Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Avast JS:ScriptIP-inf [Trj]
Rokop Security > Security > Trojaner, Viren und Würmer
Seiten: 1, 2
hoesta
Guten Tag,

leider hat es heute den Laptop meiner Freundin erwischt. Da ich selbst noch nie Probleme mit Malware oder ähnlichem hatte, wäre ich über fachkundige Hilfe und Rat sehr dankbar.

Beim Surfen erhielt meine Freundin heute mehrere Meldungen von Avast darüber, dass etwas geblockt wurde. Den Screenshot der Reportdatei vom Avast Webschutz hänge ich an.

Der PC ist ein Netbook mit Windows 7 Starter, SP 1 ist drauf. Browser wird ausscließlich Firefox genutzt mit AdblockPlus (leider kein NoScript). Flash ist aktuell, Java ist nicht installiert. Der PC wird auch zu Geschäften wie Online-Banking, Ebay, etc. genutzt.

Wie sollte man jetzt am besten vorgehen, um auszuschließen dass der PC infiziert ist?

Derzeit läuft ein Vollscan mit MBAM. Ergebnis reiche ich nach.

Ich wäre sehr dankbar, wenn ihr mir helfen könntet.

Ich möchte anfügen, dass ich beim Avast Support nachgefragt habe, wie man sich am besten verhalten sollte. Nur als Info, da dies in manchen Foren als Dealbreaker angesehen wird. Ich weiss nicht, ob mein Englisch ausreicht, um dort viel nachzufragen, daher fühle ich mich hier definitiv besser aufgehoben.

Danke und Grüße
Markus
J4U
ZITAT(hoesta @ 26.09.2012, 14:32) *
Guten Tag,
Auch, und herzlich willkommen.
ZITAT
Beim Surfen erhielt meine Freundin heute mehrere Meldungen von Avast darüber, dass etwas geblockt wurde. Den Screenshot der Reportdatei vom Avast Webschutz hänge ich an.
Wenn etwas geblockt wurde, dann ist das eher ungefährlich. Was sagt der komplette Scan mit Avast?
Der hier
ZITAT
Vollscan mit MBAM
kann natürlich extra laufen.
ZITAT
Ich möchte anfügen, dass ich beim Avast Support nachgefragt habe,
OK. Wenn es Ergebnisse gibt, dann berichte bitte.
Ich denke nicht, dass es im beschriebenen Fall und so, wie Du es beschrieben hast, zu einer Infektion gekommen ist (natürlich erst den Scan abwarten). Wenn Du allerdings Restzweifel hast, dann setze das Ding einfach neu auf. Könnte bei einem Netbook der schnellere und psychologisch bessere Weg sein.

J4U
simracer
ZITAT
leider hat es heute den Laptop meiner Freundin erwischt. Da ich selbst noch nie Probleme mit Malware oder ähnlichem hatte, wäre ich über fachkundige Hilfe und Rat sehr dankbar.

Beim Surfen erhielt meine Freundin heute mehrere Meldungen von Avast darüber, dass etwas geblockt wurde. Den Screenshot der Reportdatei vom Avast Webschutz hänge ich an.

Hallo und Willkommen hoesta, so wie ich das lese, schlug der Avast Webschutz mehrfach an als deine Freundin online war und verhinderte den Zugriff auf Webseiten. Wenn da jedes Mal stand das Avast Webschutz etwas geblockt hatte, dann kam keine Malware auf das System deiner Freundin und ihr braucht eigentlich keine Angst zu haben das eine Infektion stattfand. Aber es ist nicht verkehrt(und auch um das Gewissen zu beruhigen wink.gif )wenn ein kompletter Scan mit Malwarebytes(hoffentlich habt ihr nur die Free installiert) und meinetwegen auch mit Avast eine Vollständige Überprüfung durchgeführt wird.
ZITAT
Der PC ist ein Netbook mit Windows 7 Starter, SP 1 ist drauf. Browser wird ausscließlich Firefox genutzt mit AdblockPlus (leider kein NoScript). Flash ist aktuell, Java ist nicht installiert. Der PC wird auch zu Geschäften wie Online-Banking, Ebay, etc. genutzt.

Falls ihr Online Banking im Web-Browser macht und ihr keine spezielle Online Banking Software verwendet, schaut euch doch mal hier das Projekt Secure Banking: http://www.rokop-security.de/index.php?showtopic=22239 an oder aber die derzeitige Chip Promotion Aktion bei der es für lau eine Online Banking Software gibt: http://www.chip.de/news/Steganos-Online-Ba...2_49700107.html
ZITAT
Ich möchte anfügen, dass ich beim Avast Support nachgefragt habe, wie man sich am besten verhalten sollte. Nur als Info, da dies in manchen Foren als Dealbreaker angesehen wird. Ich weiss nicht, ob mein Englisch ausreicht, um dort viel nachzufragen, daher fühle ich mich hier definitiv besser aufgehoben.

Es gibt auch ein deutschsprachiges Avast Forum: http://forum.avadas.de/forum.php aber ich denke, hier gibt es mindestens genau so gute Hilfe wie im besagten Avast Forum das vom deutschen Avast Reseller Procello unterstützt wird.
hoesta
Hallo,

erstmal vielen Dank für eure Antworten.

ZITAT
hier gibt es mindestens genau so gute Hilfe wie im besagten Avast Forum

Davon bin ich schon nach euren beiden Posts voll überzeugt.

Ok, hier also das Ergebnis eines sehr langen Nachmittags. Wenn ich das Netbook vor mir hätte, wäre es sicher schneller gegangen, aber dank Skype weiß ich, dass alle Scans korrekt durchgeführt wurden.

- vollständiger Scan mit Avast. Scaneinstellungen sind seit der Installation unverändert geblieben. Das einzige was ich damals bei der Installation angepasst hatte, war, alle Aktionen auf "Nachfragen" zu stellen. Das bedeutet: Scangrad Mittel, nicht nach PUP scannen, sonst eben eine vollständiger Scan.

Keine Funde.

Avast zeigt in der Schutzübersicht nur Funde beim Webschutz (1274/7 geprüft), nichts beim Dateisystemschutz o.ä.

- vollständiger Scan mit MBAM (Free Version), vorher Programmaktualisierung und Definitionsaktualisierung.

ZITAT
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
xxx [Administrator]

26.09.2012 17:47:12
mbam-log-2012-09-26 (17-47-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 254703
Laufzeit: 2 Stunde(n), 36 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)


- Suchlauf mit HitmanPro (hatte ich beim Aufsetzen des Netbooks zum Glück installiert, als OnDemandScanner).

Keine Funde.

Soweit also die Ergebnisse.

Mich hatte in dem Screenshot von den Avast-Meldung gestört, dass die ersten 6 URLs nicht ganz angezeigt werden, die entsprechen aber der letzten URL (ist also dieselbe Seite).

Folgendes habe ich noch nicht machen lassen. Würde das eurer Meinung nach noch Sinn machen bzw. wäre das nocht nötig?

- Versuchen zu rekonstruieren, wo genau wie gesurft wurde zu der betr. Zeit (über die FF Chronik). Bisher habe ich nur die Aussage: "ich habe gesurft und da kamen Popups". Ist aber eigentlich auch egal oder?

- OTL und dieser Rootkit-Scanner aswMBR.exe

Was sonst noch:

ZITAT
Wenn Du allerdings Restzweifel hast, dann setze das Ding einfach neu auf. Könnte bei einem Netbook der schnellere und psychologisch bessere Weg sein.

Eigentlich geht es nur um die Restzweifel wink.gif Heutzutage lernt man ja, auf gar keinen Fall einem AV-Programm zu trauen und daher bin ich natürlich froh über die Scans, aber irgendwo ganz hinten im Hinterkopf sag ich mir: das sagt doch gar nichts aus, 100% kannst du nicht sicher sein. Neu aufsetzen könnte ich frühestens in 6-8 Wochen. Leider.


Herzlichen Dank für eure Hilfe!
simracer
ZITAT
Eigentlich geht es nur um die Restzweifel wink.gif Heutzutage lernt man ja, auf gar keinen Fall einem AV-Programm zu trauen und daher bin ich natürlich froh über die Scans, aber irgendwo ganz hinten im Hinterkopf sag ich mir: das sagt doch gar nichts aus, 100% kannst du nicht sicher sein.

Ich kann mir nicht vorstellen nachdem du mit den verschiedenen Scannern das System hast scannen lassen von deiner Freundin und es dabei keine Funde gab, das da noch eine Infektion auf ihrem Laptop wäre. Und was die 100% betrifft, die gibt es nicht, irgendwo findet Malware immer wieder mal auf Windows-Systemen ein Schlupfloch um eindringen zu können und wenn ich nach dem Avast Webschutz ginge der mir eine Seite blockte und dadurch eine Infektion verhinderte, dann müsste ich fast alle 2 Wochen mein System neu aufsetzen weil in dem Zeitraum ich wieder mal auf eine Webseite stieß bei der der Avast Webschutz diese blockte und meldete das eine Infektion dort gestoppt wurde biggrin.gif
Was ich dir bzw deiner Freundin mit auf dem Weg geben könnte: achtet darauf das das System stets aktuell ist, das alle Programme und Anwendungen(vor allem Java Runtime, Flashplayer usw.)immer aktualisiert werden und wenn eine externe Festplatte vorhanden ist, das ihr euch mit dem Thema Systembackup beschäftigt. Will heissen: holt euch ein Backup/Image Programm und erstellt damit auf die externe Festplatte(falss eine vorhanden ist)ein Systembackup/image. Dazu verlinke ich dir mal 2 Programme die beim aktualisieren des Systems behilflich sind und ein empfehlenswertes Backup Program(allesamt Freeware):
http://www.filehippo.com/de/updatechecker/
http://www.chip.de/downloads/Secunia-Perso...I_28151435.html
http://www.chip.de/downloads/Paragon-Backu...e_32533759.html
J4U
ZITAT(hoesta @ 26.09.2012, 19:50) *
irgendwo ganz hinten im Hinterkopf sag ich mir: das sagt doch gar nichts aus,
Doch , es sagt aus, dass keine bekannte Bedrohung gefunden wurde. wink.gif
ZITAT(hoesta @ 26.09.2012, 19:50) *
Neu aufsetzen könnte ich frühestens in 6-8 Wochen.
Vielleicht fühlt sich der Hinterkopf wohler, wenn bis dahin kein Online-Banking & Co. durchgeführt wird? Wenn Du das Ding neu machst, dann wechsle danach die Passwörter aus. Sollte man sowieso ab und an machen und das wäre ein günstiger Zeitpunkt.

J4U
Solution-Design
ZITAT(hoesta @ 26.09.2012, 19:50) *
Heutzutage lernt man ja, auf gar keinen Fall einem AV-Programm zu trauen...


Deshalb benutze ich keins. biggrin.gif

Wenn das WEB-Filter/Sucher/Blocker, also der http-Scanner eines AVs Alarm schlägt, dann sollte man die Seite meiden. Die gemeldete JavaScript-Malware kann natürlich eine Seite betreffen, welche die bis Freitag vorhandene Internet-Explorer-Sicherheitslücke ausnutzten möchte. Da bist mit dem FireFox schon mal außen vor. Einen JS-Blocker habe ich noch nie benutzt, aufgrund der Komfort-Einschränkungen. AddBlock schützt ja schon in diese Richtung, da Mist auch gerne über Werbung und versteckte Inhalte verteilt wird.

Das Avast jetzt die Seite nicht vollständig anzeigt ist dusslig. Gibt es da nichts als Historie? simracer?

Für mich als einfachst zu installierendes, konfigurierendes und auch zu kapierendes Schutzprogramm gilt immer noch Sandboxie als Kaufversion. Für Menschen mit häufigen Mails mit Datei-Anhängen ein AV mit Behaviour-Blocker. Mir persönlich gefällt dahingehend Symantecs AV (das Teil ohne SchlangenölDesktop-Firewall. Die Verhaltensblocker-Lösung bei Avast ist eher...Blödsinn.

Kaspersky ist auch nett. Dann hört es aber schon auf. Ausgehend davon, dass der Nutzer mit "Nichts" zu tun haben möchte.
simracer
ZITAT
Das Avast jetzt die Seite nicht vollständig anzeigt ist dusslig. Gibt es da nichts als Historie? simracer?

Meinst du jetzt eine Avast Webschutz Historie? so etwas: http://www.avast.com/de-de/lp-fr-security-...&p_vbd=1466?
Edit: Die Avast Webschutz Report Datei(die in der GUI)ist leer bei mir, zeige ich dir deshalb nicht. Allerdings gibt es(XP als mein Beispiel)ein Avast Verzeichnist mit einem Ordner report darin: C/Dokumente und Einstellungen/All Users/Anwendungsdaten/Avast Software/Avast/report:
Solution-Design
Die Textdatei WEB-Shield. Sind dort die aufgesuchten geblockten Links vollständig aufgeführt? Wenn ja, dann ist es perfekt.
simracer
Bei mir ist logischerweise die Textdatei WEB-Shield leer. Müsse wir mal schauen, ob hoesta diese Datei vom System seiner Freundin hier posten/anhängen kann bzw will.
hoesta
Hallo,

das ist genau der Screenshot vom allerersten Post. Das ist die Reportdatei. Dort gibt es 7 Meldungen, so steht es auch in der Übersicht. Die dort gelisteten 7 URLs wurden geblockt (Aktion jeweils blockiert).

Ergebnisse 1-6 sind irgendwie gekürzt, das letzte Ergebnis eine volle URL. Wir haben dann nachgeschaut: wenn man mit der Maus über die anderen 6 Ergebnisse fährt, sieht man, dass es immer dieselbe URL ist.

Also immer directagain.net und dann eben die Zusätze des jeweiligen Ergebnisses.

Hilft das weiter?
simracer
Hallo hoesta, Solution-Design hätte gerne die Text Datei vom Webschutz gesehen. Schau mal unter Dokumente und Einstellungen/All Users/Anwendungsdaten/Avast Software/Avast/report dort nach einer Webshield Text Datei und poste den Inhalt davon.
hoesta
Ah ok, müsste ich dann wieder per Fernanleitung suchen lassen. Ich versuchs.
Ich hab bei mir selber nachgeschaut und da ist eine lange Liste mit Datum und Einträgen "Diese Reportdatei wurde erstellt am" und das erste Datum ist das der Erstinstallation von Avast auf dem PC.


Dort muss doch aber exakt dasselbe stehen wie in der Reportdatei vom Screenshot oder?
simracer
Poste einfach den Inhalt der Web Shield Text Datei hier im Forum oder lade diese als Anhang hoch.
SLE
ZITAT(hoesta @ 27.09.2012, 08:50) *
Dort muss doch aber exakt dasselbe stehen wie in der Reportdatei vom Screenshot oder?


Ja, aber ungekürzt und für den gesamten Verlauf. Es ist eben eine Schwäche von Avast, das es leider immer noch nicht geschafft wurde vernünftige und konfigurierbare reports einzubauen.

Zum Kernproblem: Eigentlich kein Grund zur Panik, wenn du jedesmal wenn irgendein Webscanner meint etwas geblockt zu haben einen Vollscan bzw. sogar noch einen Scan mit anderen Tools durchführst machst du irgendwann nichts anderes mehr. Überflüssig.

Avast hat dne Zugriff geblockt. Ob es schädlich war oder nicht ist daraus erstmal nicht ersichtlich, aber egal.
simracer
@SLE
Eine Frage meinerseits an dich(da du dich ja auskennst): was wäre denn beim System der Freundin von hoesta passiert wenn Sie ein Virenschutz Programm zu dem Zeitpunkt installiert gehabt hätte, das keinen Webschutz hat? Hätte da die(vom Avast Webschutz geblockte)Infektion auf ihr System eindringen können oder hätte da zum Beispiel dessen Echtzeitschutz Modul(OnAccess Scanner)angeschlagen und die Infektion verhindert?
simracer
ZITAT
Es ist eben eine Schwäche von Avast, das es leider immer noch nicht geschafft wurde vernünftige und konfigurierbare reports einzubauen.

Warum so pessimistisch SLE? es gibt doch bei Avast für jedes Echtzeitschutz Modul eine Statistik in der GUI die man sich anzeigen lassen kann und eine Reportdatei auch in der GUI die man aufrufen kann. Zusätzlich gibt es in dem genannten Verzeichnis den Ordner report mit Text Report Dateien für jedes Schutz Modul die man auch aufrufen und reinschauen kann. Ausserdem, wenn man das: aktiviert und auf Reort Datei erstellen klickt, bekommt man online das: http://www.avast.com/de-de/lp-fr-security-...&p_vbd=1466 angezeigt
SLE
ZITAT(simracer @ 27.09.2012, 10:45) *
Eine Frage meinerseits an dich(da du dich ja auskennst): was wäre denn beim System der Freundin von hoesta passiert wenn Sie ein Virenschutz Programm zu dem Zeitpunkt installiert gehabt hätte, das keinen Webschutz hat? Hätte da die(vom Avast Webschutz geblockte)Infektion auf ihr System eindringen können oder hätte da zum Beispiel dessen Echtzeitschutz Modul(OnAccess Scanner)angeschlagen und die Infektion verhindert?


Dazu muss man wissen: Hier wurde ja erstmal nur ein Javascript gemeldet, mehr nicht. War es schädlich, was war es bzw. sollte es machen, wie ist der Browser eingestellt etc.
Wenn: Höchstwahrscheinlich ja, es sieht aber absolut nicht nach einem dieser unrealistischen Einzelfälle aus aus, wo ein Webschutz hilfreich wäre.

Auf jedem Fall bringt es nicht viel nach so einer Sache Scans zu starten. Wenn das AV was durchgelassen hätte (wofür es null Anzeichen gibt), würde ich diesem dann nicht noch im Scan vertrauen.

ZITAT(simracer @ 27.09.2012, 13:29) *
Warum so pessimistisch SLE? es gibt doch bei Avast für jedes Echtzeitschutz Modul eine Statistik in der GUI die man sich anzeigen lassen kann und eine Reportdatei auch in der GUI die man aufrufen kann.


Statistiken sind Gimmicks und nicht zu vergleichen mit Reports mit denen man sinnvoll arbeiten kann. Hier sieht man ja es ist schon schwer möglicht die komplette Quelle zu erkennen - also Mist. Avast bietet eben seit Ewigkeiten nur diese Textdateien, die aber wenn entsprechend gefüllt auch extrem unübersichtlich sind und nicht leicht zu filtern etc.

Die Version 5 war ein guter Beginn, mal sowas eine brauchbare GUI hinzukriegen. (leider mit Schwächen: Flash voraussetzen etc.) Aber irgendwie hat man dann aufgehört und angehalten hier konsequent weiterzumachen.
simracer
ZITAT
Dazu muss man wissen: Hier wurde ja erstmal nur ein Javascript gemeldet, mehr nicht. War es schädlich, was war es bzw. sollte es machen, wie ist der Browser eingestellt etc.
Wenn: Höchstwahrscheinlich ja, es sieht aber absolut nicht nach einem dieser unrealistischen Einzelfälle aus aus, wo ein Webschutz hilfreich wäre.

Nehmen wir mal an, es war ein schädliches Javascript, dann hat doch in dem Fall der Avast Webschutz funktioniert und das ausführen des schädlichen Javascripts verhindert und somit auch einer Infektion vorgebeugt, das finde ich schon mal gut weil ja Virenschutz Programme genau das tun sollen: Infektionen zu vermeiden. Was mir jetzt noch nicht ersichtlich ist: ein Virenschutz Programm ohne Webschutz, hätte das genauso reagieren können und das schädliche Javascript stoppen können oder hätte das Javascript aktiv werden können und der Hintergrundwächter des Virenschutz Programms ohne Webschutz hätte "erst" dann in Aktion treten können?
Ausserdem verstehe ich nicht die Diskussionen hier im Forum zum Thema Webschutz ob so ein Modul nun sinnvoll ist oder nicht. Der Fall von hoestas Freundin hat doch gezeigt das ein Webschutz Modul kein Placebo ist, sondern eine Schutzfunktion/instanz die eine Stufe früher greift als ein OnAccess Scanner und erfogreich eine(mögliche)Infektion verhinderte.
ZITAT
Auf jedem Fall bringt es nicht viel nach so einer Sache Scans zu starten. Wenn das AV was durchgelassen hätte (wofür es null Anzeichen gibt), würde ich diesem dann nicht noch im Scan vertrauen
.
Dazu muss man glaube ich aber auch hoesta etwas zur Seite stehen, der neu im Forum ist und besorgt war und deshalb als Absicherung/Gegenkontrolle ein paar OnDemand Scanner auf dem System hat laufen lassen. Das finde ich für ihn schon so weit in Ordnung weil er sich Sorgen machte und sich um das System kümmern wollte.
hoesta
Hi,

was ich erstmal aus euren Antworten sehe, ist, dass die Meldung über blockierte Infektionen an sich nicht unüblich ist und erstmal auch nur besagt, dass etwas blockiert wurde. Das war mir ehrlich gesagt nicht ganz klar, weil ich ausser Fehlalarmen von Avira noch nie seit 3 Jahren Avast Erfahrungen mit diesen Meldungen hatte. Daher die Scans. Die Ondemand-Scanner auch eben aus dem Grund um sicher zu gehen, dass Avast nichts übersehen hat.

Das (englische) Avast-forum ist nicht übermässig hilfreich. Gut, dass ich hier gepostet und Hilfe bekommen habe. Ich habe dort eine von den URLs zur Prüfung gepostet, aber mehr als OLT bitte und könnte gefährlich sein, wurde nicht gesagt.

URL ist:
directagain.net/in.php?source=7777q=ciesuid=56rnd=0j1aomGQdgans8berqbv%2Bg%3D%3D

Vorsicht, da es wirklich Malware beinhalten könnte.

Ich bin erstmal zuversichtlich, dass effektiv geblockt wurde, falls es etwas zu blocken gab.
SLE
ZITAT(simracer @ 27.09.2012, 14:16) *
Nehmen wir mal an, es war ein schädliches Javascript, dann hat doch in dem Fall der Avast Webschutz funktioniert und das ausführen des schädlichen Javascripts verhindert ...

Es hat kein ausführen von schädlichem Code verhindert, sondern das Laden einer kompletten Seite - mehr nicht. Und es kam in der Vergangenheit schon öfters vor, dass eben so einfach gestrickte Webschutz Lösungen Seiten in der Blacklist haben, die gar nicht mehr exisitieren oder dadurch komplett gesperrt sind.
btw.: Die genannte Seite auch nicht mehr.

ZITAT(simracer @ 27.09.2012, 14:16) *
Virenschutz Programme genau das tun sollen: Infektionen zu vermeiden. Was mir jetzt noch nicht ersichtlich ist: ein Virenschutz Programm ohne Webschutz, hätte das genauso reagieren können und das schädliche Javascript stoppen können oder hätte das Javascript aktiv werden können und der Hintergrundwächter des Virenschutz Programms ohne Webschutz hätte "erst" dann in Aktion treten können?

Nun die "besseren" Mechanismen hätten das Script wirklich stoppen können. Der Webschutz hat es nicht, er hat einfach den Zugriff auf eine Seite blockiert.
Und wo der Schadcode erkannt wird, völlig egal. User ist geschützt gut ist. Ob man dazu Zig-Schilde braucht sei dahingestellt.

ZITAT(simracer @ 27.09.2012, 14:16) *
Ausserdem verstehe ich nicht die Diskussionen hier im Forum zum Thema Webschutz ob so ein Modul nun sinnvoll ist oder nicht. Der Fall von hoestas Freundin hat doch gezeigt das ein Webschutz Modul kein Placebo ist, sondern eine Schutzfunktion/instanz die eine Stufe früher greift als ein OnAccess Scanner und erfogreich eine(mögliche)Infektion verhinderte.

Und? Das wann ist egal.
Die Ablehnung die, diejenigen wenigen die sich hier auskennen, bringen hat doch v.a. mit dem Ansatz des streamscannens zu tun. Auf der anderen Seite wird sich nämlich dann beschwert, dass das Browsen langsamer ist. Noch krasser, wenn Produkte den User auffordern SSL Verbindungen zu deaktivieren oder durch die eigenen Zertifikate zu ersetzten...

Ein paar IP und oder Domain Blacklists (siehe MWBPro oder EAM), sofern anständig gewartet und nicht ewig mit toten Links, sind doch nicht per se verkehrt. Dies da eben bestimmte hosts für das Verbreiten von Malware, und nur dafür bekannt sind, so gesperrt werden. So läuft man nicht in Gefahr sich darüber was neues einzufangen, was ein Stream Scanner oder ein Dateiscanner (gleiche Signaturen) nicht erkennen.

ZITAT(simracer @ 27.09.2012, 14:16) *
Dazu muss man glaube ich aber auch hoesta etwas zur Seite stehen, der neu im Forum ist und besorgt war und deshalb als Absicherung/Gegenkontrolle ein paar OnDemand Scanner auf dem System hat laufen lassen. Das finde ich für ihn schon so weit in Ordnung weil er sich Sorgen machte und sich um das System kümmern wollte.

Es ist aber ein fairer Tipp, ihm dieses Sorgen zu nehmen und auf die Überflüssigkeit des Vorgehens hinzuweisen.

Andersherum. Ein Bsp.: User A hatte 1 Woche lange keine Meldung vom Webscanner, verdächtig beim doch soooo verseuchten Internet, da ging bestimmt was durch. Er hätte in dieser Logik mind. diesselben Gründe für einen on-demand Scan, wo bei einem Fund eh alles zu spät wäre.


simracer
ZITAT
was ich erstmal aus euren Antworten sehe, ist, dass die Meldung über blockierte Infektionen an sich nicht unüblich ist und erstmal auch nur besagt, dass etwas blockiert wurde. Das war mir ehrlich gesagt nicht ganz klar, weil ich ausser Fehlalarmen von Avira noch nie seit 3 Jahren Avast Erfahrungen mit diesen Meldungen hatte. Daher die Scans. Die Ondemand-Scanner auch eben aus dem Grund um sicher zu gehen, dass Avast nichts übersehen hat.

Solche Meldungen über blockierte Anwendungen sind auch bei einem Webschutz Modul nicht unüblich hoesta denn der Webschutz greift eine Stufe früher als zum Beispiel der OnAccess Scanner eines Virenschutz Programmes und verhindert den Zugriff auf die Webseite auf der etwas infiziert ist. So wird verhindert das beim Zugriff auf die infizierte Webseite sich in deinem Beispiel das "bösartige" Javascript über den Browser Zutritt auf dein System verschaffen kann.
ZITAT
Ich bin erstmal zuversichtlich, dass effektiv geblockt wurde, falls es etwas zu blocken gab.

Mach dir deswegen keine Kopf mehr, es trat keine Infektion in Kraft/Aktion am PC deiner Freundin wink.gif
ZITAT
URL ist:
directagain.net/in.php?source=7777q=ciesuid=56rnd=0j1aomGQdgans8berqbv%2Bg%3D%3D

Vorsicht, da es wirklich Malware beinhalten könnte.

Da ist nichts mehr, die URL ist wohl abgeschaltet bzw nicht mehr aktiv:
hoesta
Hi,

ZITAT
Der Webschutz hat es nicht, er hat einfach den Zugriff auf eine Seite blockiert.

Danke! Ich habe es endlich kapiert, denn es geht gar nicht um eine blockierte Malware sondern um eine blockiere Seite, wenn ich es richtig verstehe. So steht es ja auch in der Reportdatei: URL geblockt, also gar nicht erst geladen. Da sitzt man irgendwie auf dem Schlauch, obwohl es glasklar dasteht.

Jetzt wird es vielleicht abstrus, aber ich traue mich mal trotzdem zu fragen: Heißt das, dass es theoretisch möglich wäre, dass Avast diese Meldung auch ausgegeben hätte, wenn die Seite auch schon gestern nicht verfügbar gewesen wäre, einfach weil sie geblacklistet ist oder wurde die Seite vor dem Zugriff gescannt?

Ein einzig Gutes hat so eine Sache: man beschäftigt sich intensiv mit Sicherheitskonzepten etc.

Nochmal und nicht oft genug: danke euch!!
SLE
ZITAT(hoesta @ 27.09.2012, 16:47) *
Heißt das, dass es theoretisch möglich wäre, dass Avast diese Meldung auch ausgegeben hätte, wenn die Seite auch schon gestern nicht verfügbar gewesen wäre, einfach weil sie geblacklistet ist oder wurde die Seite vor dem Zugriff gescannt?


JA
J4U
ZITAT(SLE @ 27.09.2012, 13:58) *
Auf jedem Fall bringt es nicht viel nach so einer Sache Scans zu starten.
Ach doch, es beruhigt die Nerven, vor allem dann, wenn noch ein zweiter Scanner zum Einsatz kommt. Wer dann immer noch nicht schlafen kann, der kann sich die Zeit, bis er müde wird, mit Rechner neu aufsetzen vertreiben. rolleyes.gif
Gary12345
Hallo,

ZITAT
Wenn etwas geblockt wurde, dann ist das eher ungefährlich. Was sagt der komplette Scan mit Avast?


Stimmt so nicht - wenn es Verbindungen blockiert kann dennoch andere Malware auf dem PC sein.

Beispiel:

Malware nimmt Verbindungen auf, es wird blockiert jedoch wird die Malware nicht entfernt.

ZITAT
- OTL und dieser Rootkit-Scanner aswMBR.exe


#Mach bitte nur einen OTL Scan nach dieser Anleitung: http://www.trojaner-board.de/85104-otl-otl...y-oldtimer.html

ZITAT
Doch , es sagt aus, dass keine bekannte Bedrohung gefunden wurde.


Für einen Virenscanner ist eine Malware bekannt, für den anderen ist diesselbe Malware nicht bekannt.


hoesta
Hallo zusammen,

die o.g. Meldung tritt auf einer Seite auf die meine Freundin öfters besucht. Das hat sie jetzt bemerkt. Die URL ist (Vorsicht!):

DasBlondinchen.blogspot.de

Ist die Seite infiziert/gehackt oder sonst was?

Danke euch!
Gary12345
Das sagt zumindestens VT: https://www.virustotal.com/url/bbc93cbe7036...sis/1349278634/
simracer
AVG meldet da einen Blackhole Exploit der blockiert wurde: Laut VirusTotal aber ist die Seite sauber: https://www.virustotal.com/url/bbc93cbe7036...sis/1349278580/
Gary12345
Du gehst einfach auf die Seite ohne zu wissen was auf der ist? Was wäre denn wenn AVG nicht angeschlagen hätte? wink.gif
simracer
Ganz einfach: im schlimmste Fall wäre die Paragon Rescue Disk zum Einsatz gekommen wink.gif
Gary12345
Wäre aber unnötige Arbeit gewesen.
simracer
Das ja, aber in 40 Minuten(dauert bei meiner Kiste so lange)hätte ich damit wieder eine cleane Systempartition C(inkl. MBR)eingespielt gehabt
J4U
ZITAT(hoesta @ 03.10.2012, 17:32) *
DasBlondinchen.blogspot.de
Seiten gibts... rolleyes.gif
Norton findet die Seite jedenfalls OK.

J4U
hoesta
Die Sache lässt mir keine Ruhe. Jetzt wurden wohl Warnungen vom Netzwerk ausgegeben.

Nach knapp einer Stunde haben wir es jetzt geschafft, dass sie mir die Report-Dateien von Avast geschickt hat. Die Report-Datei von Avast vom Netzwerk-Schutz hänge ich an. Der letzte Eintrag von heute sind die Warnungen.

Außerdem hänge ich die Report-Datei vom Web-Schutz an. Hier ist der Eintrag vom 26. September, der vom damaligen Alarm von Avast, wichtig.

Könnt ihr damit irgendetwas anfangen?
Gary12345
Umsonst wird der Scanner ja nicht angeschlagen haben. Poste wie oben gesagt, einen OTL Bericht.
hoesta
Das ist leider nicht möglich, da ich das Netbook nicht hier habe.

Hast du auf der Seite oder in den Report-Dateien etwas entdeckt?

Danke und Grüße
Gary12345
Nur das etwas nicht stimmt. Ich will nur schnell sehen, ob Du infiziert wurdest.
simracer
Im Webschutz Report steht nichts von heute wohl aber von heute im Netzwerkschutz Report:

Da hat wohl der Netzwerkschutz von Avast heute etwas beblockt.
Domino
Ich kann mir nicht vorstellen, das "DasBlondinchen" wissentlich solche Skripte auf Ihre Seite packt.
Faul ist das allemal. smile.gif




Domino


simracer
Wissentlich macht "DasBlondchen" das bestimmt nicht, nur ist es heutzutage so das seriöse Webseiten von Hackern infiziert werden und die Betreiber das erst später feststellen. Kann auch sein, das Avast und AVG da mit Fehlalarmen anschlugen und es False Posive sind. Kann ich nicht beurteilen.
hoesta
Was für Skripte sind das? Die Malware verteilen?

Soll ich meine Freundin mit MBAM oder Avast scannen lassen? Was wäre euer Rat?

Es ist so bescheiden, dass ich das Ding nicht vor mir habe, aber ich kann es leider nicht ändern.
Gary12345
OTL und MBAM würden da am Besten sein.
hoesta
OK. MBAM ist zum Glück auf dem Netbook installiert, dann lass ich das wieder per Anleitung einen Scan machen. Ergebnis melde ich dann. Danke euch!
hoesta
Anbei das Log von MBAM:

ZITAT
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.04.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421

04.10.2012 09:31:02
mbam-log-2012-10-04 (09-31-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 265823
Laufzeit: 1 Stunde(n), 12 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Schonmal gut oder?

Avast schreibt auf meine Frage ob es sich um eine infizierte Seite oder ein False Positive handelt, dass ein Dienst namens Sucuri die Seite als verdächtig einstuft. Die Erklärung habe ich nicht ganz verstanden:

ZITAT
site's rel canonical tag pointing to another domain, that is being flagged

http://forum.avast.com/index.php?topic=106550.0

Auch wenn die Seite infiziert wäre, hat Avast aber den Zugriff komplett geblockt beim Netwerzkschutz, also die Seite gar nicht erst aufrufen lassen, richtig?

Danke und Grüße
J4U
ZITAT(hoesta @ 04.10.2012, 10:53) *
Avast schreibt ... dass ein Dienst namens Sucuri die Seite als verdächtig einstuft.
Es geht um das Zeug hier (Gugel-Doitsch). Auf der Blondinchen-seite findet sich einiges von dem Instagramm-Zeug und das wird angemeckert, zumindest von Avast. Norton z.B. stuft das als ungefährlich ein, trotzdem versucht die Seite einiges an Zubehör zu laden, ohne Werbeblocker leitet die auch ganz fix mal um. So ganz sauber scheint mir das Verhalten der Seite nicht zu sein, auch wenn ich nichts gefährliches feststellen konnte.
Ich denke, Avast hat geblockt, was ihm nicht gefallen hat und dem Rechner geht es gut.

J4U

PS: ...und hier noch die Erinnerung an das Restrisiko, man weiß nie, was da draußen so vor sich geht. ph34r.gif
simracer
ZITAT
Auch wenn die Seite infiziert wäre, hat Avast aber den Zugriff komplett geblockt beim Netwerzkschutz, also die Seite gar nicht erst aufrufen lassen, richtig?
Sehe ich auch so hoesta und der Scan mit Malwarebytes hat ja quasi bestätigt das sich nichts auf das Notebeook deiner Freundin "einnisten" konnte. Klar man könnte jetzt sagen Sie soll ihr System noch zusätzlich mit einer Live CD wie Kaspersky Rescue Disk 10 scannen weil da Wndows aussen vor bliebe oder auch mit OTL oder Hijack This das System checken, aber ich finde das braucht man nicht und das würde meiner Meinung nach keine bisher nicht aufgedeckten Infekionen hervorbringen. Meiner Meinung nach ist das System deiner Freundin clean.
ZITAT
PS: ...und hier noch die Erinnerung an das Restrisiko, man weiß nie, was da draußen so vor sich geht. ph34r.gif

Das ist klar J4U, ginge man danach, dürfte man mit einem Windows Rechner zumindest nie mehr online gehen, weil irgendwo im Internet immer irgendwo eine Gefahr lauert das Malware auf einem Windows Rechner eindringen könnte.
Domino
ZITAT
Hello,

No malicious software was found on the website you have sent. Probably, malware code was removed from server.
If you have a local copy of the suspicious file, please send it in an archive with password 'infected' (without quotes).


Das sagt das Virenlabor.
Aber gehackt ist die Seite allemal. smile.gif


Domino

simracer
Ich konnte vorhin ihre Webseite mit Firefox im Privaten Modus aufrufen, ging zu Kontakt und schickte ihr diese Nachricht:
ZITAT
Du solltest unbedingt deine Webseite von einem PC Fachmann überprüfen lassen, da wurde etwas auf deiner Webseite gehackt/manipuliert. Siehe auch ab hier: http://www.rokop-security.de/index.php?s=&...st&p=361408 und tue das bitte nicht ab, sondern nimm das ernst was ich dir geschrieben habe denn auf deine Webseite wurde mit grösster Wahrscheinlichkeit etwas ohne dein Wissen manipuliert.
Ich hoffe es wird von der Webseitenbetreiberin ernst genommen.
hoesta
Erstmal und am aller wichtigsten: die Community hier ist wirklich einsame Spitze!

Danke an Domino fürs Einsenden. Das war nicht das Avast Labor oder? Dort habe ich nämlich heute morgen nochmals die URL zur Untersuchung eingereicht.

Danke auch vielmals an simracer! Das hätte ich dann auch noch in Angriff nehmen müssen. Danke!

Darf ich was in der Sache nachfragen:

was ist der Unterschied zwischen "malicious software" und "malware code"? Klingt im ersten Moment dumm, aber ist es nicht so dass der Code sozusagen eine Fernsteuerung ist, die sagt, was genau gemacht (also in dem Fall Schlimmes nachgeladen) werden soll?

Wenn also das Labor sagt, "malicious software" nein, "malware code" ja, heisst das, dass die Anleitung noch als Rest vorhanden ist, aber die eigentliche Malware nicht?

Oder ist Code an sich auch schon infiziert?

Grüße
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.