BeneluxSpoor.net forum
Algemeen => Ditjes en datjes => Topic gestart door: Eelco Storm op 29 July 2011, 12:46:38
-
Als ik sleutelspoor.nl open krijg ik deze melding:
Virus was detected in the content (virus_detected)
Content contained "Trojan-Downloader.JS.Twetti.k" virus. Details: Virus: Trojan-Downloader.JS.Twetti.k; File: main.htm; Sub File: Memory region//packed; Vendor: Kaspersky Labs; Engine error code: 0x00014005; Engine version: 8.0.1.23; Pattern version: 110729.054800.5745316; Pattern date: 2011.07.29 05:48:00
-
zie je bericht nu pas! Als ik naar de site ga heb ik geen enkel probleem. Wat het dan wel is zou ik niet weten. Helaas gaat dat boven mijn pet.
SK
-
Ook ik kreeg de melding bij aanklikken Sleutelspoor.nl. Toegang geweigerd,trojaanspaard gedetecteerd.
-
Als ik sleutelspoor.nl open krijg ik deze melding:
Virus was detected in the content (virus_detected)
Content contained "Trojan-Downloader.JS.Twetti.k" virus. Details: Virus: Trojan-Downloader.JS.Twetti.k; File: main.htm; Sub File: Memory region//packed; Vendor: Kaspersky Labs; Engine error code: 0x00014005; Engine version: 8.0.1.23; Pattern version: 110729.054800.5745316; Pattern date: 2011.07.29 05:48:00
Ook ik kreeg de melding bij aanklikken Sleutelspoor.nl. Toegang geweigerd,trojaanspaard gedetecteerd.
Welke virus scanner, toevallig dezelfde?
Sophos geeft echter ook een melding:
Threat: JS/Sinowal-V
-
Dat zou betekenen dat Luit en ik collega's zijn, melding was namelijk toen ik in de baas z'n tijd zat te internetten... ;D
-
Als ik in Google Sleutelspoor.nl aanklil zegt Avast dat de site mogelijk gehackt is . Ga je verder gooit Avast de deur dus dicht door de melding Trojaans paard
Luit
-
Ook ik krijg de melding van een trojaans paard, mijn virusscanner is van Avast.
Mvg, Jos
-
Norton geeft bij het openen van de site (sleutelspoor.nl) de waarchuwing:
"Web attack: Blackhole Toolkit Website 5.
An intrusion attempt by gghkvjfgfds.com was blocked.
Attacking computer: gghkvjfgfds.com (208.43.93.158,80)"
Succes met zoeken.
Grtz,
Ton
-
Mijne heren,
Daar ik absoluut geen verstand vanzaken in deze heeft, ik weet waar de uit/aan knop van mijn PC zit, en daar houdt het dan ook mee op.
Ik heb de boodschap naar de site beheerder gestuurd met de vraag om het zo spoedig mogelijk op te lossen.
Het vreemde is dat ik nergens last van hebt. Zeelandnet.nl filtert alles netjes zonder probleem
SK
-
Nou dan heeft hij t zeker opgelost want ik krijg gewoon sleutelspoor zonder gezeur te zien (y)
André
-
Helemaal niks opgelost , maar als je een goeie virusscanner aanschaft , dan zou je ook gewaarschuwd worden .
Ik kan al ruim een maand niet meer op de site komen (met een omweggetje naar een rechtstreekse pagina lukt het wel , maar zodra je naar de volgende blz.doorgaat , wordt de toegang weer geweigerd door Sophos )
-
M.i. kunnen er twee dingen aan de hand zijn
Of de site is ge-infecteerd, wat ik persoonlijk een slechte zaak vindt want dit betekent dat de provider waar de site sleutelspoor gehost wordt zijn zaakjes niet voor elkaar heeft. (Laat onverlet dat dit natuurlijk wel kan gebeuren.)
Of de antivirusscanner geeft een zgn. false positive.
Maar ik denk dat het in het kader van deze draad te ver voert om er op door te gaan.
Laten we afwachten wat Sobat's beheerder vindt. En ik zou de anderen willen aanraden om eens een andere scanner te proberen, kijken of het nog steeds gebeurt.
-
[quote
"Web attack: Blackhole Toolkit Website 5.
An intrusion attempt by gghkvjfgfds.com was blocked.
Attacking computer: gghkvjfgfds.com (208.43.93.158,80)"
[/quote] Geeft ook mijn Virrusscanner Norton macfee alleen zegt dat de aanval is afgeslagen.
Maerc
-
Heren (en dames)
Net Sobat via PB "gesproken". Hij is op de hoogte / gaat het doorgeven.
Zullen we dat maar gewoon even afwachten. Ik neem aan dat hij e.a vanzelf hier op het forum zal terugkoppelen
-
Hmmmm, even verder gezocht
Dit is het resultaat van een search door google:
Search Results
Sleutelspoor - [ Translate this page ]
www.sleutelspoor.nl/ - Cached - Block sleutelspoor.nl
This site may be compromised.
Purchase Levitra Online - Safe & Secure Order Processing. Money Back Guarantee! Bonus Pills for Every Order. No Prescription. Free Shipping!
Sobat , waarom Google dit doet weet ik niet,weet ik wel, Google checked hier op, maar dit lijkt cq is niet in orde, ik zou je beheerder enige haast laten maken.
(laat degene die jouw site maakt er ook naar kijken, dit kan wel door een update gekomen zijn.)
of een hack
(Hier (http://www.google.com/support/websearch/bin/answer.py?answer=190597&hl=en&?sa=X&ei=pdsyTsX0DInG-Qbt-LyWDQ&ved=0CBkQpwgwAA) een uitleg van wat deze melding betekent in het Engels)
-
Avast geeft het volgende...
Infection Details
URL: http://www.sleutelspoor.nl/main.htm|%3E{gzip}
Process: file://D:\FireFox\firefox.exe
Infection: js:IFrame-CD [Trj]
Met wat gerommel kan ik de source code bekijken en helemaal onderdaan de pagina wordt er een gecodeerd script geladen..
Ik zie ook dat er een regel is waarmee de webmaster kan inloggen op de server.. waarschijnlijk is deze gebruikt om dit script te injecteren in de site..
-
En ik zou de anderen willen aanraden om eens een andere scanner te proberen, kijken of het nog steeds gebeurt.
Heeft geen zin , Karst Drent heeft enige weken geleden al gemeld dat de site gehaked was
-
??? is dat zo Ronald ? Weet ik niets meer van :-[ ;D
De site is van Gerco, maar ik heb hier lokaal een kopie, ik zal eens wat diff's draaien om te zien wat er aan de hand is.
Grtzz,
Karst
-
Alles werkt hier normaal. (Apple/Lion)
Groet Jaap
-
Hier ook niets van te merken, (Microsoft Security Essentials)
Gr. Ed
-
AVG weet me het volgende te vertellen:
Waarschuwing: hier klopt iets niet!
sleutelspoor.nl bevat inhoud van gghabhugfds.com, een site waarvan bekend is dat deze malware distribueert. Als u deze site bezoekt, kan uw computer worden geïnfecteerd.
Google heeft vastgesteld dat er misschien schadelijke software op uw computer wordt geïnstalleerd wanneer u doorgaat. Als u deze site in het verleden heeft bezocht of de site vertrouwt, is het mogelijk dat de site onlangs door een hacker is geïnfecteerd. Ga niet verder. U kunt het morgen opnieuw proberen of ergens anders naartoe gaan.
We hebben gghabhugfds.com al gemeld dat we malware op de site hebben aangetroffen. Voor meer informatie over de problemen die op gghabhugfds.com zijn gevonden, gaat u naar de Diagnosepagina voor Safe Browsing van Google.
Mvg,
Romar
-
Heb ook eens een poging gewaagd en bij mij slaat Avast luidkeels alarm.
-
"Web attack: Blackhole Toolkit Website 5.
An intrusion attempt by gghkvjfgfds.com was blocked.
Attacking computer: gghkvjfgfds.com (208.43.93.158,80)"
Geeft ook mijn Virrusscanner Norton macfee alleen zegt dat de aanval is afgeslagen.
Maerc
Het genoemde adres levert een link op naar ergens in de States (http://www.ip-adress.com/whois/208.43.93.158).
Misschien de provider van de betreffende hacker?
-
Hoi Beste Viruscanners ;D ;D
Heb net de site geupdate, kunnen jullie eens kijken of ( NA een PAGEREFRESH ) jullie scanners nog aanslaan ?
Grtzz,
Karst
-
Karst,
Bij mij werkt het zonder problemen met Norton Antivirus.
Koos Jabaaij.
-
Het blijft hier nu stil ;) (AVG scanner)
-
Mooi,
Probleem lijkt dus in de referentie naar de hitcounter te zitten. Mogelijk dat de site van de hitcounter 'compromized' is ???
Ik heb alleen de main-page gewijzigd. Kunnen jullie eens proberen om nu door te klikken naar een 'echte' pagina ?
Grtzz,
Karst
-
Op zich wel "slim" van hackers om zo'n page-counter site te pakken.
Dat vergroot hun bereik natuurlijk drastisch!
-
Heb net de site geupdate, kunnen jullie eens kijken of ( NA een PAGEREFRESH ) jullie scanners nog aanslaan ?
Nu niet meer, opgelost. (y)
Gr, Ben.
-
Ik heb alleen de main-page gewijzigd. Kunnen jullie eens proberen om nu door te klikken naar een 'echte' pagina ?
Als ik van de index pagina door klik naar andere pagina's blijft AVG stil.
Mvg,
Romar
-
Helemaal mooi ;D (y)
Dan was er dus ook nog een tweede: Een php-serverside exploit.... onze site loopt zonder php, puur op html, maar... er was op de ene of andere manier een kopie van index.htm naar index.php gemaakt. En daar stond dus de verwijzing naar nog meer rotzooi in. Alle php's gedeactiveerd nu ;) :P
Grtzz,
Karst
-
Karst,
Ik krijg met Norton weer een melding; bijna hetzelfde als de eerdere (http://forum.beneluxspoor.net/index.php/topic,38194.msg587083.html#msg587083), maar nu met een andere "attacking computer".
Aanval zou nu afkomstig zijn van mhjldbgmfds.com (184.173.238.226,80)
Grtz,
Ton
-
Heb je de pagina gerefreshed ?
-
Gewoon opnieuw in de adresbalk getikt, daarna een refresh, de melding blijft komen.
Ter info een prtscr van de melding erbij:
(https://images.beneluxspoor.net/bnls/Info_Sleutelspoor.jpg) (https://images.beneluxspoor.net/bnls/Info_Sleutelspoor.jpg)
Grtz,
Ton
-
Inmiddels wel te openen maar Sophos piept nog steeds over "iets" in de inhoud van de pagina.
"JS/Sinowal-V" wordt geblokkeerd
-
Norton bromt nog steeds.
Het track can ipadres komt ergens uit in Houston. Zie printscreen.
(https://images.beneluxspoor.net/bnls/ipadres.jpg)
Marc
-
Helemaal mooi ;D (y)
Dan was er dus ook nog een tweede: Een php-serverside exploit.... onze site loopt zonder php, puur op html, maar... er was op de ene of andere manier een kopie van index.htm naar index.php gemaakt. En daar stond dus de verwijzing naar nog meer rotzooi in. Alle php's gedeactiveerd nu ;) :P
Grtzz,
Karst
Als ik de link in jouw profiel pakt raakt Avast hier danig overstuur met 3(!) meldingen van geblokte trojaanse paarden.
-
Nog meer werk aan de winkel dus. Van alle pagina's de hitcounters verwijderen...
Grtzz
Karst
-
Nog meer werk aan de winkel dus. Van alle pagina's de hitcounters verwijderen...
Grtzz
Karst
Als ik de "extreme tracker" (oid, rechtsonderin) open in een nieuwe pagina krijg ik GEEN virusmeldingen. WEL op de startpagina www.sleutelspoor.nl en alle onderliggende pagina's.
Gaat, helaas, van je pure modelbouwtijd af :-\
-
Nog steeds geeft Avast:
Infection Details
URL: http://www.sleutelspoor.nl/mm_menu.js|>{gzip}
Process: file://C:\Program Files (x86)\Internet Explorer\iexplore.exe
Infection: js:IFrame-CG [Trj]
Mvg, Jos
-
Hoi,
Dank voor de gedetailleerde info. Nu wil het geval, dat dat file al jaren niet gewijzigd is... ??? ??? :-\
Grtzz,
Karst
-
Ahum....
File inhoudelijk niet gewijzigd, maar toch 6 kb groter dan de versie die er hoort te staan ... ???
Jos, kun je / wil je nog een keertje klikken ajb ?? :P
Grtzz,
Karst
-
Mss "oude" code die nu als exploit wordt gezien?
Is er geen nieuwere versie beschikbaar van de betrokken js-file?
-
Kweenie Bart,
't is onderdeel van de MacroMedia suite waar Gerco gebruikt van maakt om de site te onderhouden. En Gerco is pas volgende week terug.
Dus ik denk dat degenen die de zaak niet vertrouwen, maar even moeten wachten tot hier het sein op groen gaat.
Anders zou ik 'even' met de hand meer dan 300 webpagina's door moeten spitten.... :(
Grtzz,
Karst
-
Niets meer aan de hand, gaat nu prima zonder loslopende paarden.
Mvg, Jos
-
Karst,
Norton geeft bij mij nu geen meldingen meer.
Grtz,
Ton
-
Een aantal willekeurige paginas gepakt en avast blijft keurig stil. (y)
-
Bij mij ook geen meldingen meer . (y) (y)
Nog wel een aantal links die niet meer kloppen , de pagina's zijn via de inhoudspagina nog wel benaderbaar, klusje voor Gerco dus .(heeft dus niets met dit gedoe te maken)
-
Hallo allemaal,
Weer terug van vakantie. Tijdens mijn vakantie hoorde ik van mijn broer dat onze provider gehackt was. Niet alleen sleutelspoor was gehackt maar ook andere sites. Van afstand geprobeerd zoveel mogelijk te regelen wat maar ten dele was gelukt. Toen Karst weer thuis was heeft hij het laatste er uit gehaald hiervoor dank. Ik heb begrepen dat nu alle problemen zijn opgelost en laten we hopen dat het niet weer gebeurd. We zijn wel aan het kijken wat voor enkele veranderingen die we misschien moeten doorvoeren.
gr. Gerco
-
das niet best : een provider die zich laat hacken.
-
@Han: nah, dat komt zelft bij de FBI en de ciberpolitie in Italië voor ;D
-
Al is die laatste natuurlijk geen goed voorbeeld, want Italiaans ;D.
-
Beste Gerco,
Volgens mijn is het weer raak met de site. Krijg steeds weer een melding van een trojan virus..
gr. Coen
-
Ik zie geen enkel probleem ,alleen bij filmpje ,geen plugin.
wil.
-
Hoi Coen welkom op het forum.
-
@Coen: gebruik je soms Sophos versie 10?
-
@ruudns
Ik maak gebruik van kaspersky internet security.
Als ik sleutelspoor in type krijg ik de melding: object geïnfecteerd: HEUR:Trojan . Scrips. Generic en meteen een volgend scherm dat hij bezig is een programma te downloaden maar dat dat wordt geweigerd.
Ik heb dit inderdaad vorig jaar ook al een keer mee gemaakt.
Als ik op mijn laptop de site open is er geen probleem.. :-\
Groeten, Coen
-
Ik krijg alleen de homepage erg laag te zien. Ik heb ook geprobeerd de agenda te verversen maar dat wordt niet toegestaan. De baas is nog twee weken afwezig en ik weet niet hoe dat op te lossen.
SK
-
Openen duurt lang door virusverwijdering. F-Secure geeft: Virus verwijderd, u kunt doorgaan.
Erg oppassen dus, Goede virusscanner gewenst.
-
IK heb het gezien, alleen moet ik wel ver naar beneden skrollen om beeld te krijgen. Agenda week 44 staat er nu ook op.
-
Ook hier met avast geen probleem. Avast wordt elke dag geupdate.
Andre