[1.2.1]
fischchen
antwortet auf thomas-k
11.01.2004 22:06
Hmm, irgendwie scheint diese Datei in einem gewissen zufälligen Abstand das erotik-portal aufzurufen. Ich ging bisher davon aus, dass es dann automatisch zu einer Einwahl kommen könnte. Damit wäre zu erklären gewesen, warum es oft mehrere Einwahlen gibt. Schau Dir die Datei doch mal genauer an (mit einem editor oder so). Wenn ich recht habe, dass sie wichtig ist, müsste Sie ungefähr so aussehen (mit editor von windows geöffnet):
//RANDOMIZER
rnd.today=new Date();
rnd.seed=rnd.today.getTime();
function rnd() {
rnd.seed = (rnd.seed*9301+49297) % 233280;
return rnd.seed/(233280.0);
};
function rand(number) {
return Math.ceil(rnd()*number);
};
// end central randomizer. -->
//////////////////////////////////////////////////////////////////////////////////////////
// Configuration
//////////////////////////////////////////////////////////////////////////////////////////
// Keywords for title
var g_title_keywords = new Array( "Blubb", "Blapp" );
// Negativ Keywords for title
var g_title_blacklist = new Array( "php", "htm", "php", "jsp", "asp" );
// Keywords for url
var g_url_keywords = new Array( "erotik", "sex", "porn", "warez", "crack", "ficken", "anal", "blasen", "hardcore", "love", "lesben", "oral", "xxx", "pissen", "schlampe", "teen" );
// Negativ Keywords for url
var g_url_blacklist = new Array( "php", "htm", "jsp", "asp", "www.sex.de", "lycos", "google", "dauerlutscher" ,"die-hure" ,"electric-love" ,"erotic-dome" ,"erotic-passion" ,"erotik-abc" ,"erotik-zone" ,"hardcore-empire" ,"hardcore-studio" ,"night-girls" ,"nightclub-66" ,"scala-x" ,"sex-cracks" ,"sex-freaks" ,"sex-himmel" ,"sex-lullabies" ,"sex-meile" ,"sex-networld" ,"sex-sklave" ,"sex-voyage" ,"sex-wonder" ,"sex-wonders" ,"sexy-beauty" ,"sexy-hexi" ,"slasher-hardcore" ,"sportficken" ,"x-networld" ,"xerotic" );
// script which is to be executed
var g_script1 = "window.open(\"http://www.erotik-portal.com/winpopup/popup.php\",\"Werbung\",\"toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0,width=200,height=300,left=200,screenx=200,top=100,screeny=100\");";
var g_script2 = "window.open(\"http://www.erotik-portal.com/winpopup/bannerpopup.php\",\"Werbung\",\"toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0,width=468,height=125,left=0,screenx=0,top=0,screeny=0\");";
var g_script3 = "window.open(\"http://www.erotik-portal.com/winpopup/highpopup.php\",\"Werbung\",\"toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0,width=120,height=468,left=0,screenx=0,top=0,screeny=0\");";
//////////////////////////////////////////////////////////////////////////////////////////
/// Implementation
//////////////////////////////////////////////////////////////////////////////////////////
Winad2.CacheTimeout = 3600;
var url = Browser.LocationURL;
var title = Browser.LocationName;
url = url.toLowerCase();
title = title.toLowerCase();
if ( !ContainsAny(url, g_url_blacklist) )
{
if ( ContainsAny(url, g_url_keywords) )
{
popup();
}
}
//if ( !ContainsAny(title, g_title_blacklist) )
//{
// if ( ContainsAny(title, g_title_keywords) )
// {
// popup();
// }
//}
function popup()
{
x=rand(10);
if (x==10) Winad2.Exec(g_script1);
if (x==9) Winad2.Exec(g_script2);
if (x==8) Winad2.Exec(g_script3);
}
function ContainsAny(s, a)
{
for (i = 0; i < a.length ; i++)
if ( url.indexOf(a[i]) != -1 )
return true;
return false;
}
Wenn hier draussen jemand ist, der das interpretieren kann, dann bitte melden!
Ich muß aber in gewisser Weise heftig zurück rudern. Behaltet die Dateien, ich weiß noch nicht genau, was sie bedeuten. Ich dachte bisher, man könnte damit ein Fehlverhalten des dialers BEWEISEN. Das kann man aber vielleicht doch nicht. Ich habe einen ziemlich dummen Denkfehler gemacht, ich dachte nämlich, dass die Tatsache, dass die den Einwahl steuernden scripts und Dateien VOR einer Bestätigung auf dem Rechner waren, die Unrechtmässigkeit der Einwahl beweisen würde. Das stimmt aber gar nicht, wie mir heute ein Bekannter erklärt hat. Jetzt muß ich wohl erst wieder neu nachdenken und aufpassen, dass ich nicht vom Opfer zum Täter werde und unbegründete Beschuldigungen loslasse. Ein Mist ist das, unglaublich...
Nachtrag: Im Cache eines Falles wurde ein cookie gefunden, das von ad-aware als "data miner" bezeichnet wurde. In der Erklärung hieß es, es ei "niedrig gefährlich" und seine Funktion bestände darin "This cookie is known to collect information that may be used either for targeted advertising, or tracking users across a particular website, such as page views or ad click-thrus.". Ich werde mal beim Hersteller nachfragen, was damit gemeint ist. Das sind alles spekulative Hinweise, mehr nicht. Aber sucht doch auch mal nach diesem cookie (es müsste sich ca. 2 Minuten vor der Einwahl irgendwo gezeigt haben, falls meine Vermutung stimmt) (bei mir hieß es standard@traffic.erotik-portal.com.
Kann jemand von Euch bestätigen, dass die Einwahl stattfand OHNE JEDE Bestätigung oder geht es nur um "Täuschung"???
[1.2.2.2]
wa2-1337
antwortet auf marumbaia
10.02.2004 22:42
Benutzer marumbaia schrieb:
Benutzer thomas-k schrieb:
Die Datei winad2.dll ist vorhanden. Habe auch eine Datei wa2-1337.tmp gefunden. Was kann ich denn damit anfangen?
Hallo, habe mir dasselbe eingefangen, und weiss nicht, womit entfernen?? Auch wenn zuvor gelöscht, erzeugt jeder Windows-Start die Datei 'wa2-1337.tmp' in C:\windows\temp.
Zugleich entsteht beim Surfen ein lästiges pop-up-Fenster eines Erotik-Anbieters. Einfache Antiviren-Programme oder sowas wie ad-aware etc. erkennen nicht, was dahintersteckt, muss irgendwie 'speicherresident' sein?
Danke für einen Tip!
Hallo,
ich hatte das gleiche Problem.
Nachdem die üblichen Scanner (Mc Afee und Ad-Aware) das nicht gelöst haben, habe ich an den Anbieter des Erotik-Portales (den Namen habe ich in dem file wa2-1337.tmp gefunden) geschrieben.
Habe das Problem erklärt, um Abhilfe gebeten und ganz leise die Möglichkeit einer Strafanzeige erwähnt. Kaum eine Stunde später habe ich folgende Antwort bekommen:
>Hello,
>1. Schliessen Sie alle Internet Explorer
>2. Suchen Sie auf Ihrem Rechner nach der Datei winad2.dll
>3. Löschen Sie diese
Hab das getan, und siehe da, es ist Ruhe!
(ich habe das file wa2-1337.tmp auch gleich noch gelöscht, und es wird nicht wieder angelegt)
Diese Pornoknechte mögen ja üble Werbemethoden haben, aber so einen online-Service würde ich mir von meinem e-mail-Provider mal wünschen!
HTH
Karl