Hoe weet u of iemand op afstand toegang heeft tot uw Windows-computer?

Enkele van de gevaarlijkste typen malware zijn ontworpen om op afstand toegang te krijgen tot de pc van een slachtoffer, zoals Remote Access Trojans (RAT's) en rootkits op kernelniveau . Ze werken geruisloos en zijn daardoor moeilijk te detecteren. Bent u bang dat iemand ongeoorloofde toegang op afstand tot uw Windows-pc heeft? Lees dan hoe u dit kunt bevestigen en verwijderen.

Waarschuwingssignalen wanneer iemand toegang krijgt tot uw pc

Hoewel de meeste pogingen tot toegang op afstand stilzwijgend verlopen, brengen ze toch enkele waarschuwingssignalen met zich mee. Hoewel deze signalen kunnen duiden op de populariteit van Windows, kunnen ze samen een sterk bewijs zijn van de aanwezigheid van activiteiten op afstand.

• Ongebruikelijk gedrag van muis/toetsenbord : als de cursor onregelmatig beweegt of tekst wordt ingevoerd zonder uw tussenkomst, kan dit het gevolg zijn van een extern hulpmiddel. Zelfs als je deze hulpmiddelen niet actief bestuurt, kunnen ze nog steeds problemen veroorzaken, zoals cursorverspringing/teleportatie. Dit signaal kan ook dienen als bevestiging dat de muis en het toetsenbord taken uitvoeren, zoals het openen van de adresbalk van de browser en het invoeren van een internetadres.
• Programma's die zichzelf openen en sluiten : Hackers kunnen ook opdrachten sturen om specifieke toepassingen te openen (zoals antivirussoftware of de opdrachtprompt ) om meer controle over het systeem te krijgen of om beveiligingsfuncties uit te schakelen. Als u ziet dat programma's vanzelf openen en sluiten, is dat een waarschuwingssignaal.
• Nieuwe onbekende gebruikersaccounts aanmaken : kwaadwillenden proberen secundaire accounts aan te maken om blijvende toegang te krijgen, zelfs nadat ze zijn ontdekt. Waarschijnlijk schakelen ze de functie voor het wisselen van gebruiker uit, zodat het account niet op het vergrendelscherm te zien is. Ga naar Windows Instellingen -> Accounts en zoek het secundaire account onder Gezin en Andere gebruikers.

• Plotseling trage prestaties : Ook het uitvoeren van afstandsbedieningsbewerkingen vergt veel bronnen, dus u merkt mogelijk dat de prestaties plotseling afnemen. Dit is vooral de moeite waard om te overwegen als er af en toe prestatieverminderingen optreden vanwege handelingen op afstand.
• Windows Remote Desktop wordt automatisch ingeschakeld : Windows Remote Desktop is erg kwetsbaar, dus hackers maken vaak gebruik van deze functie om externe verbindingen tot stand te brengen. Deze functie is standaard uitgeschakeld. Als u deze functie zonder uw tussenkomst inschakelt, kan een hacker dit doen. Ga in Windows-instellingen naar Systeem -> Extern bureaublad en kijk of deze functie is ingeschakeld.

Hoe u kunt bevestigen dat er op afstand toegang tot uw pc wordt verkregen

Als u de bovenstaande signalen opmerkt, neem dan de nodige stappen om uw vermoeden te bevestigen. U kunt de activiteit van componenten/toepassingen die betrokken zijn bij het proces voor externe toegang, controleren om er zeker van te zijn dat iemand toegang heeft tot uw Windows-pc. Dit zijn enkele van de meest betrouwbare methoden:

Controleer de logboeken van Windows Event Viewer

Windows Event Viewer is een geweldig ingebouwd hulpmiddel waarmee u de activiteiten van gebruikers kunt bewaken en waarmee u pogingen tot toegang op afstand kunt detecteren door RDP-activiteiten en aanmeldingslogboeken te bewaken.

Zoek naar "event viewer" in Windows Search en open Event Viewer .

Ga naar Windows Logboeken -> Beveiliging en klik op het tabblad Gebeurtenis-ID om gebeurtenissen op ID te sorteren. Zoek naar alle gebeurtenissen met ID 4624 en controleer hun details om er zeker van te zijn dat geen van hen het aanmeldingstype 10 heeft . Gebeurtenis-ID 4624 is voor aanmeldpogingen en aanmeldingstype 10 komt overeen met externe aanmeldingen via externe toegangsservices die hackers zouden kunnen gebruiken.

U kunt ook zoeken naar gebeurtenis-ID 4778, aangezien dit aangeeft dat er opnieuw verbinding is gemaakt met een externe sessie. Op de detailpagina van elk evenement vindt u belangrijke identificatiegegevens, zoals de accountnaam en het netwerk-IP-adres.

Netwerkverkeer bewaken

Voor externe toegang is netwerkconnectiviteit nodig. Het monitoren van netwerkverkeer is daarom een ​​betrouwbare manier om dit te detecteren. Wij raden u aan hiervoor de gratis versie van GlassWire te gebruiken, aangezien deze versie kwaadaardige verbindingen controleert en u er automatisch tegen beschermt.

In de GlassWire-toepassing ziet u alle toepassingsverbindingen onder het gedeelte GlassWire Protect . De applicatie evalueert automatisch verbindingen en markeert de verbindingen die niet vertrouwd zijn. In de meeste gevallen kan de applicatie kwaadaardige externe verbindingen detecteren en u waarschuwen.

Naast app-algoritmes kun je ook zoeken naar aanwijzingen zoals een hoog dataverbruik van een onbekende app. Bij externe verbindingen worden permanente gegevens gebruikt en zijn daardoor eenvoudig te detecteren.

Geplande taken bekijken

Veel pogingen tot toegang op afstand worden beheerd via het hulpprogramma Taakplanner in Windows. Hierdoor kunnen ze het opnieuw opstarten van de pc overleven en taken uitvoeren zonder dat de computer continu actief hoeft te zijn. Als uw pc is geïnfecteerd met een virus, ziet u taken van onbekende toepassingen in Taakplanner.

Zoek naar ‘taakplanner’ in Windows Zoeken en open de toepassing Taakplanner. Open in het linkerdeelvenster Taakplanner (lokaal) -> Taakplannerbibliotheek . Zoek naar vreemde of verdachte mappen die geen Microsoft-bestanden zijn. Als u mappen vindt, klikt u met de rechtermuisknop op de taak en selecteert u Eigenschappen.

In Eigenschappen bekijkt u de tabbladen Triggers en Acties om te zien wat de taak doet en wanneer deze wordt uitgevoerd. Dit zou voldoende moeten zijn om te bepalen of de taak defect is. Als de taak bijvoorbeeld bij het inloggen of wanneer het systeem inactief is een onbekende toepassing of script uitvoert, kan de taak schadelijk zijn.

Als u de verdachte taak niet kunt vinden, kunt u het beste eens kijken in Microsoft. Het is mogelijk dat er geavanceerde malware verborgen zit in systeemmappen. Zoek naar taken die er verdacht uitzien, bijvoorbeeld taken met algemene namen als 'systemMonitor' of namen die verkeerd gespeld zijn. Gelukkig hoeft u niet elke taak zelf te onderzoeken, aangezien de meeste taken door Microsoft Corporation worden geschreven en u deze dus gerust kunt negeren.