VIRUS im<Boote Forum> oben link

[dieter]

nichts als das forum geöffnet, und gerade meldet Kaspersky einen Trojaner....
und blockt oben links das Werbefenster (was es ist , weiss ich nicht)
hier die Meldungen von gerade 22.00 h

[dieter]

so, inzwischen hat mir kaspersky das dritte mal diesen Trojaner gemeldet.. möchte nicht wissen, wer ihn inzwischen auf dem Rechner hat

[Snackman]

Hi,
alsoich habe auch Kaspersky am laufen, doch ne Meldung kommt nicht.
Grüße

[GrunAIR]

Hallo Dieter,

kannst Du rausfinden, wie das Pogramm heisst?

Gruß Torben

[dieter]

die Meldung kommt nur, wenn das Werbepopup oben links mit dieser Adresse erscheint:

"http://87.237125.57/t2_ad_ajax.php?content=1c=57s=1z=15u=anzeigen=3sub it=3008"

da das Laden sofort geblockt wird, kann ich nichts zum Namen oder Inhalt sagen...

hier nochmals die Protokolle - jedesmal die gleiche Adresse..

[thball]

Hallo,

diese Meldung kam bei mir auch...

[RalphB]

87.237.125.57 -> "host-57-125-237-87.netrange-125.netbuild.net"

http://87.237.125.57/t2_ad_ajax.php?...en=3subit=3008

Bei mr kommt da "Zugriffsverletzung #01" zurück . Schlechte ajax-Programmierung des Banner-Providers? ()

Gruß Ralph

[dieter]

... und jetzt mit dem Bürorechner, bin seit etwa 5 Minuten im Forum und hatte bereits zweimal die Warnmeldung über den Trojaner...

sollte es wirklich ein Trojaner auf dieser Seite sein, dann kann ich nur empfehlen, dass alle die gestern und heute früh im Forum waren und keinen ordentlichen Virenscanner haben, unbedingt Ihr System checken sollten , z.B. einen einen Online Scanner ... oder
die kostenlose Testversion eines Scanners z.B. http://www.kaspersky.com/de/trials

[Cyrus]

Trojan Remover und AntiVir können nichts finden.

[dieter]

inzwischen nochmal zwei Meldungen... auf alle Fälle stimmt mit dieser Seite etwas nicht...... und wenn es ein Programierfehler ist.
Da ich nicht der einzige bin und so etwas bisher nicht üblich ist, muss etwas "nicht in Ordnung sein" ...

mir kann nichts passieren, der Scanner blockt in dem Moment, in dem diese "?" Seite
aufploppt... (nennt man glaube ich Frame)


...unten die Meldungen von der letzten halben Stunde

[Astrogator]

Wenn ihr die Meldung genauer anschaut dann seht ihr bei der Treffermeldung das Kürzel "HEUR:".
Damit gibt der Virenscanner zu verstehen, dass er vermutet einen Schädling gefunden zu haben. Der gefundene Code entspricht keiner dem Virenscanner bekannten Signatur aber ähnelt stark einer Signatur eines bekannten Schädlings.
In diesem konkreten Fall also: Entwarnung.

Gruss Marcel

[dieter]

stellt sich dann die Frage, warum alle anderen Werbeframes angezeigt werden, und dieser eine nicht.... was hat der Werbeanbieter da rein programmiert ??

Das Problem erledigt sich, wenn man AdBlock benutzt...

Gruß
Mario

[dieter]

...das Kürzel HEUR ist eine Meldung vom 29.9. und nicht aus diesem Forum.... die Meldungen von gestern und heute haben dieses Kürzel nicht und es wird namentlich ein erkannter Trojaner genannt.... !!!!

[dieter]

Zitat:

Zitat von TageDieb

Das Problem erledigt sich, wenn man AdBlock benutzt...

Gruß
Mario

falsch... wenn man jetzt erst Adblock nutzt ist es zu spät..... außerdem, sollte es wirklich ein trojaner sein, das Forum ist eine seriöse Seite, da sollte so etwas nicht passieren...

wer auf den xxx-Seiten herumsurft, der muss mit jedem Klick mit so etwas rechnen, aber hier im Forum

[Astrogator]

Zitat:

Zitat von dieter

stellt sich dann die Frage, warum alle anderen Werbeframes angezeigt werden, und dieser eine nicht.... was hat der Werbeanbieter da rein programmiert ??

Kann ich so auf die Schnelle nicht sagen. Viel interessanter wäre zu wissen nach welchen Kriterien der Virenscanner den vorliegenden Code als schädlich erkennt.
Eigentlich sollte man das dem Virenscanner-Hersteller die Falschmeldung zukommen lassen, damit er die Heuristik anpassen kann. Aber wer macht sich wegen sowas schon immer die Mühe.
Die Geschichte kann aber auch ganz übel ausgehen. Zum Beispiel lässt sich eine Software nicht starten, dumm wenn es dann z.B. die Buchhaltungssoftware ist oder das Betriebssystem lässt sich gleich gar nicht mehr booten.
http://www.heise.de/newsticker/meldu...er-124209.html
http://www.heise.de/security/meldung...en-180353.html

Gruss Marcel

[dieter]

http://www.viruslist.com/de/viruses/...virusid=219516

ein Trojan Downloader wird so deklariert:

Trojan-Downloader - Zustellung anderer Schadprogramme

Diese Trojaner sind zur Installation von neuen Schadprogramm-Versionen, von 'Trojanern' und Reklame-Systemen auf Opfer-Computern vorgesehen. Die aus dem Internet geladenen Programme werden entweder zu ihrer Ausführung gestartet, oder durch den Trojaner zur automatischen Installation registriert, entsprechend den Möglichkeiten des Betriebssystems. Diese Tätigkeiten erfolgen alle ohne Kenntnis des Anwenders.
Die Information über den Namen und die Lage des herunter geladenen Programms befindet sich im Code oder den Daten des Trojaners, oder wird vom Trojaner von dem 'Steuerer' der Internet-Ressource (meist von der Webseite) gezogen.

[Astrogator]

Zitat:

Zitat von dieter

...das Kürzel HEUR ist eine Meldung vom 29.9. und nicht aus diesem Forum.... die Meldungen von gestern und heute haben dieses Kürzel nicht und es wird namentlich ein erkannter Trojaner genannt.... !!!!

Ja, aber das eine schliesst das andere nicht aus. Natürlich meldet das Antivirenprogramm gleich mit was er vermutet, was es sein könnte. Auch Computerviren können "mutieren" analog ihrer Namensgeber aus dem echten Leben. Die einfachste Variante ist, dass sich der Virus selbst umschreibt während der Reproduktion. Das heisst der Virus bleibt in der Funktionalität bestehen, ändert aber seine Signatur nach aussen.
Die andere Variante ist, dass effektiv ausgehend von einem Virus eine weitere Variation programmiert wurde. Da die Hersteller von Antivirensoftware der Entwicklung stets hinterherrennen wird versucht mit heuristischen Methoden abzuschätzen ob ein Code schädlich ist oder nicht und wird automatisch einem "Stamm-Virus" zugewiesen. Was dazu führt, dass der normale User wie du plötzlich auch noch entscheiden müssen ob die Warnung echt ist oder nicht.

Gruss Marcel

[Bernd]

Zitat:

Zitat von dieter

.die Meldungen von gestern und heute haben dieses Kürzel nicht und es wird namentlich ein erkannter Trojaner genannt.

Hallo Dieter.

Das ist ein falsch programmiertes AJAX-Skript des Bannerproviders.
Leider ist die von dir angegeben URL nichtssagend (da kommt kein Banner )

Kapersky ist eher bekannt dafür, mal über das Ziel heraus zu schiesen.
Personen mit ANDEREN Virenscannern eine Meldung?

Grüße
Bernd

[dieter]

danke.. Hauptsache es passiert nichts.... !! ist ja heute schnell mal passiert...
ich werde spaßhalber die Meldung mal den Russen melden !

Bei Problemen war der Service bisher excellent...


...äh.. wer verbirgt sich hinter dem "falschen Banner" ??

[Bernd]

Zitat:

Zitat von dieter

ein Trojan Downloader wird so deklariert:

Da steht aber "Trojan-Clicker" und nicht Downloader...
Bernd

[Astrogator]

Zitat:

Zitat von dieter

falsch... wenn man jetzt erst Adblock nutzt ist es zu spät..... außerdem, sollte es wirklich ein trojaner sein, das Forum ist eine seriöse Seite, da sollte so etwas nicht passieren...

wer auf den xxx-Seiten herumsurft, der muss mit jedem Klick mit so etwas rechnen, aber hier im Forum

Nun ja, erstmal muss man sich vom Gedanken verabschieden, dass man sich ein Virus nur beim virtuellen Puff-Besuch einfangen kann. Das war früher mal so, ist aber heute längst nicht mehr gegeben.
Viele Websiten bieten die Möglichkeit Fremdcode zu platzieren, promintes Beispiel ist die Bannerwerbung. Für einen Website-Betreiber im privaten Nutzen ist es in der Praxis gar nicht möglich den Code zu kontrollieren. Hier einen Vorwurf zu machen wäre übereilt und unfair.

Gruss Marcel

[dieter]

...wird geprüft...

Ergebnis erhalte ich per Mail

[renn-harry]

Zitat:

Zitat von Bernd

.......
Personen mit ANDEREN Virenscannern eine Meldung?
........
Grüße
Bernd

Ich nutze G-Data und bei mir ist nix an Meldungen aufgelaufen.

[dieter]

... wieder mal ein Topp Service -wie ich ihn von Kaspersky kenne, Antwort ist schon eingegangen: