Kan dette passe 05-04-04 18:50 : BjarneD 05-04-04 18:54 : tedd 05-04-04 18:54 : tedd 05-04-04 19:03 : 2100 05-04-04 19:07 : BjarneD 05-04-04 19:42 : tedd 05-04-04 19:57 : 2100 05-04-04 20:03 : BjarneD 05-04-04 20:06 : tedd 05-04-04 20:17 : BjarneD 05-04-04 20:56 : 2100 05-04-04 21:03 : BjarneD 05-04-04 22:22 : tedd 05-04-04 22:23 : tedd 06-04-04 21:46 : 2100 06-04-04 22:02 : BjarneD 06-04-04 22:04 : tedd 06-04-04 22:06 : tedd 06-04-04 22:12 : 2100 06-04-04 22:13 : BjarneD 06-04-04 22:14 : tedd 06-04-04 22:15 : 2100 06-04-04 22:17 : BjarneD 06-04-04 22:20 : tedd 06-04-04 22:23 : 2100 06-04-04 22:27 : tedd 06-04-04 22:27 : BjarneD 06-04-04 22:31 : tedd 06-04-04 22:32 : tedd 06-04-04 22:35 : 2100 06-04-04 22:37 : BjarneD 06-04-04 23:04 : tedd 06-04-04 23:14 : BjarneD 07-04-04 12:06 : 2100 07-04-04 12:18 : tedd 07-04-04 12:24 : 2100 07-04-04 12:28 : 2100 07-04-04 12:32 : 2100 07-04-04 12:40 : tedd 07-04-04 12:44 : 2100 07-04-04 12:46 : tedd 07-04-04 13:42 : 2100 07-04-04 13:58 : BjarneD 07-04-04 14:06 : 2100 07-04-04 14:43 : BjarneD 07-04-04 14:46 : tedd 07-04-04 14:47 : tedd 07-04-04 14:49 : tedd 07-04-04 14:51 : BjarneD 07-04-04 14:54 : 2100 07-04-04 14:57 : 2100 07-04-04 15:02 : BjarneD 07-04-04 15:09 : tedd 07-04-04 22:46 : 2100 07-04-04 22:50 : tedd 07-04-04 22:52 : tedd 07-04-04 22:53 : 2100 07-04-04 22:57 : 2100 07-04-04 23:00 : tedd 07-04-04 23:03 : BjarneD 07-04-04 23:04 : BjarneD 07-04-04 23:06 : 2100 07-04-04 23:08 : 2100 07-04-04 23:11 : BjarneD 07-04-04 23:17 : tedd 07-04-04 23:21 : BjarneD 07-04-04 23:31 : tedd 08-04-04 00:12 : 2100 08-04-04 00:14 : tedd 08-04-04 00:15 : 2100

Kan dette passe Fra : 2100 Vist : 348 gange 100 point Dato : 05-04-04 18:45

Jeg er ved at lave en database med dem som skal fixes fra logen HijackThis. Efter at havde indsamlet mange, kommer mit Norton antivirus med en meddelse "ALARM" adgang nægtet. Kilde: C:\Documents and Settings\Administrator\Application Data\Microsoft\Word\~WRD3469.tmp Trussel: Bloodhound.Exploit.6 Advarsel passer på dette document som jeg sidder og arbejder med. Vil det sige at jeg selv indfører virus på min PCer ved at lave dette. ???????????????

Kommentar Fra : BjarneD Dato : 05-04-04 18:50

Nej, men det kan være at type og indhold får Norton til at tro at det er noget skidt.

Kommentar Fra : tedd Dato : 05-04-04 18:54

Prøv at gå ind på windows update of office update! Opdater med de seneste sikkerheds patches!

Kommentar Fra : tedd Dato : 05-04-04 18:54

of = og

Kommentar Fra : 2100 Dato : 05-04-04 19:03

Har lige prøvet tedd kommentat. Windows Update: Der er ingen vigtige opdateringer i øjeblikket. Dine Office-programmer behøver ingen opdateringer.

Kommentar Fra : BjarneD Dato : 05-04-04 19:07

Det er tydeligvis din autogem fra Word der er identificeret som noget skidt så med mindre du ved hvordan man laver virus så er det bare fordi der er et fragment af filen, der identificeres selv om det ikke er skadeligt. Det er slet ikke unormalt når man håndterer navne på den måde du gør.

Kommentar Fra : tedd Dato : 05-04-04 19:42

http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html By embedding a specially crafted URL in a Web page and having that URL refer to a CHM file containing an HTML file with scripts in it, an attacker could force the user who views the Web page with a vulnerable version of Internet Explorer to download and execute files. Det er det her Norton reagerer på!

Kommentar Fra : 2100 Dato : 05-04-04 19:57

tedd: prøv lige at oversætte som du forstår dette. Jeg forstår det sådan at der ligger en exe.fil i scripts

Kommentar Fra : BjarneD Dato : 05-04-04 20:03

Det er bare fra en søgning hos Symantec på filnavnet, og det kan man ikke regne med i dette tilfælde. Jeg har utallige gange oplevet at noget bliver erklæret for virus, trojan eller malware selv om det er noget jeg selv har lavet og det er fordi en virusscanner jo bare er fodret med nogle oplysninger, m en den har jo ingen intelligens og kan ikke skelne oplysninger fra hinanden. F. eks. vil en heuristic scan netop gå efter ting der normalt kan genkendes som malware/virus, men man skal selv vurdere før man sletter hvilket da også er årsagen til at man kan vælge at anbringe filen et sikkert sted indtil man har fået opklaret hvad det er.

Kommentar Fra : tedd Dato : 05-04-04 20:06

Bruger du henvisning til et eller andet sted på internettet i det dokument? Tror heller ikke det er det store Bjarne, sandsynligvis en falsk virus advarsel!

Kommentar Fra : BjarneD Dato : 05-04-04 20:17

Tedd>>Ja det er jo det jeg mener da der jo er en sammenhæng mellem den liste der er ved at blive lavet og advarslen.Det kan nemt tænkes, at hijackthis er brugt til at fjerne en backdoor og det er så det navn der kommer frem. Backdooor/trojan er jo ikke altid virus, men bare et smart program der åbner porte og hvis man bruger et ikke særligt kendt filtransmissions program kan man også komme ud for at dette kaldes backdoor fordi det netop arbejder på samme måde, men her er det bare under brugerens kontrol.

Kommentar Fra : 2100 Dato : 05-04-04 20:56

Tedd: Nej jeg bruger ikke dokumentet til henvisning på nettet, bruger det kun til at tjekke log med for at se om der er noget som man selv kan fjerne her og nu.

Kommentar Fra : BjarneD Dato : 05-04-04 21:03

Det er nu nok også bare det at navnet identificeres i en tmp fil der er problemet. Den har jo ikke registreret det i den fil du rent faktisk arbejder med så det er nok kombinationen af navnet på backdoor'en og tmt extension der fremkalder advarslen. Du kan jo prøve at slette tmp filen efter at have lagret din arbejdsfil normalt og så lave en skanning.

Kommentar Fra : tedd Dato : 05-04-04 22:22

Nej ikke en exe Bjarne! Det er noget som Norton tolker som en URL til en kendt bagdør, altså en internet adresse! Nåhh! Nu ved jeg det! Det er en URL fra hijackit loggen Norton reagerer på! Bare rolig du har ingen backdoor! Jep! Det er en url!

Kommentar Fra : tedd Dato : 05-04-04 22:23

Slå heuristic virusscan fra, så får du adgang!

Kommentar Fra : 2100 Dato : 06-04-04 21:46

Bloodhound.Exploit.6 er der nogen som ved hvor denne bliver lagt i en HijackThis log og hvad den måske kalder sig. Vil havde den ud af min database, da denne generer mig meget.

Kommentar Fra : BjarneD Dato : 06-04-04 22:02

Hvis du ikke kan åbne databasen kunne du jo lige logge af nettet og lukke din virusscanner ned eller gør det i fejlsikret. Det lyder godt nok utroligt at en logfil kan drille så meget, men du må have meget høj sikkerhed på.

Kommentar Fra : tedd Dato : 06-04-04 22:04

Der bliver ikke lagt bloodhound ind i din hijack log! Men der ligger et www eller http link i loggen, som Norton tolker som et link til bloodhound! Derfor får du advarslen! Norton skriver jo osse Trussel!!

Kommentar Fra : tedd Dato : 06-04-04 22:06

En log fil er ikke eksekverbar, så du vil under ingen omstændigheder kunne få virus eller trojans fra en logfil!

Kommentar Fra : 2100 Dato : 06-04-04 22:12

Tror heller ikke at jeg har virus, men selve strengen generer mig så meget at Norton blokerer mig for at komme ind i databasen. Jeg har fundet en bagvej til at lukke databasen op i en anden program, men så er det lige hvilken streng jeg skal slette for at Norton tror den er væk.

Kommentar Fra : BjarneD Dato : 06-04-04 22:13

søg i databasen

Kommentar Fra : tedd Dato : 06-04-04 22:14

Tja du kan jo osse slå norton fra mens du arbejder med filen!

Kommentar Fra : 2100 Dato : 06-04-04 22:15

Bjarne D: ja det er jo også det jeg vil, men kender jo ikke navnet du den streng som skal slettes.

Kommentar Fra : BjarneD Dato : 06-04-04 22:17

du kunne jo søge på bloodhound eller lignende

Kommentar Fra : tedd Dato : 06-04-04 22:20

Nej men nu er det jo en url! Så mange henvisninger til en webside kan der vel heller ikke ligge i en hijack log!

Kommentar Fra : 2100 Dato : 06-04-04 22:23

tedd: jeg har over 600 henvisninger wedsider i databasen, bare jeg kunne huske hvilken der er kommet sidst ind, men det kan jeg ikke.

Kommentar Fra : tedd Dato : 06-04-04 22:27

Hvis din komputer ellers er renset og du ikke sidder og downloader snavs fra internettet mens du laver din database, så sker der jo ikke noget ved at slå Norton fra mens du arbejder med hijack logs! Så er du jo ude over problemet! Du kan osse slå heurisks virusscan fra i Norton!

Kommentar Fra : BjarneD Dato : 06-04-04 22:27

Det der med url har du da kun fra beskrivelse af den backdoor, Tedd, eller..?

Kommentar Fra : tedd Dato : 06-04-04 22:31

Næh det har jeg fra det link jeg skrev tidligere i dette spørgsmål! Citat The vulnerabilty results from the incorrect handling of HTML files embedded in CHM files. (CHM is the Microsoft-compiled HTML help format.) Men måske har jeg misforstået det!

Kommentar Fra : tedd Dato : 06-04-04 22:32

Gentager lige : http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit .6.html By embedding a specially crafted URL in a Web page and having that URL refer to a CHM file containing an HTML file with scripts in it, an attacker could force the user who views the Web page with a vulnerable version of Internet Explorer to download and execute files. Det er det her Norton reagerer på!

Kommentar Fra : 2100 Dato : 06-04-04 22:35

Måske jeg skulle prøve om jeg kan gøre alle URL Deaktive, men et stort stykke arbejde hvis man skal gøre det ved hvert enkelt.

Kommentar Fra : BjarneD Dato : 06-04-04 22:37

Ja Tedd, men hvis den bare tror at der er noget fordi navnet er indeholdt i log informationen, hvilket ikke er usandsynligt da en simpel backdoor jo ikke har den komplicerede opsætning som virus har.

Kommentar Fra : tedd Dato : 06-04-04 23:04

Jeg kunne forestille mig at norton reagerer på en henvisning til en hjemmeside! Denne hjemmeside indeholder så en exploit (bloodhound) som bliver en trussel hvis man ikke har opdateret sit system! Hijackit loggen indeholder denne henvisning, som sandsynligvis er noget hijackit mener der skal fjernes!

Kommentar Fra : BjarneD Dato : 06-04-04 23:14

Hmm

Kommentar Fra : 2100 Dato : 07-04-04 12:06

Nu har jeg snart prøvet alt, men ingen ting hjælper. Jeg har prøvet at deaktiverer Norton Auto-Protect, ligeledes har jeg i Norton Auto-Protect undtagelsesliste indskrevet stien hvor databasen ligger. Men hver gang kommer Norton og nægter mig adgang vedr. denne virus som omtalt. Det er Norton Internet Security 2004 som jeg bruger.

Kommentar Fra : tedd Dato : 07-04-04 12:18

Har du prøvet at disable scriptblocking i Norton?

Kommentar Fra : 2100 Dato : 07-04-04 12:24

tedd. har lige prøvet dette også, nægtet adgang.

Kommentar Fra : 2100 Dato : 07-04-04 12:28

Hvis jeg indlæser filen i WordPad får jeg adgang, kunne jo skylles at Norton ikke scanner WordPad som den gør med Word. Men hvordan slår jeg så scanning på Word fra.

Kommentar Fra : 2100 Dato : 07-04-04 12:32

tedd. du har ret i at det er en URL i databasen som Norton tror er virus.

Kommentar Fra : tedd Dato : 07-04-04 12:40

Godt hvilken url forøvrigt? bare skriv adressen uden http eller www

Kommentar Fra : 2100 Dato : 07-04-04 12:44

tedd. selve adressen kender jeg ikke endnu, da jeg har taget alle 588 adresser ud med URL, for at se om det var der den var, og det er dette. Så det er noget træls noget at lige finde den ene som det er.

Kommentar Fra : tedd Dato : 07-04-04 12:46

Ok kan jeg godt forstå

Kommentar Fra : 2100 Dato : 07-04-04 13:42

Fandt denne. O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!xxxx//209.8.161.56/buka.chm::/hz.exe Så er spørgsmålet, hvordan kommer jeg ind i min database og får denne fjernet.

Kommentar Fra : BjarneD Dato : 07-04-04 13:58

Hvordan laver du databasen? Hvis den er opbygget som normal database burde man kunne redigere den enkelte streng.

Kommentar Fra : 2100 Dato : 07-04-04 14:06

BjarneD. Det er rigtig, men jeg bliver jo nægtet adgang til hele databasen, da denne streng stadig ligger der. Så det jeg gør nu er at flytte databasen over på en anden PCer hvor der ikke er Norton på, og gennem denne vej slette strengen, og så lægge den ind igen på sin plads. Lidt træls, men det virker.

Kommentar Fra : BjarneD Dato : 07-04-04 14:43

Ja surt show, men det er da nok en rimelig løsning. Nu må du endelig fortælle hvordan det går for det er da lidt spændende med den slags problemer, ja det kan jeg sagtens sige

Kommentar Fra : tedd Dato : 07-04-04 14:46

WOW bare du søger på google efter hz.exe popper Norton op!!

Kommentar Fra : tedd Dato : 07-04-04 14:47

Men disabler jeg script blocking kan jeg godt søge!!

Kommentar Fra : tedd Dato : 07-04-04 14:49

http://securityresponse.symantec.com/avcenter/venc/data/trojan.bookmarker.f.html

Kommentar Fra : BjarneD Dato : 07-04-04 14:51

Det overrasker ikke mig fordi bagdøre er så simple, at de skal fanges på navnet når de ikke er aktive.

Kommentar Fra : 2100 Dato : 07-04-04 14:54

En ting jeg får lært af dette er. Alle nye strenge med snavs først kommer i mappe for sig selv og derefter scannet, inden de kommer ind i databasen.

Kommentar Fra : 2100 Dato : 07-04-04 14:57

I kan jo prøve om den streng jeg fandt, om også Norton hos jer virker på denne. De 4 xxxx ved i jo hvad det står for samt at der mangler :

Kommentar Fra : BjarneD Dato : 07-04-04 15:02

Jeg har ikke "fornøjelsen" af de der problemer fordi jeg bruger Norman NIC med Sandbox, der virker noget anderledes.

Kommentar Fra : tedd Dato : 07-04-04 15:09

Jep den virker her! behøver faktisk bare at skrive hz.exe som jeg allerede har lagt en kommentar ind om

Kommentar Fra : 2100 Dato : 07-04-04 22:46

Så fik jeg endelig databasen til at køre igen uden brok fra Norton efter at strengen blev fjernet. Så en ting har man da lært, Norton scanner jo ikke mens man sidder og arbejder med databasen eller en dokument. Det er først når man vil åbne dette igen at der bliver scannet, og så er det jo forsendt hvis man har lagt en streng ind, som Norton tror er virus.

Kommentar Fra : tedd Dato : 07-04-04 22:50

Oh!! Du kan vel slå nortons scan af office dokumenter fra?? Det er jo nok der hunden ligger begravet?

Kommentar Fra : tedd Dato : 07-04-04 22:52

Jep du kan fjerne flueben i office plugin! Under miscellaneous!

Kommentar Fra : 2100 Dato : 07-04-04 22:53

tedd. kikker lige

Kommentar Fra : 2100 Dato : 07-04-04 22:57

tedd. hvor finder du lige dette

Kommentar Fra : tedd Dato : 07-04-04 23:00

Jeg har kun NAV. Ved ikke hvor man finder det i Norton security, men der må være en option med office!

Kommentar Fra : BjarneD Dato : 07-04-04 23:03

Det er vist godt man ikke har Norton! Nå men der er da lys forude nu. Så meget for så lidt

Kommentar Fra : BjarneD Dato : 07-04-04 23:04

Hvad med databasen når du er færdig? Var det ikke sjovere med en hjemmeside selv om der vist nok findes noget lignende på engelsk.

Kommentar Fra : 2100 Dato : 07-04-04 23:06

Det er rigtig. Norton er meget god, men den vil bestemme for meget. Nå pyt

Kommentar Fra : 2100 Dato : 07-04-04 23:08

BjarneD. Mener du at lægge den op på en hjemmeside, hvor andre kan havde gavn af denne.

Kommentar Fra : BjarneD Dato : 07-04-04 23:11

Ja, det lyder da nyttigt det du er i gang med. mange af de gode sider med tips og vejledninger er jo startet ved at en eller anden havde noget andre kunne bruge. Hvad mener du Tedd? Det med Norton er rigtigt, men man kan jo ikke få både, og.

Kommentar Fra : tedd Dato : 07-04-04 23:17

Jo men så bliver arlet måske arbejdsløs! Hold da op en lang tråd det her har udviklet sig til

Kommentar Fra : BjarneD Dato : 07-04-04 23:21

Nej, Arlet eller Spywarefri skal nok blive ved med at have rigeligt, men der mangler bare en forklaring når de fixer. Ja jeg ved godt hvad de laver og det er slet ikke så mystisk endda. Det svære er netop, at kende snavset fra det regulære. Arlet sletter mange registreringer der ikke er snavs, men som bare er unødvendige, men det fortæller han ikke

Accepteret svar Fra : tedd Modtaget 100 point Dato : 07-04-04 23:31

Ja det er jo så rigtigt som det er sagt!

Godkendelse af svar Fra : 2100 Dato : 08-04-04 00:12

Tak for svaret tedd.

Kommentar Fra : tedd Dato : 08-04-04 00:14

Det var så lidt! Dejligt når man osse selv lærer noget

Kommentar Fra : 2100 Dato : 08-04-04 00:15

Mit sidste indlæg kom ikke med. Alle svar har været gode, så jeg takker mange gange. En god påske skal lyde herfra.

Du har følgende muligheder

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål. Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.