HILFE mein Browser lebt... Virus ?

Senior Member

Sonntag, 4. März 2012, 12:52

1

http://p4.cizabsoy3pwli.glbdghqvzbsdvftb…exp/iframe.html
http://p4.eiwtr3ifgrq5y.5rjuhqj5zbdsubph…exp/iframe.html
so links wie den da oben (lik adresse ändert sich zwischen dem p4. und if.v4. ) öffnet der browser öfter mal ( alle 20-30min nicht absolut regelmässig und meist nur im leerlauf) von alleine und es bleibt dann eine blankpage (optisch)
mit folgendem quelltext:

Quellcode

<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<script type=text/javascript>
(function() {

var f=this,g=function(b,d){var a=b.split("."),c=f;!(a[0]in c)&&c.execScript&&c.execScript("var "+a[0]);for(var e;a.length&&(e=a.shift());)!a.length&&d!==void 0?c[e]=d:c=c[e]?c[e]:c[e]={}};var i=function(b,d){function a(b){e!=null&&(c=Math.abs(new Date-e),b&&(c*=-1))}var c=-1,e=null;this.h=function(){var c=new Image(0,0);c.onload=function(){a()};c.onerror=c.onabort=function(){a(!0)};e=new Date;c.src=b};this.k=function(){return d};this.l=function(){return c};this.d=function(){return[d,c].join("=")}},j=function(b,d,a){this.a=String(b);if(this.a.charAt(0)!="p")this.a="p"+this.a;this.j=d;this.i=a;this.e=Math.floor(Math.random()*9E5);this.e+=1E5;this.c=function(){return[this.a,this.j,this.i,
this.e].join(".")}},k=function(b){for(var d=["i1","i2"],a={g:"v4_img_dt",f:"v4.ipv6-exp.l.google.com"},c={g:"ds_img_dt",f:"ds.ipv6-exp.l.google.com"},e=[],e=Math.random()>=0.5?[c,a]:[a,c],h=[],a=0;a<d.length;a++)c=new i(["http://",[b.c(),d[a],e[a].f].join("."),"/intl/en_ALL/ipv6/images/6.gif"].join(""),e[a].g),c.h(),h.push(c);setTimeout(function(){for(var a=["/gen_204?ipv6exp=3","sentinel=1"],c=0;c<h.length;c++)a.push(h[c].d());a=["http://",[b.c(),"s1.v4.ipv6-exp.l.google.com"].join("."),a.join("&")].join("");
(new Image(0,0)).src=a},3E4)},l=function(b,d,a){var c=new j(b,d,a);setTimeout(function(){k(c)},1E4)};var m=["v4","ds","w","l","q"],n=function(){this.b={};for(var b=0;b<m.length;b++)this.b[m[b]]=0;for(var d=[],a=(document.cookie||"").split(";"),b=0;b<a.length;b++)if(a[b]=a[b].replace(" ",""),a[b].substr(0,4)=="W6D="){d=a[b].substring(4).split(":");break}for(b=0;b<d.length;b++)if(a=d[b].split("="),a.length==2){var c=parseInt(a[1],10);if(!(isNaN(c)||a[1].charAt(0)=="+"))switch(a[0]){case "v4":case "ds":case "w":this.b[a[0]]=c>0?c:0;break;case "l":case "q":this.b[a[0]]=c}}};
n.prototype.d=function(){for(var b=[],d=0;d<m.length;d++)b.push([m[d],this.b[m[d]]].join("="));return b.join(":")};g("w6dCookie",n);g("ipv6iframe.runExperiment",function(){var b=window.location.hostname.split(".");b&&b.length>=3&&l(b[0],b[1],b[2])});g("ipv6iframe.preSentinelCallback",void 0);g("ipv6iframe.extraSentinelQueryString",void 0);

ipv6iframe.runExperiment();})();</script>
</body>
</html>

Quellcode

<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<script type=text/javascript>
(function() {

var f=this,g=function(b,d){var a=b.split("."),c=f;!(a[0]in c)&&c.execScript&&c.execScript("var "+a[0]);for(var e;a.length&&(e=a.shift());)!a.length&&d!==void 0?c[e]=d:c=c[e]?c[e]:c[e]={}};var i=function(b,d){function a(b){e!=null&&(c=Math.abs(new Date-e),b&&(c*=-1))}var c=-1,e=null;this.h=function(){var c=new Image(0,0);c.onload=function(){a()};c.onerror=c.onabort=function(){a(!0)};e=new Date;c.src=b};this.k=function(){return d};this.l=function(){return c};this.d=function(){return[d,c].join("=")}},j=function(b,d,a){this.a=String(b);if(this.a.charAt(0)!="p")this.a="p"+this.a;this.j=d;this.i=a;this.e=Math.floor(Math.random()*9E5);this.e+=1E5;this.c=function(){return[this.a,this.j,this.i,
this.e].join(".")}},k=function(b){for(var d=["i1","i2"],a={g:"v4_img_dt",f:"v4.ipv6-exp.l.google.com"},c={g:"ds_img_dt",f:"ds.ipv6-exp.l.google.com"},e=[],e=Math.random()>=0.5?[c,a]:[a,c],h=[],a=0;a<d.length;a++)c=new i(["http://",[b.c(),d[a],e[a].f].join("."),"/intl/en_ALL/ipv6/images/6.gif"].join(""),e[a].g),c.h(),h.push(c);setTimeout(function(){for(var a=["/gen_204?ipv6exp=3","sentinel=1"],c=0;c<h.length;c++)a.push(h[c].d());a=["http://",[b.c(),"s1.v4.ipv6-exp.l.google.com"].join("."),a.join("&")].join("");
(new Image(0,0)).src=a},3E4)},l=function(b,d,a){var c=new j(b,d,a);setTimeout(function(){k(c)},1E4)};var m=["v4","ds","w","l","q"],n=function(){this.b={};for(var b=0;b<m.length;b++)this.b[m[b]]=0;for(var d=[],a=(document.cookie||"").split(";"),b=0;b<a.length;b++)if(a[b]=a[b].replace(" ",""),a[b].substr(0,4)=="W6D="){d=a[b].substring(4).split(":");break}for(b=0;b<d.length;b++)if(a=d[b].split("="),a.length==2){var c=parseInt(a[1],10);if(!(isNaN(c)||a[1].charAt(0)=="+"))switch(a[0]){case "v4":case "ds":case "w":this.b[a[0]]=c>0?c:0;break;case "l":case "q":this.b[a[0]]=c}}};
n.prototype.d=function(){for(var b=[],d=0;d<m.length;d++)b.push([m[d],this.b[m[d]]].join("="));return b.join(":")};g("w6dCookie",n);g("ipv6iframe.runExperiment",function(){var b=window.location.hostname.split(".");b&&b.length>=3&&l(b[0],b[1],b[2])});g("ipv6iframe.preSentinelCallback",void 0);g("ipv6iframe.extraSentinelQueryString",void 0);

ipv6iframe.runExperiment();})();</script>
</body>
</html>

was ist das? virus?
im hintergrund laufen noch icq und skype sonst an sich nix
antivir paid norton

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »M3rl1N« (4. März 2012, 13:06)

SMLunchen

Full Member

Beiträge: 258

Sonntag, 4. März 2012, 14:56

2

N Virus sollte es nicht sien.
Dürte Eiskuh sein.
Äh ich mein natürlich ICQ

Zitat

badyStufe 1

Zum Antworten anmelden

29.10.11

Hallo,

ich habe das selbe Problem mit ähnlichen Bedinungen ( Win7 Prof SP1 x64, Firefox 7.01)..
bei mir tritt das Phänomen erst seit 2-3 Tagen auf, und auch erst seit die neue ICQ-Version (7.6 Build 5620) installiert ist.
Dann öffnet sich das Fenster z.B. http://p4.gtjnibbhoahke.qhsnoqa3wlajhadm…exp/iframe.html
(war gerade vor ca. 10min) und kurze Zeit später stürzt dann der ICQ-Client auch komplett ab bzw. reagiert nicht mehr
- dies war bislang NIE bei keiner Version der Fall.. Das System is übrigens frisch installiert und auch virenfrei laut TrendMicro..

ähnliches Phänomen hier:
https://groups.google.com/a/googleproduc…go/YBOBRfaPqLQJ

nimm doch testweise nen alternativ Client wie z.B. Miranda

Fürchtet den furchtbaren Fluch des Finsterwald-Fuchses!

M3rl1N

Senior Member

Beiträge: 895

Sonntag, 4. März 2012, 21:30

3

hey super danke ok werdi ma trillian oder miranda nutzen

und mal sehen ob es denn weg is

Ani

God

Beiträge: 2 228

Sonntag, 4. März 2012, 22:43

4

Also wenn man sich mal so anguckt, sieht es sehr komisch aus.
Irgendwie gehts um suchanfragen an google.
Was genau, kann ich dir aber nicht sagen.

Um mehr sagen zu können, müsste man aber mal den Quelltext auseinander nehmen.
Dazu hab ich aber gerade keine lust.

M3rl1N

Senior Member

Beiträge: 895

Montag, 5. März 2012, 12:28

5

hmm mit anderem client oder auch komplett deinstalliertem client ists dasselbe...

Jogibär

God

Beiträge: 8 190

Montag, 5. März 2012, 13:42

6

Eigentlich sollte ich die Klappe halten weil ich kaum Ahnung von Programmierung habe, aber hast du vielleicht noch irgendwelche Toolbars installiert, oder mal den Ccleaner drüber gejagt inkl. Cookies löschen usw.?

Ani

God

Beiträge: 2 228

Montag, 5. März 2012, 14:01

7

Guck mal was noch so im Autostart ist.
Es kann durchaus sein dass das auch von google selbst kommt.
Irgendwie greift das Javascript nur auf google Server zu, und kommt ja auch anscheind von da.

Deswegen würd ich mal nach google sachen im Autostart suchen.

SMLunchen

Full Member

Beiträge: 258

Mittwoch, 7. März 2012, 11:43

8

Schau euch mal den Link an.. Kann sein, dass das irgendwas Google-Analytics oder so ist, aber das scheint laut deren Aussagen mit ICQ zu tun haben. - Jedenfalls wirkt dieser Zusammenhang relativ eindeutig.
Die klassiker kann ich auch empfehlen, CC Cleaner, Hijathis usw. - da sollte man sehen wenn noch irgendwo was hängt. Und ggf. mal unter den Diensten schauen, ob da was ist, was irgendwie da nicht reingehört.

Edit: Eventlog könnte u.U. auch weitere Aufschlüsse liefern.

Fürchtet den furchtbaren Fluch des Finsterwald-Fuchses!

M3rl1N

Senior Member

Beiträge: 895

Dienstag, 13. März 2012, 23:14

9

also ich hab jetzt alles probiert cleaner adaware etc.... norton kaspersky usw. nix gefunde alle temps gelöscht etc.
es half nur neu aufsetzen... keine ahnung was des war...