Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[olli]

Es liegt am Werbeblocker. Wer einen verwendet, sollte die Malware (JavaScript) nicht gemeldet bekommen.

Daran könnte es gelegen haben. Ich habe im Chrome Adblock+ laufen. Und da hat sich BitDefender nicht gemuckt. Allerings auch nicht beim manuzellen Scan der Datei, die SD hier bereitgestellt hat. Bei Kaspersky habe ich den nur den Werbeblocker von KIS aktiviert.

Ob es ein Fehlalarm ist...? Nun gestern haben bei VTT 4 Scanner angeschlage, heute 5.

Bis denne
Olli

[Solution-Design]

Ich habe aber keinen Werbeblocker im Firefox, nur WOT und AVG Link Scanner(Webschutz)und es wird mir keine Bedrohung mehr angezeigt (ja ich hab den Browser Cache gelöscht vorher).

Jetzt passiert hier auch nichts mehr. Habe es mittlerweile aber auch hochgeladen. Vielleicht war mal wer schnell. Wer auch immer.

Lass doch mal die Zahnräder und die Eset Verzahnung bei dir in Fahrt kommen, du weißt doch jede Maschine muss erstmal "eingefahren" werden damit sie optimal laufen kann

Die SchlangenölHIPS kann nichts lernen, da doof. Deshalb bleibt der Dummfug auch abgeschaltet; inkl. der den PC verlangsamenden restlichen Optionen. NOD32 ist aber perfekt konfigurierbar (das AV selbst muss ja nicht direkt als schlecht bezeichnet werden), weshalb es unbekannte externe Datenträger bei mir innerhalb der Sandbox testen darf (welche Dank USBDLM immer die selben LW-Buchstaben nutzen). Den Rest macht ein richtiges HIPS.

Und: Was passiert(e)?

Nichts.

[simracer]

Die SchlangenölHIPS kann nichts lernen, da doof. Deshalb bleibt der Dummfug auch abgeschaltet; inkl. der den PC verlangsamenden restlichen Optionen. NOD32 ist aber perfekt konfigurierbar (das AV selbst muss ja nicht direkt als schlecht bezeichnet werden), weshalb es unbekannte externe Datenträger bei mir innerhalb der Sandbox testen darf (welche Dank USBDLM immer die selben LW-Buchstaben nutzen). Den Rest macht ein richtiges HIPS.

Ich interpretier dich mal SD Du findest also Eset NOD32 als Virenschutz Programm recht gut, störst dich aber am HIPS? richtig? Hast Eset NOD32 5 zwar installiert aber deaktiviert? warum in 3 Gottes Namen nimmst du dann nicht Eset NOD32 4? Da ersparst du dir das HIPS und hast das gute Virenschutz Programm Eset(schreibst du ja selbst)auf deinen Rechner "sitzen".

Der Beitrag wurde von simracer bearbeitet: 22.04.2012, 20:03

[Solution-Design]

nicht Eset NOD32 4?

Nicht behobene Inkompatibilitäten zur neusten Software. Und BTW, mir ist egal, wie das AV heißt, andere verwende ich auch nur äquivalent des jetzigen. Ausgeschaltet

Aber so lange andere AVs dieses nicht so bieten

[attachment=7570:nod32.png]

bleiben sie außen vor.

Sollte ich AVs bewerten, wird mein Ergebnis lauten, dass abgesehen vom HIPS-Ding, Eset momentan die ausgereifteste Lösung bietet, Symantec die DAU-sicherste.

Aber das hier ist der falsche Thread für Grundsatzdiskussionen. Daher:

EOD

[SLE]

Aber so lange andere AVs dieses nicht so bieten

Du hast doch USBDLM, bastel noch ne Zeile CLI dazu und viele AVs können das.

[Solution-Design]

Du hast doch USBDLM, bastel noch ne Zeile CLI dazu und viele AVs können das.

Gibt ja noch einen Grund für NOD32. Das Update-Verhalten ist vorbildlich. Aber nun verrate kurz, auch wenn OT, welche Variable du gerade verbiegst?

Habe den http-Scanner heutemorgen nochmal kurz eingeschaltet...Neugierde...und siehe da https://www.virustotal.com/file/dfaad44eee8...sis/1335155082/

[attachment=7572:jscript.png]


Wird immer interessanter. Und ja, vollkommen andere Seiten. Nur, bei 30 Tabs?

Der Beitrag wurde von Solution-Design bearbeitet: 23.04.2012, 05:59

[SLE]

Aber nun verrate kurz, auch wenn OT, welche Variable du gerade verbiegst?

[OnArrival10]
;Malware Scan angeschlossener Sticks
open=[CLI des AVs]

[Solution-Design]

Nanu? Seit wann gibbet denn des? Jetzt sag nicht, schon ewig. Allerdings muss ich mich auch jetzt, nach Beispiel, erst mal durchdenken, was da passiert.

Edit: Gelesen und wieder erinnert. Ist aber nicht das, was ich meinte.

Mein Wunsch ist nur, keine AV-Aktivitäten auf lokalen wie Netzwerk-HDs, dafür auf wechselbaren Datenträgern OnAccess.

Der Beitrag wurde von Solution-Design bearbeitet: 23.04.2012, 19:55

[olli]

Also können wir doch von einen Fehlalarm ausgehen?

Bis denne
Olli

[scu]

Sieht eher nicht so aus. Beide Varianten des jquery.js erzeugen ein Skript, welches wiederum ein Iframe erzeugt ("Iframer").
Beide Skripte erzeugen Iframes zu unterschiedlichen Webseiten. Die eine Seite scheint nicht erreichbar zu sein, die andere zeigt nur eine weiße Seite an.
Die Seite wird allerdings von einem php Skript erzeugt und daher kann es sein, dass der Schadcode nur bei bestimmten Browserversionen/Referrern ausgegeben wird.

Der Betreiber bestätigt zudem die Infektion auf dem Facebook Profil:

http://www.facebook.com/pages/Trophies-PS3de/115686858530629

Dort schreiben einige, dass sie sich etwas eingefangen haben...
Die Webseite gehört wohl zur Computec Media AG (siehe http://heise.de/-1540251)

Der Beitrag wurde von scu bearbeitet: 23.04.2012, 15:21

[Solution-Design]

Diese Seite wird als Vorsichtsmassnahme vom Netz genommen bis wir die Struktur geprüft haben...
Wir bitte um Verständnis.

Euer
trophies-ps3.de Team

Edit: Der Text hätte von mir sein können, da ich selbige pers. Mail bekam: http://www.heise.de/security/news/foren/S-...-21723080/read/

Der Beitrag wurde von Solution-Design bearbeitet: 23.04.2012, 19:02

[Solution-Design]

https://www.virustotal.com/file/1e6978c7225...sis/1335297785/

https://www.virustotal.com/file/8ffb7933c3a...sis/1335297767/

Das sind die beiden Scripte, welche nacheinander auffällig wurden. Wunder, das Esets http-Scanner gemeckert hat.

[Schattenfang]

wenn ich unter chrome den vollständigen pfad zum skript angebe, erscheint nur ein buchstabensalat im browserfenster. runtergeladen wird da nichts

[scu]

wenn ich unter chrome den vollständigen pfad zum skript angebe, erscheint nur ein buchstabensalat im browserfenster. runtergeladen wird da nichts

Das Skript funktioniert nur, wenn es in einer HTML Seite eingebunden wird.
Zudem würdest du nicht sehen wenn ein anderes Skript nachgeladen wird, da der resultierende Iframe versteckt ist.

[Schattenfang]

Das Skript funktioniert nur, wenn es in einer HTML Seite eingebunden wird.

das verstehe ich nicht. das skript ist doch in einer html-seite eingebunden, oder nicht?

Zudem würdest du nicht sehen wenn ein anderes Skript nachgeladen wird, da der resultierende Iframe versteckt ist.

naja, im speicher kann es soviel schaden ja nicht anrichten. solange sich nichts installiert, können sich diese skripte meinetwegen tausendfach im cache gemütlich machen.

[Solution-Design]

wenn ich unter chrome den vollständigen pfad zum skript angebe, erscheint nur ein buchstabensalat im browserfenster. runtergeladen wird da nichts

Die Scripte habe ich aus der NOD32-Quarantäne wiederhergestellt. Herunterladen ist nicht. Dann sieht es aus wie bei dir, egal welcher Browser.

[Schattenfang]

Die Scripte habe ich aus der NOD32-Quarantäne wiederhergestellt. Herunterladen ist nicht. Dann sieht es aus wie bei dir, egal welcher Browser.

danke. ich glaub ich stehe aber gerade völlig auf dem schlauch. der http-scanner von nod hat die skripte im stream abgefangen und unter quarantäne gestellt, oder? was passiert denn nun genau, wenn ich kein http-scanner habe? dann öffnet sich dieser tab mit den buchstaben. wie findet denn eine infektion statt, wenn nichts heruntergeladen bzw. installiert wird?

[SLE]

was passiert denn nun genau, wenn ich kein http-scanner habe? dann öffnet sich dieser tab mit den buchstaben. wie findet denn eine infektion statt, wenn nichts heruntergeladen bzw. installiert wird?

Die Seite sollte sich nicht öffnen. Wenn der Redirekt funktioniert wird/wurde etwas nachgeladen was dann (z.T. auch automatisch) ausgeführt hätte werden müssen. Und dort wäre es in der Sandbox verpufft...

[Schattenfang]

Wenn der Redirekt funktioniert wird/wurde etwas nachgeladen was dann (z.T. auch automatisch) ausgeführt hätte werden müssen. Und dort wäre es in der Sandbox verpufft...

ok, danke. ich habe mit restriktiver sandbox getestet ohne http-scanner. eigentlich müsste mir in diesem fall ja ein verweigerter zugriff gemeldet werden. es ist hingegen aber nichts passiert.

[SLE]

ok, danke. ich habe mit restriktiver sandbox getestet ohne http-scanner. eigentlich müsste mir in diesem fall ja ein verweigerter zugriff gemeldet werden. es ist hingegen aber nichts passiert.

Ist halt nichts passiert - auch damals als das Ding aktiv war, konnte ich keine Funktion feststellen.