Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  16 2577
d3ath-jr
166 11
3. oktober 2008
Hei,

På skolen har vi nå fått bærbare pc'r og vvi har fått med ett antivirus program kallt trend micro officescan. Men jeg har ett problem. Når jeg skal disable/unloade det for en liten stund ber det om et passord. Så det jeg lurer på er om noen her vet om en måte å få tak i det passordet eller en måte å gå rundt det...

Takk
Unicron2k
174 26
3. oktober 2008
1234
12345
123456

En av de brukte jeg Det er foresten samme passord hvis du skal avinstalere, så jeg råder deg til å fjerne det og instalere er annet, som f.eks. nod32 eller AVG Free
Balsfjordingen
104 10
3. oktober 2008
Skal du ikke bruke trend, så er det jo bare å avinstallere det.
I troms er i værtfall passordet 123456.
ranvik
Hva er neste?
ranvik's Avatar
4.402 1.381
3. oktober 2008
det er bare stopp servicen og så avinstaller det. som alle sier :-)
d3ath-jr
Trådstarter
166 11
3. oktober 2008
Ok takker for svar. 12345 osv er ikke passordet, og jeg har ikke tenkt til å avinnstallere det helt.

Her er ivertfall MD5 hashen så kan noen med syke Rtables kanskje sende meg PM på hva passordet er. *hint* LeChuck *hint*

Master_Pwd=!CRYPT!523ABE7E2B661E6A03120A1D3F6E364D621C6DFCC1 8E84BB939C0CA0D05F8269B69367655357862B88940617A6E
EvasioN
10 0
3. oktober 2008
Har det samme. Passordet på vår var trendkill.
Balsfjordingen
104 10
4. oktober 2008
Du kan også avslutte officescan med CMD;
Skriv: "net stop tmlisten"
så skriver du: "net stop ntrtscan"
Pyro_Killer
Pyro_Killer's Avatar
846 56
4. oktober 2008
Vil ikke virke slem, men:
[color=red]BRUK GOOGLE FOR FAEN!!!!!![/color]
http://www.google.no/search?q=trend+...escan+password

øverste linkene:
http://www.jacksontechnical.com/article.htm?id=30
http://wiki.answers.com/Q/How_do_you..._Scan_Password
http://www.antionline.com/showthread.php?t=259414

De to øverste har samme svar, og den tredje fungerer mest sansynlig også,
d3ath-jr
Trådstarter
166 11
4. oktober 2008
Men så har det seg sånn at jeg faktiskt har prøvd dette men uten resultat, og JA jeg har brukt "GOOGLE FOR FAEN", men uten resultat. Derfor henvender jeg meg heller hit for å kanskje få litt bedre hjelp. Men takk uansett.
eNzONE
97 12
6. oktober 2008
Dette var allerede postet på nFF, så søk litt bedre neste gang
############################################################ ############

Trend Micro OfficeScan encrypted MD5 passwords
by Luigi Auriemma
e-mail:
web: aluigi.org

############################################################ ############


Trend Micro OfficeScan encrypts the MD5 hashes of the stored passwords
(master, uninstall and unload) in the file Ofcscan.ini sometimes called
also settings.ini.
That means you will not able to retrieve the original password but ONLY
it's MD5 hash.

The strings you see in this file have a name that finishes ever with the
_Pwd text and have the format !CRYPT!HEX_STRING like the following
examples:

Master_Pwd=!CRYPT!0123456789ABCDEF0123456789ABCDEF0123456789 ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789A
Uninstall_Pwd=!CRYPT!0123456789ABCDEF0123456789ABCDEF0123456 789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789A
Unload_Pwd=!CRYPT!0123456789ABCDEF0123456789ABCDEF0123456789 ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789A

The hash after !CRYPT! is passed to a function which decrypts it using
the keys Virus3761267Trend and Windows7621673NT.

Actually I don't have time to work on an open source version of this
algorithm so an enough quick solution for decrypting these *_Pwd hashes
is using a debugger (like the great Ollydbg http://www.ollydbg.de) and
set a breakpoint at the offset in which starts the decryption (in
Ollydbg when the executable is loaded or the process is attached press
CTRL+G, type the offset and then press F2, when you reach the function
press F8 for advancing step-by-step).

The following are the decryption and ecryption offsets of some versions
of PccNTMon.exe:

5.5.0.2021
decrypt: 00419d4e
encrypt: 00419ca3

5.58.0.1063
decrypt: 004193ae
encrypt: 00419303

5.58.0.1164
decrypt: 0041a2ae
encrypt: 0041a203

6.5.0.1402
decrypt: 0041594e
encrypt: 004158a3

7.0.0.1160
decrypt: 0041593e
encrypt: 00415893

7.0.0.1206
decrypt: 0041592e
encrypt: 00415883

7.3.0.1020
decrypt: 00417a1e
encrypt: 00417973

Example of assembly code at the decryption offset:

0041593E 51 PUSH ECX ; output buffer for the decryption
0041593F 68 08A24400 PUSH pccntmon.0044A208 ; ASCII "Windows7621673NT"
00415944 68 F4A14400 PUSH pccntmon.0044A1F4 ; ASCII "Virus3761267Trend"
00415949 8D95 0060FFFF LEA EDX,DWORD PTR SS:[EBP+FFFF6000]
0041594F 52 PUSH EDX ; encrypted hash
00415950 E8 4BF8FFFF CALL pccntmon.004151A0 ; the decryption function
00415955 83C4 10 ADD ESP,10
00415958 8D85 03C0FEFF LEA EAX,DWORD PTR SS:[EBP+FFFEC003] ; EAX points to the MD5 hash

The decrypted MD5 hash (so from encrypted hash to the original MD5 hash
of the password) will be pointed by EAX (the LEA instruction) and it's
just the string which starts from the third char of the output buffer.

Output buffer after the decryption:

1230123456789ABCDEF0123456789ABCDEF
| |
| MD5 hash
the 3 useless bytes

Since this is a MD5 hash there are some good chances to retrieve the
original password using an online MD5 cracker like the excellent service
at Milw0rm:

http://www.milw0rm.org/cracker/

A different thing instead are the proxy passwords which are handled
using the PWDDecrypt and PWDEncrypt functions in PWD.DLL.
This method is used by the Proxy_Pwd and Internet_Proxy_Pwd encrypted
strings in Ofcscan.ini and by the ProxyPwd password located in the
registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Pc-cillinNTCorp\CurrentVersion

I have not tested it but the result should be the plain-text password.


############################################################ ############
Vis hele sitatet...
Denne så også litt lovende ut:
http://www.mydigitallife.info/2008/0...dition-client/
Sist endret av eNzONE; 6. oktober 2008 kl. 23:21.
d3ath-jr
Trådstarter
166 11
7. oktober 2008
Har lest den og funnet md5 men online crackeren til milw0rm klarer den ikke..

Hvis punkt 1 på den sia du linker til funker så er jo det en grei måte å unloade Trend micro.

Takk
nikeman
nikeman's Avatar
60 9
7. oktober 2008
Hei, jeg har også hatt samme problem på min skolePC.

Noen på trinnet skaffa en fix for det:P

legger ved en tutorial på åssen du skal gjøre det. Følg den til punkt og prikke.


1. Gå inn på OfficeScan Client mappa
2. Åpne Ofcscan.ini filen(txt-fil)
3. Gå ned til Ini_Client_Section
4.Bytt ut det som kommer etter Uninstall_pwd med:
!CRYPT!5237C1A1888FAFC830342D0AB1AD8410C995F3E7C1FBB9FE857C7 B1FEBE9F84A93A1B9CEF52810DBA9649332838
5. Bytt ut Unload_pwd med:
!CRYPT!5237C1A1888FAFC830342D0AB1AD8410C995F3E7C1FBB9FE857C7 B1FEBE9F84A93A1B9CEF52810DBA9649332838
6.Lagre.
7. Unload OfficeScan og bruk passord: novirus
d3ath-jr
Trådstarter
166 11
7. oktober 2008
Hmm.. av en eller annen grunn funker det ikke... er sikkert den nyeste oppdateringa som fiksa det

Går du på greåker eller?
eNzONE
97 12
7. oktober 2008
Om det kun brukes en kryptering, og den er like uansett hvilken PC du bruker, så kan du prøve å installere Office Scan med samme versjon som på skolen på en hjemmepc, og sette passord på det. Du kan så kopiere den det nye krypterte passordet fra Ofcscan.ini filen, og lime det inn den samme filen som du har på skolepcen. Sjekk også at det ikke er noen reg keyer som inneholder det gamle krypterte passordet på skolepcen.
nikeman
nikeman's Avatar
60 9
9. oktober 2008
Ja, det burde ihvertfall fungere.

Jeg går på skole i østfold, mulig vi har en annen versjon av TrendMicro enn deg.

Sitat av d3ath-jr
Hmm.. av en eller annen grunn funker det ikke... er sikkert den nyeste oppdateringa som fiksa det

Går du på greåker eller?
Vis hele sitatet...

Ja, det burde ihvertfall fungere.




Nei, men jeg går på skole i østfold jeg også, så vi har samme system.
Det fungerer på min PC selv etter patchen, men det kan være lurt å lage en backup av ini-filen, fordi TrendMicro oppdaterer seg selv ganske ofte, og da funker det ikke lenger.

OT: Dobbelpost fordi man ikke kan redigere etter 5min.
zixipuz
127 7
9. oktober 2008
der jeg gikk på skole før hadde vi samme greiene, brukte bare skolepassordet jeg hadde på brukeren min... det fungerte i allefall den gangen, worth a try
▼ ... over et år senere ... ▼
yzfr1
1 0
4. november 2010
Sitat av nikeman Vis innlegg
Hei, jeg har også hatt samme problem på min skolePC.

Noen på trinnet skaffa en fix for det:P

legger ved en tutorial på åssen du skal gjøre det. Følg den til punkt og prikke.


1. Gå inn på OfficeScan Client mappa
2. Åpne Ofcscan.ini filen(txt-fil)
3. Gå ned til Ini_Client_Section
4.Bytt ut det som kommer etter Uninstall_pwd med:
!CRYPT!5237C1A1888FAFC830342D0AB1AD8410C995F3E7C1FBB9FE857C7 B1FEBE9F84A93A1B9CEF52810DBA9649332838
5. Bytt ut Unload_pwd med:
!CRYPT!5237C1A1888FAFC830342D0AB1AD8410C995F3E7C1FBB9FE857C7 B1FEBE9F84A93A1B9CEF52810DBA9649332838
6.Lagre.
7. Unload OfficeScan og bruk passord: novirus
Vis hele sitatet...
Fungerte fint for meg :-) takk!