/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvad er keyhost.exe for noget?
Fra : Erland Stig Bredgaar~


Dato : 04-12-03 00:20

I de seneste dage er jeg blevet hjemsøgt af et lille program, der forsøger
at få internetadgang: keyhost.exe. ZoneAlarm fortæller flg. om tingesten:

http://pralerts.zonelabs.com/pranalyze.jsp?record=ZLN23166631675989-1001/7ceb090f93bb986fb03485&tab=techinfo

Via Regedit i min Win2000 fandt jeg en størrelse, der kalder sig
'Winessential' i
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run - med denne værdi: C:\WINNT\system32\Keyhost.exe

I msconfig ('lånt' fra WinXP) finder jeg en tilsvarende værdi under
'Startup', så programmet bliver startet hver gang Windows genstartes.

Jeg mener ikke, at jeg selv har lagt dette lille program ind - men hvad er
det i det hele taget for noget? Er der en sikkerhedsrisiko? Og hvordan får
jeg det fjernet?

X-FUT: dk.edb.sikkerhed

Mvh. Erland


 
 
n'Design.dk | 2900 (04-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 04-12-03 10:52

Det er spyware
http://forums.spywareinfo.com/index.php?showtopic=18953&hl=keyhost\.exe

du fjerner det sådan
http://ndesign.dk/artik/viewtopic.php?t=16

n'Design.dk
www.ndesign.dk
www.metroekspressen.dk
------------------------
besøg vores antispam, virus og hacker portal på:
www.ndesign.dk/main



On Thu, 4 Dec 2003 00:20:20 +0100, "Erland Stig Bredgaard"
<nospam@erlands.dk> wrote:

>I de seneste dage er jeg blevet hjemsøgt af et lille program, der forsøger
>at få internetadgang: keyhost.exe. ZoneAlarm fortæller flg. om tingesten:
>
>http://pralerts.zonelabs.com/pranalyze.jsp?record=ZLN23166631675989-1001/7ceb090f93bb986fb03485&tab=techinfo
>
>Via Regedit i min Win2000 fandt jeg en størrelse, der kalder sig
>'Winessential' i
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
>CurrentVersion\Run - med denne værdi: C:\WINNT\system32\Keyhost.exe
>
>I msconfig ('lånt' fra WinXP) finder jeg en tilsvarende værdi under
>'Startup', så programmet bliver startet hver gang Windows genstartes.
>
>Jeg mener ikke, at jeg selv har lagt dette lille program ind - men hvad er
>det i det hele taget for noget? Er der en sikkerhedsrisiko? Og hvordan får
>jeg det fjernet?
>
>X-FUT: dk.edb.sikkerhed
>
>Mvh. Erland


Christian Andersen (04-12-2003)
Kommentar
Fra : Christian Andersen


Dato : 04-12-03 11:31

n'Design.dk | 2900 wrote:

<snip>

Vær venlig at beskære dine citater og skriv under det citerede, det gør
det nemmere for os alle sammen.

http://www.usenet.dk/netikette/citatteknik.html

FUT: dk.admin.netikette (det betyder at eventuelle svar på dette indlæg
kommer i den gruppe og ikke kan ses her.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Erland Stig Bredgaar~ (04-12-2003)
Kommentar
Fra : Erland Stig Bredgaar~


Dato : 04-12-03 13:23

"n'Design.dk | 2900" skrev

> Det er spyware
> http://forums.spywareinfo.com/index.php?showtopic=18953&hl=keyhost\.exe

Tja, tænkte det nok

> du fjerner det sådan
> http://ndesign.dk/artik/viewtopic.php?t=16

Tak for vejledningen. Men: Hvis du mener, at jeg bare skal køre
Lavasoft Ad-Aware, så er det allerede prøvet - og programmet finder
ikke noget (og jeg har opdateret reference-filen i dag). Lavasoft kender
tilsyneladende ikke dette spyware-program endnu...

Andre forslag til hvordan jeg får skidtet fjernet modtages gerne

Mvh. Erland


n'Design.dk | 2900 (04-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 04-12-03 16:18

On Thu, 4 Dec 2003 13:22:45 +0100, "Erland Stig Bredgaard"
<nospam@erlands.dk> wrote:

>"n'Design.dk | 2900" skrev
>
>> Det er spyware
>> http://forums.spywareinfo.com/index.php?showtopic=18953&hl=keyhost\.exe
>
>Tja, tænkte det nok
>
>> du fjerner det sådan
>> http://ndesign.dk/artik/viewtopic.php?t=16
>
>Tak for vejledningen. Men: Hvis du mener, at jeg bare skal køre
>Lavasoft Ad-Aware, så er det allerede prøvet - og programmet finder
>ikke noget (og jeg har opdateret reference-filen i dag). Lavasoft kender
>tilsyneladende ikke dette spyware-program endnu...
>
>Andre forslag til hvordan jeg får skidtet fjernet modtages gerne
>
>Mvh. Erland

1 - kør en hijackthis
http://mjc1.com/mirror/hjt/



2 - check om det er en virus:
http://ndesign.dk/artik/viewtopic.php?t=23

3 - Pestpatrol skulle fjerne den hvis den er en redirect.exe klon
http://www.pestpatrol.com/Downloads/Eval/DownloadHomeEvalNew.asp




Christian E. Lysel (04-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 04-12-03 19:18

In article <e0kusv8c5svl8du9lbia7bc6ndq9k4ljq3@4ax.com>, n'Design.dk | 2900 wrote:
> 1 - kør en hijackthis
> http://mjc1.com/mirror/hjt/
>
> 2 - check om det er en virus:
> http://ndesign.dk/artik/viewtopic.php?t=23
>
> 3 - Pestpatrol skulle fjerne den hvis den er en redirect.exe klon
> http://www.pestpatrol.com/Downloads/Eval/DownloadHomeEvalNew.asp

Er du på stoffer, eller fatter du ikke de mest trivielle ting?

Hvis en maskine er komprimiteret, kan du ikke stole på noget som
helst, hvis man da ikke har gemt en checksum af hver en fil,
og tester dette fra et sikkert system.

Det generelle råd til folk der har fået deres maskine
komprimiteret, er at reinstallere maskinen, og lære af
sine fejl.

Når man på et eller andet tidspunkt bliver træt af
reinstallationer, kan man fx kikke på ghost eller
ligende produkter.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

n'Design.dk | 2900 (04-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 04-12-03 20:19

On 04 Dec 2003 18:18:17 GMT, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>In article <e0kusv8c5svl8du9lbia7bc6ndq9k4ljq3@4ax.com>, n'Design.dk | 2900 wrote:
>> 1 - kør en hijackthis
>> http://mjc1.com/mirror/hjt/
>>
>> 2 - check om det er en virus:
>> http://ndesign.dk/artik/viewtopic.php?t=23
>>
>> 3 - Pestpatrol skulle fjerne den hvis den er en redirect.exe klon
>> http://www.pestpatrol.com/Downloads/Eval/DownloadHomeEvalNew.asp
>
>Er du på stoffer, eller fatter du ikke de mest trivielle ting?
>
>Hvis en maskine er komprimiteret, kan du ikke stole på noget som
>helst, hvis man da ikke har gemt en checksum af hver en fil,
>og tester dette fra et sikkert system.
>
>Det generelle råd til folk der har fået deres maskine
>komprimiteret, er at reinstallere maskinen, og lære af
>sine fejl.
>
>Når man på et eller andet tidspunkt bliver træt af
>reinstallationer, kan man fx kikke på ghost eller
>ligende produkter.



jow.. antivirussen checker checksummen. Så SPAR mig for den belærende
tone. Jeg kunne godt komme med en længere forklaring, men det ville
denne bruger nok ikke have særligt meget ud af cel?

Det er holdninger som dine der har ladt den alm. bruger stå tilbage i
IT-stenalderne



n'Design.dk
www.ndesign.dk
www.metroekspressen.dk
------------------------
besøg vores antispam, virus og hacker portal på:
www.ndesign.dk/main

Christian E. Lysel (04-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 04-12-03 21:09

In article <232vsvclm8jbc7qvgqknvhukobalij1v0i@4ax.com>, n'Design.dk | 2900 wrote:
> jow.. antivirussen checker checksummen. Så SPAR mig for den belærende
> tone. Jeg kunne godt komme med en længere forklaring, men det ville
> denne bruger nok ikke have særligt meget ud af cel?

Fuck, du fatter ikke en skid.

Hvordan læser antivirus scanneren en fil?

Kan en filsystem-driver være komprimiteret?

Hvordan ser man når en filsystem-driver er komprimiteret?


Hvordan ser en virus scanner forresten på filer gemt i ADS strukturen
på en NTFS partition, hvordan ser adware på den samme struktur?

> Det er holdninger som dine der har ladt den alm. bruger stå tilbage i
> IT-stenalderne

Læs min første linie, jeg gider ikke gentage mig selv.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

n'Design.dk | 2900 (04-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 04-12-03 21:34

On 04 Dec 2003 20:09:15 GMT, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>In article <232vsvclm8jbc7qvgqknvhukobalij1v0i@4ax.com>, n'Design.dk | 2900 wrote:
>> jow.. antivirussen checker checksummen. Så SPAR mig for den belærende
>> tone. Jeg kunne godt komme med en længere forklaring, men det ville
>> denne bruger nok ikke have særligt meget ud af cel?
>
>Fuck, du fatter ikke en skid.
>
>Hvordan læser antivirus scanneren en fil?
>
>Kan en filsystem-driver være komprimiteret?
>
>Hvordan ser man når en filsystem-driver er komprimiteret?
>
>
>Hvordan ser en virus scanner forresten på filer gemt i ADS strukturen
>på en NTFS partition, hvordan ser adware på den samme struktur?

1 - jeg har aldrig sagt at ad-aware er antivirus
2 - jeg henvist til Pestcontorl som SELV HÆVDER DE FJERNER KEYHOST.EXE
OG REDEIECT.EXE - så hvad er der galt i det?
http://www.pestpatrol.com/Downloads/Eval/DownloadHomeEvalNew.asp
3 - Fordi man arbejder hos WMdata, behøver man ikke altid have ret


>
>> Det er holdninger som dine der har ladt den alm. bruger stå tilbage i
>> IT-stenalderne
>
>Læs min første linie, jeg gider ikke gentage mig selv.


Christian E. Lysel (04-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 04-12-03 22:04

In article <p96vsvk9dopu3dqq8p4t3b6s4p2tfimdj6@4ax.com>, n'Design.dk | 2900 wrote:
>>Hvordan ser en virus scanner forresten på filer gemt i ADS strukturen
>>på en NTFS partition, hvordan ser adware på den samme struktur?
>
> 1 - jeg har aldrig sagt at ad-aware er antivirus

Prøv at læse sætningen færdig..."hvordan ser adware på den samme struktur"

> 2 - jeg henvist til Pestcontorl som SELV HÆVDER DE FJERNER KEYHOST.EXE
> OG REDEIECT.EXE - så hvad er der galt i det?

Wow, så må det jo være rigtigt.

Hvad med at tage stilling til mine spørgsmål?

> http://www.pestpatrol.com/Downloads/Eval/DownloadHomeEvalNew.asp
> 3 - Fordi man arbejder hos WMdata, behøver man ikke altid have ret

Arbejder du da hos WM-Data?



Et gratis råd...patch venligst din webserver, den har et
sikkerhedsproblem der har været kendt i "kun" 8 dage.
Endvidere kan det anbefaldes at sætte PHP rigtigt op...måske
du skulle læse en bog om sikkerhed eller gruppens FAQ.

Eller kunne grp.com's scanner ("25 mio. surfere tager ikke fejl", som du
selv skriver) og diverse adware scannere ikke fortælle dig at din
webserver er sat forkert op?


SQL Error : 1064 You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '\\ AND session_id = '0b9e2e0086ce5133a7b8bbe7d44cf45d''

SELECT search_array FROM phpbb_search_results WHERE search_id = 1\\ AND session_id = '0b9e2e0086ce5133a7b8bbe7d44cf45d'

Line : 693
File : /fairhost/metroekspressen/metroekspressen.dk/news/search.php


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

n'Design.dk | 2900 (05-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 05-12-03 07:56

On 04 Dec 2003 21:04:07 GMT, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>In article <p96vsvk9dopu3dqq8p4t3b6s4p2tfimdj6@4ax.com>, n'Design.dk | 2900 wrote:
>>>Hvordan ser en virus scanner forresten på filer gemt i ADS strukturen
>>>på en NTFS partition, hvordan ser adware på den samme struktur?
>>
>> 1 - jeg har aldrig sagt at ad-aware er antivirus
>
>Prøv at læse sætningen færdig..."hvordan ser adware på den samme struktur"
>
>> 2 - jeg henvist til Pestcontorl som SELV HÆVDER DE FJERNER KEYHOST.EXE
>> OG REDEIECT.EXE - så hvad er der galt i det?
>
>Wow, så må det jo være rigtigt.
>
>Hvad med at tage stilling til mine spørgsmål?
>
>> http://www.pestpatrol.com/Downloads/Eval/DownloadHomeEvalNew.asp
>> 3 - Fordi man arbejder hos WMdata, behøver man ikke altid have ret
>
>Arbejder du da hos WM-Data?
>
>
>
>Et gratis råd...patch venligst din webserver, den har et
>sikkerhedsproblem der har været kendt i "kun" 8 dage.
>Endvidere kan det anbefaldes at sætte PHP rigtigt op...måske
>du skulle læse en bog om sikkerhed eller gruppens FAQ.
>
>Eller kunne grp.com's scanner ("25 mio. surfere tager ikke fejl", som du
>selv skriver) og diverse adware scannere ikke fortælle dig at din
>webserver er sat forkert op?
>
>
>SQL Error : 1064 You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '\\ AND session_id = '0b9e2e0086ce5133a7b8bbe7d44cf45d''
>
>SELECT search_array FROM phpbb_search_results WHERE search_id = 1\\ AND session_id = '0b9e2e0086ce5133a7b8bbe7d44cf45d'
>
>Line : 693
>File : /fairhost/metroekspressen/metroekspressen.dk/news/search.php

Det er ikke min server

jeg er ude af denne tråd. Den handlede om keyhost.exe og det svarede
jeg på. At spilde min tid på en pissingmatch med dig tjener ingen
formål for mit vedkommende.


Christian E. Lysel (05-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-03 08:35

In article <fsa0tv4e94l4q26vut2h47kvphukiabf2s@4ax.com>, n'Design.dk | 2900 wrote:
> Det er ikke min server

Det forhindre dig vel ikke i at sætte dit site rigtigt op?

> jeg er ude af denne tråd. Den handlede om keyhost.exe og det svarede
> jeg på. At spilde min tid på en pissingmatch med dig tjener ingen
> formål for mit vedkommende.

Dit svar pissede mig af, fordi du seriøst mener at ad-ware løser
hans problem.

Ingen af os ved hvad der er sket med maskinen.

At sætte et ad-ware produkt til at løse problemmet, når
det ikke tager hånd om mine spørgsmål, er dumt.

Desværrer tror mange at ad-ware produktet løser deres
problem, for den finder og retter jo 200 "fejl".

Hvis angriberen vil kan han/hun nemt skjule sig for
diverse produkter, se blot Alex's link. Brugeren
og diverse scannere vil aldrig kunne finde
angrebet.

En reinstallation kan angriberen ikke overleve.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

n'Design.dk | 2900 (05-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 05-12-03 10:36


>
>Dit svar pissede mig af, fordi du seriøst mener at ad-ware løser
>hans problem.
>
>Ingen af os ved hvad der er sket med maskinen.
>
>At sætte et ad-ware produkt til at løse problemmet, når
>det ikke tager hånd om mine spørgsmål, er dumt.
>
>Desværrer tror mange at ad-ware produktet løser deres
>problem, for den finder og retter jo 200 "fejl".
>
>Hvis angriberen vil kan han/hun nemt skjule sig for
>diverse produkter, se blot Alex's link. Brugeren
>og diverse scannere vil aldrig kunne finde
>angrebet.
>
>En reinstallation kan angriberen ikke overleve.



Nu lukker du du fandeme røven din idiot !!!!!!
Jeg henvist til PESTKONTROL som fjerner problemt.. Læs for helvede
hvad jeg skrive og lad være med at rende rundt med hovedt så langt
oppe i din egen røv, du ikke kan se andet end det lort du selv lukker
ud.

Det er fandeme demotiverende at sidde på nyhedsgrupper og hjælpe folk,
når folk som dig konstant skal piske en stemning op

Hvis det er pissingmatch du vil ha, så smut for fanden over i
"mudderkastnings" gruppen der er oprettet til det samme.

Ikke EN gang taler jeg grimt eller nedladende før denne besked, men du
flipper ud med den ene mere idiodiske konklution efter den anden.

Og gu fanden ved vi hved der er på maskinen. Der er en Redirect.exe
klon ved navn Keyhost.exe - hvorfro ulejliger du dig ikke til at læse
den dokumentation jeg vedhæfter? var der for mange svære lange ord til
du kunne forstå det`?

Hvis du ikke er enig i det jeg skriver, så hjælp dog manden bedre hvis
du tror du kan. Lad dog være med at spilde tiden på om det jeg gør er
rigtigt eller ej.

Brian R. Jensen (05-12-2003)
Kommentar
Fra : Brian R. Jensen


Dato : 05-12-03 11:23


"n'Design.dk | 2900" <ng@-remove-ndesign.dk> skrev i en meddelelse
news:1uj0tvc5qq5k8e981rk7ntm7ebnu58p8b1@4ax.com...
>
>
> Nu lukker du du fandeme røven din idiot !!!!!!
> Jeg henvist til PESTKONTROL som fjerner problemt.. Læs for helvede
> hvad jeg skrive og lad være med at rende rundt med hovedt så langt
> oppe i din egen røv, du ikke kan se andet end det lort du selv lukker
> ud.

Læs før du svarer, dit råd løser ikke problemet andet end i en naiv
markedsføringsverden - i den virkelige verden er en kompromiteret maskine
ikke til at "rense" den skal reinstalleres.

> Det er fandeme demotiverende at sidde på nyhedsgrupper og hjælpe folk,
> når folk som dig konstant skal piske en stemning op

Vrøvl, prøv at læse hvad Crhistian skriver, du er galt på den.

> Hvis det er pissingmatch du vil ha, så smut for fanden over i
> "mudderkastnings" gruppen der er oprettet til det samme.

tal ordentligt

> Ikke EN gang taler jeg grimt eller nedladende før denne besked, men du
> flipper ud med den ene mere idiodiske konklution efter den anden.

Du vrøvler, Christian prøver at hjælpe dig (og spørgeren) ud af en udbredt
misforståelse..

> Og gu fanden ved vi hved der er på maskinen. Der er en Redirect.exe
> klon ved navn Keyhost.exe - hvorfro ulejliger du dig ikke til at læse
> den dokumentation jeg vedhæfter? var der for mange svære lange ord til
> du kunne forstå det`?

Nej du ved ikke hvad der er på maskinen - det er korrekt at der er en
keyhost.exe - men så snart en maskine er kompromiteret så ved hverken du,
jeg eller ejeren af maskinen hvad der er på den.

Hvor er det du er uenig i det?

> Hvis du ikke er enig i det jeg skriver, så hjælp dog manden bedre hvis
> du tror du kan. Lad dog være med at spilde tiden på om det jeg gør er
> rigtigt eller ej.

Christian har hjulpet med det eneste korrekte råd - reinstaller og lær

/Brian



Christian E. Lysel (05-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-03 16:03

In article <1uj0tvc5qq5k8e981rk7ntm7ebnu58p8b1@4ax.com>, n'Design.dk | 2900 wrote:
> Jeg henvist til PESTKONTROL som fjerner problemt.. Læs for helvede

Hvilket problem?

Kender du problemer ud fra brugeren beskrivelse, eller gætter
du dig blot til problemmet ud fra et filnavn?

> Hvis det er pissingmatch du vil ha, så smut for fanden over i
> "mudderkastnings" gruppen der er oprettet til det samme.

Nej tak.

> Ikke EN gang taler jeg grimt eller nedladende før denne besked, men du
> flipper ud med den ene mere idiodiske konklution efter den anden.

Du svarer ikke på mine simple spørgsmål.

Du kommer med anbefalinger og når du skal argumentere for dem, henviser
du til producenten.

I min verden argumentere man selv for sine argumenter.

> Og gu fanden ved vi hved der er på maskinen. Der er en Redirect.exe
> klon ved navn Keyhost.exe - hvorfro ulejliger du dig ikke til at læse
> den dokumentation jeg vedhæfter? var der for mange svære lange ord til
> du kunne forstå det`?

Hvordan kan du være så sikker i din sag?

> Hvis du ikke er enig i det jeg skriver, så hjælp dog manden bedre hvis
> du tror du kan. Lad dog være med at spilde tiden på om det jeg gør er
> rigtigt eller ej.

Reinstallere og lær af fejlen.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Asbjorn Hojmark (06-12-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 06-12-03 20:22

On Fri, 05 Dec 2003 10:36:07 +0100, "n'Design.dk | 2900"
<ng@-remove-ndesign.dk> wrote:

> Nu lukker du du fandeme røven din idiot !!!!!!

<<plonk.wav>>

-A
--
http://www.hojmark.org/

Alex Holst (04-12-2003)
Kommentar
Fra : Alex Holst


Dato : 04-12-03 21:53

n'Design.dk | 2900 <ng@-remove-ndesign.dk> wrote:
> jow.. antivirussen checker checksummen.

http://www.rootkit.com

> Det er holdninger som dine der har ladt den alm. bruger stå tilbage i
> IT-stenalderne

Jeg ved ikke hvad "IT-stenalderne" betyder.

Jeg ved, at der er andre loesninger paa virus, orme og spyware end
anti-virus og spyware scannere. Ifoelge reklamerne (og flere og flere
'sikkerhedseksperter') er der kun een loesning, og det er *deres*
produkter. Det er svaert at hamle op mod alverdens store software
producenter, isaer naar folk der ikke ved bedre blot gentager hvad
de hoerer og ser i reklamerne.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

jopa (04-12-2003)
Kommentar
Fra : jopa


Dato : 04-12-03 12:35

Erland Stig Bredgaard <nospam@erlands.dk> skrev bla:
> I de seneste dage er jeg blevet hjemsøgt af et lille program, der
> forsøger at få internetadgang: keyhost.exe. ZoneAlarm fortæller flg.
> om tingesten:

Du har en spion i din pc

Spyware

--
Mvh. John www.web-templates.dk
www.johns-web.dk / www.jp-web.dk
Teamwork sharpening the skills!!



Peter Kruse (04-12-2003)
Kommentar
Fra : Peter Kruse


Dato : 04-12-03 15:50

"Erland Stig Bredgaard" <nospam@erlands.dk> skrev i en
meddelelse
news:3fce6ec2$0$17637$ba624c82@nntp05.dk.telia.net...

Hej Erland,

> I de seneste dage er jeg blevet hjemsøgt af et lille
program, der forsøger
> at få internetadgang: keyhost.exe. ZoneAlarm fortæller
flg. om tingesten:

Det lyder ikke umiddelbart som en "spyware" komponent, men
det kan dog ikke udelukkes. Jeg tror snarere, at der kan
være tale om en bagdør.
Du kan sende mig en kopi af programmet på
kruse@krusesecurity.dk så vil jeg kigge på det.

Venligst
Peter Kruse
CSIS/Krusesecurity
http://www.krusesecurity.dk





Erland Stig Bredgaar~ (05-12-2003)
Kommentar
Fra : Erland Stig Bredgaar~


Dato : 05-12-03 09:53

"Peter Kruse" skrev

> Du kan sende mig en kopi af programmet på
> kruse@krusesecurity.dk så vil jeg kigge på det.

Tak - jeg har sendt dig en kopi.

Mvh. Erland


Kurt B. Andersen (04-12-2003)
Kommentar
Fra : Kurt B. Andersen


Dato : 04-12-03 20:04


"Erland Stig Bredgaard" <nospam@erlands.dk> skrev i en meddelelse
news:3fce6ec2$0$17637$ba624c82@nntp05.dk.telia.net...
> I de seneste dage er jeg blevet hjemsøgt af et lille program, der forsøger
> at få internetadgang: keyhost.exe. ZoneAlarm fortæller flg. om tingesten:
>
>
http://pralerts.zonelabs.com/pranalyze.jsp?record=ZLN23166631675989-1001/7ce
b090f93bb986fb03485&tab=techinfo
>
> Via Regedit i min Win2000 fandt jeg en størrelse, der kalder sig
> 'Winessential' i
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
> CurrentVersion\Run - med denne værdi: C:\WINNT\system32\Keyhost.exe
>
> I msconfig ('lånt' fra WinXP) finder jeg en tilsvarende værdi under
> 'Startup', så programmet bliver startet hver gang Windows genstartes.
>
> Jeg mener ikke, at jeg selv har lagt dette lille program ind - men hvad er
> det i det hele taget for noget? Er der en sikkerhedsrisiko? Og hvordan får
> jeg det fjernet?
>
> X-FUT: dk.edb.sikkerhed
>
> Mvh. Erland
>
Det er spyware, som du kan få lidt link til, hvis du i google skriver
keyhost.exe.
Umiddelbart ser det ud til, at du let selv kan fjerne den, og du har jo selv
fundet de steder, hvor den spøger.
Først gør du følgende:
I regedit finder du nøglen igen og højreklikker på den og vælger slet.
Dernæst starter du msconfig og fjerner fluebenet, hvor du kan se, at den
kaldes ved opstart.
Dernæst skal du nok boote, idet du på nuværende tidspunkt ikke kan slette
den, da den jo er aktiveret. Den burde ikke være aktiv efter boot.
Alternativt kan du trykke ctrl+alt+delete og finde den under kørende
processer. Prøv om du kan stoppe den. Kan du det, kan du slette den, og du
skriver jo selv, at den findes i
c:\winnt\system32\Keyhost.exe

Kurt



Erland Stig Bredgaar~ (05-12-2003)
Kommentar
Fra : Erland Stig Bredgaar~


Dato : 05-12-03 09:58

"Kurt B. Andersen" skrev

Tak for dine anvisninger - det var også ca. sådan jeg havde tænkt mig at
gøre.

Jeg havde faktisk forsøgt dette:

> Dernæst starter du msconfig og fjerner fluebenet, hvor du kan se, at den
> kaldes ved opstart.

Men: msconfig starter så i 'Selective Startup' mode, næste gang maskinen
genstartes (og med et skilt på skærmen under opstart). Når man fravælger
'Selective Startup' igen, så aktiveres tingesten igen. Hvordan kommer jeg
ud over dette lille problem?

Mvh. Erland


Peter Kruse (05-12-2003)
Kommentar
Fra : Peter Kruse


Dato : 05-12-03 10:50

"Erland Stig Bredgaard" <nospam@erlands.dk> skrev i en
meddelelse
news:3fce6ec2$0$17637$ba624c82@nntp05.dk.telia.net...

Hej Erland,

> Jeg mener ikke, at jeg selv har lagt dette lille program
ind - men hvad er
> det i det hele taget for noget? Er der en
sikkerhedsrisiko? Og hvordan får
> jeg det fjernet?

Tak for sample. Her følger en hurtig beskrivelse.

Der er, som du selv anfører, tale om en spyware komponent.
Selve programmet fylder 49152 bytes (MD5:
750f33698734299e819e9e5f4f839a8). Når denne komponent bliver
installeret (via et freeware/shareprogram indeholdende denne
applikation) droppes en kopi af programmet til systemmappen.
Der foretages herefter en modifikation af
registreringsdatabasen med det formål, at programmet køres
efter en genstart af systemet:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\WinEssential\%sti til windows
systemmappen%\Keyhost.exe.

Udover at programmet dropper keyhost.exe, som er
hovedkomponenten oprettes også Keyhost.htm.

Selve programmet har til formål, at videresende følsomme
oplysninger til websitet www.jraun.com samt omdirigere dig
til http://www.jraun.com/search.php . Når der foretages
søgninger på Internettet, så opsamles disse i en xml fil som
overføres til http://www.jraun.com/activex/data/data.xml
samt http://www.jraun.com/activex/data/time_key.php ved brug
af en ActiveX komponent (IEAcitveX2).

Programmet opretter en "adressebar" i IE og Outlook.
(http://www.jraun.com/search.php?search=IE:session eller
http://www.jraun.com/search.php?search=Outlook:session).
Hvis man i browseren taster en forkert URL, som ikke kan
oversættes, så henter IE:
http://search.msn.com/dnserror.aspx.AddressBar..WinEssential....%s\%s.exe
og data overføres til jraun.com.

Du kan roligt slette komponenten, så ophører problemet. Den
indeholder ikke andre skadelig funktioner end de som er
beskrevet. Husk, at det altid er en god ide, at gennemlæse
EULA når der installeres share/freeware applikationer. Til
orientering er denne komponent sendt til Viruslist samt
forskellige antispyware producenter, så den kan detektes i
fremtiden.

Du kan slette den ved at fjerne runas værdien i
registreringsdatabasen og genstarte systemet. Slet herefter
manuelt keyhost.exe fra windows system mappen.

Venligst
Peter Kruse
http://www.krusesecurity.dk



n'Design.dk | 2900 (05-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 05-12-03 12:06


>
>Du kan slette den ved at fjerne runas værdien i
>registreringsdatabasen og genstarte systemet. Slet herefter
>manuelt keyhost.exe fra windows system mappen.
>
>Venligst
>Peter Kruse
>http://www.krusesecurity.dk
>




Fed site du har - gode forklaringer og guides du har derinde


n'Design.dk
www.ndesign.dk
www.metroekspressen.dk
------------------------
besøg vores antispam, virus og hacker portal på:
www.ndesign.dk/main

Jesper Louis Anderse~ (05-12-2003)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 05-12-03 12:41

On Fri, 05 Dec 2003 12:05:41 +0100,
n'Design.dk | 2900 <ng@-remove-ndesign.dk> wrote:
>
> Fed site du har - gode forklaringer og guides du har derinde
>

ROFL!

--
Jesper

n'Design.dk | 2900 (05-12-2003)
Kommentar
Fra : n'Design.dk | 2900


Dato : 05-12-03 13:11

On Fri, 5 Dec 2003 11:41:26 +0000 (UTC), jlouis@pc-063.diku.dk (Jesper
Louis Andersen) wrote:

>On Fri, 05 Dec 2003 12:05:41 +0100,
>n'Design.dk | 2900 <ng@-remove-ndesign.dk> wrote:
>>
>> Fed site du har - gode forklaringer og guides du har derinde
>>
>
>ROFL!


hvad er det sjove?

er det sjov fordi han foreslår at gøre det samme pestkontrol (som jeg
foreslog) gør automatisk? er det de du henviser til? eller prøver du
bare at ride med på bølgen

Jesper Louis Anderse~ (05-12-2003)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 05-12-03 14:28

On Fri, 05 Dec 2003 13:11:18 +0100,
n'Design.dk | 2900 <ng@-remove-ndesign.dk> wrote:

> On Fri, 5 Dec 2003 11:41:26 +0000 (UTC), jlouis@pc-063.diku.dk (Jesper
> Louis Andersen) wrote:
>
>>On Fri, 05 Dec 2003 12:05:41 +0100,
>>n'Design.dk | 2900 <ng@-remove-ndesign.dk> wrote:
>>>
>>> Fed site du har - gode forklaringer og guides du har derinde
>>>
>>
>>ROFL!
>
>
> hvad er det sjove?

Det tragiske er at jeg ikke mener at www.krusesecurity.dk er en
saerlig god side. Jeg kan eksempeltvist i min foretrukne browser
ikke se dele af siden fordi den benytter sig af ustandardiseret
markup.

Dertil kommer at jeg ikke finder noget ny information paa siden
ud over hvad jeg til stadighed hoerer
(Firewall+Antivirus+Antispyware-er-vejen-frem-loesningen). Jeg kender
godt den holdning og betragtning. Jeg er ikke enig. Jeg stiller
spoergsmaal ved de fra engelsk oversatte security-advisories der
tidligere har vaeret meget daarlige og uden kildeangivelse og
historik. Der er et par episoder hvor ''advisories'' er blevet
aendret fordi diverse folk i denne gruppe brokkede sig over
deres niveau. Uden at der indfoeres en historik vel og maerke.

Naeste punkt er de partnere der naevnes. Hvordan kan en virksomhed
der er partner med antivirus- og firewallproducenter vaere
uvildige raadgivere i forbindelse med valg af vaerktoejer i
sikkerhedsoejemed?

I stedet for at bruge tid paa hvad en eller anden ligegyldig
spywareting goer burde man bruge tid paa at forklare folk
konsekvensen af at installere programmer, der finansierer
sig selv ved brug af reklamer. Den eneste maade du kan
daemme op for spyware paa er ikke at installere det nyeste
antispywareprogram. De vil altid vaere bagefter og naar
man statisklinker spywaren ind i den eksekverbare fil, saa
har man bare tabt. Den nemme maade at undgaa det paa er
at _fravaelge_ programmer med spyware, saa de ikke tjener
deres penge.

Jeg synes det er beklageligt at man overhovedet kan faa lov
til at installere spyware paa hjemmecomputere. Tidligere
var reklamerne paa nettet. Nu er de flyttet helt ind paa
folks harddiske. Det naeste er vel at kaeresten har en
reklame tatoveret paa sin eller nydelige roev. Jeg tror
dog ikke jeg kan undgaa det - for i USA er det jo naermest
legitimt at lave smaagrumme ting. Bare befolkningens forbrug
oeges. De kloge narrer de minde kloge gaelder stadig.



--
Jesper

Christian E. Lysel (05-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-03 16:07

In article <slrnbt122f.5sc.jlouis@pc-063.diku.dk>, Jesper Louis Andersen wrote:
> Jeg synes det er beklageligt at man overhovedet kan faa lov
> til at installere spyware paa hjemmecomputere. Tidligere

Men folk acceptere det...

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Thomas Alexander Fre~ (05-12-2003)
Kommentar
Fra : Thomas Alexander Fre~


Dato : 05-12-03 18:57

Christian E. Lysel wrote:

> In article <slrnbt122f.5sc.jlouis@pc-063.diku.dk>, Jesper Louis
> Andersen wrote:
>> Jeg synes det er beklageligt at man overhovedet kan faa lov
>> til at installere spyware paa hjemmecomputere. Tidligere
>
> Men folk acceptere det...

Accepterer de det, eller klikker de bare forbi EULA nummer 2000
uden at læse den[1]?

[1] kort sagt, er der tale om at de "accepterer" det fordi de
ikke gider læse en licens, eller er der tale om en bevist
accept?
--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
http://linuxforum.dk - 5. og 6. marts 2004.

Christian E. Lysel (06-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 06-12-03 00:24

In article <1398269.vc2BnJpvl9@hegel.arkolog.dk>, Thomas Alexander Frederiksen wrote:
>> Men folk acceptere det...
>
> Accepterer de det, eller klikker de bare forbi EULA nummer 2000
> uden at læse den[1]?

Begge dele, og forsætter med at bruge produkterne.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Thomas Alexander Fre~ (06-12-2003)
Kommentar
Fra : Thomas Alexander Fre~


Dato : 06-12-03 12:41

Christian E. Lysel wrote:

> In article <1398269.vc2BnJpvl9@hegel.arkolog.dk>, Thomas
> Alexander Frederiksen wrote:
>>> Men folk acceptere det...
>>
>> Accepterer de det, eller klikker de bare forbi EULA nummer
>> 2000 uden at læse den[1]?
>
> Begge dele, og forsætter med at bruge produkterne.

Her forudsætter du at folk har et clue om hvad det helt præcist
er de udsætter sig for, og den køber jeg altså ikke. Hr. og Fru
almindelig bruger *har* ikke et clue, de klikker bare forbi
EULA'en fordi programmet kan noget helt vildt smart de kan
bruge, ikke fordi de har gjort sig en sikkerhedsmæssig
overvejelse omkring konsekvenserne af den medfølgende spyware
(hvis de overhovedet er klar over at den følger med i "pakken").

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
http://linuxforum.dk - 5. og 6. marts 2004.

Erland Stig Bredgaar~ (05-12-2003)
Kommentar
Fra : Erland Stig Bredgaar~


Dato : 05-12-03 14:54

"Peter Kruse" skrev

> Du kan slette den ved at fjerne runas værdien i
> registreringsdatabasen og genstarte systemet. Slet herefter
> manuelt keyhost.exe fra windows system mappen.

Mange tak for din grundige analyse og forklaring!

Venlig hilsen
Erland


Christian E. Lysel (05-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-03 15:03

In article <3fd08d13$0$25828$ba624c82@nntp03.dk.telia.net>, Erland Stig Bredgaard wrote:
> "Peter Kruse" skrev
>
>> Du kan slette den ved at fjerne runas værdien i
>> registreringsdatabasen og genstarte systemet. Slet herefter
>> manuelt keyhost.exe fra windows system mappen.
>
> Mange tak for din grundige analyse og forklaring!

Hvordan ved du om den er rigtig eller ej?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste