/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hjælp - bagdør??
Fra : JOHN
Vist : 578 gange
100 point
Dato : 22-09-03 09:17

Jeg anvender TDC Bredbånd - og har hele pakken fra Symatec/Norton kørende, men nu har jeg fået et problem! Antivirus mm. er blevet koblet fra, normalt er det altid koblet til! Hvis jeg prøver at koble til, stopper programmet bare, eller også skriver det at der skal administartor-rettigheder til? Jeg tror der er lagt en "bagdør" ind og jeg har ikke mere kontrol over mit anti-virus/hacker beskyttelse!
Har prøvet at fjerne Norton-pakken, for at installere den igen, men den skriver at det kræver adm.-rettigheder. Har også prøve Systemgendannelse (kører WinMe) men no luck!
Er der nogen der kender et godt program (gerne share ware/free ware) der kan fjerne den, så jeg kan fjerne Norton, og derefter installere den igen??
Mvh
John

 
 
Accepteret svar
Fra : CLAN

Modtaget 110 point
Dato : 22-09-03 09:22

Hej John
Prøv at kontakte Spywarefri via http://www.spywarefri.dk her er også on-line scannere både til virus og spyware.
Hygge...
Søren

Kommentar
Fra : moltov


Dato : 22-09-03 09:23

Hej John

Prøv http://housecall.trendmicro.com/

Det er et gratis Online virusscan. Den henter et lille program, og så scanner den hele din pc'er...

Moltov

Kommentar
Fra : CLAN


Dato : 22-09-03 09:25

NB: Da du har Norton, så kan du evt. også vælge at kontakte Symantech Danmark via http://www.symantec.dk/

Kommentar
Fra : JOHN


Dato : 22-09-03 09:36

Mange tak for jeres hjælp! Jeg vil prøve det når jeg kommer hjem, er pt. på arbejde! BTW så tror jeg enten at den er kommet ind med en dialer, som min kære søn (jeg "kvæler" ham!!!) har haft fat i eller også er det kommet med en "opdatering pr. mail fra MicroSoft" (jeg har ikke åbnet den)

Igen, mange tak for hjælpen - håber det hjælper!

John

Kommentar
Fra : CLAN


Dato : 22-09-03 09:45

Hejsa... UHA! Hvis det er opdatering fra Microsoft via mail... så er det med 100% garanti virus. Microsoft sender IKKE opdaterings-mail til folk.

Kommentar
Fra : als


Dato : 22-09-03 09:48

Du har fået Gibe.E for den gør lige netop det som du beskriver og det er sket fordi du har åbnet den mail fra "Microsoft". Prøv at se om dette råd kan hjælpe dig. http://www.spywarefri.dk/virus.htm#Gibe
Nu ved du i hvert fald hvilken virus du har fået og hvordan du har fået den.

Kommentar
Fra : CLAN


Dato : 22-09-03 09:51

Prøv i første omgang at gennemgå din computer med de on-line scannere, som findes på http://www.spywarefri.dk/onlinevark.htm

Kommentar
Fra : als


Dato : 22-09-03 10:20

Husk lige at jeg skal IKKE have points. Det skal CLAN. Det var ham som først henviste dig til Spywarefri.

Kommentar
Fra : CLAN


Dato : 22-09-03 10:42

Hej als -> For min skyld må du godt få de points
Det er synd, at Kandu endnu ikke har lavet det, så man kan dele points imm. de kommentarer der indløber. Jeg sidder faktisk på en anden streng, med et spørgsmål, hvor jeg godt ku' tænke mig at dele points, til nogle af de svar jeg har fået. Man føler sig lidt som en lille gris, når man nu skal vælge imm. 2-3 gode svar, men kun en kan modtage.
Noget som jeg mener, Kandu burde gøre noget ved... i stedet for alt det lodtrækningsfis
Søren

NB: Det der point-race kan da også rigtigt få folk op på dupperne
Dog ikke dig... dertil kender jeg dig for godt - eller har jeg da set herinde

Godkendelse af svar
Fra : JOHN


Dato : 22-09-03 11:35

Tak for svaret CLAN.
                        

Kommentar
Fra : JOHN


Dato : 22-09-03 11:44

Jeg er ikke helt varm på alle de løsninger, som betyder at jeg skal være on-line, men der er jo nok ingen anden udvej - jeg prøver!
John

Kommentar
Fra : CLAN


Dato : 22-09-03 12:13

Hej John
Du behøves ikke at være bekymret for http://www.spywarefri.dk/onlinevark.htm de ved hvad de har med at gøre + har lavet den side for at hjælpe andre / bekæmpe virus og spyware.
De har hjulpet mig før... og jeg kan KUN anbefale siden.

Der findes også andre sider, hvor du kan få info og løsninger. Jeg vil kun nævne en anden dansk side (men hold dig til Spywarefri). Den jeg anbefaler nu, bruger jeg kun til at indhente info fra http://www.krusesecurity.dk

Lykke til med at kvæle dit "grams"

Søren

Kommentar
Fra : CLAN


Dato : 22-09-03 12:17

Citat
Navn: W32.Gibe-E.worm
Alias: W32/Swen.A@mm, W32/Gibe.e@MM
Dato: 18. September 2003
Størrelse: 106,496 bytes, MD5: b09e26c292759d654633d3c8ed00d18d
Oprindelse: Holland
Risiko: Medium [Opgraderet d. 19.9. 2003 kl. 7.58].

Lad dig ikke lokke! Der er ikke tale om en ny opdatering fra Microsoft.

Den ser ved først blik legitim nok ud, men når man bruger sin sunde fornuft, vil
man naturligvis undre sig over, hvorfor Microsoft overhovedet sender denne
opdatering via e-mail. Og det er netop forklaring: Microsoft udsender ikke
opdateringer via e-mail! Aldrig! Så undlad at åbne en vedhæftet fil, som
udgiver sig for at være fra Microsoft.

Gibe-E.worm, er ondsindet og sletter sikkerhedssoftware på din PC, hvis du
afvikler den. Ormen videresender sig desuden via e-mail til samtlige e-mail
adresser som den kan finde på din PC.

W32.Gibe-E.worm, er en Internet baseret e-mail orm, som spreder sig via e-mail,
P2P netværk, fildeling samt mIRC. Ormen er, ulig andre varianter af Gibe, skrevet
i Visual C++ og fylder 106,496 bytes. Forgængere i Gibe familien var skrevet i
Visual Basic, hvorfor nogle antivirus producenter har valgt at give den et nyt
navn. Ormen indeholder sin egen SMTP maskine og deaktiverer en lang række populære
sikkerhedshedsprodukter. Ormen er sendt i spredning fra Holland.

W32.Gibe-E.worm ankommer, som en HTML formattet e-mail, hvor afsender adressen
er spoofet og udgiver sig for at komme fra Microsoft. Det er naturligvis ikke
tilfældet. Microsoft udsender ikke opdateringer via e-mail.

Ormen ankommer et dynamisk indhold:

Fra: "MS Technical Assistance" eller "Microsoft Corporation Network Security Center".
(fra: dannes i virkeligheden på baggrund af en kombination af ord)

Emne: 2 mellemrum

Indhold:

MS User

this is the latest version of security update, the "September 2003, Cumulative Patch"
update which eliminates all known security vulnerabilities affecting MS Internet
Explorer, MS Outlook and MS Outlook Express as well as three newly discovered
vulnerabilities. Install now to help protect your computer from these vulnerabilities,
the most serious of which could allow an attacker to run code on your computer. This
update includes the functionality of all previously released patches.

System requirements Windows 95/98/Me/2000/NT/XP
This update applies to MS Internet Explorer, version 4.01 and later MS Outlook,
version 8.00 and later MS Outlook Express, version 4.01 and later
Recommendation Customers should install the patch at the earliest opportunity.
How to install Run attached file. Choose Yes on displayed dialog box.
How to use You don't need to do anything after installing this item.

Microsoft Product Support Services and Knowledge Base articles can be found on the
Microsoft Technical Support web site. For security-related information about Microsoft
products, please visit the Microsoft Security Advisor web site, or Contact Us.

Thank you for using Microsoft products.

Please do not reply to this message. It was sent from an unmonitored e-mail address
and we are unable to respond to any replies.

--------------------------------------------------------------------------------

Vedhæftet
F.eks. q271496.exe

Den vedhæftede fil er dynamisk. Filen kan dannes af følgende ord: "patch", "update",
"upgrade", "install", eller dannes helt vilkårligt. Den vil dog være af filtypen scr, exe,
pif eller zip. Den optræder hyppigst som exe-fil.

Hvis den vedhæftede fil aktiveres, eller køres automatisk ved at udnytte en gammel
sårbarhed i IE (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment,
MS01-020), vil den droppe en kopi af sig selv til windows mappen. Denne fil er
vilkårligt valgt. Den vil derefter oprette en runas værdi i registreringsdatabasen, som
peger på den droppede kopi:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "(tilfældig streng)" =
(navn).EXE autorun

Dette vil bevirke, at ormen reaktiveres efter en genstart af systemet.

Der dannes samtidig en .vcn fil (f.eks. esueif.vcn), som indeholder alle filer der kopieres
til det inficerede system samt sandsynligvis yderligere kopier af ormen i filtyperne .bat
og zip (f.eks. vkuragm.zip og %navn-på-PC%.bat) som også droppes til windows mappen.

%navn-på-pc%.bat indeholder følgende data:

@ECHO OFF
IF NOT "%1"=="" (navn).exe %1

Hvor (navn) peger på kopien af W32.Gibe-E.worm.

Endeligt dannes også en fil swen1.dat (heraf navnet), som indeholder en lang række
IP adresser, hvoraf flere er NNTP servere.

Ormen gennemsøger den lokale harddisk for e-mail adresser der findes i følgende filtyper:
.ht*, .asp, .eml, .wab, .dbx, .mbx og som den kan videresende sig til. Alle e-mail
adresser, som høstes gemmes i *.dbv filer. I ormens forsøg på at sprede sig via
mIRC droppes script.ini i mIRC installationsmappen. Dette script vil forbinde sig til mIRC
servere og forsøge at lokke brugere til at aktivere ormen. Den forsøger samtidig også at
sprede sig via KaZaa. Det sker ved at kopiere 2 tilfældige filer til den temporære mappe
under windows system samt et utal af forlokkende filnavne som blot er kopier af ormen.

Koden stopper nedenstående processer i følgende rækkefølge:

_avp, ackwin32, amserv, an, anti-troj, aplica32, apvxdwn, autodown, avconsol, ave32, avgcc32,
avgctrl, avgw, avkserv, avnt, avp, avsched32, avwin95, avwupd32, blackd, blackice, bootwarn,
ccapp, ccshtdwn, cfiadmi, cfiaudit, cfind, cfinet, claw95, dv95, ecengine, efinet32, esafe,
espwatch, f-agnt95, f-prot, f-prot95, f-stopw, findviru, fp-win, fprot, fprot95, frw, gibe,
i, iamapp, ibmasn, ibmavsp, icload95, icloadnt, icmon, icmoon, icssuppnt, icsupp, iface,
iomon98, jedi, kpfw32, lockdown2000, lookout, lu32, luall, moolive, mpftray, msconfig, n,
nai_vs_stat, nav, navapw32, navnt, navsched, navw, nisum, nmain, normist, nupdate, nupgrade,
nvc95, outpost, p, padmin, pavcl, pavsched, pavw, pcciomon, pccmain, pccwin98, pcfwallicon,
persfw, pop3trap, rav, regedit, rescue, safeweb, serv95, sphinx, sweep, tca, tds2, vcleaner,
vcontrol, vet32, vet95, vet98, vettray, view, vscan, vsecomr, vshwin32, vsstat, webtrap,
wfindv32, zapro, zonealarm.

Hvis processen er kørende vil den blive deaktiveret. Det betyder, at systemet ikke længere
vil være beskyttet af f.eks. en personlig firewall, eller antivirus program.

W32.Gibe-E.worm indeholder en underlig funktion, som tilsyneladende har til formål, at
tælle hvor mange maskiner der inficeres. I det øjeblik koden bliver afviklet på en
PC vil ormen give instruktion om at forbinde sig til følgende adresse:
http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Denne tæller kan vise sig at være interessant for virusresearchere når spredning af
en typisk Internet orm skal kortlægges.

Sådan fjernes W32.Gibe-E.worm fra et inficeret system.

Åbn notepad og foretag en kopier+sæt ind af følgende tekst:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[-HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"

[-HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
@="\"%1\" %*"

[-HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
@="\"%1\" %*"

[-HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
@="\"%1\" %*"

[-HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
@="\"%1\" %*"

[-HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
@="\"%1\" %*"

Gem filen i roden på din harddisk, som f.eks. gibe.reg
(det er vigtigt at filtypen angives som .reg).

Gå derefter ind i start og kør - skriv: regedit -s \gibe.reg

Åbn dernæst regedit (det kan også ske ved at gå ind i kør og skrive regedit).
Når regeditoren er startet op bevæger man sig til følge nøgle:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

I højre side af skærmen findes en henvisning til ormen. Navnet på ormen er dannet tilfældigt,
men det er vigtigt at slette denne så ormen ikke starter op ved en genstart.

Genstart systemet og opdater dit antivirus software.

Analysen er revideret d. 19.9. 2003.

Med venlig hilsen / Kind regards

Kruse Security & Virusresearch
http://www.krusesecurity.dk
Phone +45 28 49 05 32


Kommentar
Fra : JOHN


Dato : 24-09-03 09:00

Mange tak for jeres hjælp! Gibe er nu væk med hjælp fra spywarefri.dk og krusesecurity.dk, og det er godt, men jeg har stadig et problem: Når jeg prøver at fjerne Norton-pakken, og installere den på ny får jeg besked om at der findes en gammel Norton-pakke, og derfor kan en ny ikke insatalleres!! Jeg har prøvet "alt" for at fjerne den gamle, men uden held!
"Alt" betyder at jeg ikke har prøvet Symantec, men det vil jeg gøre hurtigst muligt! Har kort set at de har forskellige muligheder for, on-line at fjerne "pakken"
Mvh
John

Kommentar
Fra : JOHN


Dato : 25-09-03 09:28

OK Missionen fuldført - patienten overlevede i fin form! På Symantec HP er der et lille program der hedder RNAV (Remove Norton Anti Virus) og det fik has på de sidste rester af det gamle NAV, hvorefter det nye kunne installeres uden problemer! Og hele beskyttelsen kunne igen kobles ind!
Mvh
John

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste