NielsT, thanx voor jouw reactie!

Wanneer je op softpedia Issopack 4.6 download krijg je ook spyware! Er verander iets in de cookies of zo, cybercriminelen plaats duisteren gevens in je cookies zodat je webbrowser allemaal Nep anti-virus links opent.
Een geinfecteerd computer is nooit meer schoon krijgen, er rust maar een ding dat is formateren en opnieuw partitioneren.

Volgens mij is het systeem zelfs nog steeds exploitbaar na een infectie; de rpc operation NetprPathCompare kan ook worden gebruikt om de vulnerability te triggeren. De bug zelf zat niet direct in de NetPathCanonicalize, maar in een interne path canonicalizing functie die ook door NetprPathCompare word aangeroepen.

Bedoel je te zeggen dat [url=http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]MS08-067[/url] de bug niet volledig patched, of bedoel je dat de "patch" van Conflicker het gat maar gedeeltelijk dicht?

Wat Googlen hierover levert interessante info op, maar onvoldoende gedetailleerd, bijvoorbeeld:
- [url=http://msdn.microsoft.com/en-us/library/cc247259(PROT.10).aspx]MSDN NetprPathCompare beschrijving[/url] (direct daarvoor staat NetprPathCanonicalize)
- Vergelijkbare info in een kennelijk afgelopen maand door Microsoft gepubliceerde [url=http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-SRVS%5D.pdf]PDF file[/url] getiteld "[MS-SRVS]: Server Service Remote Protocol Specification".

Zo te zien een zeer leeswaardig PDF artikel lijkt [url=http://www.symantec.com/avcenter/reference/Vista_Network_Attack_Surface_RTM.pdf]Windows Vista Network Attack Surface Analysis[/url] echter niet in deze context (het noemt wel beide functienamen maar gaat er niet op in - wel veel info over Teredo en IPv6).

Het eerste wel van toepassing zijnde artikel m.b.t. NetprPathCompare en NetprPathCanonicalize vond ik [url=https://www.mysonicwall.com/SonicAlert/index.asp?ev=article&id=74]hier[/url]: Met name die laatste regel lijkt in tegenspraak met wat jij beweert, maar het zou best kunnen dat jij gelijk hebt.

Het tweede van toepassing zijnde artikel is [url=http://www.nynaeve.net/?p=226]deze[/url]: hierin beschrijft Nynaeve dat hij/zij m.b.v. reverse engineering heeft vastgesteld dat Microsoft met MS08-067 "netapi32!NetpwPathCanonicalize" gepatched heeft.

Kortom, Heb je zelf aanwijzingen dat er elders een lek zit, of een URL hierover?

Ik blijf me weer verbazen, de enige methode om een pc goed te cleanen is nog altijd een format.
er zijn weet niet hoeveel fix-tooltjes die een virus verwijderen maar onderwater nog van alles "vergeten" op te ruimen zoals bijvoorbeeld een backdoor of een rootkit met als gevolg dat het virus wel weg is maar de echte zooi niet.

waar ik me ook wel eens over verbaas is:
systeembeheerders die op een gehackte machine een service op disabled zetten(die door een hacker is geïnstalleerd) en dan denken dat de server weer clean is.
Of erger: de server netjes formatteren en een schone installatie geven, en dan daar weer hetzelfde account + wachtwoord + ipdress + hostnaam opzetten.(en natuurlijk met remote desktop en/of de shares open)

ik vind het gewoon onzin! ik heb helemaal geen virusscanner, nergens last van!

Wil niet zeggen dat je niets te pakken hebt...

http://blog.tenablesecurity.com/2008/10/network-and-cre.html

Vreemd, ik partitioneer eerst en dan formateer ik.
Alleen wie weet nu wat Conflicker nu echt gaat doen,
ik zie/lees een hoop speculaties , alleen niemand weet het fijne ervan.

Groet Hot Burmees