Mainosikkuna http://69.64.170.118/2005HBcam/AdP2/index.htm tai http://ilead.itrack.it/clients/exta...=0&rescale=1&kid=218495&bid=793242&dat=421626 avautuu uuteen välilehteen(Käytössä FF 1.5) tai uudeksi ikkunaksi sillointällöin kotisivuiltani http://koti.mbnet.fi/rttk/example.html ja http://www.netikka.net/pallo/persons.html . Sivut olen uusinut lähdekoodin tarkastanut. Mistä ihmeestä ne pomppaavat? Kotona kaikilla xp ja w2k -koneilla sama juttu. Virusscannerina antivir ja palomuuri Kerio.Ad aware, ewido ja ms antispyware myös käytössä ne eivät löydä mitään. Enkä minäkään??? Tässä yhden hijakki: Logfile of HijackThis v1.99.1 Scan saved at 21:32:13, on 18.1.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\Tclock\tclock.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\JGsoft\EditPadLite\EditPad.exe C:\JAETTU\Ohjelmaa06\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Kello] C:\Program Files\Tclock\tclock.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125388635188 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
Tuo iski silmään. C:\Program Files\JGsoft\EditPadLite\EditPad.exe Tuo ohjelma ei välttämättä ole "pahis", mutta tuota prosessia kun googletat, niin löytyy tuon niminen örkkikin. Loki on puhdas, mutta kannattaa kokeilla poistaa tuo ohjelma ohjauspaneelista, ja katsoa katoavatko ongelmat. Lisäksi FireFoxiin noscript on mukava lisä. Sen saat näin: Työkalut > laajennukset > hae lisää laajennuksia > noscript
Tarkista tämä C:\Program Files\JGsoft\EditPadLite\EditPad.exe täällä -> http://www.virustotal.com/flash/index_en.html
Editpadilla ei ole asian kanssa mitään tekemistä, se vain korvaa(ja sattui olla auki) notepadin. Ja sitä ei ole kaikissa koneissa. *typo* Ja editpad: AntiVir 6.33.0.77 01.19.2006 no virus found Avast 4.6.695.0 01.18.2006 no virus found AVG 718 01.18.2006 no virus found Avira 6.33.0.77 01.19.2006 no virus found BitDefender 7.2 01.19.2006 no virus found CAT-QuickHeal 8.00 01.18.2006 no virus found ClamAV devel-20051123 01.18.2006 no virus found DrWeb 4.33 01.19.2006 no virus found eTrust-InoculateIT 23.71.54 01.19.2006 no virus found eTrust-Vet 12.4.2050 01.19.2006 no virus found Ewido 3.5 01.19.2006 no virus found Fortinet 2.54.0.0 01.19.2006 no virus found F-Prot 3.16c 01.16.2006 no virus found Ikarus 0.2.59.0 01.18.2006 no virus found Kaspersky 4.0.2.24 01.19.2006 no virus found McAfee 4677 01.18.2006 no virus found NOD32v2 1.1371 01.18.2006 no virus found Norman 5.70.10 01.19.2006 no virus found Panda 9.0.0.4 01.18.2006 no virus found Sophos 4.01.0 01.19.2006 no virus found Symantec 8.0 01.19.2006 no virus found TheHacker 5.9.2.076 01.18.2006 no virus found UNA 1.83 01.17.2006 no virus found VBA32 3.10.5 01.19.2006 no virus found
Voisko joku käydä noilla ko. sivuilla ja kertoa tuleeko pop-upit? Ja raportoida tänne niin pääsis vähän alkuun metsästyksessä...
Itselläni ei ainakaan tuota ongelmaa noilla sivuilla ollut. Minulla on käytössäni vielä FireFox 1.07.7
Johtunee todennäköisesti Netstat sivulaskurista. Olen törmännyt samaan ongelmaan sivuilla jossa se on käytössä. Ihmettelen vain sitä miksi sitä kautta tulee kyseisiä huijaussivusto-popuppeja??
Se on mielenkiintoinen juttu; noi pop upit tulee satunnaisesti(käytössä nyt FF1.5) ja ei esimerkiksi kertaakaan operalla, ie:llä en ole kokeillut.
Minulla ne tulee aina kun käytän Exploreria. En kyllä koskaan käytä Exploreria muulloin kun testatessani jotain sivuston haavoittuvuutta. Siihen se on mainio selain..heh Kokeilkaapa myös ensin tyhjentää cookiesit kun testaatte kyseistä pop uppia. Mistähän se poppi tulee jos sitä ei ole koodiin kirjoitettu??
Tietyt haittaohjelmat aiheuttavat pop-uppeja, esim. winlogon-kaapparit Vundo/VirtuMondo ja Look2Me. Niitä ei tosin tuossa HjT-lokissa näy.
En tiedä auttaako CWShredder mutta tuossa nyt on ainakin.. http://koti.mbnet.fi/pattaya1/cwshredder.htm
tarkistetaa pari juttua: eli noita popuppei tulee vaan sillo ku sulla o noi omat sivut auki, niinkö ? vai tulooko niitä muullonki ? jos tulee, niin sitte tehään näin: imuroi blacklight, http://www.f-secure.com/blacklight/try.shtml skannaa sille ja sitte kun valmis laita sen loki tänne. jos se on pitkäkin niin paa se mieluummin emailin liitteenä, illukkaätspywarewarrior.com kiitoos,
Itselläni on FSIS2006 softa joten siinä on itsessään rootkit-ohjelma. Se ei ilmoittele mitään, kuin ei myöskään virustorjunta. Ainakin tällä sivulla tuo pop up kummittelee: www.mansetori.uta.fi/viinikkala (testatkaa siis Explorerilla ja tyhjentäkää cookiesit jos testaatte toisen kerran jne.)
