Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
BSOD caused by latest Sunbelt Vipre definitions
29-10-2009, 11:20 door eXpL0iT.be, 8 reacties
Sinds deze morgen hebben we +30 pc’s (zowel intern als bij klanten) die bij het booten van Windows in een endless BSOD loop terug komt. De oorzaak hiervan zijn de laatste virusdefinities van Sunbelt Vipre
De winlogon.exe wordt verwijderd uit system32 bij het booten.
Extra info is te vinden op het forum van Sunbelt:
http://supportforums.sunbeltsoftware.com/messageview.aspx?catid=23&threadid=1802&title=Definition%205474%20&%20JP%20WinXP%20gives%20non%20recoverable%20failure
Op dit ogenblik zoekt een team van 3 man naar een “hotfix”.
UPDATE:
nieuwe virusdefinities released (5476)
FIX:
boot adhv bootable cd/stick - zoek naar winlogon.exe in %windir% + subdirs. Copy/paste winlogon.exe terug naar %system32%
Wis alles in %programfiles%\Sunbelt Software\SBEAgent\Definitions\*.*
De winlogon.exe wordt verwijderd uit system32 bij het booten.
Extra info is te vinden op het forum van Sunbelt:
http://supportforums.sunbeltsoftware.com/messageview.aspx?catid=23&threadid=1802&title=Definition%205474%20&%20JP%20WinXP%20gives%20non%20recoverable%20failure
Op dit ogenblik zoekt een team van 3 man naar een “hotfix”.
UPDATE:
nieuwe virusdefinities released (5476)
FIX:
boot adhv bootable cd/stick - zoek naar winlogon.exe in %windir% + subdirs. Copy/paste winlogon.exe terug naar %system32%
Wis alles in %programfiles%\Sunbelt Software\SBEAgent\Definitions\*.*
Reacties (8)
29-10-2009, 11:55 door
Ilja. _V V
De juiste link is: http://supportforums.sunbeltsoftware.com/messageview.aspx?catid=23&threadid=1802&enterthread=y
Alle entrys zijn door Sunbelt weggehaald.
Alle entrys zijn door Sunbelt weggehaald.
29-10-2009, 12:23 door
Ilja. _V V
Ten eerste neem ik aan dat je winlogon.exe bedoelde, dus daar ga ik even van uit. Dan staat daar een backup van in: C:\WINDOWS\ServicePackFiles\i386. Geen idee of die ook word verwijderd, dus neem ik even aan van wel.
Mogelijk is in C:\WINDOWS\system32 nog wel winlogon.bak aanwezig die je kan terug kopieeren naar winlogon.exe.
Volgende heb ik niet getest, maar als je van de XP-cd start (ben het nu aan het testen met de Vista-cd) & dan de Herstel Console kiest, dan kan je het terug zetten ALS je de Herstel Console daarvoor via Beveiligingsopties is ingesteld op externe media toestaan.
Dan kan je de winlogon.exe terug zetten vanaf de cd, & mocht het niet aangetast zijn via bovenstaand.
Op de cd's staat winlogon.exe ingepakt als WINLOGON.EX_ in \I386 & kan je dan met het commando EXPAND terugzetten in geval de beveiligingsopties geen kopieeren van externe media toestaan.
De Vista-cd doet het even anders, je hebt dan de keuze uit:
Startup Repair
System Restore
Command Prompt
Daarmee kan je ook even of de sunbelt exe hernoemen.
Mogelijk is in C:\WINDOWS\system32 nog wel winlogon.bak aanwezig die je kan terug kopieeren naar winlogon.exe.
Volgende heb ik niet getest, maar als je van de XP-cd start (ben het nu aan het testen met de Vista-cd) & dan de Herstel Console kiest, dan kan je het terug zetten ALS je de Herstel Console daarvoor via Beveiligingsopties is ingesteld op externe media toestaan.
Dan kan je de winlogon.exe terug zetten vanaf de cd, & mocht het niet aangetast zijn via bovenstaand.
Op de cd's staat winlogon.exe ingepakt als WINLOGON.EX_ in \I386 & kan je dan met het commando EXPAND terugzetten in geval de beveiligingsopties geen kopieeren van externe media toestaan.
De Vista-cd doet het even anders, je hebt dan de keuze uit:
Startup Repair
System Restore
Command Prompt
Daarmee kan je ook even of de sunbelt exe hernoemen.
29-10-2009, 14:53 door
Syzygy
Afijn haal die Virus scanner ook maar van je lijstje, een bedrijf dat dit niet van te voren test is wat mij betreft uiterst onbetrouwbaar.
29-10-2009, 15:11 door
Ilja. _V V
Hiren's boot-cd zat ik ook aan te denken, maar die moet je maar net in huis hebben.
Lijkt inderdaad CA wel, wat ik helemaal een kwalijke zaak vind is dat ze de klachten erover op hun forum gecensureerd hebben.
Het is trouwens standaard %SystemRoot%\system32 of %windir%\system32 , %system32% bestaat standaard niet. Als bovendien Winlogon.exe aldaar in quarantine is gezet, dan vindt je het daar ook niet meer terug, want het staat er standaard ook maar één keer in.
Lijkt inderdaad CA wel, wat ik helemaal een kwalijke zaak vind is dat ze de klachten erover op hun forum gecensureerd hebben.
Het is trouwens standaard %SystemRoot%\system32 of %windir%\system32 , %system32% bestaat standaard niet. Als bovendien Winlogon.exe aldaar in quarantine is gezet, dan vindt je het daar ook niet meer terug, want het staat er standaard ook maar één keer in.
29-10-2009, 18:38 door
Syzygy
Winternals, Knoppix noem ze maar op
29-10-2009, 18:45 door
Thasaidon
Zijn dat niet dezelfde gasten als "Kerio personal firewall"?
Zou me niets verbazen, want die crashde ook regelmatig na een update.
Idd jammer dat ze dit dus niet even testen van tevoren.
Zou me niets verbazen, want die crashde ook regelmatig na een update.
Idd jammer dat ze dit dus niet even testen van tevoren.
30-10-2009, 00:45 door
eXpL0iT.be
Ik ben vandaag hele dag op baan geweest om het probleem te fixen bij klanten. Was makkelijk, gewoon bootable stick en cd bij. Meestal stond winlogon.exe nog ergens in een subdir van %windir% was ff naar datum kijken en recentste naar %windir%\system32 gooien dan nog snel die virus defs wissen en klaar.
Hopelijk zal dit voorval niet meer in de toekomst zicht herhalen; zowel zullen we zonder veel twijfel de nodige al dan niet juridische maatregelen treffen.
Hopelijk zal dit voorval niet meer in de toekomst zicht herhalen; zowel zullen we zonder veel twijfel de nodige al dan niet juridische maatregelen treffen.
30-10-2009, 09:25 door
Syzygy
Door eXpL0iT.be: Ik ben vandaag hele dag op baan geweest om het probleem te fixen bij klanten. Was makkelijk, gewoon bootable stick en cd bij. Meestal stond winlogon.exe nog ergens in een subdir van %windir% was ff naar datum kijken en recentste naar %windir%\system32 gooien dan nog snel die virus defs wissen en klaar.
Hopelijk zal dit voorval niet meer in de toekomst zicht herhalen; zowel zullen we zonder veel twijfel de nodige al dan niet juridische maatregelen treffen.
Hopelijk zal dit voorval niet meer in de toekomst zicht herhalen; zowel zullen we zonder veel twijfel de nodige al dan niet juridische maatregelen treffen.
Niet leuk voor jou maar ik zou zeker die firma aansprakelijk stellen voor deze bagger !!
Het is duidelijk dat hier grove nalatigheid in het spel is.
Als ze dit van te voren getest hadden waren zelf wel tegen dit probleem aangelopen.
Jouw uren zal jouw firma in eerste instantie moeten betalen.
Je klanten zullen zeggen, jullie hebben dit geadviseerd dus ruim ook de rommel maar op.
Succes er verder mee, leuk topic wel !!!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.