Infizierte Webseiten Einstellungen

[Gast_reuro_*]

Hallo

F-Secure meldet einen geblockten Virus.

LG Rolf

Angehängte Datei(en)

 fsecure.jpg ( 54.84KB ) Anzahl der Downloads: 45

 

[Aasblume]

@reuro
Wann wurde der Virus bitte gefunden und entfernt?

-Alarmmeldung/Blockierung schon beim Aufruf der Seite?
-Alarmmeldung vor/wärend/nach dem Download?
-Fund/Entfernung beim manuellen Scan der Downloaddatei, beim Zugriff?

[Gast_reuro_*]

Beim Aufruf der Seite erfolgte keine Meldung.
Nach dem Eingeben der gezeigten Adresse wurde der
Download der Exe Datei verhindert. Allerdings fand ich keinen
Weg von der Homepage zu dem Download. Musste alles per Hand eingeben.

Rolf

[Thorsten]

@Aasblume

Bei mir das gleiche wie bei reuro (Rolf) - Mußte auch alles per Hand eingeben.
Irgendwie habe ich auch das Gefühl, das die Webseiten-Prüfung nicht so der Renner ist. Bei mir wurden ebenfalls Seiten als "clean" bezeichnet, wo andere Scanner die Seite geblockt haben (z.B.: KIS , NIS und GData)

Gruß Thorsten

[Aasblume]

@Thorsten
Du schreibst, NIS blockiert die Seite. NIS blockiert den Download, oder?
Für mich ging es darum, ob FS schon die Seite als infiziert meldet. So wie das jetzt (wie Du schon gesagt hast) z.B. GData tun würde und den Zugriff verweigert.
Auszug aus der Produktinfo F-Secure IS2010/Einstellungen:
[attachment=5564:Unbenannt.PNG]

@reuro
@Thorsten
Und somit würde FS nichts anderes machen wie NIS. Den Download erkennen und blockieren. Die Beschreibung aus der Produktinfo würde ich aber ala GData verstehen [attachment=5565:wallbash.gif]
Oder liegt's nur an der deutschen Übersetzung.....

[Thorsten]

@Aasblume

also, F-Secure blockt die Seite bei mir nach wie vor nicht.
NIS kann ich im Moment nicht testen. Damals wurde jedoch der Download blockiert.

Würde auch sagen, daß da GData den Kern der Aussage in der Beschreibung am besten trifft, da es die Seite vor dem Downlaod sperrt.

Gruß Thorsten

Der Beitrag wurde von Thorsten bearbeitet: 05.12.2009, 16:15

[Gast_reuro_*]

@Aasblume

Beim Aufrufen der Seite passiert überhaupt nichts.
Erst wenn bei der Adresse /sys/?getexe=go.exe eingegeben wird,
wird versucht den Trojaner zu Laden. Alle Links der Seite versucht und
bei keinem wird obige Adresse aufgerufen. Auch beim Laden nicht. Nur wenn man die Adresse
mit der Hand eingibt, wird der Download versucht und blockiert. Ich finde, das ist so richtig.
Trotzdem mal F-Secure als schädlich gemeldet.

LG Rolf

[Voyager]

Malwarelinks sind in der Regel immer Deeplinks , das Objekt soll ja möglichst auf dem PC landen ohne das der User etwas dazu tun muss.

[Aasblume]

Was ist das:
[attachment=5566:Unbenannt.PNG]
Da er ja schon gelöscht ist habe ich nur noch danach google'n können. Da kommt nach dem Trojan.FakeAV in den Suchergebnissen immer noch eine weitere Endung (z.B. .VE)

[Rios]

Koobface ?
h??p://.reishus.de/.sys/?getexe=v2reader.exe Vorsicht, diesen Link nicht ungesichert aktivieren!!

[Voyager]

http://www.abload.de/img/2nzrs.jpg

das übliche,

[Varock]

In FireFox ist die Seite gesperrt:

[Solution-Design]

http://www.virustotal.com/de/analisis/6957...9da4-1260467956 Wird aber gut erkannt.

[fenriz]

...

Angehängte Datei(en)

 Snap_2009.12.10_19.38.17_001.png ( 16.08KB ) Anzahl der Downloads: 20

 

[Varock]

@t SD:


Hmm, also um so ca. 19,30 Uhr gings noch.

Der Beitrag wurde von Varock bearbeitet: 10.12.2009, 22:18

[Rios]

Vtt hat wieder mal seine Macken, kommt ab und zu vor.

http://www.virustotal.com/analisis/60b01a2...e1b9-1260448879

Der Beitrag wurde von Rios bearbeitet: 10.12.2009, 22:25

[fenriz]

Ich nutze seit deren erscheinen des VT Uploadtools 2.0

Warum ist deinem Link zu VT die Erkennung von Bitdefender nicht mit aufgeführt. Bitdefender hat zwar etwas geblockt aber scheinbar etwas anderes als zBsp bei Norton(Voyager)

Der Beitrag wurde von fenriz bearbeitet: 10.12.2009, 22:49

[240670]

Ich nutze seit deren erscheinen des VT Uploadtools 2.0

Warum ist deinem Link zu VT die Erkennung von Bitdefender nicht mit aufgeführt. Bitdefender hat zwar etwas geblockt aber scheinbar etwas anderes als zBsp bei Norton(Voyager)

Wie es aussieht wurde doch von beiden 2reader.exe geblockt! Also beide blockten das gleiche.

[markusg]

pca.uub.cc/l/yy.exe
mefa.ws/2/jloquv2.exe
philbricktsachtsach.blogspot.com
99.155.22.172/d=mortisonline.com/0x3e8/view/console=yes/setup.exe
phiphismaluch.blogspot.com
70.125.102.130/d=zone-adv.com/0x3e8/view/console=yes/setup.exe
74.138.114.105/d=thenorthstarauto.com/0x3e8/view/console=yes/setup.exe
metraiciono.com/hoxx.exe
209.237.70.23/d=suntico-dev.com/0x3e8/view/console=yes/setup.exe

174.116.103.152/d=musthaveitjewelry.com.mytempweb.com/0x3e8/view/console=yes/setup.exe
99.236.198.29/d=zone-adv.com/0x3e8/view/console=yes/setup.exe
atelierdupetitprince.com

[rolarocka]

Keine direktlinks bitte. Danke.

Der Beitrag wurde von rolarocka bearbeitet: 12.12.2009, 17:16