[lameXpert]

Spybot Search and Destroy Detection Update 2005-03-03

[lameXpert]

Idézet

Scripting and Microsoft Windows AntiSpyware (Beta)
By The Microsoft Scripting Guys
You just installed Microsoft Windows AntiSpyware, and now you’re having difficulties with your scripts. Here’s some insight into what’s happening and what to do about it.



Scripting and Microsoft® Windows AntiSpyware (Beta)
So a few months ago you dutifully installed Windows XP Service Pack 2 on all your computers, then saw your life flash before your eyes when you discovered that you could no longer use your system administration scripts (or any other system administration tool besides Group Policy) to remotely manage those computers. Fortunately, that story had a happy ending: based on the knowledge gained from a Tales from the Script column and from a number of sample Service Pack 2 scripts found in the Script Center, you were able to regain the ability to use scripts to manage those machines. No doubt it was quite a shock to find out that your scripts were temporarily disabled, but at least you knew that this was a once-in-a-lifetime experience, and could rest assured that your scripts would now work forever and ever.

And then you downloaded and installed the beta version of the new Microsoft® Windows AntiSpyware utility.

As many of you know from painful experience, spyware is software that gathers personal information about you and/or reconfigures your computer settings, all without your knowledge or permission. Sometimes spyware is just a nuisance: it might continually reset your Internet Explorer home page. At other times spyware is downright malicious; some programs, for example, steal the credit card number you type in when ordering something over the Internet. Needless to say, a utility that can get rid of spyware is a utility worth having. That makes AntiSpyware a must for anyone concerned about Internet security.

Unfortunately, though, there is at least one drawback to AntiSpyware. Install AntiSpyware and run the program in real-time mode. Now try to run one of your VBScript or JScript scripts. The script won’t run; instead, you get a message box telling you that someone is trying to run a script on your computer and asking whether you want to allow the script to run or want to block the script from running. If you choose to block the script, not only will the script not run, but it will be marked as a script that should never be run. If you try to run the script later on, you will be notified that the script has been blocked. You will then need to remove the script from the list of blocked scripts before you can run it.

Note. As indicated above, AntiSpyware blocks VBScript (.vbs) and JScript (.js) files; it also blocks Windows Script Files (.wsf). In other words, it blocks files run by Windows Script Host. AntiSpyware does not block Perl scripts, Python scripts, or scripts that run under a script host other than Windows Script Host.

Of course, even if you allow the script to run, your problems aren’t necessarily over. When you try to run a script, AntiSpyware “freezes” the script until you make a decision whether or not you want the script to run. If you choose the run the script, AntiSpyware will restart the script and run it; however, the script will restart from the %windir%\System32 folder. That can cause problems for scripts that expect to find other resources – such as a log file – in their home directory. Ouch.

On top of that, allowing a script named MyScript.vbs to run ensures that you will be able to run this script from now on. However, this does not provide blanket approval to run any VBScript script; it only authorizes the use of MyScript.vbs. What happens when you try to run MyOtherScript.vbs? You’ll be hit with the message box. What happens if you try to run MyNewScript.vbs? You got it. If – like many system administrators – you have scores of scripts that you run on a regular basis, this can quickly become tedious and time-consuming. On top of that, you might have a script that calls other scripts. When those other scripts get called, they will be frozen and your management activities will come to a screeching halt. And we haven’t even mentioned the fact that AntiSpyware can also interfere with such things as logon scripts and SMS (Systems Management Server) scripts. We said it before and we’ll say it again: Ouch.

So is there a way to work around this problem? Actually, there are several ways to work around it. For one, you could turn off AntiSpyware’s real-time monitoring, a process explained in this Knowledge Base article. Without the real-time monitoring your scripts will run but, needless to say, you’ll lose the protection afforded by real-time monitoring. At that point, you’d have to consider whether or not it’s even worth having AntiSpyware installed.

If you’d prefer to have your cake and eat it, too (that is, if you’d like to have both real-time monitoring and the ability to run scripts) then all you need to do is start your scripts from the command prompt, making sure to specify the script host. If you double-click a script in Windows Explorer, you’ll get the message box; you’ll get the same message box if you start the script by typing something like this from the command prompt:

myscript.vbs

But simply preface the script name with the script host (Cscript or Wscript) and the script will run without interference. In other words, type something like this at the command prompt:

cscript myscript.vbs

That seems to do the trick. Just make sure any scripts called by this script also reference Cscript or Wscript. For example, don’t use a Run command like this:

Set objShell = CreateObject("Wscript.Shell")
objShell.Run "myscript.vbs"

That’s going to fail (or at least present you with the message box). Instead, change the code so it looks like this:

Set objShell = CreateObject("Wscript.Shell")
objShell.Run "cscript.exe myscript.vbs"

That’s it: include the script host, and you should be able to call the second script without any problem.

In playing around with this we also discovered that AntiSpyware apparently keeps track of allowed and blocked scripts based on the script path. Suppose you allow the script C:\Scripts\MyScript.vbs to run; from then on C:\Scripts\MyScript.vbs will always be allowed to run. What that means is that you could take any other script in C:\Scripts, rename it to MyScript.vbs, and that script will be allowed to run. That’s because the path to that script is on the allowed list. You could run any script you want just by renaming it to one of the allowed scripts. We don’t necessarily recommend you take this approach; it’s much easier to just include the script host when starting the script. However, we thought it might be useful for you to know about this.

It appears that AntiSpyware stores its list of allowed/blocked programs in one of several proprietary databases, databases that aren’t directly accessible. Is it possible to use a script to open one of those databases? We don’t know, but that’s something we’re investigating.

The truth is, we have minimal experience with AntiSpyware; the main reason we looked into it was to investigate customer complaints that the utility was causing problems any time they tried to run their system administration scripts. We’ll take a closer look at AntiSpyware as time allows, and update this article as needed.

[gogyvar]

hi

a segitségeteket kérném
http://www.pandasoftware.com/activescan/co...n_principal.htm al végeztem viruselenörzést
/uj szolgáltatása a spy keresés/ a következöt találta
van Spy Sweeper em és Ad-Aware SE Personal om mit állitsak be rajtuk hogy etöl a save vovtol megszabaduljak vagy milyen programot szerezek be hozzá
elöre is köszike a segitséget

bay

Csatolt fájl:

•  Activescan.txt (0byte)
  Letöltések:: 29

[nyunyu]

Jobb felni, mint megijedni alapon celszeru mindegyik ismert antispy programot felrakni.

Multkor jartam ugy, hogy azt hittem, eleg security patch van a munkahelyi W2k-n, aztan felmasztam egy weblapra, amire nem kellett volna. (lejart egy utility 30 napos probaverzioja, aztan kellett volna meg 2 napig...)
Utana fel napomba tellett, mire le birtam vakarni a fergeket, mert egyszeruen nem lehetett dolgozni a 2 percenkent nyilo pop-up-oktol.

AdAware nagyjat leirtotta, de maradt benn par fereg, amit o leirtottnak irt, de aztan kovetkezo futtataskor megint ott volt.
SpyBot sem tudta rendesen leszedni, vegul kezzel irtottam le a VX2-ot az AdAware weblapjan talalt utmutato alapjan.

Azota rauszitottam a WindowsUpdate-et a gepre, meg naponta ellenorzom, jott-e ki frissites a progikhoz...

[sonar]

Arról nincs infótok,hogy melyik anti spy-ok mennek Win98 alatt?

[Nagy Zoltan Gabor]

Idézet: topeti - Dátum: 2004. márc. 2., kedd - 8:00

Hali!

Az imént egy spy kerülhetett a gépemre, alapértelmezett lapnak a mysearchnow.com oldal jön be.

he, nekem is az volt a kezdõ oldalam aztán én mondjuk kurvára nem értek hozzá, de az agyvizem máris robbant 200 fokon. Nos az én megoldásom az volt, hogy nekem mindig a startlap a kezdõ oldalam mert az barátságos s akárhányszor akartam visszaállitani, nem engedte, én kibasztam vele. 8 virust és 92 tróját kaptam ajándékba és ezek rakták állandóan fel ezt a keresõ webszörcsing faszságot. Szörfözgettem és találtam egy (megnemmondommilyen oldalon) lévõ spy irtó baromságot és rákérdezett, hogy legyen-e õ a kezdõoldalam. naná, aztán amikor ráklikkeltem akkor neg mindig az jött be. Eztán visszaállitottam a startlapra. Most ezt csak azért mondom el, hogy tudd én igy tettem túl magam ezen. Még a trójáktól szabadulgatok. 

[Killer]

Kérdezem a tisztelt kolegákat, hogy ez mi lehet, mert nem takarítja ki semmi.

[ Kattints ide a teljes méretû képhez ]

[dungeon]

Idézet: Killer - Dátum: 2005. ápr. 11., hétfõ - 13:25

Kérdezem a tisztelt kolegákat, hogy ez mi lehet, mert nem takarítja ki semmi.

Szia!

Keresd meg a C:\Windows\System32\drivers\etc\hosts fájlt (Windows helyett szerepelhet WINNT). Nyisd meg a notepad programmal, és keresd meg benne azt a sort, amelyben a 127.0.0.1 IP címhez hozzárendelték az EnigmaSoftwareGroup.com nevet. Ha ez a sor nem tartalmaz semmi más infot, mint a cím és ez a név, akkor töröld ki. Ha tartalmazza még a localhost megnevezést, akkor csak az EnigmaSoftwareGroup.com szövegrészt töröld.

Üdv: dungeon

[Killer]

Idézet: dungeon - Dátum: 2005. ápr. 11., hétfõ - 13:54

Szia!

Keresd meg a C:\Windows\System32\drivers\etc\hosts fájlt (Windows helyett szerepelhet WINNT). Nyisd meg a notepad programmal, és keresd meg benne azt a sort, amelyben a 127.0.0.1 IP címhez hozzárendelték az EnigmaSoftwareGroup.com nevet. Ha ez a sor nem tartalmaz semmi más infot, mint a cím és ez a név, akkor töröld ki. Ha tartalmazza még a localhost megnevezést, akkor csak az EnigmaSoftwareGroup.com szövegrészt töröld.

Üdv: dungeon

Köszönöm a segítséget.

[dungeon]

Idézet: Killer - Dátum: 2005. ápr. 11., hétfõ - 15:04

Köszönöm a segítséget.

Szívesen.

Érdemes elmerengeni azon, hogy miért foglalkozik egy spyware kergetõ a hosts fájl tartalmával. A hosts fájl szerepe a Windows életében a benne tárolt hosztnevek IP címmé történõ feloldása. Amikor a böngészõ programba valaki beírja pl. a www.otp.hu nevet, akkor az általában egy ún. DNS szerver által oldódik fel egy IP címre. A hálózati kommunikációban ennek nagy a jelentõsége, mert a kapcsolat felépítés sohase neveken, hanem IP címeken alapul. A Windows mielõtt hozzáfordulna egy DNS szerverhez, megpróbálkozik a hosts fájllal. Ha a hosts fájlod tartalmazza a www.otp.hu megnevezést, akkor a mellette lévõ IP címmel kezd kommunikálni a géped.

Tegyük fel, hogy valaki készít egy weboldalt, amely kiköpött mása az OTP oldalának. Amikor rákattintasz az online tranzakciós részre, akkor annak a kiköpött mását kapod meg. Tegyük fel, hogy a számládhoz történõ hozzáféréshez egy felhasználói nevet és egy jelszót kell csak megadnod. (Lehet, hogy az OTP-nél ennél szigorúbb követelmények vannak!) Ha ezen az áloldalon adod meg ezeket az információkat, máris tudják a hozzáférési kódodat. Márcsak az a kérdés, hogyan érhetnék el azt, hogy ezzel az áloldallal (pontosabban a mögötte lévõ webszerverrel) kommunikálj.

Tegyük fel, hogy egy spyware progi beszúr egy sort a hosts fájlodba a következõ módon:

www.xxx.yyy.zzz    www.otp.hu

A www.xxx.yyy.zzz az áloldalt üzemeltetõ webszerver címe. Mi a hatása ennek a módosításnak? Amikor beírod a böngészõdbe a www.otp.hu nevet, a Windows kiszedi a hosts fájlból az álszerver IP címét és te az áloldallal fogsz ezek után kommunikálni.

Létezik egy profibb megoldás a hosts fájl manipulálására. Valamelyik spyware egész egyszerûen átregisztrálja a hosts fájlodat egy másik helyen lévõ fájlra. Ha csak saját fejed után mégy, az elõzõ hozzászólásomban említett fájlt ellenõrzöd, és azon semmiféle módosulást nem tapasztalsz. A Windows viszont a másik helyen lévõ fájlt fogja használni.

A spybot tehát ezért keresi a hosts fájlban azokat a bejegyzéseket, amelyek nem egyeznek a DNS szerver által nyilvántartott párosítással. A 127.0.0.1 speciel az ún. loopback adapter IP címe, amely ahhoz szükséges, hogy külön hálózati kapcsolódás nélkül, a saját gépeden futó alkalmazások között tudjál "hálózati" kapcsolatot létesíteni.

Üdv: dungeon

Szerkesztette: dungeon 2005. 04. 11. 14:31 -kor

[Killer]

Valahogy kiszedte a spybot ezt az Enigma izét, de ma reggel lefuttatva ismét megtalálta.
Hogy lehetne megszabadulni túle?
Mi teszi be ujra meg ujra?

Egyébként igy néz most ki a hosts file:


# Modifications by SpyBlocker Software
#
127.0.0.1       localhost
127.0.0.1       pop3.norton.antivirus
127.0.0.1       pop3.spa.norton.antivirus

Szerkesztette: Killer 2005. 04. 12. 07:26 -kor

[dungeon]

Idézet: Killer - Dátum: 2005. ápr. 12., kedd - 8:20

Valahogy kiszedte a spybot ezt az Enigma izét, de ma reggel lefuttatva ismét megtalálta.
Hogy lehetne megszabadulni túle?
Mi teszi be ujra meg ujra?

Egyébként igy néz most ki a hosts file:


# Modifications by SpyBlocker Software
#
127.0.0.1       localhost
127.0.0.1       pop3.norton.antivirus
127.0.0.1       pop3.spa.norton.antivirus

Na ez egészen izgalmas.

A hosts fájlról már írtam néhány érdekességet, ezt folytatom most. Ha a spyware kergetõ talál egy olyan hozzárendelést a hosts fájlban, amely a DNS szerver adatai szerint nem valós, akkor teheti azt, amit a spybot csinált (figyelmeztet rá, netán kitörli!), vagy esetleg átírja az IP címet a 127.0.0.1 loopback címre, ezzel megakadályozva azt, hogy eltérítsék a böngészõdet egy álszerverre.

Csakhogy más esetben is elõfordulhat a 127.0.0.1-es címnek a localhost névtõl eltérõ párosítása! Ha a Norton Antivíruson beállításra került az Email protection opció, akkor a hosts fájlod módosulhat az általad is vázolt módon. Ennek az az oka, hogy a Norton a gépeden elindít egy pop3 szervert, amellyel képes bizonyos e-mailek ellenõrzésére mielõtt azokat megnyitnád. Ez egy plusz védelem, de vannak olyan spyware kergetõk, amelyek nem képesek együttmûködni vele. Az Email Protection funkció kikapcsolható, de valszín itt nem okoz gondot.

Tovább analizálva a bejegyzést, a commentbõl az látszik, hogy korábban feltelepítettél a gépedre egy SpyBlocker nevû szoftvert. Ez is egy spyware kergetõ. Ha csak nincs különös igényed a használatára, javaslom, hogy távolítsd el. Remélhetõleg a Start -> Settings (Beállítások) -> Control panel (Vezérlõpult) -> Add or Remove Programs (Programok hozzáadása vagy eltávolítása) menübõl ez megtehetõ.

Valahol azt olvastam, hogy ez a SpyBlocker alakítja a hosts fájlt oly módon, hogy pl. az EnigmaSoftwareGroup.com is bekerül. Remélem az Uninstall után megszûnik a problémád.

Üdv: dungeon

[Killer]

Komolyan mondod, hogy a Spyblocker csinálja a gondot?
Csak azért, mert fél éve használom és ez a mostani probléma csak 2 napja áll fenn

[dungeon]

Idézet: Killer - Dátum: 2005. ápr. 12., kedd - 13:05

Komolyan mondod, hogy a Spyblocker csinálja a gondot?
Csak azért, mert fél éve használom és ez a mostani probléma csak 2 napja áll fenn

Nem. A gondot az okozza, hogy a Spybot problémának látja azt, amit a Spyblocker tett a hosts fájl módosításával. Az eltávolítást pedig azért javasoltam, mert nem vagyok híve a futassunk egynél több kergetõt elvnek. A koncepcióm: futtassunk egy, eredményes kergetõt.

Egy másik fórumon, egy spywareektõl hemzsegõ gépre javasoltam a CounterSpy 15 napos verziójának használatát, és azt javasoltam, hogy a tisztítás után kerüljön fel a Spybot aktív védelmi beállítással.

Üdv: dungeon

[Killer]

Idézet: dungeon - Dátum: 2005. ápr. 12., kedd - 13:35

Nem. A gondot az okozza, hogy a Spybot problémának látja azt, amit a Spyblocker tett a hosts fájl módosításával. Az eltávolítást pedig azért javasoltam, mert nem vagyok híve a futassunk egynél több kergetõt elvnek. A koncepcióm: futtassunk egy, eredményes kergetõt.

Egy másik fórumon, egy spywareektõl hemzsegõ gépre javasoltam a CounterSpy 15 napos verziójának használatát, és azt javasoltam, hogy a tisztítás után kerüljön fel a Spybot aktív védelmi beállítással.

Üdv: dungeon

Köszi, kipróbálom a javaslatodat.

[Dzsoni]

Nekem fut egy webroot rezidensként, egy ad-watch, etrust 7.1 viruskergetõ, ZA legszigorúbb beállításokkal
cookik blokkolva, bannerok blokkolva, pop-up blokkolva stb.
És persze firefox.
Ezzel az öszzeállítással és beállítással már két hónapja patyolat tiszta a gépem. Kopp-kopp

[darerik]

Idézet: Dzsoni - Dátum: 2005. ápr. 15., péntek - 19:48

Nekem fut egy webroot rezidensként, egy ad-watch, etrust 7.1 viruskergetõ, ZA legszigorúbb beállításokkal
cookik blokkolva, bannerok blokkolva, pop-up blokkolva stb.
És persze firefox.
Ezzel az öszzeállítással és beállítással már két hónapja patyolat tiszta a gépem. Kopp-kopp

Illetve ezek a kergetõk nem jeleznek semmit. Mert ugye így korrekt a meghatározás.

[Lali-213]

Úgy tûnik bekapott a gép valami szép kis sz@rságot! Egy kis hibaüzenettel nyit a windows minden újraindításkor és a Spybot nem tudja leirtani. Íme az eredmény:

BackWeb lite: User settings (Registry key, fixing failed)
  HKEY_USERS\S-1-5-18\Software\BackWeb

BackWeb lite: User settings (Registry key, fixing failed)
  HKEY_USERS\.DEFAULT\Software\BackWeb

A progi megkérdezi, hogy a következõ újraindulásnál lefuttassa-e, de nem csinál semmit.

Szerkesztette: Lali-213 2005. 05. 04. 01:01 -kor

[kromek]

Egy spy telepedett a gépemre. Nem bírok vele. A MS AntySpyware sem bír vele. Tobbek kozott elindit egy scan bart és egy Popupott hoz fel. Lefutattam csokkentett módba is de mindig vissza talál
Ez a Popup ha valaki látta már és tudja hogy lehet eltuntetni azt nagyon kérem szóljon.


Ja nemto megy e még ez a Topik és olvassa e valaki ?

Ez a popup

Csatolt fájl:

•  Image1.jpg (0byte)
  Letöltések:: 11

[kromek]

Ja majd elfelejtem. További gondjaim, hogy a Kedvencek kozé berakott egy sor hívatkozást amit nem találok, hogy kitöröljem. Hol vannak ezek ? Tudja valaki ?
Na meg egy kép a keresõrõl.

Csatolt fájl:

•  1.jpg (0byte)
  Letöltések:: 18