---

Hej derude

Har tidligere haft følgende problem, hvilket jeg dengang (for små to uger
siden) afhjalp med en reformatering.

Problemet består i, at et eller andet program går ind og ændre noget der pt.
er udefineret. Jeg gætter på det udelukkende er i reg.basen, men ikke
sikker.

Resultatet er, at jeg ikke kan åbne .exe filer og links mv. og proceslinien
er blank. Opstart foregår nu bemærkelsesværdigt hurtigere - noget læses slet
ikke ind - er jeg bange for.

Jeg har firewall (Zonealarm Pro) og AVG Antivirus, Ad-Aware samt ad-watch
installeret på dyret.

Jeg tjekkede for kort tid siden puteren for antivirus samt spyware ved brug
af Spybot S&D samt en online scanner jeg altib benytter mig af. "Tillykke -
ingen bots fundet" og ingen vira.

Netop Ad-watch fremkommer inden problemet begynder og lader mig fortælle at
et program forsøger at ændre "noget" i reg.databasen. "Noget" vil ændre data
her:

HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command

til regedit.exe %1, hvilket virker harmløst, da det er default.

Men - så sker det. Det går helt galt.

Jeg har tidligere forsøgt med xp_exe_fix og et andet lignende lille program.
Hjalp på links, men ikke på .exe og proceslinien.

Det endte således med sidst, at jeg formaterede puteren. Men altså - uden
helt. Det sker i hvert fald igen.

Er der nogen derude der har så meget indsigt, at de måske kan assistere med
at få belyst mit problem og evt. få det løst?

Vh Cifly

---

Det er iøvrigt også værd at nævne, at jeg forsøgte en systemgendannelse
inden jeg formaterede sidst.

Det resulterede i, at Ad-Watch kom med samme spørgsmål (om jeg ville
aktivere eller blokere) ændringen, hvilket jeg denne gang svarede "Bloker"
til. Men det samme skete og jeg formaterede så altså dyret.

---

Cifly skrev blandt andet:


> Netop Ad-watch fremkommer inden problemet begynder og lader mig
> fortælle at et program forsøger at ændre "noget" i reg.databasen.
> "Noget" vil ændre data her:
>
> HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command
> til regedit.exe %1, hvilket virker harmløst, da det er default.

Ikke hos mig, hvor værdien er: "%1" /S
- og du forbyder vel at "noget" ændrer i din reg.datebase?

--
vh
Ole C

---

On Sun, 4 Dec 2005 14:03:18 +0100, "Cifly"
<flygenring@SLETpostkasse.net> wrote:

> "Noget" vil ændre data her:
>
> HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command
>
> til regedit.exe %1, hvilket virker harmløst, da det er default.

Nej, det er ikke harmløst.

"Noget" ændrer det sådan, at screen savers (.scr) køres via regedit.
Hvis "noget" samtidig har foræret dig en "screen saver", der slet ikke
er en screen saver, men i stedet et regedit-script, der ødelægger alt
muligt, tja så har du selv bedt om problemet, da du trykkede ja.

Hvad tror du, der sker når 'screen saveren' starter?

-A

---

---
Ole C skrev:
---

>> HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command
>> til regedit.exe %1, hvilket virker harmløst, da det er default.
>
> Ikke hos mig, hvor værdien er: "%1" /S
> - og du forbyder vel at "noget" ændrer i din reg.datebase?

Nej. Forbød det netop ikke, efter jeg havde søgt på nettet og noteret mig,
at regedit.exe %1 .... skulle være default værdien. Blandt andet i en
artikel på hardwareonline.

Da jeg forbød den sidst, fremkom et ton af reg.ændringsanmdninger, så denne
gang forsøgte jeg noget andet.

---
Asbjorn Hojmark skrev:
---

> Nej, det er ikke harmløst.
>
> "Noget" ændrer det sådan, at screen savers (.scr) køres via regedit.
> Hvis "noget" samtidig har foræret dig en "screen saver", der slet ikke
> er en screen saver, men i stedet et regedit-script, der ødelægger alt
> muligt, tja så har du selv bedt om problemet, da du trykkede ja.
>
> Hvad tror du, der sker når 'screen saveren' starter?

Den er jeg ikke helt med på. Jeg har ikke downloadet hverken reklamesoftware
eller andet, der "forærer" mig en screensaver. Og jeg er skråsikker på, at
jeg heller ikke er "kommet til det" via et skummelt program! eller en
manipuleret meddelelse på nettet, hvor fx JA og NEJ knappen er byttet rundt.

Og med sidstnævnte spørgsmål formoder jeg, at du refererer til den
screensaver der potentielt kunne være blevet foræret mig - eller er det en
hvilken som helst?

---

On Sun, 4 Dec 2005 15:26:59 +0100, "Cifly"
<flygenring@SLETpostkasse.net> wrote:

> Den er jeg ikke helt med på. Jeg har ikke downloadet hverken reklamesoftware
> eller andet, der "forærer" mig en screensaver. Og jeg er skråsikker på, at
> jeg heller ikke er "kommet til det" via et skummelt program!

Nå, hvad var det så, der ville ændre din registreringsdatabase?

> Og med sidstnævnte spørgsmål formoder jeg, at du refererer til den
> screensaver der potentielt kunne være blevet foræret mig - eller er det en
> hvilken som helst?

En hvilken som helst screen saver (*.scr) vil faktisk blive afviklet
med regedit, men regedit plejer SVJH at spørge, om man nu også er
sikker på, man vil tilføje indholder til registreringsdatabasen. Hvis
der ikke er en valid header, burde filen desuden bliver afvist.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark skrev .bl.a.:

>> Den er jeg ikke helt med på. Jeg har ikke downloadet hverken
>> reklamesoftware
>> eller andet, der "forærer" mig en screensaver. Og jeg er skråsikker på,
>> at
>> jeg heller ikke er "kommet til det" via et skummelt program!
>
> Nå, hvad var det så, der ville ændre din registreringsdatabase?

Det er netop det jeg ikke ved. Noget må være sluppet igennem; vira eller
spyware. Jeg har ingen anelse om hvad det er. Men på en eller anden vis er
det nu sket for anden gang, så jeg ville blive kæmpe glad for at finde ud
af, hvad jeg næste gang skal holde med eller ...... gøre noget ved!

---

Cifly skrev blandt andet:

> Nej. Forbød det netop ikke, efter jeg havde søgt på nettet og noteret
> mig, at regedit.exe %1 .... skulle være default værdien.

Hvis du på Google søger på linien
HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command
så får du en masse viden om orme etc. der vil ændre den rigtige værdi - som
ovenfor "%1" /S - til forskellige andre falske værdier.

> Da jeg forbød den sidst, fremkom et ton af reg.ændringsanmodninger, så
> denne gang forsøgte jeg noget andet.

Ja, - den slags utøj giver ikke op så let.
Men jeg forstår slet ikke hvorfor du overhovedet går ind på at forholde dig
til "noget" som uventet dukker op ønsker at ændre på din maskine. Ad-watch
alarmerede dig netop fordi der var ved at ske noget uønsket, så det skal
naturligvis afvises - lige som alle de andre uønskede anmodninger om at få
lov til at pille i din reg.database.
--
vh
Ole C

---

Ole C skrev bl.a.:

> Hvis du på Google søger på linien
> HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command
> så får du en masse viden om orme etc. der vil ændre den rigtige værdi -
> som ovenfor "%1" /S - til forskellige andre falske værdier.

Det er rigtigt. Men på de sider jeg besøgte om lige netop det, fulgte
beskrivelser af hvilke filer disse trojan horses ville efterlade på HDD. Så
jeg søgte og fandt ingen, så (muligvis naivt) regnede jeg ikke med de var
der.

Søger jeg nu, er der fortsat ingen af disse filer på min puter.

> Men jeg forstår slet ikke hvorfor du overhovedet går ind på at forholde
> dig til "noget" som uventet dukker op ønsker at ændre på din maskine.
> Ad-watch alarmerede dig netop fordi der var ved at ske noget uønsket, så
> det skal naturligvis afvises - lige som alle de andre uønskede anmodninger
> om at få lov til at pille i din reg.database.

Sikkerheden på min pc, er af fri vilje sat meget restriktivt. Dvs. intet får
lov at køre, med mindre jeg accepterer det. Således vil spil, programmer
eller andet der helt legalt forsøger at ligge id filer mv. i reg.databasen
heller ikke få lov og jeg vil dermed slet ikke kunne køre noget programmel
whatsoever.

Så jeg har valgt at køre meget aggressivt på bekostning af
brugervenligheden, hvilket har virket fint de sidste 7 år: har aldrig i den
tid haft en alvorlig virus og blot en håndfuld af trojans.

Derfor tror jeg egentlig heller ikke at det denne gang er et malware - men
hvad det så skulle være - ved jeg netop ikke. Og det p..... mig af!

---

Hej igen.

Efter hårdt arbejde er solen endelig stået op:

Det drejer sig om viraen "Java.ByteVerify!exploit" og "Java.Shinwow.AZ", der
laver rod i reg.basen mm.

Af en eller anden sindsygt irriterende årsag, opdager min virusscanner ikke
denne virus, men det gjorde en online scanner jeg ikke tidligere har
benyttet. Først herefter, opdager min egen scanner Byte virusset.

Og det er jo latterligt nemt at fjerne, så det er gjort. Men så opstod der
problemer, idet Ad Watch er sat til (af en enden irriterende årsag)
automatisk at vurdere reg. ændringer. Så efter gendannelse, starter ad watch
op som normalt, og accepterer alle de ændringer i basen, som jo netop ikke
skulle ændres.

Det klarede jeg ved at afinstallere ad watch, foretage gendannelse igen -
vupti - så var den der.

Men hold da op noget rod!

Jeg må have besøgt den samme side, eller en anden malicious side, der leger
med dette virus, flere gange.

Nu kører det!

Jeg takker meget for jeres engagement, og håber dette kan være til hjælp for
andre i fremtiden.

Vh Cifly

---

Cifly wrote:
> Det drejer sig om viraen "Java.ByteVerify!exploit" og "Java.Shinwow.AZ", der
> laver rod i reg.basen mm.

Java.ByteVerify!exploit udnytter en 2 år gammel sikkerhedsfejl:

   Microsoft Security Bulletin MS03-011
   Flaw in Microsoft VM Could Enable System Compromise (816093)

   Originally posted: April 09, 2003
   Updated: April 13, 2003

Enten har du ikke patchet i lang tid eller så har ByteVerify!exploit
sneget sig ind før du nåede at patche i april 2003, og har dermed siddet
gemt på dit system i 2 år. Jeg ved faktisk ikke hvad der er værst.

Jeg ville blive dybt chokeret hvis du ikke har alt muligt andet malware
på dit system, som din scanner heller ikke kan finde.

[..]
> Det klarede jeg ved at afinstallere ad watch, foretage gendannelse igen -
> vupti - så var den der.
>
> Men hold da op noget rod!

Du har jo selv taget beslutningen om at blive ramt, uanset om du ved det
eller ej. Tag og lær lidt nu du har muligheden:

   http://sikkerhed-faq.dk/


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst skrev bl.a.:

> Java.ByteVerify!exploit udnytter en 2 år gammel sikkerhedsfejl:
>
> Microsoft Security Bulletin MS03-011
> Flaw in Microsoft VM Could Enable System Compromise (816093)
>
> Originally posted: April 09, 2003
> Updated: April 13, 2003
>
> Enten har du ikke patchet i lang tid eller så har ByteVerify!exploit
> sneget sig ind før du nåede at patche i april 2003, og har dermed siddet
> gemt på dit system i 2 år. Jeg ved faktisk ikke hvad der er værst.

En opdatering af Java Plug-in (min edition: 1.4.2_04 og 04_b05) ,
Windows/Office Update (min edition: SP 2/SP 3) og IE (min edition: 6.0.2900
SP2), daglig opdatering af AVG Antivirus og samtlige andre
sikkerhedsforanstaltninger på dyret og selvfølgelig almindelig sund IT
fornuft, burde da være nok. (Men det var det ikke!)

Ovenstående editions var fungerende da Byte.... ramte mit system.

> Jeg ville blive dybt chokeret hvis du ikke har alt muligt andet malware på
> dit system, som din scanner heller ikke kan finde.

I henhold til følgende online scannere:

Virusskannere
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx og
http://www.pandasoftware.com/products/activescan.htm
http://security.symantec.com/sscv6/vc_scan.asp?langid=ie&venid=sym&plfid=23&pkj=NIZIAZIGAKIYLPMJSSN
http://www.bitdefender.com/scan8/

Sikkerhedstests
http://security.symantec.com/sscv6/sc_scan.asp?sc_prescan=1&ax=1&scanstate=2&langid=ie&venid=sym&plfid=23&pkj=NIZIAZIGAKIYLPMJSSN
http://onlinecheck.emsisoft.com/en/Default.aspx

Spyware
http://www.spywareguide.com/onlinescan.php
http://www.zonelabs.com/store/content/promotions/spywarescanner/scanner.jsp

Samt mine interne scannere
AVG Antivirus Free Edition
Zonealarm Pro
Spybot S&D
Ad-Aware/Ad Watch.

Er der ingen bots, vira eller andet malware på min pc. Det har der stort set
ikke været i de 7 år jeg har kørt over nettet.

Iøvrigt er det her http://www.poppet.dk/virus.htm og det her
https://www.cert.dk og selvfølgelig her
http://it-borgerportalen.dk/portal/page?_pageid=34,377161&_dad=portal&_schema=PORTAL
gode sites med info om malware på pc'eren, nyheder etc.

> Du har jo selv taget beslutningen om at blive ramt, uanset om du ved det
> eller ej. Tag og lær lidt nu du har muligheden:
>
> http://sikkerhed-faq.dk/

Jeg er ikke helt med på hvad du mener; at jeg selv har valgt det?

---

Cifly wrote:
>> Enten har du ikke patchet i lang tid eller så har ByteVerify!exploit
>> sneget sig ind før du nåede at patche i april 2003, og har dermed siddet
>> gemt på dit system i 2 år. Jeg ved faktisk ikke hvad der er værst.
>
> En opdatering af Java Plug-in (min edition: 1.4.2_04 og 04_b05) ,

Microsofts VM har intet med Suns Java plug-in at gøre.

>> Jeg ville blive dybt chokeret hvis du ikke har alt muligt andet malware på
>> dit system, som din scanner heller ikke kan finde.
>
> I henhold til følgende online scannere:
[..snip en millard forskellige scannere..]

Når du paster den slags bliver jeg bange.

Jeg får indtrykket af, at du ikke ved, at malware kan manipulere med dit
OS, din scanner og alt andet det har lyst til. Når først malware har
været aktivt på dit system, kan du ikke længere stole på, at dit system
virker som du forventer det.

Jeg tror sagen med Sony BMGs rootkit har overbevist mange af de
økonomisk interesserede malwareforfattere om, at rootkit-agtigt
funktionalitet er vejen frem for at overleve så lang tid som muligt på
en PC.

>> Du har jo selv taget beslutningen om at blive ramt, uanset om du ved det
>> eller ej. Tag og lær lidt nu du har muligheden:
>>
>> http://sikkerhed-faq.dk/
>
> Jeg er ikke helt med på hvad du mener; at jeg selv har valgt det?

Jeg tror din maskine er/har været upatchet mod kendte sikkerhedsfejl
længe nok til at det ByteVerify-relaterede malware kunne slippe ind.

Måske du har geninstalleret din maskine og ikke patchet den før du
koblede den til nettet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst skrev bl.a.:

> Microsofts VM har intet med Suns Java plug-in at gøre.

Korrekt. Men jeg kører ikke med VM men med SJ.

> [..snip en millard forskellige scannere..]
>
> Når du paster den slags bliver jeg bange.

Hehe - det skal du ikke blive. Nogle scannere finder ofte flere eller færre
filer end andre, alt afhængig af virksomhedens mål og fokus. Derfor bruger
jeg ofte flere, bare for at være sikker. Gider ikke det der med virus og
andet crab.

> Jeg får indtrykket af, at du ikke ved, at malware kan manipulere med dit
> OS, din scanner og alt andet det har lyst til. Når først malware har været
> aktivt på dit system, kan du ikke længere stole på, at dit system virker
> som du forventer det.

Derfor er det så vigtigt, at sørge for beskyttelse inden det får mulighed
for, at sætte sine små grimme fodspor i systemets jomfruelige kredsløb.

> Jeg tror sagen med Sony BMGs rootkit har overbevist mange af de økonomisk
> interesserede malwareforfattere om, at rootkit-agtigt funktionalitet er
> vejen frem for at overleve så lang tid som muligt på en PC.

Korrekt. Men jeg er overbevist om at det ikke er problemet her.

>> Jeg er ikke helt med på hvad du mener; at jeg selv har valgt det?
>
> Jeg tror din maskine er/har været upatchet mod kendte sikkerhedsfejl længe
> nok til at det ByteVerify-relaterede malware kunne slippe ind.
>
> Måske du har geninstalleret din maskine og ikke patchet den før du koblede
> den til nettet.

Hvis du mener, at maskinen ikke har været opdateret siden september 2003, er
det ikke tilfældet. Automatiske opdateringer sørger netop for, at maskinen
opdateres kontinuerligt. Iøvrigt reformaterede jeg dyret en gang i starten
af 2005, som led i forårsrengøringen

Netkablet ud af maskinen inden reformatering, Win SP2 på cd (ikke hentet fra
nettet), opdateringer til andet sikkerhedssoftware fra cd samt installation
og aktivering af sikkerhedssoftware inden netkablet isættes og aktiveres
igen.

Det må være det alle andre også gør, og den eneste mulighed for at sikre
sig.