Jag kan inte för tillfället sitta uppkopplad när jag t.ex skriver mail, inte använda ICQ för då går fanskapet (nån, alltså) in och ändrar min text. När jag skriver så hoppar den andra in i min text och skriver annat skit. Likadant om jag ska skriva in en adress på nätet så sitter han/hon och ändrar. Det är numera full insyn i min dator. Jag har aldrig varit med om nåt hemskare, rätt var det är börjar datorn spela sorgemusik och CD-luckan åker ut och in. Jag kan alltså inte bestämma någonting själv längre. Detta är inte lustigt utan skrämmande!!!

En kompis skickade ett litet program till mig och bad att jag skulle öppna upp det samtidigt som jag var uppkopplad. Han kunde därefter göra följande: öppna/stänga min cd-rom enhet, byta höger/vänster på musknapparna, se allt jag skrev just då (mail, ordbehandling, icq), stänga Windows, låsa öppnade program samt se vad jag har för typ av dator och vad som finns på min hårddisk! Det började lite kul men när han via icq skriver och undrar varför jag har den eller den bilden på honom kvar på hårddisken etc, då stelnade leendet! Programmet heter patch.exe så om ni får det av nån- tex via icq- öppna det inte!

Så här står det på NetBus websida:

Programmet kan användas som ett fjärrstyrt administrativt verktyg eller, troligare, till att skoja med dina vänner på ett lokalt nätverk eller Internet. Programmet bör inte användas till att systematiskt irritera folk.

Syftet med NetBus sägs delvis vara att bevisa bristerna i Microsofts programvaror och det är sannerligen bevisat nu. Men den som använder programmet enligt ovan gör sig skyldig till ett grovt intrång i den personliga integriteten!

Så här blir du i alla fall av med eländet:

Gamla versionen
1. Tryck ctrl-alt-del (Windows 95/98)
2. Titta i listan du nu får upp. Där står (bland massa annat)

Systray

Detta skall bara stå en gång, står det två gånger har du blivit "infekterad" av NetBus. För att stänga av det, markera det SysTray som stavas med stort T, alltså

SysTray

3. Filerna som är Netbus heter SysEdit (eller Patch i nya versionen) och KeyHook.dll

Observera att det finns en riktig sysedit också. Ikonen för det falska SysEdit är ett kugghjul och den falska ligger i \windows katalogen. Det riktiga SysEdit ligger i \windows\system. Storleken på det falska är ca 460 KB, det riktiga är 19 KB)

Hitta den falska SysEdit (som alltså ligger i \windows-katalogen) och välj start -> kör och skriv

c:\windows\sysedit /remove

tryck OK, radera den falska SysEdit. Gör på samma sätt med filen KeyHook.dll.

Nya versionen
Den nya versionen kan bara upptäckas genom att söka efter filen

keyhook.dll

i hela sin dator. Förmodligen finns då också en fil som heter patch.exe i samma katalog som filen keyhook.dll, men den kan blivit omdöpt till något annat. Radera keyhook.dll för att skydda dig. Om du hittar filen patch.exe, välj då start -> kör och skriv

c:\katalogen-som-filen-ligger-i\patch.exe /remove

Går det inte ta bort filen keyhook.dll beror det på att den startas vid uppstart och används sedan av Windows under hela tiden ända tills du stänger av datorn. Så här måste du göra:

Alt 1 (enklast): starta upp datorn i felsäkert läge (du får upp menyn genom att hålla ner F8 under tiden datorn startar upp). Det kommer att ta en stund att starta om i felsäkert läge, men sedan kommer du kunna ta bort filen keyhook.dll

Alt 2 (svårare, här kan man ställa till med saker om man gör fel!): starta regedit genom att trycka på "Start" -> "Kör..." och skriva regedit
När programmet är startat trycker du på F3 och får upp en sökruta. Där skriver du

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices

Har du NetBus 1.7 ska du skriva Run på slutet i stället för RunServices

Detta är stället som talar om för datorn vilka program som skall startas för att Windows skall kunna fungera. Här ligger förmodligen också Netbus. Titta i den högra rutan och se om det någonstans där står

C:\WINDOWS\patch.exe eller C:\WINDOWS\SysEdit.exe

Ta bort värdet om det står där. Starta sedan om datorn, och ta bort filen keyhook.dll

Stort tack till Mike för manualen. Synpunkter/rättelser mottages tacksamt.

Netbus Pro 2.0 (släppt i februari 1999)
tas bort på detta sätt enligt uppgifter på http://indigo.ie/~lmf/nb2.htm. Jag har inte testat själv. Har du en svensk instruktion i att ta bort Netbus 2.0 tar jag tacksamt emot den.

NB2 stores registry information in the HKEY_CURRENT_USER\\NetBus Server registry key. If you have this key in your registry, NB2 may be running on your machine. To determine the port that NB2 uses, check the value of

HKEY_CURRENT_USER\\NetBus Server\\General\\TCPPort

and use the 'netstat -an | find "LISTEN"' command to see if your system is listening on that port. If NB2 is listening, you need to find the NB2 server executable and delete it. The default name is NbSvr.exe, but it can be easily renamed. If NetBus 2.0 is configured to start automatically when your computer boots, the

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\
Windows\\CurrentVersion\\RunServices

registry key will have a registry value called 'NetBus Server Pro' that specifies the full path for the location of the NetBus executable. Use the registry key value to locate and delete the file if you find that NB2 has been installed on your machine without permission.

Marina Walström

Så fungerar NetBus
Till virussidan
Algonet - kolla din dator
Netbuster låter dig hämnas mot NetBusaren. Läs mer i PC Onlines artikel.
InternetWorld tipsar om att du kan ladda hem NetBus med administrationsdelen och den vägen låta NetBus ta bort sig själv.
NoBackDoors sägs ta bort både NetBus och Back Orifice, men jag lämnar inga garantier då jag inte provat själv.
Det är aldrig fel med ett uppdaterat antivirusprogram! De nyaste versionerna av de vanligaste antivirusprogrammen klarar också NetBus.