test af Microsoft AntiSpyware Beta 1

P.s. jeg fixer intet af det Microsoft AntiSpyware finder, da det ikke ville give et korrekt billede...

Til dem der vil prøve programmet selv: http://www.microsoft.com/athome/security/spyware/software/default.mspx

Følger med. Vidste ikke MS var kommet på banen med sådan et program.

Og en scanning med spybot: http://frip.dk/hotpop/Spybot.JPG

Hvis en ekspert kommer forbi kan de passende tjekke min log - men jeg mener da den er forholdsvis ren ;)

Logfile of HijackThis v1.99.0
Scan saved at 22:02:12, on 06-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\WatchGuard\Mobile User VPN\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\WatchGuard\Mobile User VPN\IPSecMon.exe
C:\programmer\steam\steam.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\ICQ\Icq.exe
C:\WINDOWS\system32\mspaint.exe
C:\Programmer\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmer\Microsoft Office\OFFICE11\WINWORD.EXE
F:\backup2\Anti spyware\Hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O4 - Startup: RivaTuner.lnk = C:\Programmer\RivaTuner\RivaTuner.exe
O4 - Global Startup: Mobile User VPN.lnk = C:\Programmer\WatchGuard\Mobile User VPN\SafeCfg.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmer\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmer\ICQ\ICQ.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093807517203
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.1.13
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.1.13
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.1.13
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: SafeNet Monitor Service - SafeNet - C:\Programmer\WatchGuard\Mobile User VPN\IPSecMon.exe
O23 - Service: SafeNet IKE Service - SafeNet - C:\Programmer\WatchGuard\Mobile User VPN\IreIKE.exe
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server - Networks Associates Technology. Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe

Jo den er da pæn og nydelig Stigers :O)

Men ingen programmer fanger alt. Bare det var sådan, men det er nok ønsketænkning.

Mvav scanneren finder jo også mange ting vi ikke kan se i en log fra Hijackthis.

Derfor er det en god ting altid at kombinere programmerne. Således at man dækker sig så godt ind som muligt.

Jeg tror lige jeg kører en test af det nye MS program.
:O)

Efter scanningen med spybot - scannede jeg lige igen med microsoft antispyware: http://frip.dk/hotpop/MicrosoftAntiSpyware-2.JPG

b3d mappen har jeg selv slettet.

Jo flere gode programmer jo bedre! Jeg ønsker programmet velkommen på min computer.

Det er umulig at sige præcist hvor godt Microsoft AntiSpyware er uden flere store tests, men når det finder 3 og spybot finder 0 ser det lysende ud :o)

Dog kunne de godt have fundet et navn hvor man ikke behøver at nævne Microsoft for at beskrive hvilket program man snakker om. (Man siger fx ikke Microsoft XP, blot XP)

Og programmet slettede også spywaren uden problemer.

Det skal lige siges at en kørsel med adaware heller ikke fandt det M$ programmet fandt....

Jeg har downloadet programmet og har set at det også indeholder et realtime antispyware del. Ligesom SpywareGuard kan jeg tænke, men vil disse have indflydelse på hinanden?

Jeg kørte en scanning med M$ Antispyware, og den fandt SearcSquire. Hvis jeg disablede IE-SPYAD blev den ikke fundet mere. Det var de samme reg.entries som hos john_stigers, så du kan nok regne med at det er den samme fejl. Måske en ide at af, og geninstallere IE-SPYAD. Det bekymrer mig egentlig ikke så meget, da andre scannere også nogen gange finder IE-SPYAD`s entries. Selve beskyttelsdelen i programmet virker imponerende, og er sikkert ganske effektiv, men kan muligvis også være irritende. Den kom op da jeg åbnede IE-SPYAD, og vil sikkert komme op i flere tilfælde hvor "ukendte" programmer vil køre. På den måde er der tale om en slags "fil firewall". Alt i alt, vil jeg mene at det er et godt program, og det vil sikkert blive bedre med tiden.

Jeg har lige kørt M$ AntiSpyware, Ad-aware SE og X-cleaner.

M$ fandt 4
Ad-aware fandt 0
X-cleaner fandt 0

So far, so good!

Dog fandt Ad-aware 8 cookies, såkaldte "data miners", som M$ ikke fandt!
Jeg tror ikke M$ søger i cookies, men jeg kan jo tage fejl

Der er grund til at være på vagt overfor false positives i M$ scanneren http://www.spywarefri.dk/artikler2.htm#microsoft1

Hvordan ved man om det den finder er "false positive". Skal man lade være med at slette det den finder eller hvad gør man.

Det kan også være svært at finde ud af. En ide kan være at sætte det i karantæne i en månedstid, og se om det skulle give problemer. Det er så ikke mit indtryk at det er et stort problem, men man skal blot være opmærksom på at det er der. Flere velrennomerede spywarescannere laver false positives engang i mellem. Det er åbenbart svært at undgå helt. Som regel bliver fejlene rettet i løbet af relativt kort tid.

Det er fint at spyware skriver dette "De første tests viser, at man skal være på vagt over for falske positiver, og ikke kritikløst fjerne alt som scanneren finder."

Men man har jo mulighed for at lave et gendannelses punkt inde i selve programmet - således kan man bare gendanne, hvis man fjerner noget der ikke skulle fjernes :)

Vi har en i forum nu der har brugt den, og mistet sin internetforbindelse, så man skal altså kigge efter om det er Newnet/Newdotnet, Webhancer osv der bliver fjernet, inden man gør noget.
De piller i winsock, for dem der ikke ved det.*S*

fromsej> Det har jeg også fundet ud af - var nemlig nødt til at fortryde et "fix" lavet med det igår...

Og det glemte jeg så lige at fortælle her... hmm...

Det er vi så nødt til at advare om, men jeg har ikke selv haft tid til at rode med programmet endnu, jeg rejser snart til en planet hvor døgnet har nogle flere timer.*G*

Det ligner temlig meget giant, som de opkøbte, selv ikonet har de ikke rettet

Lukker :)