Antivir meldet einen Wurm, den aber kein anderes Programm findet

#0
17.10.2006, 23:18
...neu hier

Beiträge: 3
#1 Hallo, ich bin neu hier, weil ich wohl nicht mehr weiter weiß.
Antivir hat bei mir einen Wurm gemeldet (WORM/IRCBot.1195206)
bei einer Datei aus dem Mozilla cache.
Über diesen speziellen Wurm finde ich im google nichts, ausser von Antivir, dass er der Liste zugefügt sei.
Ich habe die Datei über die online-Dateiprüfung prüfen lassen, da hat ausser Antivir kein anderes Programm eine Warnmeldung gegeben.
Ich habe Symantec noch online prüfen lassen, da war auch nichts.
Ich habe Hjackthis ausgeführt und mußte etwas fixen (ein IP registry eintrag oder so)
Wie gehe ich jetzt weiter vor.
Ich habe schon mehrere Male erlebt, dass Antivir eine Fehlwarnung rausgegeben hat, meist habe ich dann aber Informationen darüber gefunden.
Wie werde ich nun sicher, was es ist?
Schöne Grüße, Marita
Seitenanfang Seitenende
19.10.2006, 00:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2006, 02:22
Moderator
Avatar joschi

Beiträge: 6466
#3

Zitat

Antivir hat bei mir einen Wurm gemeldet (WORM/IRCBot.1195206)
Hatte neulich auch einen Fehlalarm mit exakt dieser Meldung. Ein paar Zeilen Javascript sind verantwortlich, soweit ich dassehen konnte.
Könnten z.B lauten:

Code

<script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
</script>
<script type="text/javascript">
_uacct = "UA-101455-1";
_udn="datacraft.co.jp";
urchinTracker();
</script>
Hab´das mal an Avira geschickt, bisher jedoch keine Reaktion.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
19.10.2006, 10:06
...neu hier

Themenstarter

Beiträge: 3
#4 Hallo Sabina,
diese Anweisungen scheinen etwas aufwendiger, ich werde mich da heute abend dran machen, wenn ich Ruhe habe, vielen Dank

Hallo Joschi,
vielen Dank, ich vermute ja auch, dass es eine Fehlermeldung ist.
Wie hast du diese Zeilen rausgefunden ? Hast du verdächtige Datei gewagt zu öffnen, mit dem Texteditor z.B. ?
Das traue ich mich noch nicht.
schöne Grüße, Marita
Seitenanfang Seitenende
19.10.2006, 10:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 ich wollte die logs sehen, um andere Malware auszuschliessen, ansonsten reicht es, das Java-Cache vom Browser zu leeren
http://virus-protect.org/artikel/tools/javasun.html

oben in der Browserleiste: Extras - Javascript-Konsole
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2006, 13:31
Moderator
Avatar joschi

Beiträge: 6466
#6

Zitat

Hast du verdächtige Datei gewagt zu öffnen, mit dem Texteditor z.B. ?
Antivir meldete ein jpg-Bild als verdächtig. Fand den Text in diesem Bild am Ende eingefügt. Das Bild ohne das javascript (..ich frage mich wirklich, ob das javascript über einen Browser ausführbar ist, wenn es in einem jpg eingebettet ist !??) bringt keine Warnung.

Du kannst den Text den ich gepostet habe in eine Textdatei packen und diese scannen- Du erhältst die Antivir-Warnung.

Wenn Du die Datei noch hast (Cache / Quarantäne) dann schau mal mit einem Texteditor rein. Wäre interessant....
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.10.2006, 21:34
...neu hier

Themenstarter

Beiträge: 3
#7 Hallo Joschi, hallo Sabina,
leider war ich in letzter Zeit extrem unter fam. Belastung, daher geht es heute weiter.
Erst einmal vielen vielen Dank für die erneuten Antworten.
Joschi, ich war mutig genug und habe die Datei mit Texteditor geöffnet, neben lauter wirren Zeichen fand ich unten:
</script>
<script type="text/javascript">
_uacct = "UA-101455-1";
_udn="latinol.com";
urchinTracker();
</script>
hier unten ist deiner noch mal zum Vergleich, es wird wohl das gleiche Problem von Antivir sein.
</script>
<script type="text/javascript">
_uacct = "UA-101455-1";
_udn="datacraft.co.jp";
urchinTracker();
</script>

Sabina, ich hatte den Cache nicht gelöscht, da die Datei von Antivir schon in Quarantäne geräumt worden war.
Antivir hat diese Fehlermeldung noch nicht behoben, da ich heute abend direkt wieder den Virus gemeldet bekam, als ich die Datei ausgepackt habe.
Ich habe mich nun an die oben genannten Anleitungen gemacht, aber das wird bei mir nicht so schnell gehen.
Ich bin aber willens mich durchzuackern und melde mich dann wieder.
Schöne Grüße und nochmals vielen Dank für Hilfe und Geduld
Seitenanfang Seitenende
24.10.2006, 01:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 da spielt jemand mit javascripts... und verseucht die Browser, du solltest das Javasript deaktivieren ...

Panama - ;)

Zitat

Domain Name: LATINOL.COM
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com
Name Server: NS.TMPANAMA.COM
Name Server: NS2.TMPANAMA.COM
Status: REGISTRAR-LOCK
Updated Date: 02-oct-2006

inetnum: 200.108.32/20
status: allocated
owner: Telefonica Moviles Panama S.A.
ownerid: PA-BPBS-LACNIC
responsible: Arias, Ariel
address: Ave. Manuel Maria Icaza y Calle 51 Ave. 3era. Sur., 6-, 7302
address: NONE - Panama - PA
country: PA
phone: +507 2650808 [175]
owner-c: ARA2
tech-c: ARA2
inetrev: 200.108.32/20
nserver: NS.TMPANAMA.COM
nsstat: 20061019 AA
nslastaa: 20061019
nserver: NS2.TMPANAMA.COM
nsstat: 20061019 AA
nslastaa: 20061019
nserver: NS.MOVISTAR.COM.PA
nsstat: 20061019 AA
nslastaa: 20061019
nserver: NS2.MOVISTAR.COM.PA
nsstat: 20061019 AA
nslastaa: 20061019
created: 20030813
changed: 20030813

nic-hdl: ARA2
person: Arias, Ariel
e-mail: operaciones@MOVISTAR.COM.PA
address: Ave. Manuel Maria Icaza y Calle 51 Ave. 3era. Sur., 6-, 7302
address: NONE - Panama - PA
country: PA
phone: +507 000 2650808 [175]
created: 20020923
changed: 20050823

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.


DNS records
name class type data time to live
latinol.com IN A 200.108.36.133 86400s (1.00:00:00)
latinol.com IN MX
preference: 10
exchange: mail.latinol.com
86400s (1.00:00:00)
latinol.com IN SOA
server: ns.tmpanama.com
email: root.ns.tmpanama.com
serial: 2006010501
refresh: 7200
retry: 3600
expire: 345600
minimum ttl: 86400
86400s (1.00:00:00)
latinol.com IN NS ns2.tmpanama.com 86400s (1.00:00:00)
latinol.com IN NS ns.tmpanama.com 86400s (1.00:00:00)
133.36.108.200.in-addr.arpa IN PTR ns1.latinol.com 86400s (1.00:00:00)
Traceroute

Tracing route to latinol.com [200.108.36.133]...
hop rtt rtt rtt ip address fully qualified domain name
1 2 1 0 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.84.160.130 vl1.dsr02.dllstx5.theplanet.com
3 0 0 0 70.85.127.109 po52.dsr02.dllstx3.theplanet.com
4 0 0 0 70.87.253.29
5 0 0 0 208.49.147.157 ip-208.49.147.157.gblx.net
6 90 90 90 67.17.67.49 so1-0-0-622m.ar1.pty1.gblx.net
7 90 80 79 200.46.0.20 gsr1-wc.tcarrier.net
8 90 91 91 200.46.0.20
9 91 82 92 200.90.140.2
10 92 91 80 200.108.36.133 ns1.latinol.com

Trace complete
Service scan
FTP - 21 530 Connection refused, unknown IP address.
SMTP - 25 Error: TimedOut
HTTP - 80 HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 23 Oct 2006 23:43:05 GMT
X-POWER: Powered By LatinOL Server Technology
Connection: Keep-Alive
Content-Length: 53887
Content-Type: text/html
Expires: Mon, 23 Oct 2006 23:43:05 GMT
Set-Cookie: lolB=Min=43&Hora=18&Dia=23; expires=Tue, 24-Oct-2006 02:43:04 GMT; path=/
Set-Cookie: ASPSESSIONIDAQTBDQQD=AHOFHDFCEPHDBPIODKMPIHFM; path=/
Cache-control: private
POP3 - 110 Error: TimedOut
IMAP - 143 Error: TimedOut

-- end --
URL for this output | return to CentralOps.net
Domain Dossier now supports internationalized domain names (IDNs).
Try a few:

* 한글.kr
* 日本語.jp
* مصريين.com
* 中国互联网络信息中心.cn
Japan ;)

Zitat

inetnum: 202.32.0.0 - 202.35.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP

datacraft.co.jp IN A 202.32.58.32 172800s (2.00:00:00)
datacraft.co.jp IN MX
preference: 10
exchange: px03.datacraft.co.jp
172800s (2.00:00:00)
datacraft.co.jp IN NS ns.datacraft.co.jp 172800s (2.00:00:00)
datacraft.co.jp IN NS ns.nextech.co.jp 172800s (2.00:00:00)
datacraft.co.jp IN SOA
server: ns.datacraft.co.jp
email: postmaster.datacraft.co.jp
serial: 2006061401
refresh: 10800
retry: 1800
expire: 864000
minimum ttl: 1200
172800s (2.00:00:00)



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende