Was macht dieses Script
lima-city → Forum → Die eigene Homepage → HTML, CSS & Javascript
analysis
break
code
date
durchsuchen
fenster
forum
funktion
gedanke
grad
http
image
null
ordner
schauen
suche
system
tool
url
versucht werbung
-
Nabend Limas :D
ich hab seit ein paar Tagen, das nervige Problem, das sich in unterschiedlichen Zeit-Intervallen 2 CMD Fenster auf meinem XP geöffnet haben, hab mehrer Foren durchforst und dort hat man auch keine Lösung gefunden. Möglicherweise Malware... -.-
Seit heute aber öffnet sich andauernt eine Webseite die Leer ist, jeglich ein JavaScript wird ausgeführt ich habe allerdings keine Ahnung was dort ausgeführt wird. Kann mir da jmd weiterhelfen?!
PS: Meinen PC werd ich eh neu machen, aber es wär schon schön zu wissen, was das gewesen ist.
Aufgerufene Webseite:
[url]http://p4.ewksarnmt6hg6.6umic2qyixirds6y.if.v4.ipv6-exp.l.google.com/intl/en/ipv6/exp/iframe.html[url]
Ausgeführtes JavaScript
/*(function() { var f=this,g=function(b,d){var a=b.split("."),c=f;!(a[0]in c)&&c.execScript&&c.execScript("var "+a[0]);for(var e;a.length&&(e=a.shift());)!a.length&&void 0!==d?c[e]=d:c=c[e]?c[e]:c[e]={}};var i=function(b,d){function a(b){null!=e&&(c=Math.abs(new Date-e),b&&(c*=-1))}var c=-1,e=null;this.j=function(){var c=new Image(0,0);c.onload=function(){a()};c.onerror=c.onabort=function(){a(!0)};e=new Date;c.src=b};this.e=function(){return[d,c].join("=")}},j=function(b,d,a){this.a=""+b;"p"!=this.a.charAt(0)&&(this.a="p"+this.a);this.i=d;this.h=a;this.c=Math.floor(9E5*Math.random());this.c+=1E5;this.d=function(){return[this.a,this.i,this.h,this.c].join(".")}},k=function(b){for(var d=["i1","i2"], a={g:"v4_img_dt",f:"v4.ipv6-exp.l.google.com"},c={g:"ds_img_dt",f:"ds.ipv6-exp.l.google.com"},e=[],e=0.5<=Math.random()?[c,a]:[a,c],h=[],a=0;a<d.length;a++)c=new i(["//",[b.d(),d[a],e[a].f].join("."),"/intl/en_ALL/ipv6/images/6.gif"].join(""),e[a].g),c.j(),h.push(c);setTimeout(function(){for(var a=["/gen_204?ipv6exp=3","sentinel=1"],c=0;c<h.length;c++)a.push(h[c].e());a=["//",[b.d(),"s1.v4.ipv6-exp.l.google.com"].join("."),a.join("&")].join("");(new Image(0,0)).src=a},3E4)},l=function(b,d,a){var c= new j(b,d,a);setTimeout(function(){k(c)},1E4)};var m=["v4","ds","w","l","q"],n=function(){this.b={};for(var b=0;b<m.length;b++)this.b[m[b]]=0;for(var d=[],a=(document.cookie||"").split(";"),b=0;b<a.length;b++)if(a[b]=a[b].replace(" ",""),"W6D="==a[b].substr(0,4)){d=a[b].substring(4).split(":");break}for(b=0;b<d.length;b++)if(a=d[b].split("="),2==a.length){var c=parseInt(a[1],10);if(!(isNaN(c)||"+"==a[1].charAt(0)))switch(a[0]){case "v4":case "ds":case "w":this.b[a[0]]=0<c?c:0;break;case "l":case "q":this.b[a[0]]=c}}}; n.prototype.e=function(){for(var b=[],d=0;d<m.length;d++)b.push([m[d],this.b[m[d]]].join("="));return b.join(":")};g("w6dCookie",n);g("ipv6iframe.runExperiment",function(){var b=window.location.hostname.split(".");b&&3<=b.length&&l(b[0],b[1],b[2])});g("ipv6iframe.preSentinelCallback",void 0);g("ipv6iframe.extraSentinelQueryString",void 0); ipv6iframe.runExperiment(); })();*/ -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hiho....
das was sich da bei dir eingenistet hat ist Malware.
Dabei handelt es sich, so wie der Code aussieht, um ein Blackhole Exploit.
Benutze mal CCleaner um alle deine Daten zu bereinigen und entferne komplett alle Cookies.
Besorge dir mal Search und Replace. Du bekommst es hier : http://www.funduc.com/
Du musst bei diesem Tool den Gelben Ordner mit dem Fernglas reindrücken und als Suchstring einen Teil der von dir angegebenen Funktion dort eintragen. Alle Versteckten Dateien und Ordner sichtbar machen und danach dann C:\ als zu durchsuchenden Pfad angeben.
Das durchsuchen dauert etwas, da er jede Datei nach genau dieser Funktion durchsucht. Es werden übrigends auch Archive von dem Tool geöffnet.
Wenn die Suche beendet ist, siehst du das Ergebnis im großen unteren Fenster.
Da dies Programm eventuell Probleme auf deinem System haben kann, wird dir auf der oben genannten Seite beim Download eine Warnhinweis angezeigt. Ich nutze dies Tool selber, um auf den von mir betreuten Seiten regelmäßige Scans nach Malware und anderem illegalen Codes zu machen.
best wishes
Ralf -
@ikariamx
Vielen Dank für die schnelle Antwort!
Mit CCleaner, malwarebytes Anti-Malware (empfohlen von trojaner-board.de) sowie HighJackThis, bin ich zuvor schon über das System gefahren, die kannten auch nichts. Und in der Suche mit dem Standart-Exifs die Search and Replace hat wurde auch nichts gefunden.
Allerdings hat sich die Funktion in .htm versteckt nur leider unter temporäre Ordner, welche Exifs favorisiert so ein Exploit denn noch?!
Bzw. ich kann die einstellung für alle exifs nicht finden, oder geht das nur bei der registrierten Version?! -
ikariamx schrieb:
Dann ist er sehr gut gemacht, denn keiner der bekannteren Virenscanner springt derzeit darauf an, siehe https://www.virustotal.com/file/749f6196396f7605b6eb265b2cb15c02241594a323300d2a1317564b987f8fc6/analysis/1333749152/
Hiho....
das was sich da bei dir eingenistet hat ist Malware.
Dabei handelt es sich, so wie der Code aussieht, um ein Blackhole Exploit.
Auch die Seite habe ich scannen lassen und auch dort wird gesagt, dass sie clean sei: https://www.virustotal.com/url/675f1fa72ab5b76072b2e69228677a22e4a84457ed8ff98f10058424dcc40b91/analysis/1333750151/
Da die Seite ja auf einer Subdomain von Google gehostet wird, solltest du vielleicht einfach einmal die Verbindung zu google suchen, damit sie dies aufklären.
Beitrag zuletzt geändert: 7.4.2012 0:13:18 von motoernie -
Hab grade mal in einen der Forum rumgefragt, wo ich noch zugegen bin.....
Einer der Forenadmins sagte, das du mal schauen solltest, ob du ICQ hast. Als ich ihm den Code geschickt hat, sagte er, das es durchaus sein kann, das ICQ versucht Werbung anzuzeigen, die aber im Nil endet und er deswegen ein leeres Browserfenster öffnet.
Schau mal in der Autostart nach Google-Einträgen und entferne diese KOMPLETT.
Wenn es daran liegt, sollte es in rund 80% aller Fälle wieder richtig funktionieren....
best wishes und good hunting
Ralf -
ikariamx schrieb:
2 Dumme ein Gedanke, ähnliches Ergenis bei mir:
Hab grade mal in einen der Forum rumgefragt, wo ich noch zugegen bin.....
Einer der Forenadmins sagte, das du mal schauen solltest, ob du ICQ hast. Als ich ihm den Code geschickt hat, sagte er, das es durchaus sein kann, das ICQ versucht Werbung anzuzeigen, die aber im Nil endet und er deswegen ein leeres Browserfenster öffnet.Das hab ich schonmal gesehen.
Da hatte es wohl mit dem ICQ Clienten zu tun. ICQ macht da irgendwas in Richtung Adsense oder Analytics. Ist also kein Virus eher ein Bug. Wer mag, soll es ein Feature nennen.
Quelle: http://www.autoit.de/index.php?page=Thread&postID=251392#post251392 -
ICQ und Greasemonkey waren vorhanden, sowie das Betriebssystem (musste mal ne radikal Diät machen). Was ich bei ICQ dennoch merkwürdig finde, da ich keine Updates gemacht habe wobei Werbung ja eingespeißt wird, weiß der Teufel...
Aber es kam ja vom System, nachdem FF runtergeflogen ist samt den Addons öffnete sich das Fenster im IE.
Was jetzt aber noch spookie ist, ist die Tatsache das ich sowas ja auch mit 2 DOS-Fenstern hatte und danach kam die leere Seite.
Geh ich ab jetzt halt nur noch per Virtual Box/Machine ins Netz.
Und vielen Dank für eure Hilfen, ihr seid die besten ;)
Das nächste Bier trink ich auf euch! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
