Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Sinds kort een Internet Explorer 8 fout op één bepaalde computer.

19-02-2010, 18:21 door Ilja. _V V, 21 reacties
Sinds kort een Internet Explorer 8 fout op één bepaalde computer.

Wie weet hier meer over & kan me vertellen wat de mogelijke oorzaak is?

Vanaf de 15de j.l. krijg ik zo af & toe een foutmelding "Er is een onverwachte fout opgetreden & moet worden afgesloten" (Foutenrapport verzenden\niet verzenden: Verzonden). Maar IE word dan niet afgesloten & de gemiddeld vier schermen die bovendien meestal als enige aan heb blijven open staan & werken gewoon (waaronder bv. security.nl).

Sinds gisteren neemt de frequentie toe, één keer per dag. Geen van mijn AV's meld iets ongewoons. Op de andere precies dezelfde computer met XP gebeurd dit niet.

Hier zijn de foutmeldingen gekopieerd uit het logboek, & daarbij viel het me op dat meteen daarna nog een fout gemeld werd waarvoor geen pop-up gegeven word:

Gebeurtenis-ID: 1000
Datum: 15-2-2010
Tijd: 22:10:57
Gebruiker: n.v.t.
Computer: n.v.t.
Beschrijving:
Vastgelopen toepassing: iexplore.exe, versie: 8.0.6001.18702, vastgelopen module: mshtml.dll, versie: 8.0.6001.18876, vastgelopen op: 0x000d676b.

Gegevens:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 69 65 78 ure iex
0018: 70 6c 6f 72 65 2e 65 78 plore.ex
0020: 65 20 38 2e 30 2e 36 30 e 8.0.60
0028: 30 31 2e 31 38 37 30 32 01.18702
0030: 20 69 6e 20 6d 73 68 74 in msht
0038: 6d 6c 2e 64 6c 6c 20 38 ml.dll 8
0040: 2e 30 2e 36 30 30 31 2e .0.6001.
0048: 31 38 38 37 36 20 61 74 18876 at
0050: 20 6f 66 66 73 65 74 20 offset
0058: 30 30 30 64 36 37 36 62 000d676b
0060: 0d 0a ..

Type gebeurtenis: Fout
Bron van gebeurtenis: Application Error
Categorie van gebeurtenis: Geen
Gebeurtenis-ID: 1001
Datum: 15-2-2010
Tijd: 22:11:09
Gebruiker: n.v.t.
Computer: n.v.t.
Beschrijving:
Fout-bucket 1668231759.

Gegevens:
0000: 42 75 63 6b 65 74 3a 20 Bucket:
0008: 31 36 36 38 32 33 31 37 16682317
0010: 35 39 0d 0a 59..

Wie snapt dit???
Reacties (21)
19-02-2010, 20:05 door Anoniem
Ik snap wel dat je beter Firefox kan gebruiken.
19-02-2010, 20:28 door [Account Verwijderd]
[Verwijderd]
19-02-2010, 20:31 door dim
Ik vind de foutlocatie 000d676b in ieder geval terug in deze discussie op de MS website (oorspronkelijk in het Pools, dus door Google Translate gedraaid): http://translate.google.com/translate?hl=en&sl=pl&tl=en&u=http%3A%2F%2Fwww.microsoft.com%2Fcommunities%2Fnewsgroups%2Fen-us%2Fdefault.aspx%3Fdg%3Dmicrosoft.public.pl.internetexplorer%26tid%3D64e33c9d-b016-4369-88b7-8635153c9525%26cat%3D%26lang%3D%26cr%3D%26sloc%3D%26p%3D1

Daar hebben ze het over een probleem met NOD32, en dat het uitschakelen of uninstallen van de browser add-in schijnt te helpen. Of klagen bij ESET support. :)
19-02-2010, 20:36 door [Account Verwijderd]
[Verwijderd]
19-02-2010, 21:17 door Ilja. _V V
Sorry, ik had het er even bij moeten zetten: Ik heb AVG, Windows Defender, HitMan Pro, & OneCare Online heeft de laatste keer ook niets gevonden & er is geen registersleutel teveel gevonden.
Alhoewel ik naar een Poolse schrijver ben vernoemd spreek ik de taal niet, de link werkte niet helemaal bij mij, maar even anders vertaald, & de beschreven foutmelding is hetzelfde, ik krijg alleen de meer informatiecodes niet, waarschijnlijk een Xp\Vista verschil.
Ook misschien nog het vermelden waardig, is dat de fout zich voordoet terwijl ik zelf dus niet aan het browsen ben, IE8 staat alleen aan, & opeen die foutmelding.
Ok, even mshtml.dll naar VirusTotal uploaden dan maar... Zucht... In ieder geval alvast bedankt voor de snelle reacties tot nu toe!.. :-)
19-02-2010, 21:51 door [Account Verwijderd]
[Verwijderd]
19-02-2010, 22:52 door Ilja. _V V
Bij zo'n foutmelding krijg je meestal ook een link met "meer informatie over deze fout" als daar al een ingang over in de dartabase van MS is, bv. "Deze fout word veroorzaakt door Adobe. Ga naar de website van Adobe om een update te verkrijgen". Ik krijg dus alleen de standaardhandleiding hoe zo'n foutmelding, event, te interpreteren...

VirusTotal heeft ook niets gevonden, voor de zekerheid iexplorer.exe ook na laten kijken, niets.

Ok, voor nu neem ik dan maar aan dat een "custom apllication" momenteel eens per dag als ik niets doe iets of iemand via IE8 probeert weg te schrijven, & dat lukt (mag) niet, met de foutmelding als gevolg.
Het is nog niet echt vervelend, dus ik wacht nog even af.
20-02-2010, 11:59 door cowboysec
Ilja,
ik help ook regelmatig mensen in mijn vrije tijd met PC (security) problemen.
Als ik dat zo lees denk ik dat het voor > 80% zeker malware is. Je maakt namelijk de gekste gevolgen mee vor de miljoenen virussen, trojans, bugs etc. zoals naar verwacht ook deze.

1) Ik zelf doe meteen dan snel de explorer plugins uitschakelen en de meeste vreemde verschijnselen zijn dan verdwenen. Door nu add-ons een voor een in te schakelen vind je al snel de boosdoener.

2)Vaak doe ik ook een 2nd opinion bij een of meerdere online virusscanners zoals Housecall van Trendmicro. Die vinden dan vaak ook nog zaken en ruimen die dan op.

3) teruggaan naar een (automatisch) herstelpunt (recoverypoint) van voor de 15 maakt het systeem vaak ook weer goed.

Work around: de volgende week komt er, volgens berichten gisteren op deze site, een update van Microsoft (onder druk van EU) waarin ze je de keuze moeten geven welke browser je wilt gebruiken. Je zou dan een andere browser kunnen nemen voor enkele dagen en daarna weer teruggaan naar IE8.

Samengevat: Meestal is het oplossen van dit soort personal computer (PC) problemen maatwerk en verschilt van situatie tot sitiuatie.

Ik ben benieuwd wat de uiteindelijke oplossing is. Succes.
20-02-2010, 12:36 door Zarco.nl
Gebruik Autoruns: (http://live.sysinternals.com)
- Schakel "Hide microsoft and Windows entries" en verify "Code signatures" in.
- Schakel alle verdachte zaken uit.
- Reboot
- Kijk in Autoruns of er dingen weer ingeschakeld zijn.
- Zo ja, dan heb je mogelijk een trojan o.i.d. te pakken.

Gebruik Combofix: (http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden)
- Schakel je antivirussoftware uit, want er worden PUP's gebruikt.
- Laat de Combofix z'n werk doen.
- Kijk daarna in C:\Qoobox of er dingen in staan die verdacht lijken en upload deze naar Virustotal.com

Gebruik de Kaspersky Rescue Disc (http://www.softpedia.com/get/Antivirus/Kaspersky-Rescue-Disk.shtml)
- Update KAV
- Voer een scan uit
20-02-2010, 16:41 door Anoniem
Misschien kan je gewoon het losse pakket van internetexplorer 8 bij microsoft downloaden.
Dat wil ook wel eens helpen,om een fout te verwijderen.
Pak dan wel de versie in de taal waarin je windows hebt geinstalleerd,en kies de juiste windowsversie,bijvoorbeeld Xp of Vista of Windows7.
Mogelijk moet je dan wel later de plugins die je wil gebruiken opnieuw installeren.
Het kan ook zo zijn dat de plugins gewoon behouden blijven,omdat ze zo in het register zijn geregistreerd,en dan kan explorer als hij gerepareerd is,gewoon de paden waar de plugins geinstalleerd staan weer terug vinden.
21-02-2010, 10:56 door s.stok
AVG Windows Defender & OneCare Online
Volgens mij heb je hiermee nog een grootste rotzooi dan het virus zelf :)

Windows Defender is nog lager dan vuilnis.

Zelf heb ik goede ervaring met Avast en ESET.
Hitman Pro is overigens ook geen slechte maar de gratis versie is lang niet zo goed als hij vroeger was :'(
21-02-2010, 23:50 door Anoniem
Door s.stok: AVG Windows Defender & OneCare Online
Volgens mij heb je hiermee nog een grootste rotzooi dan het virus zelf :)

Windows Defender is nog lager dan vuilnis.

Zelf heb ik goede ervaring met Avast en ESET.
Hitman Pro is overigens ook geen slechte maar de gratis versie is lang niet zo goed als hij vroeger was :'(

Kijk, zo hoor ik het graag. Samen met Windows.

Probeer ook een Malwarebytes' Anti-Malware:
http://www.malwarebytes.org/mbam.php

Maar bij (vermoedelijke) malware/virussen kan ik alleen maar adviseren om je persoonlijke/belangrijke data op een USB o.i.d te zetten en je harde schijf te formatteren en Windows opnieuw te installeren.
>Waarom? je weet maar nooit wat voor infecties er nog meer zijn, je kunt ze niet altijd merken ;-)

"éénmaal geïnfecteerd, is nooit meer gebruiken.". iig niet voor bankzaken etc.
22-02-2010, 10:13 door Anoniem
MBAM, Avast en ESET kan ik zelf ook erg aanbevelen, Hitman Pro overigens ook.

@s.stok
De gratis versie van Hitman Pro is behalve de verwijdermogelijkheden hetzelfde als de betaalde versie, en je kan op een zelf gekozen moment de 30 daagse trial activeren om iets te verwijderen mocht je iets tegenkomen. Jij bent trouwens een van de weinige die de oude versie die tig scanners installeerd en die allemaal tegelijk laat draaien beter vind, de meesten vinden de cloud aanpak een stuk beter :P Maar feit is wel dat de nieuwe Hitman Pro een van de weinigen is die de TDSS/TDL/Alureon rootkit kan verwijderen, en vaak wordt geupdate om ook nieuwere versies van die rootkit op te ruimen.
22-02-2010, 10:19 door Anoniem
@Ilya
Ik zou AVG afraden als antivirus, want vaak komt ie maar mager uit de tests en afgezien van persoonlijke menigen, als je de gratis versie gebruikt, gelijk er af gooien! AVG is namelijk zo lief geweest om de rootkit detectie niet in de free versie te stoppen... Als je een andere gratis AV wilt kan ik Avast! of Avira aanraden. Avira heeft wel een zogenaamd nag-screen, maar als je even op internet zoekt kan je zo een handige registeraanpassing vinden om die uit te schakelen.
22-02-2010, 18:35 door Ilja. _V V
Ik heb dit weekend AutoRuns & ComboFix geprobeerd, & om met AutoRuns te beginnen: Die vond de eerste keer 7 registersleutels waarvan er 6 in HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components verwezen naar niet (meer) bestaande .sys bestanden in Windows\system. Weggehaald.
Ander bestand dat niet aanwezig was about:home in HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components & dat kan kloppen want ik gebruik altijd about:blank.
Net nog even gekeken & vergeleken, & in HKLM\System\CurrentControlSet\Services zijn er 2 registersleutels bijgekomen naar weer niet (meer) bestaande .sys in Windows\system & %userprofile%\Local settings\Temp.

ComboFix heeft verder geen ernstige zaken gevonden.

Ik ben zelf dagelijks bezig om systemen gaande te houden & dit soort problemen voor anderen op te lossen, het is verder ook niet zo dat mijn eigen systemen nooit iets overkomt, maar dit is de eerste keer dat ik niet weet waar het aan ligt, wat de oorzaak is & het dus ook niet zelfstandig kan oplossen.

Wel vallen er na analyse twee kenmerken op: Ten eerste moet (uiteraard) IE8 aanstaan, ten tweede komt de foutmelding alleen voor nadat meer dan 6 uur geen gebruikersinteractie is geweest.
Als het dan malware is, begrijp ik dan weer niet dat het niet overslaat naar de andere computers, waarvan er één identiek is.

Nog even een aanvulling op mijn TS: Na hercontrole van de logboeken blijkt dat de fouten zich de eerste keer voor deden op 14-02-2010 inplaats van 15--2-2010. In totaal heeft de fout zich 4x voor gedaan, met de bucket-fout die er binnen 20 seconden op volgt 8x.

Ik kijk het nog even aan & wacht af, maar ik vermoed dat ik één dezer dager toch over ga op herformatteren...
22-02-2010, 18:45 door [Account Verwijderd]
[Verwijderd]
22-02-2010, 20:25 door Ilja. _V V
Na, de situatie is niet veranderd, in zoverre dat ik een groot deel van het weekend & vandaag bezig ben geweest met het opsporen van de fouten, waardoor er regelmatig gebruikersinteractie is. Ik had dat al aanvullend vermeld in mijn tweede bericht.

Voor de 14de j.l. kwam het regelmatig voor dat er meer dan 24 uur geen interactie was onder dezelfde omstandigheden (security.nl, phpBB-forum zonder reclame, buienradar & schiphol meteo) zonder dat er zich enig probleem voor deed.

Ik begin een beetje te vermoedden dat het een geautomatiseerde hackpoging is, die mislukt omdat het iets probeert wat niet mag.

Voor sites die geen IE8 accepteren heb ik trouwens Opera, maar dat gebruik ik dus zelden...
22-02-2010, 20:44 door Ilja. _V V
Ok, ik heb het denk ik al, aan de hand van de .sys bestanden die AutoRun vandaag gevonden heeft:

Één daarvan is(was): catchme.sys in %userprofile%\Local settings\Temp

http://www.google.nl/search?hl=nl&q=catchme.sys&btnG=Google+zoeken&meta=&aq=f&oq=

Nah, ik ga maar z.s.m. wipen, partitioneren, formatteren & her-installeren... Na 8 maanden mag dat toch sowieso wel...
22-02-2010, 20:50 door [Account Verwijderd]
[Verwijderd]
23-02-2010, 01:49 door Anoniem
je kan ook ff back to basic
ipv uninstall AV om IE te deinstalleren, herstart pc, herinstalleer IE and see if error still resists
23-02-2010, 10:19 door s.stok
"Voor sites die geen IE8 accepteren heb ik trouwens Opera, maar dat gebruik ik dus zelden..."
Doe het liever andersom ;) Internet Explorer heeft een reputatie van vele fouten en secruity bugs.

Het veiligste is nog wel.
Niets tegen Opera overigens: Firefox, met Adblockplus, Beter Privacy, SSL blacklist, WOT (of vergelijkbaar) en als je verstand hebt van de werking van een website NoScript (blokkeert JavaScript).

"ipv uninstall AV om IE te deinstalleren, herstart pc, herinstalleer IE and see if error still resists"
JA! En als dat nu mogelijk zou zijn... maar IE kan je gewoon niet opnieuw installeren! :D Daarom is Windows ook zo bekritiseerd. Dat heb ik overigens ??n keer gedaan en kon toen heel Windows opnieuw installeren!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.