Avatar billede jernespand Nybegynder
29. november 2004 - 10:44 Der er 12 kommentarer og
2 løsninger

spyware javascript (eller virus)

Såden her ser kilden på alle hjemmesider ud. Andre har det samme problem, ingen har en løsning til at fjerne det.
Jeg HAR prøvet Adaware,Xoft Spy,Spybot Search&destroy,Norton antivirus, windows update. Alt er opdateret.
Intent program kann fjerne dette script!?
Har prøvet at afinstallere firewallen, og lukker for windows popup-blocker. Jeg kører XP med sp2 og alle opdateringer.
-------------------------------------------------

<SCRIPT LANGUAGE="JavaScript">
<!--
var mUpTime=new Date(0);
RealOpenWindow = window.open ;
function RecordMUpTime(){mUpTime = new Date();}
function MyWndOpen(url,name,attribute)
{
    if(mUpTime)
    {
        var openTime=new Date();
        openTime.setTime(openTime.getTime()-mUpTime.getTime());
        if ( openTime.getSeconds() < 2 )
            return(RealOpenWindow(url,name,attribute));
    }
}
function NoError(){return(true);}
function moveTo(){return true;}
function resizeTo(){return true;}
onerror=NoError;
window.open=MyWndOpen;
//-->
</script>


<html>
<body>
</body>
</html>



<SCRIPT LANGUAGE="JavaScript">
<!--
if(document.layers){document.captureEvents(Event.MOUSEUP);}
document.onmouseup=RecordMUpTime;
//-->
</script>
Avatar billede jernespand Nybegynder
29. november 2004 - 10:46 #1
Jeg mener. Dette skript vises i kilden på alle hjemmesider jeg besøger på internettet. Og af det samme bliver hjemmesidernes egne script ofte forstyrret. Har haft dette i ca. 2 uger nu og har ikke fundet en løsning, men fundet mange andre der har samme problem.
Avatar billede jernespand Nybegynder
29. november 2004 - 12:37 #2
ehm. . der er ngoet glat med denne kategori. . den kann ikke findes ellar noget. . opretter under -> sIkkerhed
Avatar billede roenving Novice
29. november 2004 - 13:10 #3
Det ligner en popupstopper-ting, nogenlunde som NIS (Norton Internet Secutity) laver det, ved at overtage window.open ...
Denne er dog umiddelbart mere intelligent, da den tillader popups, hvis de kommer mindre end 2 sekunder efter at man har sluppet en museknap.
Så konklusionen er, at du har fået lagt en popup-stop-ting på, så du må undersøge hvilket af dine programmer, som tilføjer dette !-)
Avatar billede roenving Novice
29. november 2004 - 13:33 #4
-- og principielt er det ikke tilladt at have flere åbne spørgsmål om det samme, så du bør hurtigst muligt lukke de andre !-)
Avatar billede jernespand Nybegynder
29. november 2004 - 14:00 #5
ok jeg lukker det andet.
Men mit problem er at jeg finder ikke ud af hvad program forårsager det her. Fordi jeg ikki har nogen popup-blocker installeret ?! ikke som  jeg ved af.
Jæg prøvede at installere  firefox, det gør det samme.
Nogle forslag ?
Avatar billede roenving Novice
29. november 2004 - 14:07 #6
Hvilke indstillinger har din/jeres firewall ?-)
Avatar billede jernespand Nybegynder
29. november 2004 - 14:13 #7
jeg har afinstalleret firewallen og antivirus, ingen ændring.
Avatar billede roenving Novice
29. november 2004 - 14:21 #8
Prøv 'langsomt' at fjerne de processer, som kan tænkes at have noget-som-helst med den opførsel at gøre ...

Jeg er ik' li'e ekspert på det område, men f.eks. den følgende kunne man forestille sig havde en funktion !-)

C:\Program Files\GFI\LANguard Network Security Scanner 3\sscansvc.exe
Avatar billede jernespand Nybegynder
29. november 2004 - 14:47 #9
ok. har lukket alle processer som vil lukkes. Kun eg håndfuld tilbage, alle normale under windows. Stadig det samme problem.
Avatar billede tonnybrandt Nybegynder
30. november 2004 - 00:58 #10
Måske problemet kan ses i en HiJackThis log ?

Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Derefter udpakker du Hijackthis og smider filen i en mappe, oprettet kun til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Avatar billede jernespand Nybegynder
01. december 2004 - 11:49 #11
Her er HiJackThis loggen:
START
----------------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 10.45.56, on 01-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\GFI\LANguard Network Security Scanner 3\sscansvc.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Dell\Bluetooth Software\BTTray.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Documents and Settings\Bruger\Start Menu\Programs\Startup\EyeDropper.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL$MSDE\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SQLFAR\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\Persits Software\AspEmail\BIN\EmailAgent.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Visual Studio\Common\IDE\IDE98\DEVENV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Empty Temp Folders 2.8.3\emptemp2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bruger\Desktop\Appz\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: EyeDropper.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2FB42B58-A74B-49B3-A6EA-53F0FB8483D2} (AdminimizerX.Editor) - http://www.adminimizer.com/cabs/13-b/AdminimizerX.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://www.kvinna.fo/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1048D74-B3E7-4690-BAC4-9DCB6CB3501D}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
----------------------------------------------------------
END
Avatar billede tonnybrandt Nybegynder
01. december 2004 - 11:56 #12
Loggen er faktisk ren, men det undrer mig at du har sat en proxyserver ind på port 80.
Hvorfor egentligt det ?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:80
Avatar billede jernespand Nybegynder
01. december 2004 - 12:06 #13
hmm.  .det ved jeg faktist ikke..
Nåmen tilbage til scriptet.
Hvad i alverden kan dette være ?--
Avatar billede jernespand Nybegynder
01. december 2004 - 12:12 #14
Jeg har fundet løsningen.... Et lorte program kaldet NetPeeker!
Jeg afinstallerede det og er nu fri igen ;)
HURRA!
Ellers takk for hjelpen :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester