Achtung vor adsaway Einstellungen

[maxos]

Streune gerade auf Windows Marketplace in der Abteilung neu eingetroffener Sicherheitssoftware u. sehe da etwas das Werbung blockieren soll u. vor Ad- u. Spyware schützen will.
Soll noch dazu $ 19,90 kosten.

Naja clicke mal die Beschreibung u. clicke dann auf deren Homepage.

Was soll ich sagen, IMON der http Scan von NOD32 blockt sofort u. meldet geblockten Trojanerdownload

Für alle die einen Echtzeittest nicht scheuen, natürlich auf eigene Gefahr u. dass sich auf der site schon beim Aufruf ein Trojaner scheinbar selbstständig auf den Weg macht weise ich nochmals hin.

der tippe einfach www . adsaway . com in seinen Browser.

Sollte der Link Hinweis nicht gestattet sein, dann entfernen.

Komisch ich glaube ich hätte den Link von hier gecklickt, weil ich mich immer noch anderweitig zu einem Proggi umsehe

http://www.zdnet.de/downloads/prg/6/6/en10519266_img-wc.html

andereseits hier hat das Proggi gute Bewertung bekommen, obwohl das nichts heissen mag
Nur aus den Kommentaren geht hervor, dass scheinbar auch schon andere in dem Proggi einen Trojaner vermutet hätten, dem aber die 2 Bewerter widersprechen.

http://www.download.com/AdsAway/3640-2144_...html?tag=tab_ur

Vielleicht ein Fehlalarm ?

Der Beitrag wurde von maxos bearbeitet: 09.03.2007, 23:34

[hypnosekroete]

Mein AVK motzt auch:

Virus: Trojan-Downloader.HTML.Agent.bp
Virus beim Laden von Web-Inhalten gefunden.
Adresse: www*adsaway*com

Das File selber laut Jotti OK
VT scannt noch......und ist jetzt fertig mit folgendem Ergebnis:

Ikarus T3.1.1.3 03.09.2007 Trojan-Dropper.Win32.Factory.b

Sonst nix.
Ich schicke das File an Kaspersky. Mal schauen, was die sagen....

Der Beitrag wurde von hypnosekroete bearbeitet: 10.03.2007, 00:11

[Gast_rock_*]

na is ja irre..... nur so nebenbei steht ober dem link bei download.com auch ein link für einen registry cleaner zum downloaden,...der hats aber in sich!

Complete scanning result of "RCSammsoftTrial.exe", received in VirusTotal at 03.10.2007, 05:32:22 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.09.2007 no virus found
Authentium 4.93.8 03.09.2007 is a virus dropper
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.09.2007 no virus found
BitDefender 7.2 03.10.2007 no virus found
CAT-QuickHeal 9.00 03.09.2007 no virus found
ClamAV devel-20060426 03.10.2007 no virus found
DrWeb 4.33 03.09.2007 no virus found
eSafe 7.0.14.0 03.08.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.09.2007 no virus found
FileAdvisor 1 03.10.2007 no virus found
Fortinet 2.85.0.0 03.10.2007 PossibleThreat!020424
F-Prot 4.3.1.45 03.09.2007 W32/Trojan_Dropper!7943
F-Secure 6.70.13030.0 03.09.2007 no virus found
Ikarus T3.1.1.3 03.09.2007 no virus found
Kaspersky 4.0.2.24 03.10.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2204 03.10.2007 no virus found
NOD32v2 2105 03.09.2007 no virus found
Norman 5.80.02 03.09.2007 no virus found
Panda 9.0.0.4 03.09.2007 no virus found
Prevx1 V2 03.10.2007 Spyware.RegClean
Sophos 4.15.0 03.09.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 Registry Cleaner
Symantec 10 03.10.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.09.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.09.2007 no virus found

================================

dieses ads away selbst hat nix: (vielleicht habt ihr den anderen link geklickt wo der downloadbotton eines anderen programms so blöd platziert ist das man denkt man ladet ads-away)?

siehe bild: anstatt ads away...den verseuchten reg dings bums cleaner.



Der Beitrag wurde von rock bearbeitet: 10.03.2007, 05:46

[Rios]

Hallo,
hab bei zdnet.de nur auf den Link Hersteller geklickt, ( Ads Software Company), Resultat, das selbe wie bei hypnosekroete.

[Gast_rock_*]

hmm.... moin moin,

also wie jetzt... IM PROGRAMM drinne... oder in einer webseite eingebettet wo man glaubt den download zu bekommen? also in dem fall im link der ads away com? den der dropper (ein droper) is ja im programm RCSammsoftTrial.exe den man (siehe bild) bekommt anstatt ads away, weils so komisch platziert ist)!

was habt ihr da genau und wie heist der pfad der entdeckung? bzw. ein online-ergebnis wäre mal gut!

wenn ikarus der einzige von 2 dutzend scanner ist der in einer tempfile was meckert.... dann würd ich mal daneben tippen!

welchen scanner hat rios? IKARUS???




Der Beitrag wurde von rock bearbeitet: 10.03.2007, 09:41

[Rios]

rock, nein, kein Ikarus. KAV darum auch das selbe Ergebnis wie die Kroete!!

[Gast_rock_*]

hello,

achso... na hab ich missverstanden.... denn er schreibt: Ich schicke das File an Kaspersky. Mal schauen, was die sagen
na wozu, wenn er`s net kennt!? aber bei dir doch?? jetzt ich garnixmehr kapier....

[Rios]

Mein AVK motzt auch:

Virus: Trojan-Downloader.HTML.Agent.bp
Virus beim Laden von Web-Inhalten gefunden.
Adresse: www*adsaway*com

Das File selber laut Jotti OK
VT scannt noch......und ist jetzt fertig mit folgendem Ergebnis:

Ikarus T3.1.1.3 03.09.2007 Trojan-Dropper.Win32.Factory.b

Sonst nix.
Ich schicke das File an Kaspersky. Mal schauen, was die sagen....

rock, schau genau hin. AVK benutzt unter anderem auch die KAV Engine, die ihn ja auch meldet. Nur auf Jotti's gibt es keinen Fund, bzw.auf Virustotal meldet nur Ikarus einen Fund.

[maxos]

Da sieht man wieder mal, wie den Scannern bei

Virustotal
Jotti

hinsichtlich aktueller Ergebnisse getraut werden kann.

Denn wie in meinem Eingangsposting angeführt, NOD32 verweigert gleich mittels IMON http Scanner den Aufruf der Site vom link aus zdnet.

Ein unbedarfter der sich an den Ergebnissen der Online Scanner orientiert würde dann vermeinen NOD32 erkennt fast nie was.

[Gast_rock_*]

alles klar jungs.... das heisst man ladet sich diesen dropper factory in die tempfiles beim besuch der original seite ads away com?

das fände ich aber auch ganz "unpraktisch".... den in den sauhaufen den dann rausfinden...na gute nacht

komisch nur.... das ich die tempfiles "absichtlich" nicht geleert habe um auf anderwertige reaktionen zu warten... es tat sich nix.

mittlerweilen hab ich sicherheitshalber mal eine datenträgerbereinigung gemacht.

ähm... und wie heisst der nun bei kav u. nod??




achso ja, danke übrigens... dafür konnte ich den anderen mist "einfangen" ... siehe ergebnis!



Der Beitrag wurde von rock bearbeitet: 10.03.2007, 10:44

[hypnosekroete]

@alle
Da hab ich mich wohl ein bisschen unklar ausgedrückt, sorry.
Aaaaalso:

1. Wenn man die Homepage von AdsAway besuchen will meckert der HTTP-Scan meines AVK: Trojan-Downloader.HTML.Agent.bp

2. Hab mir den Installer von adsaway (adsaway-trail.exe, also keine Verwechslung, denk ich mal) dann unter dem zdnet-link aus dem Eingangsposting von maxos besorgt und bei VT&Jotti hochgeladen, mit dem Ergebnis:
Jotti: Nix
VT: Ikarus - T3.1.1.3 - 03.09.2007 - Trojan-Dropper.Win32.Factory.b (sonst nix)

Und den adsaway-installer hab ich unter kurzer Schilderung von warum&wieso zu den Kaspersky-Jungs geschickt.


Sämtliche Klarheiten beseitigt? War schon spät gestern, seht's mir bitte nach...

Der Beitrag wurde von hypnosekroete bearbeitet: 10.03.2007, 11:31

[Kenshiro]

@alle
Da hab ich mich wohl ein bisschen unklar ausgedrückt, sorry.
Aaaaalso:

1. Wenn man die Homepage von AdsAway besuchen will meckert der HTTP-Scan meines AVK: Trojan-Downloader.HTML.Agent.bp

2. Hab mir den Installer von adsaway (adsaway-trail.exe, also keine Verwechslung, denk ich mal) dann unter dem zdnet-link aus dem Eingangsposting von maxos besorgt und bei VT&Jotti hochgeladen, mit dem Ergebnis:
Jotti: Nix
VT: Ikarus - T3.1.1.3 - 03.09.2007 - Trojan-Dropper.Win32.Factory.b (sonst nix)

Und den adsaway-installer hab ich unter kurzer Schilderung von warum&wieso zu den Kaspersky-Jungs geschickt.
Sämtliche Klarheiten beseitigt? War schon spät gestern, seht's mir bitte nach...

Yes sir,

[hypnosekroete]

Das ging ja mal fix! Hier die Antwort aus der sibirischen Tundra :
_____________________________________________
Hello.
I didn't found anything malicious in this program.
But web site is realy contain malicious scripts.
--
Regards, Alexey Malyshev
Virus analyst, Kaspersky Lab.

_____________________________________________

[Kenshiro]

Das ging ja mal fix! Hier die Antwort aus der sibirischen Tundra :
_____________________________________________
Hello.
I didn't found anything malicious in this program.
But web site is realy contain malicious scripts.
--
Regards, Alexey Malyshev
Virus analyst, Kaspersky Lab.

_____________________________________________

Quality made in Russia

[maxos]

Eigentümlich die Antwort von Kaspersky.

In der Programmsoftware selbst finden sie keinen Schädling, aber die Website des Programmes enthält schädliche Scripte.

Naja kann schon stimmen, vielleicht ist es so bzw. wenn es geprüft wurde wird es schon so sein.

Aber wer vertraut solcher Software deren Homepage "verwanzt" ist.

[Gast_Xeon_*]

....... aber die Website des Programmes enthält schädliche Scripte.

Jetzt weiß ich auch warum Kaspersky bei mir nicht angesprochen hat....---> No Skript..

[hypnosekroete]

Jetzt weiß ich auch warum Kaspersky bei mir nicht angesprochen hat....---> No Skript..

Wundert mich jetzt. Hab Jscript auch per default deaktiviert (Opera 9.10).
Haste den HTTP-Scan an?

[Rios]

Xeon,
die Warnung kommt auch mit aktivierten No Script!!

[Gast_Xeon_*]

Xeon,
die Warnung kommt auch mit aktivierten No Script!!

Nein,bei mir kommt keine Warung wenn ich auf die oben verlinkten Seiten gehe.
Oder bin ich da falsch ??

Der Beitrag wurde von Xeon bearbeitet: 10.03.2007, 21:46

[hypnosekroete]

Oder bin ich da falsch ??

Jepp. Die Seuchenseite steht auch im ersten posting, ist aber nicht verlinkt