Avatar billede sn67 Nybegynder
05. marts 2003 - 21:34 Der er 26 kommentarer og
5 løsninger

hvordan er Nimda kommet indenfor???

Jeg får ved næsten hver virusscanning advarsler fra mit "Antivir" om at der er fundet virus, eller viruslignende filer. 
Desværre er mit tyske ikke hvad det har været, så jeg er ikke altid sikker på, hvad programmet prøver at fortælle mig.
Det har næsten altid været Nimda som har været refereret til.

Jeg bruger "Antivir", som skulle scanne løbende, og derfor burde der ikke kunne snige sig noget ind (ja, jeg opdaterer jævnligt). Alligevel ville jeg lave et scan med Housecall, og mens den opdaterede sine filer, kom Antivir pludselig med en advarsel. Overskriften lød: "Verdächtige datei gefunden!"
- og så kom der adskillige meldinger som nedennævnte:

c:\documents and settings\all users\...\express yourself.eml
Enthält signatur des wurmes Worm/Nimda.E.Tmp

I denne omgang hedder de typisk noget fra musiktitler, alle med "efternavnet" eml.
Jeg har vel at mærke ikke nogle af de pågældende stykker musik på min computer.

Hvad sker der??
Jeg er ret påpasselig med at åbne ukendte emails (og har slet ikke fået nogen "skumle" for nylig), jeg mener at have alle opdateringer til både IE, Outlook Express, windows osv.
Jeg bruger winxp home.

Please help me...!
Susanne
Avatar billede bufferzone Praktikant
05. marts 2003 - 21:35 #1
Hvis du har en IIS web server og denne ikke er patchet kan nimda bruge huller i din server til at inficere denne.
Avatar billede sn67 Nybegynder
05. marts 2003 - 21:44 #2
Bufferzone> Jeg aner ikke hvad en IIS web server er!
Jeg kan også tilføje, at min anden computer, som XP'eren er i netværk med (og de er begge på nettet via ADSL) IKKE har været inficeret de andre gange. Jeg vil nu sætte en scanning igang på den også for at se om der er noget denne gang.
Avatar billede bufferzone Praktikant
05. marts 2003 - 21:48 #3
IIS er en Internet Information Server. Det er Microsofts webserver og den kan sagtens være installeret på XP. Hvis du har gennemført Windows Update, vil din IIS (hvis den er installeret) være patchet og ikke kunne inficeres
Avatar billede anje Nybegynder
05. marts 2003 - 21:59 #4
Har du mere end et antivirusprogram installeret?
Hvis du har, kan Antivir komme ned nogle mærklige virusadvarsler.
Avatar billede bufferzone Praktikant
05. marts 2003 - 22:03 #5
Nej aldrig, det vil sløve din maskine mærktbart, jeg gør følgende

Sørger for at min maskine altid er fuldt updatet, både styresystem og applikationer.
Sørger for at have en god virusscanner og at den er fuldt opdateret hele tiden (jeg bruger norton, man har tidligere brugt Mcafee)
Scanner en gang imellem med en online scanner
Har installeret Ad Aware fra www.lavasoftusa.com og scanner med denne mindst ugentligt. Den fjerner adware og spyware. denne opdateres også løbende
Har installeret en personlig firewall, der også yder beskyttelse, jeg bruger Sygate fra www.sygate.com denne opdateres også løbende
Avatar billede sn67 Nybegynder
05. marts 2003 - 22:04 #6
Bufferzone> Som jeg skrev i indledningen, HAR jeg alle opdateringer. Jeg har netop tjekket igen, for at være sikker på jeg ikke havde overset noget, men der er ingen "vigtige opdateringer" tilgængelige p.t.

Hvis jeg virkelig er/har været inficeret med f.eks. Nimda, - burde jeg så ikke have opdaget det ved f.eks at have modtaget en mail fra mig selv - sendt af Nimda.. (jeg har jo min egen e-mail adresse i kartoteket)
Avatar billede bufferzone Praktikant
05. marts 2003 - 22:08 #7
Du er ikke inficeret hvis du ikke har en webserver kørende. Mig bekendt spredes nimda kun via IIS.

Prøv at scanne med en anden virus scanner og hvis den intet finder så tag det ganske roligt.

Du vil ikke kunne se at nimda sender, da den har sin egen mailserver med. Den er faktisk ret smart
Avatar billede anje Nybegynder
05. marts 2003 - 22:09 #8
Avatar billede langbein Nybegynder
05. marts 2003 - 22:13 #9
En maate som jeg har faat virus "innenfor" flere ganger det er som lagring av web inhold i web cachen. Her vil virus / virus signatur kunne ligge lagret paa maaskinen uten at den paa grunn av dette er intallert paa maskinen. Naar man har slettet web cachen saa er "den ikke installerte virus" borte. Vet ikke om den path som du oppgir er forenelig med noen web cache. Tenkte bare aa nevne det, siden den problemstillingen ga meg noe aa tenke over for litt siden. (Virus var til stede men maskinen var ikke infisert. Diverse litt avanserte metoder for virusfjerning foerte ikke fram. En helt alminnelig sletting av web cache loeste saken med en gang.)
Avatar billede langbein Nybegynder
05. marts 2003 - 22:15 #10
De "ikke installerte virus" som befant seg i cache lager ble i alle tilfeller (5 ganger tror jeg) funnet under scanning med houscall.
Avatar billede anje Nybegynder
05. marts 2003 - 22:16 #11
Her er der også et godt program - langsomt men effektivt, og det kræver kun 2 disketter
Avatar billede anje Nybegynder
05. marts 2003 - 22:16 #12
Avatar billede fromsej Praktikant
05. marts 2003 - 22:17 #13
F-Prot duer desværre ikke til XP , endnu en grund til ikke at køre XP.*S*
Avatar billede anje Nybegynder
05. marts 2003 - 22:21 #14
Sorry- men jeg var ellers overbevist om at det kunne køre under Fat32
Avatar billede sn67 Nybegynder
05. marts 2003 - 22:25 #15
Bufferzone> Housecall fandt ikke noget, men det var jo også før den startede, at Antivir satte filer i karantæne.

Anje> Jeg har kun Antivir installeret. Prot dur ikke, jeg har ingen diskettedrev!

Langbein> Jeg har også prøvet det med at den finder "viruslignende" under temp-filer. Og jeg tror også det var Housecall der fandt dem.

Ja, ja, nu går det rigtig godt! Min anden computer, som jeg havde sat Housecall til at scanne er netop gået død. Reagerer ikke på nogenting - det bliver vist en lang aften....
Avatar billede fromsej Praktikant
05. marts 2003 - 22:26 #16
Den understøtter , så vidt jeg ved , kun op til Win2K , men den kører fint under Fat32.
Så måske alligevel , jeg mener bare at have læst på siden den ikke vil.
Avatar billede langbein Nybegynder
05. marts 2003 - 22:31 #17
Legg paa en firewall som kan varsle forsoek paa aa sette opp trafikk ut i tilfelle en av maskinene skulle ha trojaner eller andre levende dyr.
Avatar billede sn67 Nybegynder
05. marts 2003 - 22:57 #18
Nå det ser ud til at den anden kører igen. Housecall fandt ingenting, nu prøver jeg med Pandasoft, bare for en sikkerheds skyld.

Langbein> Grunden til at jeg netop i dag ville tage en online scan, var et jeg netop havde slået den indbyggede firewall i XP til. Den har jeg ikke rigtig brugt før, så jeg ved ikke hvordan den fungerer (har tidligere brugt ZoneAlarm). Men én gang tidligere, har jeg slået den til, og det var mens jeg så nyhederne livestream - og det slog livestreamen fra. I dag kunne jeg godt se nyheder, til trods for firewall'en, og det var derfor jeg blev nervøs for, om der var virus med i spillet. Man hører jo så meget om, at de kan slå virusprogrammer og firewalls fra. Jeg kan også se filerne på XP'eren fra win98'eren til trods for at firewallen er slået til - burde man kunne det?

Er der en online scanner der kan finde trojanere?
Avatar billede sn67 Nybegynder
06. marts 2003 - 00:05 #19
Hvad er det nu for noget - kan Pandasoftware.com/autoscan ikke fungere med XP?
Avatar billede aovergaard Nybegynder
06. marts 2003 - 01:01 #20
Nej, du kan ikke finde trojanere med en antivirusscanner. Her får du lige en som kan scanne for trojanere online.
http://www.anti-trojan.net/en/onlinecheck.aspx
Jeg vil også råde dig til efterfølgende at installere Ad-aware som kan finde og fjerne trojanske heste spyware mm. Du kan finde en rigtig god side med masser af information på dette link: http://www.spywarefri.dk Her ligger også link til Ad-aware fra lavasoft. Læs alt nøje igennem for her er mange gode råd, og det kan meget vel være sådan noget skidt som ligger på din pc lige nu. Held og lykke
Avatar billede jpvj Nybegynder
06. marts 2003 - 01:25 #21
Det er altså noget vrøvl. En trojank hest bliver fint fundet med et antivirus program. Virus bliver brugt som fællesbetegnelsen for mere eller mindre ondsindede programmer, der bliver installeret og afviklet uden brugeren ved det. At de så er opdelt i forskellige kategorier som orme, trojanske heste osv. er en helt anden snak.

SpyWare/ADware er programer som bliver installeret på 1 maskine som regel med brugerens (ubevidste) accept. Dette sker ofte sammen med freeware. Programmet spreder sig ikke, og har som sådan ikke nogen ond hensigt, udover at hjælpe til at målrette en eller anden for for reklame.

Hvis du bliver ved med at få Nimda, ville jeg installer en realtime virus scanner.

Det er ukorrekt at man kun kan få Nimda hvis man kører IIS. Nimda udnytter et MIME exploit i IE, så hvis du kører med nyeste patches, så er det ikke her du skal kigge.

Virussen kan komme ad 3 veje:
1) Angribe en upatched IIS server
2) Via MIME exploit i en e-mail
3) Via et netshare.

Hvis du kører 2000/XP, kan du sætte auditing på et share, og se om det er denne vej, den kommer. Du kan se afsender maskinen i eventloggen.

JP
Avatar billede sn67 Nybegynder
06. marts 2003 - 01:26 #22
Nu har jeg brugt hele aftenen og det halve af natten på at lede efter virus på mine to pc'ere. Jeg kan efterhånden ressonere, at "Antivir" kan komme med falske advarsler. Den har givet lyd fra sig hver gang jeg har startet en online scanner (selv om jeg har lukket programmet!!) Desuden kan Antivir og Housecall finde "spor" efter virus i temp-filer. Det er øjensynligt ganske uskadeligt, og kun med til at gøre os brugere (mig!) bekymrede.
Men faktum er, at der har optrådt filer med endelsen *.eml på min computer, - filer der er kommet et eller andet sted fra - men hvor?
Jeg har nogen i karantæne nu, som Antivir selv fandt i dag, og jeg kom i tanke om, at jeg tidligere har slettet sådanne filer manuelt - og fandt først bagefter ud af, at de kunne have noget med virus at gøre.

- Mange timer er således gået, uden nogen dog har kunnet give en forklaring på: Hvordan er Nimda og/eller de omtalte *.eml filer kommet på min computer? Når alle sikkerhedsforanstaltninger er overholdt???
Det eneste jeg endnu ikke har prøvet - og det bliver ikke før i morgen - det er at scanne med systemgendannelsen slået fra.

Jeg venter derfor med at lukke spm til i morgen. Go'nat og foreløbig tak for indsatsen.
Avatar billede jpvj Nybegynder
06. marts 2003 - 01:27 #23
BTW: Du kan jo se følgende rapport fra Symantec: <http://securityresponse.symantec.com/avcenter/reference/nimda.final.pdf>
Avatar billede sn67 Nybegynder
06. marts 2003 - 01:31 #24
jpvj> Jeg vender lige tilbage til dig i morgen - nu SKAL jeg altså i seng!
Avatar billede aovergaard Nybegynder
06. marts 2003 - 01:46 #25
jpvj>> det er ikke rigtigt at antivirus prg. altid finder trojanske heste. Har både hørt og oplevet at det ikke er tilfældet, selv ikke med et fuldstændigt opdateret antivirusprg. Så er det jo heldigt at vi også kan prøve at gardere os mod alt dette spyware med andre programmer.
Avatar billede perhaps Nybegynder
06. marts 2003 - 08:15 #26
aovergaard>Du har helt ret. Virusscannerne er fremstillet til at klare vira og fanger også nogle trojaner, men ikke ALLE. Sådan er det bare. Jeg har tidligere haft besøg af en trojaner som ikke én eneste virusscanner fandt anledning til at gøre oprør over. 
sn67> Se lige her
http://www.spywarefri.dk/virus.htm#alle
Nok ikke problemets løsning, men en god fremgangsmåde når du har fundet virus på en pc med XP-installation.
Avatar billede langbein Nybegynder
06. marts 2003 - 10:36 #27
"En trojank hest bliver fint fundet med et antivirus program."

Tja, det kan vel variere litt. Det finnes vel trojanske hester som nesten ikke kan finnes med noe program dvs at den ikke har noen fast struktur, noen filnavn eller andre typiske moenstre som antivirus programmet eller antispyware kan kjenne igjen.

Den trojanske hesten kan i prinsipp hete hva som helst for eksempel et tilfeldig filnavn som er generert individuelt for installasjon paa din PC.

En maate denne type trojanere kan spres paa er at de legges ved som "ekstralastlast" i andre tilsynelatende nyttige eller oenskede programmer. Man intstallerer for eksempel et program spill.exe og saa samtidig saa smutter paa plass en netsen ikke detekterbar trojan med et tilfeldig generert navn.

Maaten aa detektere slike ting paa, tror jeg, det maa vaere ikke ved aa forsoeke paa tradisjonell virusdetection men ved aa forsoeke aa observere den adferd en slik trojan kan forventes aa ha.

1. Forsoek aa slaa fra alle firewalls. Kjoer saa portscanning utenfra. En del trojanere inneholder server funksjoner for fjernpaalogging. (Slik at en hacker skal ha mulighet for aa ta over maskinen.) Se om portscanningen avsloerer mystiske serverfunksjoner ved at ukjente porter staar aapne.

2. Deaktiviser firewall funksjonen i XP. Denne fitrerer bare trafikken inn og gir derfor ingen beskyttele mot den eventuelle trafikken som trojanere forsoeker aa sette opp med retning ut.
Installer i stedet ZoneAlarm igjen og konfigurer den slik at du faar automatisk varsel ved et hvert automatisk forsoek paa aa sette opp forbindelse ut til internett. En del viruser og trojanere gjennomfoerer vel automatisk utsendele av mail, for varsling eller det kan vaere en del av spredningsmekanismen. Andre gir automatisk paalogging paa visse irc kanaler der det automatisk blir lagt ut beskjed om at maskin paa ip x er infisert og at den kan hackes. ZoneAlarm vil normalt gi varsel paa forsoek paa aa sette opp trafikk ut enten via mail eller ved forsoek paa pologging til irc.
Det er ellers ogsaa mulig til en viss grad aa lure ZoneAlarm ved aa gi trojansk hest programmet et navn som er likt et kjent og godkjent windows program. I de fleste tilfellene saa vil vel ZoneAlarm ikke bli lurt. (For eksempel vil den ikke bli lurt hvis trojan har et tilfeldig generert filnavn.)
Avatar billede langbein Nybegynder
06. marts 2003 - 10:46 #28
Naar du eventuel klarer aa fange et automatisk forsoek paa aa sette opp trafikk ut vha mail, irc eller annet saa kan du samtidig ha fanget filnavnet paa trojan.
Avatar billede jpvj Nybegynder
06. marts 2003 - 12:44 #29
langbein> Kan du ikke komme med bare 1 eksempel på en trojansk hest, der ikke bliver fundet?
Avatar billede perhaps Nybegynder
06. marts 2003 - 13:20 #30
jpvj> Langt de fleste kendte bliver fundet med en virusscanner, men der er altså undtagelser. Det kan også være at en virusscanner finder en trojaner som ikke kan deletes fra scanneren. Det er ikke ualmindeligt. Så må man ha' fat i noget andet værktøj som kan fjerne trojaner.
En trojaner kan ikke helt sammenlignes med en virus og formålet er da helt anderledes idet det for en trojaner først og fremmest gælder om at få åbnet en bagdør i din pc så den kan komme ind og virke som et fjernstyringsprogram. Trojanske heste er ikke svære at "fremstille" og det er jo ikke sikkert at virusscanneren kender lige den du fremstiller, men mange har samme mønstre og vil blive fanget. Det er korrekt. Typisk har den trojanske hest en grafisk brugerflade med nogle logiske dropdown menuer. Den er opbygget af en server del og en klient del. Det er serverdelen som installeres på din pc og klientdelen hos "indbrudstyven". Serveren skal installeres på din pc ellers virker systemet ikke.
Nu må du altså ikke forlange noget af langbein som er umuligt. Dit spørgsmål kan jo ikke besvares jpvi for alle de kendte trojanere (se evt. alle de kendte på spywarefri.dk ) burde en virusscanner kunne fange (jeg har ikke testet det :o) )men det er ikke alle som virusscanneren kan fjerne. Her må der ofte en rigtig trojanscanner til eller man må til at rode lidt i registreringsdatabasen.
Avatar billede sn67 Nybegynder
10. marts 2003 - 00:19 #31
Nu fik jeg endelige taget mig tid til at lukke dette spm. Selvom jeg nu kun kan se en masse linier - og ingen indlæg....!!??
(har set, at der før er nogen der har oplevet det samme)
Points er delt ligeligt som tak for indsatsen
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester