Hjælp - bagdør?? 22-09-03 09:22 : CLAN 22-09-03 09:23 : moltov 22-09-03 09:25 : CLAN 22-09-03 09:36 : JOHN 22-09-03 09:45 : CLAN 22-09-03 09:48 : als 22-09-03 09:51 : CLAN 22-09-03 10:20 : als 22-09-03 10:42 : CLAN 22-09-03 11:35 : JOHN 22-09-03 11:44 : JOHN 22-09-03 12:13 : CLAN 22-09-03 12:17 : CLAN 24-09-03 09:00 : JOHN 25-09-03 09:28 : JOHN

Hjælp - bagdør?? Fra : JOHN Vist : 510 gange 100 point Dato : 22-09-03 09:17

Jeg anvender TDC Bredbånd - og har hele pakken fra Symatec/Norton kørende, men nu har jeg fået et problem! Antivirus mm. er blevet koblet fra, normalt er det altid koblet til! Hvis jeg prøver at koble til, stopper programmet bare, eller også skriver det at der skal administartor-rettigheder til? Jeg tror der er lagt en "bagdør" ind og jeg har ikke mere kontrol over mit anti-virus/hacker beskyttelse! Har prøvet at fjerne Norton-pakken, for at installere den igen, men den skriver at det kræver adm.-rettigheder. Har også prøve Systemgendannelse (kører WinMe) men no luck! Er der nogen der kender et godt program (gerne share ware/free ware) der kan fjerne den, så jeg kan fjerne Norton, og derefter installere den igen?? Mvh John

Accepteret svar Fra : CLAN Modtaget 110 point Dato : 22-09-03 09:22

Hej John Prøv at kontakte Spywarefri via http://www.spywarefri.dk her er også on-line scannere både til virus og spyware. Hygge... Søren

Kommentar Fra : moltov Dato : 22-09-03 09:23

Hej John Prøv http://housecall.trendmicro.com/ Det er et gratis Online virusscan. Den henter et lille program, og så scanner den hele din pc'er... Moltov

Kommentar Fra : CLAN Dato : 22-09-03 09:25

NB: Da du har Norton, så kan du evt. også vælge at kontakte Symantech Danmark via http://www.symantec.dk/

Kommentar Fra : JOHN Dato : 22-09-03 09:36

Mange tak for jeres hjælp! Jeg vil prøve det når jeg kommer hjem, er pt. på arbejde! BTW så tror jeg enten at den er kommet ind med en dialer, som min kære søn (jeg "kvæler" ham!!!) har haft fat i eller også er det kommet med en "opdatering pr. mail fra MicroSoft" (jeg har ikke åbnet den) Igen, mange tak for hjælpen - håber det hjælper! John

Kommentar Fra : CLAN Dato : 22-09-03 09:45

Hejsa... UHA! Hvis det er opdatering fra Microsoft via mail... så er det med 100% garanti virus. Microsoft sender IKKE opdaterings-mail til folk.

Kommentar Fra : als Dato : 22-09-03 09:48

Du har fået Gibe.E for den gør lige netop det som du beskriver og det er sket fordi du har åbnet den mail fra "Microsoft". Prøv at se om dette råd kan hjælpe dig. http://www.spywarefri.dk/virus.htm#Gibe Nu ved du i hvert fald hvilken virus du har fået og hvordan du har fået den.

Kommentar Fra : CLAN Dato : 22-09-03 09:51

Prøv i første omgang at gennemgå din computer med de on-line scannere, som findes på http://www.spywarefri.dk/onlinevark.htm

Kommentar Fra : als Dato : 22-09-03 10:20

Husk lige at jeg skal IKKE have points. Det skal CLAN. Det var ham som først henviste dig til Spywarefri.

Kommentar Fra : CLAN Dato : 22-09-03 10:42

Hej als -> For min skyld må du godt få de points Det er synd, at Kandu endnu ikke har lavet det, så man kan dele points imm. de kommentarer der indløber. Jeg sidder faktisk på en anden streng, med et spørgsmål, hvor jeg godt ku' tænke mig at dele points, til nogle af de svar jeg har fået. Man føler sig lidt som en lille gris, når man nu skal vælge imm. 2-3 gode svar, men kun en kan modtage. Noget som jeg mener, Kandu burde gøre noget ved... i stedet for alt det lodtrækningsfis Søren NB: Det der point-race kan da også rigtigt få folk op på dupperne Dog ikke dig... dertil kender jeg dig for godt - eller har jeg da set herinde

Godkendelse af svar Fra : JOHN Dato : 22-09-03 11:35

Tak for svaret CLAN.

Kommentar Fra : JOHN Dato : 22-09-03 11:44

Jeg er ikke helt varm på alle de løsninger, som betyder at jeg skal være on-line, men der er jo nok ingen anden udvej - jeg prøver! John

Kommentar Fra : CLAN Dato : 22-09-03 12:13

Hej John Du behøves ikke at være bekymret for http://www.spywarefri.dk/onlinevark.htm de ved hvad de har med at gøre + har lavet den side for at hjælpe andre / bekæmpe virus og spyware. De har hjulpet mig før... og jeg kan KUN anbefale siden. Der findes også andre sider, hvor du kan få info og løsninger. Jeg vil kun nævne en anden dansk side (men hold dig til Spywarefri). Den jeg anbefaler nu, bruger jeg kun til at indhente info fra http://www.krusesecurity.dk Lykke til med at kvæle dit "grams" Søren

Kommentar Fra : CLAN Dato : 22-09-03 12:17

Citat Navn: W32.Gibe-E.worm Alias: W32/Swen.A@mm, W32/Gibe.e@MM Dato: 18. September 2003 Størrelse: 106,496 bytes, MD5: b09e26c292759d654633d3c8ed00d18d Oprindelse: Holland Risiko: Medium [Opgraderet d. 19.9. 2003 kl. 7.58]. Lad dig ikke lokke! Der er ikke tale om en ny opdatering fra Microsoft. Den ser ved først blik legitim nok ud, men når man bruger sin sunde fornuft, vil man naturligvis undre sig over, hvorfor Microsoft overhovedet sender denne opdatering via e-mail. Og det er netop forklaring: Microsoft udsender ikke opdateringer via e-mail! Aldrig! Så undlad at åbne en vedhæftet fil, som udgiver sig for at være fra Microsoft. Gibe-E.worm, er ondsindet og sletter sikkerhedssoftware på din PC, hvis du afvikler den. Ormen videresender sig desuden via e-mail til samtlige e-mail adresser som den kan finde på din PC. W32.Gibe-E.worm, er en Internet baseret e-mail orm, som spreder sig via e-mail, P2P netværk, fildeling samt mIRC. Ormen er, ulig andre varianter af Gibe, skrevet i Visual C++ og fylder 106,496 bytes. Forgængere i Gibe familien var skrevet i Visual Basic, hvorfor nogle antivirus producenter har valgt at give den et nyt navn. Ormen indeholder sin egen SMTP maskine og deaktiverer en lang række populære sikkerhedshedsprodukter. Ormen er sendt i spredning fra Holland. W32.Gibe-E.worm ankommer, som en HTML formattet e-mail, hvor afsender adressen er spoofet og udgiver sig for at komme fra Microsoft. Det er naturligvis ikke tilfældet. Microsoft udsender ikke opdateringer via e-mail. Ormen ankommer et dynamisk indhold: Fra: "MS Technical Assistance" eller "Microsoft Corporation Network Security Center". (fra: dannes i virkeligheden på baggrund af en kombination af ord) Emne: 2 mellemrum Indhold: MS User this is the latest version of security update, the "September 2003, Cumulative Patch" update which eliminates all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to help protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer. This update includes the functionality of all previously released patches. System requirements Windows 95/98/Me/2000/NT/XP This update applies to MS Internet Explorer, version 4.01 and later MS Outlook, version 8.00 and later MS Outlook Express, version 4.01 and later Recommendation Customers should install the patch at the earliest opportunity. How to install Run attached file. Choose Yes on displayed dialog box. How to use You don't need to do anything after installing this item. Microsoft Product Support Services and Knowledge Base articles can be found on the Microsoft Technical Support web site. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site, or Contact Us. Thank you for using Microsoft products. Please do not reply to this message. It was sent from an unmonitored e-mail address and we are unable to respond to any replies. -------------------------------------------------------------------------------- Vedhæftet F.eks. q271496.exe Den vedhæftede fil er dynamisk. Filen kan dannes af følgende ord: "patch", "update", "upgrade", "install", eller dannes helt vilkårligt. Den vil dog være af filtypen scr, exe, pif eller zip. Den optræder hyppigst som exe-fil. Hvis den vedhæftede fil aktiveres, eller køres automatisk ved at udnytte en gammel sårbarhed i IE (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment, MS01-020), vil den droppe en kopi af sig selv til windows mappen. Denne fil er vilkårligt valgt. Den vil derefter oprette en runas værdi i registreringsdatabasen, som peger på den droppede kopi: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "(tilfældig streng)" = (navn).EXE autorun Dette vil bevirke, at ormen reaktiveres efter en genstart af systemet. Der dannes samtidig en .vcn fil (f.eks. esueif.vcn), som indeholder alle filer der kopieres til det inficerede system samt sandsynligvis yderligere kopier af ormen i filtyperne .bat og zip (f.eks. vkuragm.zip og %navn-på-PC%.bat) som også droppes til windows mappen. %navn-på-pc%.bat indeholder følgende data: @ECHO OFF IF NOT "%1"=="" (navn).exe %1 Hvor (navn) peger på kopien af W32.Gibe-E.worm. Endeligt dannes også en fil swen1.dat (heraf navnet), som indeholder en lang række IP adresser, hvoraf flere er NNTP servere. Ormen gennemsøger den lokale harddisk for e-mail adresser der findes i følgende filtyper: .ht*, .asp, .eml, .wab, .dbx, .mbx og som den kan videresende sig til. Alle e-mail adresser, som høstes gemmes i *.dbv filer. I ormens forsøg på at sprede sig via mIRC droppes script.ini i mIRC installationsmappen. Dette script vil forbinde sig til mIRC servere og forsøge at lokke brugere til at aktivere ormen. Den forsøger samtidig også at sprede sig via KaZaa. Det sker ved at kopiere 2 tilfældige filer til den temporære mappe under windows system samt et utal af forlokkende filnavne som blot er kopier af ormen. Koden stopper nedenstående processer i følgende rækkefølge: _avp, ackwin32, amserv, an, anti-troj, aplica32, apvxdwn, autodown, avconsol, ave32, avgcc32, avgctrl, avgw, avkserv, avnt, avp, avsched32, avwin95, avwupd32, blackd, blackice, bootwarn, ccapp, ccshtdwn, cfiadmi, cfiaudit, cfind, cfinet, claw95, dv95, ecengine, efinet32, esafe, espwatch, f-agnt95, f-prot, f-prot95, f-stopw, findviru, fp-win, fprot, fprot95, frw, gibe, i, iamapp, ibmasn, ibmavsp, icload95, icloadnt, icmon, icmoon, icssuppnt, icsupp, iface, iomon98, jedi, kpfw32, lockdown2000, lookout, lu32, luall, moolive, mpftray, msconfig, n, nai_vs_stat, nav, navapw32, navnt, navsched, navw, nisum, nmain, normist, nupdate, nupgrade, nvc95, outpost, p, padmin, pavcl, pavsched, pavw, pcciomon, pccmain, pccwin98, pcfwallicon, persfw, pop3trap, rav, regedit, rescue, safeweb, serv95, sphinx, sweep, tca, tds2, vcleaner, vcontrol, vet32, vet95, vet98, vettray, view, vscan, vsecomr, vshwin32, vsstat, webtrap, wfindv32, zapro, zonealarm. Hvis processen er kørende vil den blive deaktiveret. Det betyder, at systemet ikke længere vil være beskyttet af f.eks. en personlig firewall, eller antivirus program. W32.Gibe-E.worm indeholder en underlig funktion, som tilsyneladende har til formål, at tælle hvor mange maskiner der inficeres. I det øjeblik koden bliver afviklet på en PC vil ormen give instruktion om at forbinde sig til følgende adresse: http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006 Denne tæller kan vise sig at være interessant for virusresearchere når spredning af en typisk Internet orm skal kortlægges. Sådan fjernes W32.Gibe-E.worm fra et inficeret system. Åbn notepad og foretag en kopier+sæt ind af følgende tekst: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [-HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*" [-HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*" [-HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*" [-HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*" [-HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command] [HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command] @="\"%1\" %*" [-HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command] [HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command] @="\"%1\" %*" Gem filen i roden på din harddisk, som f.eks. gibe.reg (det er vigtigt at filtypen angives som .reg). Gå derefter ind i start og kør - skriv: regedit -s \gibe.reg Åbn dernæst regedit (det kan også ske ved at gå ind i kør og skrive regedit). Når regeditoren er startet op bevæger man sig til følge nøgle: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run I højre side af skærmen findes en henvisning til ormen. Navnet på ormen er dannet tilfældigt, men det er vigtigt at slette denne så ormen ikke starter op ved en genstart. Genstart systemet og opdater dit antivirus software. Analysen er revideret d. 19.9. 2003. Med venlig hilsen / Kind regards Kruse Security & Virusresearch http://www.krusesecurity.dk Phone +45 28 49 05 32

Kommentar Fra : JOHN Dato : 24-09-03 09:00

Mange tak for jeres hjælp! Gibe er nu væk med hjælp fra spywarefri.dk og krusesecurity.dk, og det er godt, men jeg har stadig et problem: Når jeg prøver at fjerne Norton-pakken, og installere den på ny får jeg besked om at der findes en gammel Norton-pakke, og derfor kan en ny ikke insatalleres!! Jeg har prøvet "alt" for at fjerne den gamle, men uden held! "Alt" betyder at jeg ikke har prøvet Symantec, men det vil jeg gøre hurtigst muligt! Har kort set at de har forskellige muligheder for, on-line at fjerne "pakken" Mvh John

Kommentar Fra : JOHN Dato : 25-09-03 09:28

OK Missionen fuldført - patienten overlevede i fin form! På Symantec HP er der et lille program der hedder RNAV (Remove Norton Anti Virus) og det fik has på de sidste rester af det gamle NAV, hvorefter det nye kunne installeres uden problemer! Og hele beskyttelsen kunne igen kobles ind! Mvh John

Du har følgende muligheder

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål. Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.