IPB

Welcome Guest ( Log In | Register )

6 Pages V   1 2 3 > »   
Reply to this topicStart new topic
> HEUR: Trojan.Script.Iframer gefunden
Traveller11
post 16.01.2009 18:15
Post #1


Member
**

Group: Members
Posts: 22
Joined: 25.11.2008




Hallo liebe Experten!

Ich benutze nun schon seit einiger Zeit KAV 2009 und gerade eben hat er zum 1. Mal was gefunden. Weiß nun gar nicht, ob ich noch was tun muss oder nicht?

War auf der Seite der New York Times wegen des Flugzeugcrashs und erhalte nach dem Aufrufen die o.g. Warnmeldung und eine Sekunde später die Meldung
"Verboten: HEUR: Trojan.Script.Iframer ".
Genauso steht es jetzt auch in den Berichten unter Anti-Virus, erst gefunden dann verboten.

Systemprüfung ergab: "Keinen Fund".

Hat sich die Sache für mich damit erledigt?? Oder muss ich noch was tun?

Vielen Dank im voraus für Eure Hilfe!!!

Gruß
Traveller11
Go to the top of the page
 
+Quote Post
SecurityMK
post 16.01.2009 18:34
Post #2


Advanced Member II
****

Group: Members
Posts: 422
Joined: 8.08.2007





Hi und willkommen im Forum smile.gif


sieht so aus, als ob KIS es schon blockiert hätte und es nicht auf deinem PC gelandet ist.


Gruß SecurityMK
Go to the top of the page
 
+Quote Post
MrDynamic
post 17.01.2009 00:16
Post #3


Newbie
*

Group: Members
Posts: 2
Joined: 17.01.2009




QUOTE(SecurityMK @ 16.01.2009 15:34) *
Hi und willkommen im Forum smile.gif
sieht so aus, als ob KIS es schon blockiert hätte und es nicht auf deinem PC gelandet ist.
Gruß SecurityMK



Hallo, bin auch jetzt neu hier wegen diesem Virus.

Bei mir scheint er auf den PC gekommen zu sein. Wie er das erste Mal gefunden wurde, wurde mir von Kaspersky die Option Quarantäne empfohlen, ich habe aber auf löschen geklickt. Kaspersky verschob ihn trotzdem in Quaratäne. Nach 20 min machte ich nochmal einen Scan und ich bekam wieder eine Warnung mit dem gleichen Virus, wurde gleich automatisch in Quarantäne verschoben. Und jetzt hab ich laut Statistik auf einmal 7 Viren gehabt.

Jetzt gab es schon länger keine Meldung mehr.

Hat Kaspersky ihn jetzt neutralisiert oder ist er noch schädlich und was macht dieser Virus?

Vielen Dank für die Hilfe.

Liebe Grüße

MrDynamic
Go to the top of the page
 
+Quote Post
SecurityMK
post 17.01.2009 00:51
Post #4


Advanced Member II
****

Group: Members
Posts: 422
Joined: 8.08.2007





Hallo und willkommen im Forum smile.gif


wo findet Kaspersky den Virus? Welche Version besitzt du? Stelle bitte ein AVZ-Logfile.


Gruß SecurityMK


Go to the top of the page
 
+Quote Post
Spadoinkle
post 17.01.2009 01:52
Post #5


Member
**

Group: Members
Posts: 17
Joined: 29.10.2008




Ok, ich habe betreffend diesem Trojaner eine Frage.

Vor einiger Zeit hatte ich ein Blog namens Spadoinkle. Leider wurde ich auf diesem inaktiv, die Seite blieb aber weiterhin übers I-net erreichbar. Doch seit kurzen erhalte ich die Fehlermeldung von Kaspersky Internet-Seucrity 2009, dass sich folgender Trojan HEUR:Trojan.Script.Iframer auf dieser Seite runterlädt.
Ich habe nie Malware oder derartiges Verbreitet, und dass jemand mein Account gehackt hat scheint auch nicht der Fall zu sein. Könnte das vom Anbieter des Spaces kommen?
Go to the top of the page
 
+Quote Post
JanRei
post 17.01.2009 02:24
Post #6


Gold Beta Testers
**************

Group: Moderators
Posts: 11538
Joined: 1.01.2006
From: Germany




Die Erkennung ist vermutlich auf den "Werbe"-Codeblock ziemlich am Ende des Seitenquelltexts zurückzuführen. Da der Code verschleiert ist, kommt er der Heuristik verdächtig vor.

This post has been edited by JanRei: 17.01.2009 02:24
Go to the top of the page
 
+Quote Post
Spadoinkle
post 17.01.2009 02:54
Post #7


Member
**

Group: Members
Posts: 17
Joined: 29.10.2008




QUOTE(JanRei @ 17.01.2009 01:24) *
Die Erkennung ist vermutlich auf den "Werbe"-Codeblock ziemlich am Ende des Seitenquelltexts zurückzuführen. Da der Code verschleiert ist, kommt er der Heuristik verdächtig vor.


Dass heisst, meine Website verbreitet keinen Trojaner?

Anbei noch die Meldung von Kaspersky.
Attached File(s)
Attached File  Kaspersky_Meldung.jpg ( 53.06K ) Number of downloads: 78
 
Go to the top of the page
 
+Quote Post
MrDynamic
post 17.01.2009 15:38
Post #8


Newbie
*

Group: Members
Posts: 2
Joined: 17.01.2009




QUOTE(SecurityMK @ 16.01.2009 21:51) *
Hallo und willkommen im Forum smile.gif
wo findet Kaspersky den Virus? Welche Version besitzt du? Stelle bitte ein AVZ-Logfile.
Gruß SecurityMK



Hi. Ich habe die Version 8.0.0.506 Kaspersky 2009.

Problem hat sich erledigt, hab einen Freeware-Scanner benutzt, der hat mir zusätzlich auch noch eine Adware erkannt, den Kaspersky nicht erkannt hatte. Jetzt bekomm ich auch keinen stastischen Virus mehr hinzu, wenn Kaspersky einen Scan macht.

Danke trotzdem für die Hilfe.

Liebe Grüße

MrDynamic
Go to the top of the page
 
+Quote Post
JanRei
post 18.01.2009 23:05
Post #9


Gold Beta Testers
**************

Group: Moderators
Posts: 11538
Joined: 1.01.2006
From: Germany




QUOTE(Spadoinkle @ 16.01.2009 23:54) *
Dass heisst, meine Website verbreitet keinen Trojaner?

Momentan würde ich sagen, dass die Seite keinen Trojaner verbreitet. Das Skript erzeugt einen Iframe, welcher die Seite http://vivituscia.com/images/stats.html einbindet. Insofern kann ich die Warnmeldung durchaus nachvollziehen. Eigentlich wollte ich vor dem Antworten bei den Virenanalysten nachfragen, ob das Skript tatsächlich gefährlich ist, habe allerdings bisher keine Antwort erhalten.
Go to the top of the page
 
+Quote Post
Spadoinkle
post 19.01.2009 00:47
Post #10


Member
**

Group: Members
Posts: 17
Joined: 29.10.2008




Hallo JanRei

Ok, danke erstmals für diese Info. Wäre froh, wenn du es hier reinposten könntest, sobald du Antwort von den Virenanalysten erhalten hast.

Danke undGruss
Spadoinkle
Go to the top of the page
 
+Quote Post
Freak2001
post 19.01.2009 18:24
Post #11


Advanced Member I
***

Group: Members
Posts: 128
Joined: 12.06.2008




Das gleiche hatte ich gerade beim Besuch von Winfuture, Web Anti Virus zeigte auch Heur: Trojan.Script.Iframer an und verweist auf tns.adserver.de/SportscheckA-X.js an, Aktion wurde verboten. Steckt da ein echter Virus hinter oder ist es ein Werbeskript,auf das die Heuristik anschlägt?
Go to the top of the page
 
+Quote Post
JanRei
post 20.01.2009 05:06
Post #12


Gold Beta Testers
**************

Group: Moderators
Posts: 11538
Joined: 1.01.2006
From: Germany




Spadoinkle:
Ich hoffe, dass die Erkennung mit einem der nächsten Updates entfernt wird.

Freak2001:
Ich habe bei etwas Herumsurfen auf Winfuture keine Wanrmeldung erhalten. Die erwähnte Adresse scheint - derzeit - nicht erreichbar zu sein. Daher kann ich momentan zur Gefährlich des Skriptes nichts sagen. (Du kannst natürlich auch das betreffende Skript oder einen funktionierenden Link darauf an die Virenalysten schicken, sofern du es ausfindig machen kannst.)

This post has been edited by JanRei: 20.01.2009 05:07
Go to the top of the page
 
+Quote Post
Freak2001
post 20.01.2009 12:27
Post #13


Advanced Member I
***

Group: Members
Posts: 128
Joined: 12.06.2008




Ne, hab auch nichts mehr angezeigt bekommen. Es passierte ironischerweise zur Newsmeldung des Confickerwurms. Naja hab nochmal Systemprüfung im abgesicherten Modus gemacht und es wurde nichts gefunden. Gehe daher bei mir nicht von einem Virenbefall aus. Zumal ich ja auch nur mit eingeschränkten Rechten surfe.

This post has been edited by Freak2001: 20.01.2009 12:28
Go to the top of the page
 
+Quote Post
Spadoinkle
post 21.01.2009 21:03
Post #14


Member
**

Group: Members
Posts: 17
Joined: 29.10.2008




Hm, auf meiner Seite wird es immer noch angezeigt...


QUOTE
Spadoinkle:
Ich hoffe, dass die Erkennung mit einem der nächsten Updates entfernt wird.


Das hoffe ich wirklich auch...
Go to the top of the page
 
+Quote Post
bluex
post 22.01.2009 02:50
Post #15


Kaspersky Fan I
********

Group: Gold beta testers
Posts: 1330
Joined: 26.08.2005




@Spadoinkle

Bitte update deine Datenbanken.
Ich bekomme mit aktivierter Heuristik keine Meldung.


Go to the top of the page
 
+Quote Post
JanRei
post 22.01.2009 03:01
Post #16


Gold Beta Testers
**************

Group: Moderators
Posts: 11538
Joined: 1.01.2006
From: Germany




Man hat mir geschrieben, die Erkennung würde entfernt. Anscheinend wird das Skript trotzdem noch unter Umständen erkannt. Vielleicht muss ich nochmal nachhaken...
Go to the top of the page
 
+Quote Post
Freak2001
post 22.01.2009 12:39
Post #17


Advanced Member I
***

Group: Members
Posts: 128
Joined: 12.06.2008




So, jetzt hatte ich mein nächstes Erlebnis auf der Seite der New York Times, Verboten. Trojan-Clicker.HTML.IFrame.abq und moniert wurde die Adresse: t2.adserver01.de/ArcorCJ-Y.js Also bei der Häufigkeit auf seriösen Seite würde ich mal schätzen, dass die Heuristik überreagiert.

This post has been edited by Freak2001: 22.01.2009 12:39
Go to the top of the page
 
+Quote Post
JanRei
post 22.01.2009 17:47
Post #18


Gold Beta Testers
**************

Group: Moderators
Posts: 11538
Joined: 1.01.2006
From: Germany




Hm, das ist allerdings eine Signaturerkennung. Laut einem Virenanalysten ist sie auch korrekt ("this is not false alarm.")...
Go to the top of the page
 
+Quote Post
Freak2001
post 22.01.2009 18:20
Post #19


Advanced Member I
***

Group: Members
Posts: 128
Joined: 12.06.2008




Danke JanRei. tja, hab noch mal im abgesicherten Modus überprüft und das ergebnis war negativ, web anti-virus hat wohl gut geblockt. Mmh, dann ist man scheinbar auch nicht mehr auf seriösen Seiten ansatzweise sicher, Anti-Banner einschalten würde wohl nichts bringen, oder? Ansonsten surfe ich ja schon mit eingeschränkten Rechten, Router mit firewall, Betriebssystem auf dem neuesten Stand.

This post has been edited by Freak2001: 22.01.2009 18:23
Go to the top of the page
 
+Quote Post
bluex
post 22.01.2009 18:53
Post #20


Kaspersky Fan I
********

Group: Gold beta testers
Posts: 1330
Joined: 26.08.2005




Hmmm ....


Hello.

This is not false alarm.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.JS.Iframe.aem




Go to the top of the page
 
+Quote Post

6 Pages V   1 2 3 > » 
Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 18.04.2014 19:40