js.cgi?pcaw&r=14989 ???

#1 Hallo.
ich habe folgendes Problem:

In dem Ordner, Lokale Einstellungen\Temporary Internet Files, habe ich folgende Datei gefunden, die sich auch im abgesicherten Modus nicht löschen lässt.

Name:
js.cgi?pcaw&r=14989

Internetadresse:
http://127.0.0.1:3004/js.cgi?pcaw&r=14989

Was mir etwas Unbehagen bereitet, ist die IP Adresse. Hat jemand eine Info über die Datei? Bzw. wie kann ich sie emtfernen?

#2 Versuche das mal mit CCleaner zu loeschen. www.ccleaner.com und poste trotzem noch ein Hijackthis log. Eine Googlesuche nach "js.cgi?pcaw&r=" bringt teilweise ein paar sonderbare Dinge.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,
zuerst mal Merci.

Der CCleaner hat die Datei entfernt.

Beim Überprüfen des Ordners nach Internetaufruf einiger Seiten, habe mehrere identische (nur durch die Endnummer unterschiedliche) "js.cgi?pcaw&r=" Dateien gefunden, die ich nun kopieren und auslesen konnte.
Es handelt sich hier offensichtlich lediglich um einen Seitenblocker für die Adresse http://127.0.0.1:3004 .

Zitat

var blockedReferrer = 'blockedReferrer';
NS_ActualWrite=document.write;
// Popup Blocker -->
RanPostamble=0;
NS_ActualOpen=window.open;
orig_setTimeout = window.setTimeout;
function NS_NullWindow(){this.window;}
function nullDoc() {
this.open = NS_NullWindow;
this.write = NS_NullWindow;
this.close = NS_NullWindow;
}
function NS_NewOpen(url,nam,atr){
if((nam!='' && nam==window.name) || nam=='_top'){
return(NS_ActualOpen(url,nam,atr));}
obj=new NS_NullWindow();
obj.focus = NS_NullWindow;
obj.blur = NS_NullWindow;
obj.opener = this.window;
obj.document = new nullDoc();
return(obj);
}
function NS_NullWindow2(){this.window;}
function NS_NewOpen2(url,nam,atr){
if((nam!='' && nam==window.name) || nam=='_top'){
return(NS_ActualOpen(url,nam,atr));}
return(new NS_NullWindow2());
}
function op_stop() { NS_ActualOpen2=window.open; window.open=NS_NewOpen2; }
function op_start() { window.open=NS_ActualOpen2; }
function noopen_ST(one,two) { return(orig_setTimeout("op_stop();"+one+";;op_start();",two)); }
function noopen_load() {
op_stop(); if(zl_orig_onload) zl_orig_onload(); op_start();
}
function noopen_unload() { op_stop(); if(zl_orig_onunload) zl_orig_onunload(); op_start(); }
function postamble() {

if(!RanPostamble) {
RanPostamble=1;
zl_orig_onload = window.onload;
zl_orig_onunload = window.onunload;
window.onunload = noopen_unload;
window.onload = noopen_load;
window.open=NS_ActualOpen;
}
}
window.setTimeout = noopen_ST;
window.open=NS_NewOpen;

#4 hallo,
js.cgi sendet an 127.0.0.1 immer an port 1024 mit sich ändernden aufrufoptionen
der inhalt der datei ist beim kopieren und öffnen im editor wie folgt:


var blockedReferrer = 'blockedReferrer';
NS_ActualWrite=document.write;
// Popup Blocker -->
RanPostamble=0;
NS_ActualOpen=window.open;
orig_setTimeout = window.setTimeout;
function NS_NullWindow(){this.window;}
function nullDoc() {
this.open = NS_NullWindow;
this.write = NS_NullWindow;
this.close = NS_NullWindow;
}
function NS_NewOpen(url,nam,atr){
if((nam!='' && nam==window.name) || nam=='_top'){
return(NS_ActualOpen(url,nam,atr));}
obj=new NS_NullWindow();
obj.focus = NS_NullWindow;
obj.blur = NS_NullWindow;
obj.opener = this.window;
obj.document = new nullDoc();
return(obj);
}
function NS_NullWindow2(){this.window;}
function NS_NewOpen2(url,nam,atr){
if((nam!='' && nam==window.name) || nam=='_top'){
return(NS_ActualOpen(url,nam,atr));}
return(new NS_NullWindow2());
}
function op_stop() { NS_ActualOpen2=window.open; window.open=NS_NewOpen2; }
function op_start() { window.open=NS_ActualOpen2; }
function noopen_ST(one,two) { return(orig_setTimeout("op_stop();"+one+";;op_start();",two)); }
function noopen_load() {
op_stop(); if(zl_orig_onload) zl_orig_onload(); op_start();
}
function noopen_unload() { op_stop(); if(zl_orig_onunload) zl_orig_onunload(); op_start(); }
function postamble() {

if(!RanPostamble) {
RanPostamble=1;
zl_orig_onload = window.onload;
zl_orig_onunload = window.onunload;
window.onunload = noopen_unload;
window.onload = noopen_load;
window.open=NS_ActualOpen;
}
}
window.setTimeout = noopen_ST;
window.open=NS_NewOpen;



eine suche nach js.cgi bleibt erfolglos und sie scheint nur als strohmann zu
agieren. der wirkliche urheber des daten- und dateierstellungsstroms
bleibt mir rätselhaft.

gruss
ralf

#5 Das hört sich nicht gut an.

Kenn mich mit dem Script allerdings nicht aus und vermutete deshalb eher einen Blocker der von der Firewall bzw. Wirenscanner herrührt.

Ist jetzt natürlich die Frage, was generiert den Script und welcher Umstand ist dafür verantwortlich, dass die Firewall dies nicht erkennt ?????

Hat da jemand eine Idee ?

#6 ZoneAlarm installiert? Dann ist die Datei womöglich davon. Das konnte ich aus sämtlichen Foren herauslesen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 leider habe ich und einige andere - bei einer nutzung von ZA - dieses problem nicht und es ist auch ohne installiertes ZA fleissigst.
merkwürdig ist immer wieder, daß es die datei js.cgi nicht auf dem system gibt
und von einem sonstwas im arbeitsspeicher entsteht.