Angrepet av Radmin. Backdoor

[Wild Berries]

Vil bare rådføre meg med Dere, og forhåpentligvis er dette rette katagori ?!

 

Ellers om Dere kan, flytt den dit den hører hjemme.

 

Som den "paranoide" Pc bruker jeg er, har jeg installert Norman Antivirus, Zonealarm Pro og Windows XP SP2 brannmurer.

 

Tar daglig og scanner alle 3 Pc`ene i nettverket og scanner Pc`ene også via nett.

 

Både på trojaner og antivirus, just in case.

 

Men her for noen dager siden var alle 3 Pc`ene rammet av Radmin.trojaner, den ble funnet av NAV, ble umiddelbart slettet. På alle 3 Pc`ene.

 

Trodde alt var iorden.

 

Scannet på nytt dagen etter og der spratt Radmin opp igjen.

 

Ble slettet igjen, og har ikke blitt funnet etter det.

 

Men så hadde jeg noen nettverksproblemer og gikk igjennom diverse innstillinger og sjekket hvem hva og hvor.

 

Og gjett ? inne under Mine Nettverksteder dukket det opp direkte linker til diverse sider i Norge og en av dem var også satt under som en av "mine" nettverk ? Med navn på linken til til vedkommende.

 

Så jeg slettet disse 3-tre sidene og sjekket opp den ene av De personene som stod som "mine" nettverks (direkte) kobling.

 

Det var kun en av disse personene i hele Norge som har dette navnet...

 

Så hva bør jeg gjøre, uten om disse "artige" forslag om å koble PC`ene av internett ?

 

Ingen av PC`ene brukes til å laste ned annet enn lovlige spilledemoer. Ingen fildeling overhodet.

 

Ingen mailer blir åpnet uten at De er scannet, o.s.v

 

Så hva annet bør jeg gjøre ? for å beskytte oss ?

 

Setter pris på tilbakemelding og helst av konstruktiv sorti.

 

MvH

 

WB

[Rufati]

For meg ser jo maskinene dine mer en godt nok beskytta ut. Zonealarm har riktignok kommet med en del oppdateringer i det siste, det kan være verdt å sjekke om noen av disse ikke er lagt inn i ditt vedkommende?

 

Vil anbefale og kjøre en spyscan også. Programmet Lavasoft AdAware fungerer bra, personlig mening. Det finnes online scannere også.

 

Ingen andre som har brukt maskinen din til surfing\nedlasting elns? Via irc er det veldig vanlig at slikt sendes ut, og er man uforsiktig og kanskje litt fersk i gamet kan man fort ta imot en .exe fil eller et virus.

[slettmegplss]

Prøv å bruk Ad-aware sammen med Spybot Search & Destroy.

Gå inn i sikkermodus før du scanner. (Trykk F8 rett etter power on self test, før windows booter)

Endret 3. januar 2005 av Vash

[Kent (StudioFreya)]

For å være ærlig, ZoneAlarm er noe forbanna dritt. ZoneAlarm gjør maskinen din mer utsatt for angrep enn om du ikke hadde det installert (exploits, bugs etc i ZoneAlarm). Dessuten kødder den med maskinen slik at ingenting fungerer til slutt. Det har skjedd med meg flere ganger uten at jeg har gjort noe annet enn å restarte maskinen (uten automatiske oppdateringer).

 

Ta å sett opp en linuxboks som firewall/router slik at maskinene innenfor er beskyttet. Og ellers er det bare å bruke SpyBot og Ad-Aware

[pgdx]

Det er seriøst bare den drevne Windows-bruker som finner seg i slikt.

installert Norman Antivirus, Zonealarm Pro og Windows XP SP2 brannmurer.

 

Tar daglig og scanner alle 3 Pc`ene i nettverket og scanner Pc`ene også via nett.

 

Både på trojaner og antivirus, just in case.

Etter at jeg installerte Linux, har jeg aldri sett en pop-up, noe ad-ware, spy-ware eller noe som helst jeg selv ikke har installert...

 

Men men... Du får jo selvsagt velge selv. Jeg bare nevner det for deg.

[Wild Berries]

Takk så langt.

 

Linux er for meg et ikke tema, da mine kunnskaper om det hadde gjort at jeg sikkert hadde vært storforbruker av dette forum, og hadde sikkert rota alt til.

 

Men Takk for forslaget, det var gitt i beste mening.

 

Jeg har også Spywareblaster inne på alle 3 Pc`ene.

 

Ad-Aware, NAV, NPF på 2-to av Pc`ene.

 

Alt er oppdatert og brukes / kjøres minium engang til døgnet.

 

Har også sendt mail til [email protected]

 

Bli litt kjekt å se hva De svarer på mine spørsmål også.

 

Takker Dere alle for at Dere tar Dere tid til å besvare meg.

 

MvH

 

WB

[zadu]

som sagt tidligere, zone alarm er ikke anbefalt. bytt en en annen som kerio, sygate eller annen. Bruker du IE og eller Outlook er du og mye mer utsatt for å få "dritt" på p'n. Bytt IE ut med opera/firefox, hvilken blir en smaks sak.

[JKJK]

Hehe... ikke for å kaste brannfakler, men det var en del amøbesvar her. For det første: Zone Alarm (security suite pro) er ikke et dårlig produkt, heller tvert imot (dog, viruskontrollen suger). Hvordan det står til med billigproduktene til zonealarm skal jeg dog ikke svare på. Såfremt Zonealarm blir jevnlig oppdatert og riktig konfigurert er det et bra alternativ.

 

Det jeg derimot aldri får understreket mange nok ganger er: SKRU AV system restore. Har du system restore gående ender du opp med å ta "backup" av viruset, og da er du like langt.

 

Ellers er det såklart en god del gode argumenter her også, som f.eks. bytt browser til opera eller firefox.

 

Ellers virker det som du er relativt godt up-to-date, men hvis jeg skulle anbefale software ville jeg ha kvittet meg med norton og heller gått for NOD32. På jobb kjører vi Norman Antivirus til vanlig (som funker veldig bra, kjører det hjemme også), men vi tyr til NOD32 hvis vi skulle få inn PC'er som er kraftig infiserte.

 

Personlig kjører jeg følgende oppsett og har ikke hatt virus på mange år:

 

Norman Antivirus

Adaware

Spybot

Opera

Automatisk Windowsupdate

sitter bak NAT

SP2 firewall

 

Som epost klient bruker jeg outlook 2003 og ved riktig konfigurasjon samarbeider den godt med Norman antivirus med å fjerne alle virusmailer.

 

For å fjerne viruset ville jeg i første omgang prøv å skru av system restore for så å scannet med NOD32. Symantec og bitdefender har også mange removal-tools beregnet på spesifike virustyper. Disse kan være kjekt å sjekke ut.

Endret 3. januar 2005 av DJ-JK

[tag1]

SP2 og sikkerhet?

 

http://www.theregister.co.uk/2004/08/25/xp...ecurity_crater/

[Hanasand]

Radmin ? Jeg og får opp at jeg er infecta av det ,men jeg har selv innstalert det. radmin Jeg bruker det til å fjernstyre pcen min.

[JKJK]

Vet at brannmuren i SP2 ikke er det sikreste, for all del! Men når jeg sitter bak NAT med firewall (freeBSD boks), er ganske påpasselig med task manager'en osv. så holder den for meg intill videre.

 

Brukte Zone alarm security suite før, og var godt fornøyd med den, men etter at den slettet alt som hadde med winsock å gjøre når jeg avinstallerte den (det var JEG som gjorde et feilgrep), bestemte jeg meg for å la være å installere den etterpå.

[TEE]

SP2 og sikkerhet?

 

http://www.theregister.co.uk/2004/08/25/xp...ecurity_crater/

Tettet for lenge siden. Dersom man ikke har vært innom Windows Update siden August 2004 har man kun seg selv å skylde på, ikke Microsoft.

[TEE]

Radmin ? Jeg og får opp at jeg er infecta av det ,men jeg har selv innstalert det. radmin Jeg bruker det til å fjernstyre pcen min.

Samme her, men Antivir er heldigvis ikke så ekstremt paranoid at den tror det er trojaner. Eneste programmet som skrek om Radmin her var Spybot som sa ifra at jeg hadde skjult systray-ikonet. Ba Spybot ignorere den etter første gangen, og ikke noe mer trøbbel.

 

For trådstarter ser det mer ut som om noen har hatt det morsomt når de har lånt PC'en. Med oppsettet han har, må man jo både godkjenne at Radmin skal ha tilgang ut og åpne nødvendig port for innkommende trafikk.

[Kent (StudioFreya)]

Hehe... ikke for å kaste brannfakler, men det var en del amøbesvar her. For det første: Zone Alarm (security suite pro) er ikke et dårlig produkt, heller tvert imot (dog, viruskontrollen suger). Hvordan det står til med billigproduktene til zonealarm skal jeg dog ikke svare på. Såfremt Zonealarm blir jevnlig oppdatert og riktig konfigurert er det et bra alternativ.

 

....

 

Som epost klient bruker jeg outlook 2003 og ved riktig konfigurasjon samarbeider den godt med Norman antivirus med å fjerne alle virusmailer.

Å sette seg inn i hva man prater om er en fin bil

ZoneAlarm er et dårlig produkt. Et enkelt søk i Bugtraq hos www.securityfocus.com ga en del resultater (en del mer hvis du søker i hele siten). Bare se selv. Det er ikke akkurat oppløftende lesning.

 

Og som epostklient vil jeg fraråde alle å bruke en med "Outlook" i navnet (Outlook/Outlook Express) - og det med uansett hvor aggressiv viruskontroller du har. Så lenge Outlook (og andre programmer) trenger et tredjeparts program for å være "sikker", så gir det en falsk følelse av trygghet. Hva gjør du den dagen da et virus slipper gjennom og overskriver alle filene dine? Bedre å være føre var enn etter snar. Bruk f.eks en annen klient. Sylpheed-claws for windows bruker jeg.

 

Det var bare dette jeg ville påpeke. Ellers ser svaret ditt bra ut!

Endret 3. januar 2005 av PsyDe

[Thombr86]

Sitter selv, som min gode venn DJ-JK , bak NAT (type dobbelt opp med rutere), bruker også NOD32, Ad-Aware Pro (Ad-Watch er genialt) og Opera.

 

Har ingen andre beskyttelser, og er heller ikke veldig påpasselig når jeg surfer el., det er heller ikke de andre som bruker nettet på samme linje.

 

Virus, Trojanere og andre former for virus har jeg aldri funnet, spyware har blitt funnet de gangene jeg har blitt nødt til å bruke IE, og kun da.

 

Fordelen (og ulempen for den del) med Opera er mangelen på ActiveX støtte, mye crap kommer med ActiveX.

En rimelig oppdatert kompis av meg fortalte meg hvor mye informasjon hhv. Opera og IE ga fra seg. IE ga fra seg 3-4 fullpakka sider med informasjon om din pc, mens Opera oppga kun browsernavn.

 

De rådene jeg vil gi, er: Sett op NAT, enten i ruter eller egen linux boks, det er ikke vanskelig i det hele tatt.

Installer Opera, eller Firefox, installer Ad-Aware, gjerne Pro om du har muligheten.

Oppdater alt som finnes (En oppdatert Windows er faktisk ganske sikker).

Og evt. Surf med måte

 

 

Edit: Psyde, Outlook er ikke dårlig det, bruker det selv, dog med en privat mailserver, og merker ingen problemer. Opera har en god Mail-klient innebygget også.

Endret 3. januar 2005 av BrAtTeRn

[Muffinman]

Radmin ? Jeg og får opp at jeg er infecta av det ,men jeg har selv innstalert det. radmin Jeg bruker det til å fjernstyre pcen min.

Kanskje dere bør rapportere til leverandør av antivirusprogramvaren da, slik at eventuelle falske positiver kan rettes opp.

[kjetilkl]

ZoneAlarm er et dårlig produkt. Et enkelt søk i Bugtraq hos www.securityfocus.com ga en del resultater (en del mer hvis du søker i hele siten).

Det er kanskje litt drøyt å kalle markedslederen på windows brannmurer for et "dårlig produkt" ? - Uansett hva du eller andre synsere måtte mene så får man ikke markedsandel eller rykte som Zonelabs ved å lage dårlige produkter.

 

-Og søket du refererer til her er da helt irrelevant. - all programvare har bugs. - Det som skiller de gode fra de dårlige er om de blir fikset eller ikke (og antallet formodentlig)

 

Søker du etter f.eks Kerio får du også en haug med treff.

[Kent (StudioFreya)]

ZoneAlarm er et dårlig produkt. Et enkelt søk i Bugtraq hos www.securityfocus.com ga en del resultater (en del mer hvis du søker i hele siten).

Det er kanskje litt drøyt å kalle markedslederen på windows brannmurer for et "dårlig produkt" ? - Uansett hva du eller andre synsere måtte mene så får man ikke markedsandel eller rykte som Zonelabs ved å lage dårlige produkter.

 

-Og søket du refererer til her er da helt irrelevant. - all programvare har bugs. - Det som skiller de gode fra de dårlige er om de blir fikset eller ikke (og antallet formodentlig)

 

Søker du etter f.eks Kerio får du også en haug med treff.

Jeg synes det ikke er drøyt å kalle det et dårlig produkt. Jeg har selv brukt ZoneAlarm PRO i 2 år (inntil i sommer). Det ga meg personlig flere problemer enn om jeg ikke skulle hatt den inne. Det eneste unntaket var da RPC-wormene spredde seg og jeg brukte dial-up - men det kan alle brannmurer med respekt for seg selv beskytte maskinen mot.

 

All programvare har bugs ja. Det som skiller er antallet og hvor alvorlige de buggene er. Og det med markedsandeler blir ikke helt relevant. Jeg kan bare nevne Windows, IE, Outlook (Express) og Office som har meget store markedsandeler på sine områder.

GNU/Linux (Fedora, Gentoo +++), Opera/Mozilla, Sylpheed/Eudora og OpenOffice er alle "bedre" enn markedslederene på hver sin måte... Og det burde være unødvendig og minne på om sikkerhetsfeilene i markedslederene som er nevnt her.

[Wild Berries]

Takk atter engang for alle konstruktive forslag.

 

Har ikke hørt fra tele2`s sin abuse avdeling enda.

 

Men jeg har heller ikke lånt ut min PC til noen enda, utenom i min familie. Samboer og småguttene som har hver sin PC. Samboer disponerer den eldste Pc`en.

 

Småguttene spiller HL1 og enkelte andre spill som tilhører deres katagori. De er meget flinke til å spørre om ting som skjer med PC`en om det skulle være noe.

 

Og dukker det opp et nytt "vindu" av ukjent sort, er de raskt på pletten og spør meg. Og når jeg er på jobb får de kun spille på "sikre" sider som cartoon og Disney. Eller kose seg med HL1.

 

Dette er selvsagt gjort i sikkerhets øyemed for dem og alle oss andre internett "slaver".

 

Jeg selv trodde og tror fremdeles at jeg er flink med å være forsiktig med å krysse / åpne filer / installere noe jeg ikke er ening i. Men tydeligvis.

 

Når jeg sjekket Radmin første gang så jeg også at det var et program for fjernstyring av PC`en, men det var "etternavnet" win32.backdoor som liksom ikke var helt artig.

 

Det som også var litt "artig" var at den ene av disse 3-tre linkene stod oppført som "mitt" nettverk. Dette var / er en maskin i Mo i Rana.

 

Jeg gikk igjennom ZoneAlarmen PRO sin logg, på utgående blokkeringer og det er blitt blokkert av ZA PRO.

 

Men atter engang igjennom å WHOIS`e denne adressen ser det ut til at det er mye av det samme som kommer igjen ifra Nederland.

 

Har sendt mail til Abuse avdelingene rundt omkring i Nederland og Sverige.

 

Har også NAT på D-link DI-604 routeren min, som står etter Ericsson HM210i Routeren ifra Tele2.

 

Den blokkerer også mye trafikk ifra Nederland og Sverige, noe ifra Asia også. Men siden den ikke kan inneholde mer enn 30-tretti sider om gangen så blir Event Logen for full.

 

Trodde jeg hadde gjort alt riktig, men tydeligvis ikke.

 

Jeg kommer heller ikke innpå Hm210i`en herifra lenger, noe jeg gjorde før i "tiden".

 

Og som skrevet før, alt er up to date.

 

Vil komme tilbake til Dere når jeg får svar fra Tele2`s sin abuse avdeling.

 

Vil også sjekke opp tråden her, og se om jeg får flere gode tips og råd underveis.

 

Tusen Takk for at Dere tar Dere tid og spre om Dere med Dere`s Pc kunnskaper.

 

Håper at ingen andre har fått den rakkeren av en backdoor inn på sin pc.

 

MvH

 

WB

[TEE]

Å sette seg inn i hva man prater om er en fin bil

ZoneAlarm er et dårlig produkt. Et enkelt søk i Bugtraq hos www.securityfocus.com ga en del resultater (en del mer hvis du søker i hele siten). Bare se selv. Det er ikke akkurat oppløftende lesning.

 

Ta et søk på Apache, SSH etc i Bugtraq også. Vil du si at disse er dårlige produkter? Hva med å søke på Linux f.eks. Er Linux så dårlig som treffene i Bugtraq skal ha det til?

 

Og som epostklient vil jeg fraråde alle å bruke en med "Outlook" i navnet (Outlook/Outlook Express) - og det med uansett hvor aggressiv viruskontroller du har. Så lenge Outlook (og andre programmer) trenger et tredjeparts program for å være "sikker", så gir det en falsk følelse av trygghet. Hva gjør du den dagen da et virus slipper gjennom og overskriver alle filene dine? Bedre å være føre var enn etter snar. Bruk f.eks en annen klient. Sylpheed-claws for windows bruker jeg.

 

Så om du får et virusvedlegg og åpner det når du bruker Sylpheed-claws er du tryggere enn om du åpner et virusvedlegg du har fått i Outlook? Den må du forklare nærmere tror jeg. Hvordan er jeg, med Outlook 2003 helt uten html-lesing, mer utrygg enn du er med Sylpheed-claw? Du trenger ikke være redd for å komme med tekniske beskrivelser her, så vær så snill, fortell meg hvorfor jeg er så utrygg. Jeg har heller ikke scanning av vedlegg automatisk, virusbeskyttelsen trår ikke til før jeg faktisk åpner et vedlegg.

 

Edit: Feilquoting

Endret 3. januar 2005 av TEE