|
| Er jeg blevet hacket? Fra : Mathias Vinther |
Dato : 04-06-08 15:05 |
|
Hej
Efter en lang arbejdsdag kommer jeg hjem til en nogen ubehagelig
overraskelse. Første gang jeg tænder min bærbare starter Windows fint
næsten da for da alle opstarts programmer er indlæst, kommer en
Bluescreen men noget ulovig handlings værk og jeg skal genstarte
computeren (ingen taster virker) ligger ikke videre mærke til fejlen
noget med PAGE FAULT et eller andet.
Næste gang nu går det noget bedre ihvertfald kommer der ikke nogen
bluescreen, men så popper min ThinkVantage Client Security op og siger
at Windows adgangskoden for nylig er blevet ændret (hvilket jeg ikke har
gjort)og jeg skal indtaste min kodeord, men mit kodeord er forkerte så
jeg trykker til sidst annuller. Desuden kommer min Spybot Residentshield
op og angiver en ny startup value:
04-06-2008 15:40:21 Forhindret (based on user decision) value
"KernelFaultCheck" (new data: "%systemroot%\system32\dumprep 0 -k")
Tilføjet in System Startup global entry!
Jeg går ind i kontrolpanel og ændre Windows adgangskoden herigennem (her
var min gamle adgangskode åbenbart rigtig).
Jeg tjekker hurtigt om jeg kan se nogen nye mapper eller filer, men ikke
umildbart, og der mangler heller ikke noget umildbart. Min penge er også
heldigvis stadig på kontoen i netbanken.
Men hvis jeg forsøger at gå ind i min ThinkVantage Password Manager
(hvilket jeg både prøver via fingeraftrykslæser og/eller kodeord) siger
den Fejl under godkendelse.
Nu kører jeg min AVG scar af hele computeren, og den finder i øjeblikket
en del adware.generic
Jeg melder tilbage men resultatet fra hele scannet.
Jeg kør gennem en kryptere router, men windows firewall og en opdateret
AVG 8.0. Surfer generelt sikkert, har ikke været inde på noget lyssky
fornyligt, bortset fra facebook.
Er det Thinkvantage der er gået noget galt med, er jeg parnoid eller er
et eller andet som ikke skulle foregå sket?
Mvh
Mathias Vinther
| |
Mathias Vinther (04-06-2008)
| Kommentar Fra : Mathias Vinther |
Dato : 04-06-08 15:22 |
|
Mathias Vinther skrev:
> Hej
>
> Efter en lang arbejdsdag kommer jeg hjem til en nogen ubehagelig
> overraskelse. Første gang jeg tænder min bærbare starter Windows fint
> næsten da for da alle opstarts programmer er indlæst, kommer en
> Bluescreen men noget ulovig handlings værk og jeg skal genstarte
> computeren (ingen taster virker) ligger ikke videre mærke til fejlen
> noget med PAGE FAULT et eller andet.
>
> Næste gang nu går det noget bedre ihvertfald kommer der ikke nogen
> bluescreen, men så popper min ThinkVantage Client Security op og siger
> at Windows adgangskoden for nylig er blevet ændret (hvilket jeg ikke har
> gjort)og jeg skal indtaste min kodeord, men mit kodeord er forkerte så
> jeg trykker til sidst annuller. Desuden kommer min Spybot Residentshield
> op og angiver en ny startup value:
>
> 04-06-2008 15:40:21 Forhindret (based on user decision) value
> "KernelFaultCheck" (new data: "%systemroot%\system32\dumprep 0 -k")
> Tilføjet in System Startup global entry!
>
> Jeg går ind i kontrolpanel og ændre Windows adgangskoden herigennem (her
> var min gamle adgangskode åbenbart rigtig).
>
> Jeg tjekker hurtigt om jeg kan se nogen nye mapper eller filer, men ikke
> umildbart, og der mangler heller ikke noget umildbart. Min penge er også
> heldigvis stadig på kontoen i netbanken.
>
> Men hvis jeg forsøger at gå ind i min ThinkVantage Password Manager
> (hvilket jeg både prøver via fingeraftrykslæser og/eller kodeord) siger
> den Fejl under godkendelse.
>
> Nu kører jeg min AVG scar af hele computeren, og den finder i øjeblikket
> en del adware.generic
>
> Jeg melder tilbage men resultatet fra hele scannet.
>
> Jeg kør gennem en kryptere router, men windows firewall og en opdateret
> AVG 8.0. Surfer generelt sikkert, har ikke været inde på noget lyssky
> fornyligt, bortset fra facebook.
>
> Er det Thinkvantage der er gået noget galt med, er jeg parnoid eller er
> et eller andet som ikke skulle foregå sket?
>
> Mvh
> Mathias Vinther
I øvrigt er en af ADWARE GENERIC.VRD fundet i C:\Windows\Explorer.exe
(2520)
OS: WIN XP SP3
| |
Klaus Ellegaard (04-06-2008)
| Kommentar Fra : Klaus Ellegaard |
Dato : 04-06-08 16:05 |
|
Mathias Vinther <mvinther@gmail.fjernaltdether.com> writes:
>Bluescreen men noget ulovig handlings værk og jeg skal genstarte
>computeren (ingen taster virker) ligger ikke videre mærke til fejlen
>noget med PAGE FAULT et eller andet.
Det sker, det skidt.
>Næste gang nu går det noget bedre ihvertfald kommer der ikke nogen
>bluescreen, men så popper min ThinkVantage Client Security op og siger
>at Windows adgangskoden for nylig er blevet ændret (hvilket jeg ikke har
>gjort)og jeg skal indtaste min kodeord, men mit kodeord er forkerte så
>jeg trykker til sidst annuller.
Det kunne skyldes, at den er crashet under starten, så den nu har
fået noget skrammel i sin konfigurationsfil og (i værste fald) i
TPM-modulet.
>Desuden kommer min Spybot Residentshield op og angiver en ny
>startup value:
>04-06-2008 15:40:21 Forhindret (based on user decision) value
>"KernelFaultCheck" (new data: "%systemroot%\system32\dumprep 0 -k")
>Tilføjet in System Startup global entry!
Den kommer, når Windows crasher hårdt. Den skal prøve at lave et
dump af, hvordan systemet så ud, da det crashede. Det kan sendes
til Microsoft, så de kan undersøge sagen nærmere. Ikke at der er
nogen grund til det umiddelbart.
>Jeg går ind i kontrolpanel og ændre Windows adgangskoden herigennem (her
>var min gamle adgangskode åbenbart rigtig).
Ja, det lugter af, at TPM'en er blevet forvirret/overskrevet
eller lignende.
Hvis du har en backup (og det har man da!), så installér den. Ellers
kan du starte forfra med Client Security, hvis du da ikke har nogle
krypterede data, der er afhængige af data i TPM'en.
>Er det Thinkvantage der er gået noget galt med, er jeg parnoid eller er
>et eller andet som ikke skulle foregå sket?
Jeg gætter på, du har været ude for et crash med tilhørende datatab.
Umiddelbart er der ikke sket andet, end at TPM-modulet, som Client
Security bruger, sikkert er blevet overskrevet med noget skrammel.
Det har kun indvirkning på data, der er krypteret via TPM, og på dit
login. Så det er nemt at fikse med en backup - eller simpelthen at
begynde forfra med Client Security.
Mvh.
Klaus.
| |
Mathias Vinther (04-06-2008)
| Kommentar Fra : Mathias Vinther |
Dato : 04-06-08 16:37 |
|
Hej Klaus
Tak for svaret. Lyder jo ikke så slemt som frygtet.
1) TPM hvad er dette?
2)Jeg kan ikke se eller mærke noget data tab, så hvordan kan jeg finde
ud af hvad er beskadiget? Findes ScanDisk på XP?
3)Jeg har Systemgendannelse, kan dette bruges til at gendanne systemet?
og i så fald hvordan?
4) Ellers forstår jeg dig sådan at jeg må uinstallere Client Security og
installere det igen?
Mvh
Mathias Vinther
Klaus Ellegaard skrev:
> Mathias Vinther <mvinther@gmail.fjernaltdether.com> writes:
>
>> Bluescreen men noget ulovig handlings værk og jeg skal genstarte
>> computeren (ingen taster virker) ligger ikke videre mærke til fejlen
>> noget med PAGE FAULT et eller andet.
>
> Det sker, det skidt.
>
>> Næste gang nu går det noget bedre ihvertfald kommer der ikke nogen
>> bluescreen, men så popper min ThinkVantage Client Security op og siger
>> at Windows adgangskoden for nylig er blevet ændret (hvilket jeg ikke har
>> gjort)og jeg skal indtaste min kodeord, men mit kodeord er forkerte så
>> jeg trykker til sidst annuller.
>
> Det kunne skyldes, at den er crashet under starten, så den nu har
> fået noget skrammel i sin konfigurationsfil og (i værste fald) i
> TPM-modulet.
>
>> Desuden kommer min Spybot Residentshield op og angiver en ny
>> startup value:
>
>> 04-06-2008 15:40:21 Forhindret (based on user decision) value
>> "KernelFaultCheck" (new data: "%systemroot%\system32\dumprep 0 -k")
>> Tilføjet in System Startup global entry!
>
> Den kommer, når Windows crasher hårdt. Den skal prøve at lave et
> dump af, hvordan systemet så ud, da det crashede. Det kan sendes
> til Microsoft, så de kan undersøge sagen nærmere. Ikke at der er
> nogen grund til det umiddelbart.
>
>> Jeg går ind i kontrolpanel og ændre Windows adgangskoden herigennem (her
>> var min gamle adgangskode åbenbart rigtig).
>
> Ja, det lugter af, at TPM'en er blevet forvirret/overskrevet
> eller lignende.
>
> Hvis du har en backup (og det har man da!), så installér den. Ellers
> kan du starte forfra med Client Security, hvis du da ikke har nogle
> krypterede data, der er afhængige af data i TPM'en.
>
>> Er det Thinkvantage der er gået noget galt med, er jeg parnoid eller er
>> et eller andet som ikke skulle foregå sket?
>
> Jeg gætter på, du har været ude for et crash med tilhørende datatab.
> Umiddelbart er der ikke sket andet, end at TPM-modulet, som Client
> Security bruger, sikkert er blevet overskrevet med noget skrammel.
> Det har kun indvirkning på data, der er krypteret via TPM, og på dit
> login. Så det er nemt at fikse med en backup - eller simpelthen at
> begynde forfra med Client Security.
>
> Mvh.
> Klaus.
| |
Klaus Ellegaard (04-06-2008)
| Kommentar Fra : Klaus Ellegaard |
Dato : 04-06-08 16:44 |
|
Mathias Vinther <mvinther@gmail.fjernaltdether.com> writes:
>1) TPM hvad er dette?
Trusted Platform Module. Det er den stump hardware, som Client
Security bruger til at gemme sine data i. Det sker, at der går
noget galt, så TPM'ens indhold "går i stykker".
I første omgang er det kun din udvidede login (fingeraftryk,
passphrase) der går i stykker af det, som du nok har set. Men
TPM'en kan også gemme nøgler til password-husker, kryptering
af harddisk og den slags. Hvis du har den slags anvendelser i
brug, kan du næppe åbne dem nu. Data i dem er i så fald tabt,
hvis du ikke har en backup af den nøgle, som TPM'en gemte på.
>2)Jeg kan ikke se eller mærke noget data tab, så hvordan kan jeg finde
>ud af hvad er beskadiget? Findes ScanDisk på XP?
Tjah, du kan jo altid højreklikke på drevet og vælge at det
skal tjekkes. Men der er formentlig ikke noget galt.
>3)Jeg har Systemgendannelse, kan dette bruges til at gendanne systemet?
>og i så fald hvordan?
Selve systemet har det godt nok. Dine eventuelle TPM-data er
ikke i systemgendannelse. Men igen - hvis du ikke havde noget
vigtigt data krypteret med Client Security, er det ligemeget.
>4) Ellers forstår jeg dig sådan at jeg må uinstallere Client Security og
>installere det igen?
Jaeh, eller i hvert fald bede den starte forfra. Det er ret
længe siden, jeg rodede med den, så jeg kan ærligt talt ikke
huske detaljerne.
Mvh.
Klaus.
| |
Michael Zedeler (05-06-2008)
| Kommentar Fra : Michael Zedeler |
Dato : 05-06-08 20:57 |
|
Mathias Vinther wrote:
> [...] Jeg tjekker hurtigt om jeg kan se nogen nye mapper eller filer, men ikke
> umildbart, og der mangler heller ikke noget umildbart. Min penge er også
> heldigvis stadig på kontoen i netbanken. [...]
Sig ikke at du brugte din computer til at checke det...
Nu beskriver du det sådan at de eneste afvigelser, du har oplevet, er
blå skærm, noget nyt i registry-databasen og et ændret password. Det der
virkelig nager mig her, er det ændrede password. Klaus Ellegaard giver
en meget god forklaring på hvordan computeren sandsynligvis har tilføjet
de nye værdier i registry som følge af det crash, du oplevede, men jeg
savner en forklaring på det ændrede password.
Nu har du også fundet virus på computeren, så i dit sted ville jeg ikke
tøve med at reinstallere det hele, da vira nogle gange netop bruges til
at aflure og misbruge sensitive oplysninger på nettet.
Iøvrigt har medierne for omkring en uge siden omtalt et temmelig
ubehageligt sikkerhedshul i Adobes Flash-player, der efter sigende
skulle have været udnyttet i længere tid uden at det var blevet opdaget.
Mvh. Michael.
| |
Gamle (06-06-2008)
| Kommentar Fra : Gamle |
Dato : 06-06-08 14:02 |
|
Michael Zedeler wrote:
> Iøvrigt har medierne for omkring en uge siden omtalt et temmelig
> ubehageligt sikkerhedshul i Adobes Flash-player, der efter sigende
> skulle have været udnyttet i længere tid uden at det var blevet
> opdaget.
Den advarsel er trukket tilbage, da der alligevel ikke var et sikkerhedshul.
Kilde PCWorld
Mvh.
Torben
| |
Simon Hansen (06-06-2008)
| Kommentar Fra : Simon Hansen |
Dato : 06-06-08 14:42 |
|
Gamle skrev:
> Michael Zedeler wrote:
>> Iøvrigt har medierne for omkring en uge siden omtalt et temmelig
>> ubehageligt sikkerhedshul i Adobes Flash-player, der efter sigende
>> skulle have været udnyttet i længere tid uden at det var blevet
>> opdaget.
>
>
> Den advarsel er trukket tilbage, da der alligevel ikke var et sikkerhedshul.
> Kilde PCWorld
>
> Mvh.
> Torben
>
>
Hvis du så gad læse hele artiklen ville du ha opdaget at det kun
omfattede symantecs advarsel ved v.9x.
Alle tidligere versioner har og er omfattet af sikkerhedshullet.
Hilsen
Simon
| |
Gamle (06-06-2008)
| Kommentar Fra : Gamle |
Dato : 06-06-08 15:04 |
|
Simon Hansen wrote:
>>
> Hvis du så gad læse hele artiklen ville du ha opdaget at det kun
> omfattede symantecs advarsel ved v.9x.
> Alle tidligere versioner har og er omfattet af sikkerhedshullet.
>
Og hvis du gad søge: http://www.version2.dk/artikel/7436
Men har også set det i PCWorld.
Hilsen
Torben
| |
|
|