als je de authenticiteit wilt testen (dat het dus daadwerkelijk van Symantec afkomstig is).

Groetjes,
Bennie

 

[marjan39]

bennie,

Alles wat daar stond bij active x heb ik op vragen gezet
computer opnieuw opgestart en toen ik het internet op wilde dus naar mijn start pagina werd het volgende gevraagd:


Wilt u toestaan dat software zoals active-x besturingselementen en invoegtoepassingen worden
uitgevoerd.

daar heb ik ja gezegd, maar er werd niet gevraagd om iets te downloaden.

kan dat kloppen?
en indien dit correct is wat moet ik dan nu nog verder doen.

groetjes marjan

 

[Bennie]

Nee, dat klopt. Het gaat om twee zaken:

1) Het uitvoeren van besturings-elementen en invoegtoepassingen.

2) Het downloaden van ActiveX Controls.

Bij jou is het eerste het geval. Om te voorkomen dat je voortdurend dat soort meldingen om de oren krijgt, kan je de website in je "Vertrouwde websites" plaatsen: Extra\internet-opties\beveiliging\ en dan vertrouwde websites selecteren en dan die startpagina toevoegen. Eventueel kan je hetzelfde herhalen voor andere sites waar je veel gebruik van maakt (en die ook steeds zeuren over dat toestaan).

Als je het niet vertrouwt bij een bepaalde site, klik je op nee.

Groetjes,
Bennie

 

[marjan39]

Heb dat gedaan maar hij blijft dat vragen.
Op zich irritant maar goed.

Wat moet ik nu doen om die nieuwe active-x
te krijgen want ik heb nog steeds die vraagstelling niet
gehad , of zit ik nu van alles door elkaar te halen?

en hoe krijg ik die evt. hacker uit mijn pc als dat zo blijkt te zijn?

groetjes

 

[Dolfhin]

Geplaatst door marjan39
en hoe krijg ik die evt. hacker uit mijn pc als dat zo blijkt te zijn?

Je hebt een firewall hou die up-to-date en je krijgt helemaal geen problemen met hackers. Die firewall's bieden perfecte bescherming en daar kom je niet 1, 2, 3 doorheen. Zeker niet met je ip adres dat ze uit die chat hebben gehad (het word wat anders als ze precies weten wat voor software je op je pc hebt dan kunnen ze gericht zoeken naar bugs)

Geplaatst door marjan39
Wat moet ik nu doen om die nieuwe active-x
te krijgen want ik heb nog steeds die vraagstelling niet
gehad , of zit ik nu van alles door elkaar te halen?

Die nieuwe active X krijg je als je die site bezoekt en de oude niet meer aanwezig is (als je dus je mappen temp en temporaliy internet files hebt gewist). Je browser zal dan opnieuw het active X element downloaden.

 

[Bennie]

Geplaatst door marjan39
Heb dat gedaan maar hij blijft dat vragen.
Op zich irritant maar goed.

Wat moet ik nu doen om die nieuwe active-x
te krijgen want ik heb nog steeds die vraagstelling niet
gehad , of zit ik nu van alles door elkaar te halen?

en hoe krijg ik die evt. hacker uit mijn pc als dat zo blijkt te zijn?

groetjes

Je kunt voor elke Zone een eigen beveiligingsniveau instellen. Zet die voor "Vertrouwde websites" op normaal.

Kijk of Symantec al staat in je "vertrouwde websites".

Een ActiveX Control verwijderen door simpelweg je tempmap of je tijdelijke internet bestanden te legen, is onjuist. Daar is toch wel meer voor nodig. Het kan ook via Extra\intrnet-opties\Algemeen\instellingen\Objecten weergeven.

Alleen die oude ActiveX Control van Symantec is gevaarlijk. Zelfs als je een firewall hebt.

Groetjes,
Bennie

 

[marjan39]

Ben bij die Objecten wezen kijken maar kan daar dus
niets vinden wat met symantec te maken kan hebben

wel heb ik iets raars gevonden in mijn ogen dan
IntraLaunch.MainControl
type ActiveX-besturingselement
gaemaakt: geen
laatst geopend Geen
totale grote o bytes (geen)
id. (AE9dcb17-f804-11d2-a44a-0020182C1446)
status beschadigd
code base file.//d:\sytem\intralanch.CAB

versie 3,3,0,2
beschrijving onbekend
bedrijf onbekend
taal onbekend
copyright onbekend

C:\windows\do...\intralaunch. inf beschadigd
C:\windows\do...\intralaunch.ocx beschadigd
c:\windows\sys...\msvbvm50.dll 1,376,256
c:\windows\system\asycfilt.dll* 163,840

kan dat iets te maken hebben met die fotieve toestanden?

groetjes marjan

 

[Bennie]

Niet alle ActiveX Controls zijn op die manier zichtbaar. Dat zijn ze pas in een DOS-box. Ze zitten in de map:
C:\WINDOWS\Downloaded Program Files

Daar waar "beschadigd" achter staat kan je overigens verwijderen.

Ik zie overigens geen rare dingen.

Groetjes,
Bennie

 

[saldos]

Geplaatst door marjan39
Heb ook logboek van firewall nagekeken en vond het volgende:
Geblokkeerde inhoud:
Datum Tijd: 2-7-2003 4:23:15
Gebruiker:
Actie: Geblokkeerd
Type: ActiveX
URL: http://security.symantec.com/ssc/lu...nl&venid=sym&plfid=20&pkj=HYTBQLVDKDNVRQQCZUF
Gegevens: (ActiveX)
weet niet of jullie er wat aan hebben, maar geef maar door wat ik vind.
toen die kerel dat zei wilde ik namelijk gelijk een poortscan doen middels norton firewall 2003 en toen begon de ellende dat ik die melding kreeg van active x stond op blokkeren wil ik dat toestaan ja of nee, moest anders kwam ik de site niet op.
daarna heb ik pc afgesloten en opnieuw opgestart en toen kreeg ik ook die melding toen ik mijn chello pagina opwilde.
weet niet of jullie er wat aan hebben, maar geef maar door wat ik vind.
vind toch geen prettig idee als er iemand in mijn pc rondsnuffeld.
b.v.d.
marjan

Marjan, je bent hier niet gehacked hier hoor. Het is volkomen normaal dat je een active x popup krijgt, want windows gaat geen active x installeren zonder jouw toestemming en daarom krijg je dus sie popup. Die krijg ik ook als ik naar die site ga. Dit is wat je bedoeld:

Hier heb je wat meer informatie erover:

uitleg