Computerbeveiliging - Hoe je bad guys buiten de deur houdt

BSOD caused by latest Sunbelt Vipre definitions

29-10-2009, 11:20 door eXpL0iT.be, 8 reacties
Sinds deze morgen hebben we +30 pc’s (zowel intern als bij klanten) die bij het booten van Windows in een endless BSOD loop terug komt. De oorzaak hiervan zijn de laatste virusdefinities van Sunbelt Vipre
De winlogon.exe wordt verwijderd uit system32 bij het booten.

Extra info is te vinden op het forum van Sunbelt:
http://supportforums.sunbeltsoftware.com/messageview.aspx?catid=23&threadid=1802&title=Definition%205474%20&%20JP%20WinXP%20gives%20non%20recoverable%20failure
Op dit ogenblik zoekt een team van 3 man naar een “hotfix”.

UPDATE:
nieuwe virusdefinities released (5476)

FIX:
boot adhv bootable cd/stick - zoek naar winlogon.exe in %windir% + subdirs. Copy/paste winlogon.exe terug naar %system32%
Wis alles in %programfiles%\Sunbelt Software\SBEAgent\Definitions\*.*
Reacties (8)
29-10-2009, 11:55 door Ilja. _V V
29-10-2009, 12:23 door Ilja. _V V
Ten eerste neem ik aan dat je winlogon.exe bedoelde, dus daar ga ik even van uit. Dan staat daar een backup van in: C:\WINDOWS\ServicePackFiles\i386. Geen idee of die ook word verwijderd, dus neem ik even aan van wel.
Mogelijk is in C:\WINDOWS\system32 nog wel winlogon.bak aanwezig die je kan terug kopieeren naar winlogon.exe.

Volgende heb ik niet getest, maar als je van de XP-cd start (ben het nu aan het testen met de Vista-cd) & dan de Herstel Console kiest, dan kan je het terug zetten ALS je de Herstel Console daarvoor via Beveiligingsopties is ingesteld op externe media toestaan.
Dan kan je de winlogon.exe terug zetten vanaf de cd, & mocht het niet aangetast zijn via bovenstaand.
Op de cd's staat winlogon.exe ingepakt als WINLOGON.EX_ in \I386 & kan je dan met het commando EXPAND terugzetten in geval de beveiligingsopties geen kopieeren van externe media toestaan.

De Vista-cd doet het even anders, je hebt dan de keuze uit:

Startup Repair
System Restore
Command Prompt

Daarmee kan je ook even of de sunbelt exe hernoemen.
29-10-2009, 14:53 door Syzygy
Afijn haal die Virus scanner ook maar van je lijstje, een bedrijf dat dit niet van te voren test is wat mij betreft uiterst onbetrouwbaar.
29-10-2009, 15:11 door Ilja. _V V
Hiren's boot-cd zat ik ook aan te denken, maar die moet je maar net in huis hebben.

Lijkt inderdaad CA wel, wat ik helemaal een kwalijke zaak vind is dat ze de klachten erover op hun forum gecensureerd hebben.

Het is trouwens standaard %SystemRoot%\system32 of %windir%\system32 , %system32% bestaat standaard niet. Als bovendien Winlogon.exe aldaar in quarantine is gezet, dan vindt je het daar ook niet meer terug, want het staat er standaard ook maar één keer in.
29-10-2009, 18:38 door Syzygy
Winternals, Knoppix noem ze maar op
29-10-2009, 18:45 door Thasaidon
Zijn dat niet dezelfde gasten als "Kerio personal firewall"?
Zou me niets verbazen, want die crashde ook regelmatig na een update.

Idd jammer dat ze dit dus niet even testen van tevoren.
30-10-2009, 00:45 door eXpL0iT.be
Ik ben vandaag hele dag op baan geweest om het probleem te fixen bij klanten. Was makkelijk, gewoon bootable stick en cd bij. Meestal stond winlogon.exe nog ergens in een subdir van %windir% was ff naar datum kijken en recentste naar %windir%\system32 gooien dan nog snel die virus defs wissen en klaar.
Hopelijk zal dit voorval niet meer in de toekomst zicht herhalen; zowel zullen we zonder veel twijfel de nodige al dan niet juridische maatregelen treffen.
30-10-2009, 09:25 door Syzygy
Door eXpL0iT.be: Ik ben vandaag hele dag op baan geweest om het probleem te fixen bij klanten. Was makkelijk, gewoon bootable stick en cd bij. Meestal stond winlogon.exe nog ergens in een subdir van %windir% was ff naar datum kijken en recentste naar %windir%\system32 gooien dan nog snel die virus defs wissen en klaar.
Hopelijk zal dit voorval niet meer in de toekomst zicht herhalen; zowel zullen we zonder veel twijfel de nodige al dan niet juridische maatregelen treffen.

Niet leuk voor jou maar ik zou zeker die firma aansprakelijk stellen voor deze bagger !!
Het is duidelijk dat hier grove nalatigheid in het spel is.
Als ze dit van te voren getest hadden waren zelf wel tegen dit probleem aangelopen.

Jouw uren zal jouw firma in eerste instantie moeten betalen.
Je klanten zullen zeggen, jullie hebben dit geadviseerd dus ruim ook de rommel maar op.

Succes er verder mee, leuk topic wel !!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.