|
|
 | hijacked side, har prøvet næsten alt
Fra : Figaro |
Dato : 24-08-06 00:23 |
|
Jeg er en ivrig forum læser men kan ikke entre siden mere, den er hijacked
af noget der sladrer til www60.overture.com.
Jeg har prøvet pestpatrol, spysweeper, superantispyware, spywareblaser,
spybot og Nav2006. Hijackthis viser ikke noget mistænkeligt at fjerne.
En traceroute til forumup.co.uk er forskellig fra lthy.forumup.co.uk men
alle deres subdomains skal have samme ip som hoveddomænet
Tracing route to forumup.co.uk [67.15.127.26] (Hoveddomænet)
over et maksimum af 30 hop:
1 1 ms 1 ms 1 ms 192.168.1.15
2 3 ms 2 ms 2 ms 87.72.10.2
3 2 ms 2 ms 2 ms 81.161.166.49
4 2 ms 2 ms 2 ms 87.72.98.145
5 3 ms 3 ms 3 ms 213.242.108.149
6 3 ms 2 ms 2 ms ge-0-0-0.mp2.Copenhagen1.Level3.net
[4.68.125.197]
7 16 ms 16 ms 16 ms as-1-0.bbr2.Frankfurt1.Level3.net
[212.187.128.97]
8 16 ms 16 ms 15 ms ae-22-52.car2.Frankfurt1.Level3.net
[4.68.118.48]
9 16 ms 16 ms 16 ms ge-1-8.mpr1.fra1.de.above.net [62.4.64.61]
10 16 ms 16 ms 16 ms po10.mpr2.fra1.de.above.net [64.125.23.142]
11 24 ms 41 ms 23 ms so-3-1-0.mpr3.ams1.nl.above.net
[64.125.23.250]
12 42 ms 23 ms 23 ms so-0-0-0.mpr1.ams5.nl.above.net
[64.125.27.182]
13 34 ms 33 ms 33 ms so-2-0-0.mpr1.lhr2.uk.above.net
[64.125.27.177]
14 111 ms 111 ms 111 ms so-7-0-0.cr1.dca2.us.above.net
[64.125.31.186]
15 122 ms 122 ms 122 ms so-6-1-0.mpr2.atl6.us.above.net
[64.125.27.66]
16 123 ms 122 ms 122 ms so-0-0-0.mpr1.atl6.us.above.net
[64.125.27.49]
17 146 ms 146 ms 146 ms so-4-3-0.mpr2.iah1.us.above.net
[64.125.31.25]
18 146 ms 146 ms 146 ms so-0-0-0.mpr1.iah1.us.above.net
[64.125.31.61]
19 146 ms 146 ms 146 ms t289.216-200-251-166.iah1.us.above.net
[216.200.251.166]
20 147 ms 146 ms 146 ms gphou-66-98-241-27.ev1.net [66.98.241.27]
21 147 ms 146 ms 146 ms gphou-66-98-241-112.ev1.net [66.98.241.112]
22 146 ms 146 ms 147 ms ev1s-67-15-127-26.ev1servers.net
[67.15.127.26]
Trace ended.
Tracing to lthy.forumup.co.uk [64.74.223.198] over et maksimum af 30 hop:
Dette er ip'en som er forkert altså.
Jeg ser en menu med grøn bar foroven og forneden, med links til forskellige
selskaber, bl.a. også danske.
1 1 ms 1 ms 1 ms 192.168.1.15
2 4 ms 2 ms 2 ms 87.72.10.2
3 3 ms 2 ms 2 ms 81.161.166.49
4 3 ms 2 ms 2 ms 87.72.98.145
5 3 ms 3 ms 2 ms 213.242.108.149
6 3 ms 3 ms 3 ms ge-0-0-0.mp2.Copenhagen1.Level3.net
[4.68.125.197]
7 23 ms 22 ms 22 ms ae-1-0.bbr1.London1.Level3.net
[212.187.128.58]
8 174 ms 175 ms 173 ms ae-0-0.bbr2.SanJose1.Level3.net
[64.159.1.130]
9 175 ms 175 ms 176 ms ae-13-51.car3.SanJose1.Level3.net
[4.68.123.13]
10 166 ms 167 ms 165 ms cust-int.level3.net [63.209.15.226]
11 165 ms 167 ms 165 ms border2.pc2-0-bbnet2.sje.pnap.net
[66.151.144.69]
12 * * * Anmodning fik timeout.
13 * * * Anmodning fik timeout.
14 * * * Anmodning fik timeout.
15 * * * Anmodning fik timeout.
16 * * * Anmodning fik timeout.
17 * * * Anmodning fik timeout.
18 * * * Anmodning fik timeout.
19 * * * Anmodning fik timeout.
20 * * * Anmodning fik timeout.
21 * * * Anmodning fik timeout.
22 * * * Anmodning fik timeout.
23 * * * Anmodning fik timeout.
24 * * * Anmodning fik timeout.
25 * * * Anmodning fik timeout.
26 * * * Anmodning fik timeout.
27 * * * Anmodning fik timeout.
28 * * * Anmodning fik timeout.
29 * * * Anmodning fik timeout.
30 * * * Anmodning fik timeout.
Sporing fuldf>rt.
Kan nogen hjælpe med at fjerne dette hijack?
mvh
Martin
| |
 John (24-08-2006)
| Kommentar
Fra : John |
Dato : 24-08-06 00:42 |
| | |
Figaro (24-08-2006)
| Kommentar
Fra : Figaro |
Dato : 24-08-06 02:42 |
| | |
Figaro (24-08-2006)
| Kommentar
Fra : Figaro |
Dato : 24-08-06 15:07 |
|
Jeg kan se at teatimer tillader ænding af noget der kalder sig ITBarLayout,
og formentlig er en BHO men stadig ingen programmer finder den. Og
indstillingen i avanceret i browseren hopper hurtigt tilbage på at tillade
3.parts integration igen.
Mvh
Martin
"John" <nogen@pladderballe.ok> skrev i en meddelelse
news:44ece774$0$12629$edfadb0f@dread14.news.tele.dk...
> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>
>> Jeg er en ivrig forum læser men kan ikke entre siden mere, den er
>> hijacked af noget der sladrer til www60.overture.com.
>
> Prøv om dette program kan ondulere bæstet:
> http://majorgeeks.com/BHODemon_d3550.html
>
> Dette program kan blokere adgang til udvalgte adresser:
> http://www.geocities.com/ecg81/fastdns.html
>
> Den store tur, trin for trin:
> http://forum.grisoft.cz/freeforum/read.php?4,27725
>
> God jagt! Mvh John
| |
 John (24-08-2006)
| Kommentar
Fra : John |
Dato : 24-08-06 16:02 |
|
"Figaro" <figaro@comxnet.dk> skrev i en meddelelse
> Jeg kan se at teatimer tillader ænding af noget der kalder sig
> ITBarLayout
Oops...: http://www.google.com/search?q=itbar
Har du fået bæstet efter at ha' installeret 'noget', så fjern
'noget' i tilføj fjern programmer...
> og formentlig er en BHO men stadig ingen programmer finder den.
Hmm.. ja, de er dygtige :( BHODemon skulle kunne finde
dyret..har du kigget godt efter..?
Du bruger formentlig også Ad-Aware. Programmet har en funktion,
hvor du kan angive ønsket hjemmeside og søgemaskine. Åbn
Ad-Aware, klik på tandhjulet, vælg Standarder, angiv ønsket
hjemmeside og søgemaskine. En scanning burde herefter kunne fikse
problemet.
Mvh John
| |
Ukendt (25-08-2006)
| Kommentar
Fra : Ukendt |
Dato : 25-08-06 01:41 |
|
On Thu, 24 Aug 2006 17:02:29 +0200, John wrote:
> Du bruger formentlig også Ad-Aware. Programmet har en funktion,
> hvor du kan angive ønsket hjemmeside og søgemaskine. Åbn
> Ad-Aware, klik på tandhjulet, vælg Standarder, angiv ønsket
> hjemmeside og søgemaskine. En scanning burde herefter kunne fikse
> problemet.
Bare sådan af ren nysgerrighed: Hvilken funktion har disse to
indstillinger? Hvorfor skal Ad-Aware vide hvilke hjemmesider man definerer
som hisset og hint og hvilke af Ad-Awares handlinger påvirkes hvordan af
dette?
--
Venlig hilsen
Kurt Hansen
| |
John (25-08-2006)
| Kommentar
Fra : John |
Dato : 25-08-06 02:11 |
|
"Kurt Hansen" <kurt-snabela-towle-dk> skrev i en meddelelse
> Bare sådan af ren nysgerrighed: Hvilken funktion har disse to
> indstillinger? Hvorfor skal Ad-Aware vide hvilke hjemmesider
> man definerer
> som hisset og hint og hvilke af Ad-Awares handlinger påvirkes
> hvordan af
> dette?
Hvis noget/noget forsøger at hi-jacke (ændre) din valgte
hjemmeside, vil næste Ad-Aware scanning fikse problemet. Der er
en fin dansk Ad-Aware vejledning her, og der findes også en dansk
sprogfil: http://www.spywarefri.dk/manualer/adaware-manual.htm
Mvh John
| |
Figaro (25-08-2006)
| Kommentar
Fra : Figaro |
Dato : 25-08-06 09:43 |
|
hmm ja, hjemmeside beskyttelse, det gør 3 af mine kørende programmer, så der
ændres ikke noget der foreløbig.
Men jeg læste videre på nettet og fik et hint: deaktivere teatimer mens man
kører hijackthis.
Desuden http://forums.spybot.info/archive/index.php/t-1380.html er god.
Jeg fjernede 3 nøgler fra basen vedr. ItBarLayout under toolbar.
Jeg fandt via hijackthis, 3 forekomster af msn.com som linie 2,3 og 4. altså
lige under linien med startpage.
Herefter genstart af pc, og forumet på lthy.forumup.co.uk kan nu ses,
men der kører stadig en eller anden server her på pcen.
Den generer ikke lige nu , men kunne vel komme til det. Når jeg pinger
www1.nuseek.com eller www60.overture.com får jeg svaret 127.0.0.1 og det er
localhost.
Mvh
Figa
"John" <nogen@pladderballe.ok> skrev i en meddelelse
news:44edbf4b$0$3456$edfadb0f@dread11.news.tele.dk...
> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>
>> Jeg kan se at teatimer tillader ænding af noget der kalder sig
>> ITBarLayout
>
> Oops...: http://www.google.com/search?q=itbar
>
> Har du fået bæstet efter at ha' installeret 'noget', så fjern 'noget' i
> tilføj fjern programmer...
>
>> og formentlig er en BHO men stadig ingen programmer finder den.
>
> Hmm.. ja, de er dygtige :( BHODemon skulle kunne finde dyret..har du
> kigget godt efter..?
>
> Du bruger formentlig også Ad-Aware. Programmet har en funktion, hvor du
> kan angive ønsket hjemmeside og søgemaskine. Åbn Ad-Aware, klik på
> tandhjulet, vælg Standarder, angiv ønsket hjemmeside og søgemaskine. En
> scanning burde herefter kunne fikse problemet.
>
> Mvh John
| |
Figaro (25-08-2006)
| Kommentar
Fra : Figaro |
Dato : 25-08-06 10:14 |
|
Okay har været for hurtig, efter at pcen har været slukket, er hijackningen
igang igen. /cry
Figa
"Figaro" <figaro@comxnet.dk> skrev i en meddelelse
news:fKyHg.7$881.1@news.get2net.dk...
> hmm ja, hjemmeside beskyttelse, det gør 3 af mine kørende programmer, så
> der ændres ikke noget der foreløbig.
>
> Men jeg læste videre på nettet og fik et hint: deaktivere teatimer mens
> man kører hijackthis.
> Desuden http://forums.spybot.info/archive/index.php/t-1380.html er god.
> Jeg fjernede 3 nøgler fra basen vedr. ItBarLayout under toolbar.
>
> Jeg fandt via hijackthis, 3 forekomster af msn.com som linie 2,3 og 4.
> altså lige under linien med startpage.
> Herefter genstart af pc, og forumet på lthy.forumup.co.uk kan nu ses,
> men der kører stadig en eller anden server her på pcen.
> Den generer ikke lige nu , men kunne vel komme til det. Når jeg pinger
> www1.nuseek.com eller www60.overture.com får jeg svaret 127.0.0.1 og det
> er localhost.
> Mvh
> Figa
>
> "John" <nogen@pladderballe.ok> skrev i en meddelelse
> news:44edbf4b$0$3456$edfadb0f@dread11.news.tele.dk...
>> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>>
>>> Jeg kan se at teatimer tillader ænding af noget der kalder sig
>>> ITBarLayout
>>
>> Oops...: http://www.google.com/search?q=itbar
>>
>> Har du fået bæstet efter at ha' installeret 'noget', så fjern 'noget' i
>> tilføj fjern programmer...
>>
>>> og formentlig er en BHO men stadig ingen programmer finder den.
>>
>> Hmm.. ja, de er dygtige :( BHODemon skulle kunne finde dyret..har du
>> kigget godt efter..?
>>
>> Du bruger formentlig også Ad-Aware. Programmet har en funktion, hvor du
>> kan angive ønsket hjemmeside og søgemaskine. Åbn Ad-Aware, klik på
>> tandhjulet, vælg Standarder, angiv ønsket hjemmeside og søgemaskine. En
>> scanning burde herefter kunne fikse problemet.
>>
>> Mvh John
>
>
| |
John (25-08-2006)
| Kommentar
Fra : John |
Dato : 25-08-06 13:59 |
|
"Figaro" <figaro@comxnet.dk> skrev i en meddelelse
> efter at pcen har været slukket, er hijackningen igang igen.
> /cry
Suk! Ja, de kan s'gu være ondartede. Du har ellers en række af de
gode værktøjer, og metoden fra AVG-forum'et plejer at være
effektiv. Følger du mon vejledningen punkt for punkt, fx husker
at afbryde systemgendannelse.
Prøv evt: http://www.spywarefri.dk/forum/ De har nogle virkelig
skrappe gutter i dét forum!
Sidste ondartede skrig i malware er rootkits, der er yderst
vanskelige at få ram på. Nye værktøjer er dog på vej, her er ét
af dem, måske forsøget værd:
http://majorgeeks.com/Sophos_Anti-Rootkit_d5238.html
Bemærk: Scanneren installeres i sin egen folder C:\SOPHTEMP. Åbn
folderen, og klik på det nydelige blå skjold.
Jeg har ingen erfaring med rootkits.
Mvh John
| |
Figaro (26-08-2006)
| Kommentar
Fra : Figaro |
Dato : 26-08-06 01:51 |
|
Systemgendannelse er afbrudt fra starten af installationen af xp. Det er
spild af plads hvis det område bliver infekteret. :)
Kittet kørte jeg, men det fandt ikke noget.
Tror nok jeg går til forumet og poster min information, tak for tippet.
Mvh
Figaro
"John" <nogen@pladderballe.ok> skrev i en meddelelse
news:44eef3c8$0$818$edfadb0f@dread12.news.tele.dk...
> "Figaro" <figaro@comxnet.dk> skrev i en meddelelse
>
>> efter at pcen har været slukket, er hijackningen igang igen. /cry
>
> Suk! Ja, de kan s'gu være ondartede. Du har ellers en række af de gode
> værktøjer, og metoden fra AVG-forum'et plejer at være effektiv. Følger du
> mon vejledningen punkt for punkt, fx husker at afbryde systemgendannelse.
>
> Prøv evt: http://www.spywarefri.dk/forum/ De har nogle virkelig skrappe
> gutter i dét forum!
>
> Sidste ondartede skrig i malware er rootkits, der er yderst vanskelige at
> få ram på. Nye værktøjer er dog på vej, her er ét af dem, måske forsøget
> værd: http://majorgeeks.com/Sophos_Anti-Rootkit_d5238.html
>
> Bemærk: Scanneren installeres i sin egen folder C:\SOPHTEMP. Åbn folderen,
> og klik på det nydelige blå skjold.
>
> Jeg har ingen erfaring med rootkits.
>
> Mvh John
| |
John (26-08-2006)
| Kommentar
Fra : John |
Dato : 26-08-06 02:08 |
|
"Figaro" <figaro@comxnet.dk> skrev i en meddelelse
> Tror nok jeg går til forumet og poster min information
Held og lykke med det!
> tak for tippet.
Velbekomme! Mvh John
| |
|
|