---

Tidligere i dag opdagede jeg at min antivirus og firewall pludselig var væk, den lå godt nok i Start-Alle programmer, men når jeg klikkede på ikonen, kom der meddelse om at programmet som genvejen henviste til ikke eksisterede, jeg geninstalerede programmet og har scannet for virus og spyware med Bullguard, SuperAntiSpyware,Spybot S&D og X-Cleaner uden at finde noget, senere i dag kom Stl_s med en bemærkning som har gjort mig urolig: http://www.kandu.dk/tip14833.aspx hvad kan jeg gøre for at vide mig sikker igen ?

---

---

Hej o.v.n

Det er en meget mystisk infektion, og vi ved ikke rigtigt noget om den. Du kan prøve at følge med i udviklingen i denne tråd på Spywarefri http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=30453

Jeg leder også med lys og lygte efter info om den, men har ikke fundet noget endnu.

De dårlige nyheder er, at der sandsynligvis kan ligge noget på maskinen vi ikke kan finde.

Du er velkommen med en HijackThis log:

Hent HijackThis her http://www.sitecenter.dk/secure/nss-folder/mappe/hjtspecial.exe Opret en selvstændig mappe til HijackThis, kald den f,eks HJT. Kør Hijackthis, klik "Do a systemscan and save a logfile". Kopier loggen og sæt den her ind i tråden, så kigger jeg på den. Du må ikke slette noget selv med HijackThis. Jeg skal nok give dig en vejledning til hvad du skal gøre.


Kom også med en log fra WinpFind http://www.bleepingcomputer.com/files/winpfind.php

Udpak det til egen mappe, luk alle vinduer, og kør den grønne exefil. Klik Start scan. Scanningen kan godt tage et stykke tid, så vær lidt tålmodig. OBS, klik ikke i vinduet imens den scanner, da den så kan fryse. Når den er færdig, så Copy to clipboard, og paste indholdet her ind.

---

Ok HTJ log kommer her, jeg prøver WinpFind så det varer sikkert lidt før jeg kigger ind igen, og så er det ikke helt korrekt, som jeg skrev før Spybot S&D fandt en registreringsdatabase ændring: Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: Indstillinger (Registreringsdatabaseændring, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
HTJ log her:

Der er redigeret lidt, mit navn er erstattet af xxx xxxxxxxx

---

Nu er WindPFind færdig med at tygge sig gennem min maskine:

---

Der var ikke noget at komme efter, på nær lidt rester af Zonealarm. Det kan du lige slette, og det skal gøres i fejlsikret.


Gå i Start/Kør og Skriv: services.msc Find så denne tjeneste "TrueVector Internet Monitor". Dobbeltklik på den. Under "Tjenestestatus" klikker du "STOP", under "Starttype" vælger du "DEAKTIVERET".


Slet denne mappe, og disse filer i fejlsikret tilstand:

C:\WINDOWS\system32\ZoneLabs

C:\WINDOWS\system32\vsconfig.xml

C:\WINDOWS\system32\zllictbl.dat

---------------------------------------------------------------

Lad os så lige tage et tjek for evt rootkits:


Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer111beta.zip

Kør programmet, i fanebladet "Rootkit" klik på "Scan". Når scanningen er færdig, skal du klikke på "Copy". Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v

--------------------------------

Hent Blacklight her https://europe.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik "iaccept". På næste side kan du downloade Blacklight til skrivebordet (tag den øverste). Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind. Du skal ikke lade Blacklight fjerne noget endnu.

---

Hej stl_s og tusind mange tak for at du gider hjælpe, gmer scanner i øjeblikket, loggen følger om lidt, det er godt nok mystisk hvad der foregår. Hos Spywarefri skrev de at man skulle afinstalere Bullguard, og fjerne rester med en reg cleaner, det slap jeg meget nemmere om ved, da jeg afinstalerede blev jeg spurgt om jeg ville gemme instillinger til en geninstalation, det sagde jeg ja til, var det forkert ? Bullguard fungerer tilsyneladende som den skal, den registrerer når der kommer angreb på computeren, ca hver anden time angriber den samme IP adresse, er det en

---

Det tager sin tid med den scanning, i mellemtiden kan jeg oplyse at ZoneAlarm altså er instaleret på computeren, til reserve, jeg havde den tændt mens Bullguard ikke virkede, og jeg chattede med Bianca (engelsk supporter) på mit bedste skole engelsk

---

Der er måske en forklaring på at du slap nemmere om ved det, og det er at du sikkert slet ikke har været ramt af den der grimmert. Det er slet ikke utænkeligt at Bullguard og Zonealarm er "ramlet sammen" under opstarten, og har lavet al balladen. Zonealarms service kører også, selv om firewallen er lukket ned, så det er absolut muligt de har konfliktet ved boot. Det er slet ikke nogen god ide at have to firewalls på maskinen. I nogle tilfælde kan det faktisk gå temmelig galt. Jeg syntes at du skulle afinstallere Zonealarm, og hvis du så skulle få behov for at lukke for Bullguard kortvarigt, kan du bruge XP2 firewallen. Det kan godt gå an.

Alle firewalls vil opfange ting fra nettet, og det er ikke altid hackere der er på spil, så hvad der er for en ip er ikke til at vide.

---

Nu har de 2 været på computeren siden november 05 da jeg købte Bullguard, uden problemer, og det var ikke i forbindelse med start, at Bullguard forsvandt, jeg husker med sikkerhed at der kom en advarsel om at nogen scanner mine porte, det var senere på formiddagen at jeg opdagede at ikonen manglede ved uret, og hvad mener du om meddelelsen om at programmet som genvejen henviser til ikke kan findes, da jeg ville åbne Bullguard fra Start-Alle programmer ?
ZoneAlarm starter ikke sammen med Windows, men jeg vil følge dit råd og bruge Windows firewall, når og hvis der er problemer med Bullguard.
Det er dog en frygtelig lang tid gmer bruger for at scanne, og jeg skal hen og hente ny hundehvalp om formiddagen, men nu gør jeg dem færdig og sender loggen men så sker der heller ikke mere i dag/nat

---

Hmm, når der ikke var noget for enden af genvejen, ja så har Bullguard været slettet. Den infektion er godt nok mystisk .

Jeg går i seng nu, og ser på de nye logs i morgen, måske først eftermiddag.

---

Log fra gmer:

Og fra Blacklight:

---

Ingen rootkits.

---

stl_s>Det kunne muligvis være det sidste nye sikkerheds hul som spøger/udnyttes,det blev offentlig gjort dagen efter
de sidst udgivne hoffix'es(zero day exployt)>
Microsoft Security Advisory (926043)
Vulnerability in Windows Shell Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/926043.mspx
Jeg valgte selv den midleger tidige løsning under>

Suggested Actions>
Temporarily prevent the Microsoft WebViewFolderIcon ActiveX control from running in Internet Explorer>>>



Temporarily prevent the Microsoft WebViewFolderIcon ActiveX control from running in Internet Explorer

You can disable attempts to instantiate this ActiveX control in Internet Explorer by setting the kill bit for the control in the registry.

Warning If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.

For detailed steps that you can use to prevent a control from running in Internet Explorer, see Microsoft Knowledge Base Article 240797. Follow these steps in this article to create a Compatibility Flags value in the registry to prevent a COM object from being instantiated in Internet Explorer.

To set the kill bit for a CLSID with a value of {e5df9d10-3b52-11d1-83e8-00a0c90dc849}, paste the following text in a text editor such as Notepad. Then, save the file by using the .reg file name extension.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e5df9d10-3b52-11d1-83e8-00a0c90dc849}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{844F4806-E8A8-11d2-9652-00C04FC30871}]
"Compatibility Flags"=dword:00000400

You can apply this .reg file to individual systems by double-clicking it. You can also apply it across domains by using Group Policy. For more information about Group Policy, visit the following Microsoft Web sites.

Det er det mindst besværlige midlertidige fix,indtil
Microblød udgiver de næste Hotfix'es(10/10/06)


Published: September 28, 2006
Exploytet er offentligt på nettet.

Manse9933

---

Det ser ud til at Spywarefri mener at det var SAS som var problemet http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=30453

Havde du den på maskinen da det skete ?

---

Jeg har ingen problemer,det var bare en kommentar til det omsig gribende problem du har omtalt i dit tip og her i tråden,angåede trussel på nettet/nedlæggelse af diverse sikkerheds programmer.
Det er måske ikke mit indlæg du kommenterer?
Manse9933

---

Hej Manse.

Lidt pinligt, jeg så ikke det var dig der havde skrevet .

Men ellers var det bare info .

---

Ja jer har SuperAntiSpyware Pro og har haft den siden 23. marst 06, den opdaterer selv, men jeg kørte igen scanninger eller manuelle opdateringer omkring det tidspunkt hvor Bullguard forsvandt, det er træls hvis det er den der er skyld i problemerne, jeg har før haft problemer med den, men jeg kan forstå at de nu har fået fat i en dansk Windows XP, det lyder rart at problemet er løst, jeg er ærlig talt lidt nervøs for at gå i netbanken og købe med dankort, når der er mulige infektioner på computeren

---

Ja, det er noget mystisk noget, men det gode er, at der ikke er det mindste tegn på infektioner på maskinen, så du kan være helt rolig

---

Tak for svaret stl_s. Godt at problemet blev løst og igen mange tak fordi du brugte megen tid på mig

---

Velbekomme o.v.n , og tak for point

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.