---

Hver gang jeg i adressefeltet i IE 6.0 skriver www.af.dk (+ enter), så
kommer der nede på statuslinjen til at stå www.sexyque.com, hvorefter der
popper børneuvenlige sider op. Jeg har klikket på (og tømt) "Slet cookies",
"Slet filer" og "Ryd oversigten". (Bruger ikke "Autoudførelse"). Endelig har
jeg kørt freewareprogrammet "Ad-aware 6.0" med sidste opdatering. Den fandt
1 Data Miner (Low risk), som jeg slettede, men de væmmelige sider kommer
stadig, hver gang jeg går ind på www.af.dk. (Jeg bruger Norman antivirus og
firewall).
Steffen

---

In article <3fddfdb0$0$9721$edfadb0f@dread14.news.tele.dk>, Steffen wrote:
> 1 Data Miner (Low risk), som jeg slettede, men de væmmelige sider kommer
> stadig, hver gang jeg går ind på www.af.dk. (Jeg bruger Norman antivirus og

Prøv at reinstallere maskinen, og sæt din browser mere sikkert op.
Skru evt. op for sikkerhedszonen.

Forresten så jeg engang i XPs registeringsdatabase, at
www.af.dk, var et trustet website...jeg ved ikke om det stadigvæk er
tilfældet, eller om det blot var brugeren der havde tillid til webstedet
og konfigureret sin browser til det. Listen var meget lang, så jeg
tror det første var tilfældet.

Hvis dette er sandt vil det være interessant for en angriber at
starte med at komprimitere www.af.dk.

Prøv evt. at søge efter "af.dk" i din registeringsdatabase, hvad
får du?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Det er sin sag at skulle geninstallere hele molevitten igen. Jeg troede, at
sådan et antispyware-program kunne klare sagen. Er det fordi, det en
freewareversion, at den ikke kan klare det, eller er det bare umuligt at få
bugt med det uvæsen? Sexsiderne kommer "kun", når jeg besøger www.af.dk.
Steffen

---

"Steffen" skrev
> Det er sin sag at skulle geninstallere hele molevitten igen. Jeg troede, at
> sådan et antispyware-program kunne klare sagen. Er det fordi, det en
> freewareversion, at den ikke kan klare det, eller er det bare umuligt at få
> bugt med det uvæsen? Sexsiderne kommer "kun", når jeg besøger www.af.dk.

1. Prøv at læse på
http://www.spywarefri.dk/vaerktoj.htm
og brug så f.eks. AD-Aware.

2. Måske nedenstående virker, har ikke selv prøvet det:
Hent og kør-cwshredder, nede i bunden:
http://www.spywareinfo.com/~merijn/cwschronicles.html

3. og for at gardere mod uønskede
startsider kan du hvis du har lyst, installere-start page guard:
http://www.webattack.com/get/startpageguard.shtml

mvh
Thorkild Dalsgaard

---

Mange tak. Jeg vil se på det straks.
Steffen

---

In article <3fde1b82$0$9796$edfadb0f@dread14.news.tele.dk>, Steffen wrote:
> Mange tak. Jeg vil se på det straks.
> Steffen

Thorkild vrøvler...hvordan kan du stole på en maskine
med der ikke opfører sig som forventet, sandsynligvis med
komponenter installeret der ikke er installeret af dig?


Sidst min kone fik mærkelig popups, på sites der ikke bruger
popups som fx hendes eget site, undersøgte jeg sagen.

Hver gang hendes maskine startede, lavede den en ftp session
til en ftp server og hentede to dll-filer. Disse blev
lagt på systemmet og kørt. Jeg kan ikke vide hvad disse har
til formål eller om det er de samme filer fra gang til gang.
Men som angriber ville det være oplagt at angribe ftp-serveren
for at smide en orm i disse filer....hvordan får en scanner
kendskab til sådan et tilfælde? Dette er blot et scenarie, tænkt
selv på flere.

Kik evt. også på følgende link Alex kom med under en ligende tråd,
http://www.rootkit.com/

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

In article <3fde049f$0$9787$edfadb0f@dread14.news.tele.dk>, Steffen wrote:
> Det er sin sag at skulle geninstallere hele molevitten igen. Jeg troede, at

Hjemme hos mig tager det 1 min. På arbejdet 5 min. Da jeg arbejdede på
en handelsskole tog 20 pc 30 min (det var før broadcast imaging).

Nogle PC følger der en ældre version af ghost med.

> sådan et antispyware-program kunne klare sagen. Er det fordi, det en

Hvem gav dig den idé?

> freewareversion, at den ikke kan klare det, eller er det bare umuligt at få
> bugt med det uvæsen? Sexsiderne kommer "kun", når jeg besøger www.af.dk.

Penge hjælper ikke, sund fornuft gør.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:slrnbtshoj.k2q.chel@weebo.dmz.spindelnet.dk...
> In article <3fde049f$0$9787$edfadb0f@dread14.news.tele.dk>, Steffen wrote:
> > Det er sin sag at skulle geninstallere hele molevitten igen. Jeg troede,
at
>
> Hjemme hos mig tager det 1 min. På arbejdet 5 min. Da jeg arbejdede på
> en handelsskole tog 20 pc 30 min (det var før broadcast imaging).
>
Hvordan geninstallerer man hele molevitten igen på 1 min.?

mvh

jv

---

In article <3fdec237$0$161$edfadb0f@dread11.news.tele.dk>, jv wrote:
> Hvordan geninstallerer man hele molevitten igen på 1 min.?

Ghost af et lille image.

Et "almindelig" med office og ligende tager 5 min.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Ghost af et lille image.
>
> Et "almindelig" med office og ligende tager 5 min.
>
> --
> Mvh.
> Christian E. Lysel
> http://www.spindelnet.dk/

hvor kan man finde yderligere info om Ghost?

jv

---

jv wrote:
> Ghost af et lille image.

<snip>

> hvor kan man finde yderligere info om Ghost?

http://www.symantec.com/sabu/ghost/ghost_personal/
eller google.com

--
mvh Søren Nielsen
http://www.soerennielsen.dk
Jeg bruger ikke min hotmail, så skriv ikke til den

---

In article <3fdedb22$0$124$edfadb0f@dread11.news.tele.dk>, jv wrote:
> hvor kan man finde yderligere info om Ghost?

www.symantec.com

Hvis du vil kikke på ligende produkter, så brug google,
prøv evt. "disk image"

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Steffen wrote:
> Hver gang jeg i adressefeltet i IE 6.0 skriver www.af.dk (+ enter), så
> kommer der nede på statuslinjen til at stå www.sexyque.com, hvorefter
> der popper børneuvenlige sider op. Jeg har klikket på (og tømt) "Slet
> cookies", "Slet filer" og "Ryd oversigten".

Jeg ved faktisk ikke om det er tilladt at citere TipChannel.dk, men jeg
vover pelsen da det ligner noget i retning af hvad du beskriver:


Citat
SIKKERHEDSADVARSEL

Internet Explorer kan vise 'Falske hjemmesider' - Risiko: Kritisk

Der er konstateret en kritisk sikkerhedsfejl i Internet Explorer, som
kan udnyttes af ondsindede personer til at forfalske webadressen, der
vises i adressefeltet og i statuslinien.

På en relativt let måde kan en ondsindet person forfalske en given
webadresse og derved få vist en helt anden hjemmeside uden at den givne
webadresse skifter i adressefeltet - Dette kan udnyttes til at snyde
brugere til at afsløre følsomme informationer eller downloade/hente og
"køre" ondsindede programmer, fordi brugerne har tillid til det/den
forfalskede domæne/webadresse, som vises i adresse- og statuslinien.

Vi har lavet en test, så du kan se, om din Internet Explorer har denne
sikkerhedsfejl - Klik her: http://www.tipchannel.dk/tema/IE_forfalsket/
citat slut
Håber det er noget du kan bruge.
--
Med venlig hilsen Bent Fleron.
For den der orker at sende en returmeddelelse
privat, benyt venligst bent at fleron efterfulgt af dotdk

---

In article <3fde1e58$0$147$edfadb0f@dread11.news.tele.dk>, Bent Fleron wrote:
> Jeg ved faktisk ikke om det er tilladt at citere TipChannel.dk, men jeg
> vover pelsen da det ligner noget i retning af hvad du beskriver:

De citere vel blot nogle andre.

>
>
> Citat
> SIKKERHEDSADVARSEL
>
> Internet Explorer kan vise 'Falske hjemmesider' - Risiko: Kritisk

Hmm, vil du mene at han _selv_ forfalsker af's adresse?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

> Christian E. Lysel wrote:
>> Fleron wrote:

>> Jeg ved faktisk ikke om det er tilladt at citere TipChannel.dk, men
>> jeg vover pelsen da det ligner noget i retning af hvad du beskriver:

> De citere vel blot nogle andre.

Det er klart de citerer de mennesker eller grupper der arbejder på at
finde sikkerhedshuller, men næppe uden en vis form for bearbejdning og
redigering og dermed får artiklerne værkshøjde (tror jeg det hedder).

>> Internet Explorer kan vise 'Falske hjemmesider' - Risiko: Kritisk

> Hmm, vil du mene at han _selv_ forfalsker af's adresse?

Det var da en underlig forskruet måde at udlægge det på
I det link der medfulgte som test kunne man afgøre om ens egen pc havde
samme hul, og her var det Tipchannel.dk der med åbenbart enkle tiltag
ændrede det kaldte link (microsoft.com) til noget helt andet, og
eks.vis min pc faldt lige ned i hullet.
--
Med venlig hilsen Bent Fleron.
For den der orker at sende en returmeddelelse
privat, benyt venligst bent at fleron efterfulgt af dotdk

---

In article <3fdec087$0$171$edfadb0f@dread11.news.tele.dk>, Bent Fleron wrote:
> redigering og dermed får artiklerne værkshøjde (tror jeg det hedder).

Tværtimod, de undlader informationer!

>> Hmm, vil du mene at han _selv_ forfalsker af's adresse?
>
> Det var da en underlig forskruet måde at udlægge det på

Hvis jeg skriver www.af.dk i min browser, hvordan kan sårbarheden
så udnyttes. Antager du at folk snyder sig selv?

> I det link der medfulgte som test kunne man afgøre om ens egen pc havde
> samme hul, og her var det Tipchannel.dk der med åbenbart enkle tiltag
> ændrede det kaldte link (microsoft.com) til noget helt andet, og
> eks.vis min pc faldt lige ned i hullet.

Og?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Beklager, samme meddelelse røg til den forkerte adresse:

> Christian E. Lysel wrote:
>> Bent Fleron wrote:

>> redigering og dermed får artiklerne værkshøjde (tror jeg det hedder).
>
> Tværtimod, de undlader informationer!

???

>> Det var da en underlig forskruet måde at udlægge det på
>
> Hvis jeg skriver www.af.dk i min browser, hvordan kan sårbarheden
> så udnyttes. Antager du at folk snyder sig selv?

*suk*, lad mig så klippe det ud i pap. Følgende kan læses på Virus 112:

citat
En offentliggørelse på den sikkerhedsrelaterede mailingliste Bugtraq
(Securityfocus) afslører en sårbarhed i Internet Explorer, som kan
misbruges til at narre en bruger. Ved at snyde adressefeltet i Internet
Explorer er det muligt at få brugeren til at tro, at han befinder sig på
et andet site end det han i virkeligheden befinder sig på.

Problemet opstår på grund af en fortolkningsfejl under Internet
Explorer, som gør det muligt at "spoofe" adressefeltet i browseren og
derved lede brugeren til fejlagtigt at tro, at pågældende befinder sig
på en anden hjemmeside end han/hun i virkeligheden gør. Det kan
misbruges til at lokke brugeren til at opgive følsomme oplysninger,
acceptere usikre activex komponenter eller downloade programmer fra en
tvivlsom kilde.

Tricket kan udnyttes via den URL-indkodede repræsentation "%01" eller "
%09" efter brugernavnet som opgives før et "@". Et eksempel, som også
fremgår af den originale advisory:
citat slut

>> I det link der medfulgte som test kunne man afgøre om ens egen pc
>> havde samme hul, ....

> Og?

Ak ja, - jeg prøvede blot at være hjælpsom med hvad der så ud til at
være et lignende tilfælde, men når du bevidst prøver at være
ironiserende på min bekostning, så står jeg af her.
--
Med venlig hilsen Bent Fleron.
For den der orker at sende en returmeddelelse
privat, benyt venligst bent at fleron efterfulgt af dotdk

---

In article <3fded41a$0$151$edfadb0f@dread11.news.tele.dk>, Bent Fleron wrote:
>>> Det var da en underlig forskruet måde at udlægge det på
>>
>> Hvis jeg skriver www.af.dk i min browser, hvordan kan sårbarheden
>> så udnyttes. Antager du at folk snyder sig selv?
>
> *suk*, lad mig så klippe det ud i pap. Følgende kan læses på Virus 112:

Brugeren taster www.af.dk i sin browser og får popups, hvad har det
fejlen i internet explorer at gøre?

Du vidergivere information om sårbarheden, men kan ikke fortælle hvorfor
det skulel være relevant.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

> Brugeren taster www.af.dk i sin browser og får popups, hvad har det
> fejlen i internet explorer at gøre?
>
> Du vidergivere information om sårbarheden, men kan ikke fortælle
> hvorfor det skulel være relevant.

Det drejer sig ikke om popups, men om børneuvenlige sider. Læs det
oprindelige indlæg:

citat
Hver gang jeg i adressefeltet i IE 6.0 skriver www.af.dk (+ enter), så
kommer der nede på statuslinjen til at stå www.sexyque.com, hvorefter
der
popper børneuvenlige sider op.
citat slut

Jeg tillader mig at formode det *er* relevant da det ligner den
sårbarhed jeg citerede.
--
Med venlig hilsen Bent Fleron.
For den der orker at sende en returmeddelelse
privat, benyt venligst bent at fleron efterfulgt af dotdk

---

In article <3fdee883$0$136$edfadb0f@dread11.news.tele.dk>, Bent Fleron wrote:
>> Du vidergivere information om sårbarheden, men kan ikke fortælle
>> hvorfor det skulel være relevant.
>
> Det drejer sig ikke om popups, men om børneuvenlige sider. Læs det
> oprindelige indlæg:

Kan du forklarer hvordan din information har er relevant for sagen?

"popper børneuvenlige sider op", hvorfor drejer det sig ikke om popups?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Tue, 16 Dec 2003 12:11:53 +0100, "Bent Fleron"
<ikke@gyldig.invalid> wrote:

> Jeg tillader mig at formode det *er* relevant da det ligner den
> sårbarhed jeg citerede.

Det gør det da ikke. Såbarheden relaterer til links i en side.
Det beskrevne problem relaterer til hvad der vises, når han selv
taster noget ind i adressefeltet.

-A
--
http://www.hojmark.org/

---

Kig lige her...

http://abracadabrasolutions.com/UrlFilter.htm

skriv den hellere ind manuelt, det ku' jo være...

Installation på W2K gik OK, Ad-Aware & SpyBot viser intet unormalt men
det betyder ikke at det ikke kan være anderledes for dig...

Så vil jeg ellers tilslutte mig andre i denne tråd og mene at det intet
har med det oprindelige problem at gøre...

Hvordan vil du spoofe en URL når du selv skriver den på dit tastatur ???

-- Søren

In the end they will lay their freedom at our feet and say to us, "Make
us your slaves, but feed us."
- Dostoevsky.

---

Steffen wrote:

> Endelig har jeg kørt freewareprogrammet "Ad-aware
> 6.0" med sidste opdatering. Den fandt 1 Data Miner (Low risk), som jeg
> slettede, men de væmmelige sider kommer stadig, hver gang jeg går ind
> på www.af.dk.

Min erfaring er hvad AdAware ikke kan fjerne, plejer SpyBot tit at kunne
fjerne og viceversa. Så prøv også SpyBot.

--
muh.
muh.
mvh. Peter T.
muh.
Dette er en 5-liniers sig, som holder sig indenfor de 72 tegn pr. linie.

---

Den kunne heller ikke klare det. Der findes åbenbart ikke software, der kan
fixe det, så hver gang, der kommer sådan noget spyware ind, bliver man
åbenbart nødt til at geninstallere det hele. Dvs. Ghost el.lign. er det
eneste, der kan "løse" problemet.
Steffen

---

In article <3fdee721$0$9732$edfadb0f@dread14.news.tele.dk>, Steffen wrote:
> Den kunne heller ikke klare det. Der findes åbenbart ikke software, der kan
> fixe det, så hver gang, der kommer sådan noget spyware ind, bliver man
> åbenbart nødt til at geninstallere det hele. Dvs. Ghost el.lign. er det
> eneste, der kan "løse" problemet.

Det kommer an på hvordan du ser problemmet.

Jeg mener at adware producenter forsimpler problemstillingen kraftigt.
Desværrer har de, på en eller anden måde som jeg ikke kan gennemskue,
størrer magt på brugerne end almindelig sund fornuft...og vi
ser gentagende gange folk anbefalde adware i denne gruppe. Jeg
fatter det ikke.

Ghost vil gører løsningen mindre tidskrævende.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Steffen wrote:
> Den kunne heller ikke klare det. Der findes åbenbart ikke software,
> der kan fixe det, så hver gang, der kommer sådan noget spyware ind,
> bliver man åbenbart nødt til at geninstallere det hele. Dvs. Ghost
> el.lign. er det eneste, der kan "løse" problemet.
> Steffen

Jeg ville prøve HijackThis også fra www.spywarefri.dk inden jeg gav op.

--
Carsten (3600), HELD er noget der indtræffer når grundige forberedelser
mødes med en gunstig lejlighed....

---

On Mon, 15 Dec 2003 19:30:02 +0100, "Steffen" <stapdk@yahoo.dk> wrote:

>Hver gang jeg i adressefeltet i IE 6.0 skriver www.af.dk (+ enter), så
>kommer der nede på statuslinjen til at stå www.sexyque.com, hvorefter der
>popper børneuvenlige sider op. Jeg har klikket på (og tømt) "Slet cookies",
>"Slet filer" og "Ryd oversigten". (Bruger ikke "Autoudførelse"). Endelig har
>jeg kørt freewareprogrammet "Ad-aware 6.0" med sidste opdatering. Den fandt
>1 Data Miner (Low risk), som jeg slettede, men de væmmelige sider kommer
>stadig, hver gang jeg går ind på www.af.dk. (Jeg bruger Norman antivirus og
>firewall).
>Steffen

Det kunne også være fordi en spøgefugl har tilføjet en linie i
"hosts".
--
Svend Olaf

---

"Steffen" <stapdk@yahoo.dk> wrote in message news:<3fddfdb0$0$9721$edfadb0f@dread14.news.tele.dk>...
> Hver gang jeg i adressefeltet i IE 6.0 skriver www.af.dk (+ enter), så
> kommer der nede på statuslinjen til at stå www.sexyque.com, hvorefter der
> popper børneuvenlige sider op. Jeg har klikket på (og tømt) "Slet cookies",
> "Slet filer" og "Ryd oversigten". (Bruger ikke "Autoudførelse"). Endelig har
> jeg kørt freewareprogrammet "Ad-aware 6.0" med sidste opdatering. Den fandt
> 1 Data Miner (Low risk), som jeg slettede, men de væmmelige sider kommer
> stadig, hver gang jeg går ind på www.af.dk. (Jeg bruger Norman antivirus og
> firewall).
> Steffen

Prøv det her: Hent Cwshredder, nederst på siden, og kør den:
http://www.spywareinfo.com/~merijn/cwschronicles.html
Hent og installer-start page guard:
http://www.webattack.com/get/startpageguard.shtml
Så er din startside normal igen.

For en sikkerheds skyld, så installer og
kør-adware-spybot-iespyad,spywareblaster og empty temp folders
herfra: http://www.spywarefri.dk/vaerktoj.htm

---

Leo.E <le01@post9.tele.dk> wrote:
> For en sikkerheds skyld, så installer og
> kør-adware-spybot-iespyad,spywareblaster og empty temp folders
> herfra: http://www.spywarefri.dk/vaerktoj.htm

Hent ogsaa Top Perfect Security, NSA Encryption Pro og Super-Extreme
Diskwiper. Saa er du 1000% sikker.

Jeg har en fil ved navn rapeme.exe, som goer et eller andet specielt ved
filsystemet, kan ikke huske hvad. Sig til hvis jeg skal maile den til
dig.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

In article <u2e6b1-dpu.ln1@miracle.mongers.org>, Alex Holst wrote:
>> For en sikkerheds skyld, så installer og
>> kør-adware-spybot-iespyad,spywareblaster og empty temp folders
>> herfra: http://www.spywarefri.dk/vaerktoj.htm
>
> Hent ogsaa Top Perfect Security, NSA Encryption Pro og Super-Extreme
> Diskwiper. Saa er du 1000% sikker.
>
> Jeg har en fil ved navn rapeme.exe, som goer et eller andet specielt ved
> filsystemet, kan ikke huske hvad. Sig til hvis jeg skal maile den til
> dig.

For en sikkerhedsskyld, så installer PS-Encrypt fra firmaet Perfect Security,
se http://www.perfect-security.net/en/PS-Encrypt.html

Jeg ved ikke hvad produktet gør, men det ser godt ud og har hjulpet mig
engang for lang tid siden...kan ikke lige huske detajlerne.


PS: Har vi ikke snart nogle nye snakeoil kandidater?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 17 Dec 2003 22:35:13 GMT, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>PS: Har vi ikke snart nogle nye snakeoil kandidater?

Ibas?
--
Svend Olaf

---

In article <3fe0dc25.40297257@dtext.news.tele.dk>, Svend Olaf Mikkelsen wrote:
>>PS: Har vi ikke snart nogle nye snakeoil kandidater?
>
> Ibas?

Nej, jeg tænkte på adware eller hvad det hedder.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/