/ Forside / Teknologi / Internet / Browser / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Browser
#NavnPoint
Klaudi 20366
molokyle 12124
o.v.n. 8114
miritdk 4839
stl_s 3840
refi 3598
dk 2598
arlet 2470
tedd 2383
10  webnoob 2075
hijacked side, har prøvet næsten alt
Fra : Figaro


Dato : 24-08-06 00:23


Jeg er en ivrig forum læser men kan ikke entre siden mere, den er hijacked
af noget der sladrer til www60.overture.com.

Jeg har prøvet pestpatrol, spysweeper, superantispyware, spywareblaser,
spybot og Nav2006. Hijackthis viser ikke noget mistænkeligt at fjerne.
En traceroute til forumup.co.uk er forskellig fra lthy.forumup.co.uk men
alle deres subdomains skal have samme ip som hoveddomænet

Tracing route to forumup.co.uk [67.15.127.26] (Hoveddomænet)

over et maksimum af 30 hop:



1 1 ms 1 ms 1 ms 192.168.1.15

2 3 ms 2 ms 2 ms 87.72.10.2

3 2 ms 2 ms 2 ms 81.161.166.49

4 2 ms 2 ms 2 ms 87.72.98.145

5 3 ms 3 ms 3 ms 213.242.108.149

6 3 ms 2 ms 2 ms ge-0-0-0.mp2.Copenhagen1.Level3.net
[4.68.125.197]

7 16 ms 16 ms 16 ms as-1-0.bbr2.Frankfurt1.Level3.net
[212.187.128.97]

8 16 ms 16 ms 15 ms ae-22-52.car2.Frankfurt1.Level3.net
[4.68.118.48]

9 16 ms 16 ms 16 ms ge-1-8.mpr1.fra1.de.above.net [62.4.64.61]

10 16 ms 16 ms 16 ms po10.mpr2.fra1.de.above.net [64.125.23.142]

11 24 ms 41 ms 23 ms so-3-1-0.mpr3.ams1.nl.above.net
[64.125.23.250]

12 42 ms 23 ms 23 ms so-0-0-0.mpr1.ams5.nl.above.net
[64.125.27.182]

13 34 ms 33 ms 33 ms so-2-0-0.mpr1.lhr2.uk.above.net
[64.125.27.177]

14 111 ms 111 ms 111 ms so-7-0-0.cr1.dca2.us.above.net
[64.125.31.186]

15 122 ms 122 ms 122 ms so-6-1-0.mpr2.atl6.us.above.net
[64.125.27.66]

16 123 ms 122 ms 122 ms so-0-0-0.mpr1.atl6.us.above.net
[64.125.27.49]

17 146 ms 146 ms 146 ms so-4-3-0.mpr2.iah1.us.above.net
[64.125.31.25]

18 146 ms 146 ms 146 ms so-0-0-0.mpr1.iah1.us.above.net
[64.125.31.61]

19 146 ms 146 ms 146 ms t289.216-200-251-166.iah1.us.above.net
[216.200.251.166]

20 147 ms 146 ms 146 ms gphou-66-98-241-27.ev1.net [66.98.241.27]

21 147 ms 146 ms 146 ms gphou-66-98-241-112.ev1.net [66.98.241.112]

22 146 ms 146 ms 147 ms ev1s-67-15-127-26.ev1servers.net
[67.15.127.26]

Trace ended.



Tracing to lthy.forumup.co.uk [64.74.223.198] over et maksimum af 30 hop:
Dette er ip'en som er forkert altså.
Jeg ser en menu med grøn bar foroven og forneden, med links til forskellige
selskaber, bl.a. også danske.


1 1 ms 1 ms 1 ms 192.168.1.15

2 4 ms 2 ms 2 ms 87.72.10.2

3 3 ms 2 ms 2 ms 81.161.166.49

4 3 ms 2 ms 2 ms 87.72.98.145

5 3 ms 3 ms 2 ms 213.242.108.149

6 3 ms 3 ms 3 ms ge-0-0-0.mp2.Copenhagen1.Level3.net
[4.68.125.197]

7 23 ms 22 ms 22 ms ae-1-0.bbr1.London1.Level3.net
[212.187.128.58]

8 174 ms 175 ms 173 ms ae-0-0.bbr2.SanJose1.Level3.net
[64.159.1.130]

9 175 ms 175 ms 176 ms ae-13-51.car3.SanJose1.Level3.net
[4.68.123.13]

10 166 ms 167 ms 165 ms cust-int.level3.net [63.209.15.226]

11 165 ms 167 ms 165 ms border2.pc2-0-bbnet2.sje.pnap.net
[66.151.144.69]

12 * * * Anmodning fik timeout.

13 * * * Anmodning fik timeout.

14 * * * Anmodning fik timeout.

15 * * * Anmodning fik timeout.

16 * * * Anmodning fik timeout.

17 * * * Anmodning fik timeout.

18 * * * Anmodning fik timeout.

19 * * * Anmodning fik timeout.

20 * * * Anmodning fik timeout.

21 * * * Anmodning fik timeout.

22 * * * Anmodning fik timeout.

23 * * * Anmodning fik timeout.

24 * * * Anmodning fik timeout.

25 * * * Anmodning fik timeout.

26 * * * Anmodning fik timeout.

27 * * * Anmodning fik timeout.

28 * * * Anmodning fik timeout.

29 * * * Anmodning fik timeout.

30 * * * Anmodning fik timeout.

Sporing fuldf>rt.

Kan nogen hjælpe med at fjerne dette hijack?

mvh
Martin



 
 
John (24-08-2006)
Kommentar
Fra : John


Dato : 24-08-06 00:42

"Figaro" <figaro@comxnet.dk> skrev i en meddelelse

> Jeg er en ivrig forum læser men kan ikke entre siden mere, den
> er hijacked af noget der sladrer til www60.overture.com.

Prøv om dette program kan ondulere bæstet:
http://majorgeeks.com/BHODemon_d3550.html

Dette program kan blokere adgang til udvalgte adresser:
http://www.geocities.com/ecg81/fastdns.html

Den store tur, trin for trin:
http://forum.grisoft.cz/freeforum/read.php?4,27725

God jagt! Mvh John


Figaro (24-08-2006)
Kommentar
Fra : Figaro


Dato : 24-08-06 02:42

hmm nej, bhodaemonen finder ikke noget, udover en notepad.exe i windows.

Men jeg har deaktiveret 3.parts integration i
internetindstillinger -avanceret, og det hjalp, men hvad jeg så vil mangle
af funktioner, ved jeg ikke lige nu.

mvh
Martin

John skrev:
Prøv om dette program kan ondulere bæstet:
> http://majorgeeks.com/BHODemon_d3550.html
>
> Dette program kan blokere adgang til udvalgte adresser:
> http://www.geocities.com/ecg81/fastdns.html
>
> Den store tur, trin for trin:
> http://forum.grisoft.cz/freeforum/read.php?4,27725
>
> God jagt! Mvh John



Figaro (24-08-2006)
Kommentar
Fra : Figaro


Dato : 24-08-06 15:07

Jeg kan se at teatimer tillader ænding af noget der kalder sig ITBarLayout,
og formentlig er en BHO men stadig ingen programmer finder den. Og
indstillingen i avanceret i browseren hopper hurtigt tilbage på at tillade
3.parts integration igen.

Mvh
Martin

"John" <nogen@pladderballe.ok> skrev i en meddelelse
news:44ece774$0$12629$edfadb0f@dread14.news.tele.dk...
> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>
>> Jeg er en ivrig forum læser men kan ikke entre siden mere, den er
>> hijacked af noget der sladrer til www60.overture.com.
>
> Prøv om dette program kan ondulere bæstet:
> http://majorgeeks.com/BHODemon_d3550.html
>
> Dette program kan blokere adgang til udvalgte adresser:
> http://www.geocities.com/ecg81/fastdns.html
>
> Den store tur, trin for trin:
> http://forum.grisoft.cz/freeforum/read.php?4,27725
>
> God jagt! Mvh John



John (24-08-2006)
Kommentar
Fra : John


Dato : 24-08-06 16:02

"Figaro" <figaro@comxnet.dk> skrev i en meddelelse

> Jeg kan se at teatimer tillader ænding af noget der kalder sig
> ITBarLayout

Oops...: http://www.google.com/search?q=itbar

Har du fået bæstet efter at ha' installeret 'noget', så fjern
'noget' i tilføj fjern programmer...

> og formentlig er en BHO men stadig ingen programmer finder den.

Hmm.. ja, de er dygtige :( BHODemon skulle kunne finde
dyret..har du kigget godt efter..?

Du bruger formentlig også Ad-Aware. Programmet har en funktion,
hvor du kan angive ønsket hjemmeside og søgemaskine. Åbn
Ad-Aware, klik på tandhjulet, vælg Standarder, angiv ønsket
hjemmeside og søgemaskine. En scanning burde herefter kunne fikse
problemet.

Mvh John


Ukendt (25-08-2006)
Kommentar
Fra : Ukendt


Dato : 25-08-06 01:41

On Thu, 24 Aug 2006 17:02:29 +0200, John wrote:

> Du bruger formentlig også Ad-Aware. Programmet har en funktion,
> hvor du kan angive ønsket hjemmeside og søgemaskine. Åbn
> Ad-Aware, klik på tandhjulet, vælg Standarder, angiv ønsket
> hjemmeside og søgemaskine. En scanning burde herefter kunne fikse
> problemet.

Bare sådan af ren nysgerrighed: Hvilken funktion har disse to
indstillinger? Hvorfor skal Ad-Aware vide hvilke hjemmesider man definerer
som hisset og hint og hvilke af Ad-Awares handlinger påvirkes hvordan af
dette?
--
Venlig hilsen
Kurt Hansen

John (25-08-2006)
Kommentar
Fra : John


Dato : 25-08-06 02:11

"Kurt Hansen" <kurt-snabela-towle-dk> skrev i en meddelelse

> Bare sådan af ren nysgerrighed: Hvilken funktion har disse to
> indstillinger? Hvorfor skal Ad-Aware vide hvilke hjemmesider
> man definerer
> som hisset og hint og hvilke af Ad-Awares handlinger påvirkes
> hvordan af
> dette?

Hvis noget/noget forsøger at hi-jacke (ændre) din valgte
hjemmeside, vil næste Ad-Aware scanning fikse problemet. Der er
en fin dansk Ad-Aware vejledning her, og der findes også en dansk
sprogfil: http://www.spywarefri.dk/manualer/adaware-manual.htm

Mvh John


Figaro (25-08-2006)
Kommentar
Fra : Figaro


Dato : 25-08-06 09:43

hmm ja, hjemmeside beskyttelse, det gør 3 af mine kørende programmer, så der
ændres ikke noget der foreløbig.

Men jeg læste videre på nettet og fik et hint: deaktivere teatimer mens man
kører hijackthis.
Desuden http://forums.spybot.info/archive/index.php/t-1380.html er god.
Jeg fjernede 3 nøgler fra basen vedr. ItBarLayout under toolbar.

Jeg fandt via hijackthis, 3 forekomster af msn.com som linie 2,3 og 4. altså
lige under linien med startpage.
Herefter genstart af pc, og forumet på lthy.forumup.co.uk kan nu ses,
men der kører stadig en eller anden server her på pcen.
Den generer ikke lige nu , men kunne vel komme til det. Når jeg pinger
www1.nuseek.com eller www60.overture.com får jeg svaret 127.0.0.1 og det er
localhost.
Mvh
Figa

"John" <nogen@pladderballe.ok> skrev i en meddelelse
news:44edbf4b$0$3456$edfadb0f@dread11.news.tele.dk...
> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>
>> Jeg kan se at teatimer tillader ænding af noget der kalder sig
>> ITBarLayout
>
> Oops...: http://www.google.com/search?q=itbar
>
> Har du fået bæstet efter at ha' installeret 'noget', så fjern 'noget' i
> tilføj fjern programmer...
>
>> og formentlig er en BHO men stadig ingen programmer finder den.
>
> Hmm.. ja, de er dygtige :( BHODemon skulle kunne finde dyret..har du
> kigget godt efter..?
>
> Du bruger formentlig også Ad-Aware. Programmet har en funktion, hvor du
> kan angive ønsket hjemmeside og søgemaskine. Åbn Ad-Aware, klik på
> tandhjulet, vælg Standarder, angiv ønsket hjemmeside og søgemaskine. En
> scanning burde herefter kunne fikse problemet.
>
> Mvh John



Figaro (25-08-2006)
Kommentar
Fra : Figaro


Dato : 25-08-06 10:14

Okay har været for hurtig, efter at pcen har været slukket, er hijackningen
igang igen. /cry

Figa



"Figaro" <figaro@comxnet.dk> skrev i en meddelelse
news:fKyHg.7$881.1@news.get2net.dk...
> hmm ja, hjemmeside beskyttelse, det gør 3 af mine kørende programmer, så
> der ændres ikke noget der foreløbig.
>
> Men jeg læste videre på nettet og fik et hint: deaktivere teatimer mens
> man kører hijackthis.
> Desuden http://forums.spybot.info/archive/index.php/t-1380.html er god.
> Jeg fjernede 3 nøgler fra basen vedr. ItBarLayout under toolbar.
>
> Jeg fandt via hijackthis, 3 forekomster af msn.com som linie 2,3 og 4.
> altså lige under linien med startpage.
> Herefter genstart af pc, og forumet på lthy.forumup.co.uk kan nu ses,
> men der kører stadig en eller anden server her på pcen.
> Den generer ikke lige nu , men kunne vel komme til det. Når jeg pinger
> www1.nuseek.com eller www60.overture.com får jeg svaret 127.0.0.1 og det
> er localhost.
> Mvh
> Figa
>
> "John" <nogen@pladderballe.ok> skrev i en meddelelse
> news:44edbf4b$0$3456$edfadb0f@dread11.news.tele.dk...
>> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>>
>>> Jeg kan se at teatimer tillader ænding af noget der kalder sig
>>> ITBarLayout
>>
>> Oops...: http://www.google.com/search?q=itbar
>>
>> Har du fået bæstet efter at ha' installeret 'noget', så fjern 'noget' i
>> tilføj fjern programmer...
>>
>>> og formentlig er en BHO men stadig ingen programmer finder den.
>>
>> Hmm.. ja, de er dygtige :( BHODemon skulle kunne finde dyret..har du
>> kigget godt efter..?
>>
>> Du bruger formentlig også Ad-Aware. Programmet har en funktion, hvor du
>> kan angive ønsket hjemmeside og søgemaskine. Åbn Ad-Aware, klik på
>> tandhjulet, vælg Standarder, angiv ønsket hjemmeside og søgemaskine. En
>> scanning burde herefter kunne fikse problemet.
>>
>> Mvh John
>
>



John (25-08-2006)
Kommentar
Fra : John


Dato : 25-08-06 13:59

"Figaro" <figaro@comxnet.dk> skrev i en meddelelse

> efter at pcen har været slukket, er hijackningen igang igen.
> /cry

Suk! Ja, de kan s'gu være ondartede. Du har ellers en række af de
gode værktøjer, og metoden fra AVG-forum'et plejer at være
effektiv. Følger du mon vejledningen punkt for punkt, fx husker
at afbryde systemgendannelse.

Prøv evt: http://www.spywarefri.dk/forum/ De har nogle virkelig
skrappe gutter i dét forum!

Sidste ondartede skrig i malware er rootkits, der er yderst
vanskelige at få ram på. Nye værktøjer er dog på vej, her er ét
af dem, måske forsøget værd:
http://majorgeeks.com/Sophos_Anti-Rootkit_d5238.html

Bemærk: Scanneren installeres i sin egen folder C:\SOPHTEMP. Åbn
folderen, og klik på det nydelige blå skjold.

Jeg har ingen erfaring med rootkits.

Mvh John


Figaro (26-08-2006)
Kommentar
Fra : Figaro


Dato : 26-08-06 01:51

Systemgendannelse er afbrudt fra starten af installationen af xp. Det er
spild af plads hvis det område bliver infekteret. :)
Kittet kørte jeg, men det fandt ikke noget.
Tror nok jeg går til forumet og poster min information, tak for tippet.

Mvh
Figaro


"John" <nogen@pladderballe.ok> skrev i en meddelelse
news:44eef3c8$0$818$edfadb0f@dread12.news.tele.dk...
> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>
>> efter at pcen har været slukket, er hijackningen igang igen. /cry
>
> Suk! Ja, de kan s'gu være ondartede. Du har ellers en række af de gode
> værktøjer, og metoden fra AVG-forum'et plejer at være effektiv. Følger du
> mon vejledningen punkt for punkt, fx husker at afbryde systemgendannelse.
>
> Prøv evt: http://www.spywarefri.dk/forum/ De har nogle virkelig skrappe
> gutter i dét forum!
>
> Sidste ondartede skrig i malware er rootkits, der er yderst vanskelige at
> få ram på. Nye værktøjer er dog på vej, her er ét af dem, måske forsøget
> værd: http://majorgeeks.com/Sophos_Anti-Rootkit_d5238.html
>
> Bemærk: Scanneren installeres i sin egen folder C:\SOPHTEMP. Åbn folderen,
> og klik på det nydelige blå skjold.
>
> Jeg har ingen erfaring med rootkits.
>
> Mvh John



John (26-08-2006)
Kommentar
Fra : John


Dato : 26-08-06 02:08

"Figaro" <figaro@comxnet.dk> skrev i en meddelelse

> Tror nok jeg går til forumet og poster min information

Held og lykke med det!

> tak for tippet.

Velbekomme! Mvh John


Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408866
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste