hallo,
unsere agentur betreut eine webseite bei der seit kurzem nach aufruf der startseite die KAV meldung "HEUR:Trojan.Script.Iframer
" kommt.
wo kann der fehler liegen? bzw. aus welchen grund tritt diese fehlermeldung auf?
die seite enthält zuerst ein flash das dann auf eine seite mit IFRAME weiterleitet. wo ist nun der schädliche code zu suchen?
kann man mehr details rausfinden welcher code die ursache ist?
vielen dank
mfg
ERIT
Full Version: Homepage mit HEUR:Trojan.Script.Iframer
HEUR sollte eigentlich heißen, dass nicht Schadcode anhand von Signaturen gefunden wurde, sondern ein Vorgang ausgeführt wurde, der sich ähnlich einem Schadcode verhält und von unserer Heuristik erkannt wurde. Wird wohl an dem iFrame liegen. Wenn möglich mal bitte das iFrame Script von der Website entfernen und schauen, ob die Meldung weiterhin erscheint.
Wie ist die URL von der Seite?
Wie ist die URL von der Seite?
QUOTE(phr3n1c @ 19.03.2009 11:15) 
HEUR sollte eigentlich heißen, dass nicht Schadcode anhand von Signaturen gefunden wurde, sondern ein Vorgang ausgeführt wurde, der sich ähnlich einem Schadcode verhält und von unserer Heuristik erkannt wurde. Wird wohl an dem iFrame liegen. Wenn möglich mal bitte das iFrame Script von der Website entfernen und schauen, ob die Meldung weiterhin erscheint.
Wie ist die URL von der Seite?
Wie ist die URL von der Seite?
Die Meldung erscheint auch bei mir, wenn ich versuche Pennergame.de zu öffnen.
27.03.2009 12:15:33 Firefox Gefunden: HEUR:Trojan.Script.Iframer
hallo
sende den link bitte zum labor: http://forum.kaspersky.com/index.php?showtopic=42428
sende den link bitte zum labor: http://forum.kaspersky.com/index.php?showtopic=42428
Hallo,
da dass hier der neuste Topic ist, stelle ich meine Frage gleich mit rein zum Thema HEUR:Trojan.Script.Iframer.
Habe Heute schon mehrmals eine Warnung bekommen, dass HEUR:Trojan.Script.Iframer Gefunden würde.
Gleich darauf wird aber eine Aktion Verboten.
Bei der Meldung um 15:30 hab ich aber gar nicht die Seite von geöffnet gehabt.
bei den anderen malen bin ich mir nicht ganz sicher, aber kann gut sein. Will jetzt nicht unbedingt ausprobieren was das für eine Seite ist, nicht das was Schlimmes passiert.
Meine Frage ist: Was soll ich jetzt machen? Ist das schon eine Infektion oder nur eine verboten Aktion, die nicht ausgeführt wurde?
Hab den Computer vollständig untersucht, aber nichts gefunden.
Vollständige Suche: abgeschlossen 27.03.2009 16:58:47 (Ereignis: 3, Objekte: 266566, Zeit: 00:24:52)
27.03.2009 16:33:55 Aufgabe wurde gestartet
27.03.2009 16:51:02 Gefunden: http://www.viruslist.com/de/advisories/32270 C:\Windows\System32\Macromed\Flash\Flash.ocx
27.03.2009 16:58:47 Aufgabe wurde abgeschlossen
Oder ist der Flash Player schuld? Ist übrigens die aktuell Version laut dem Test auf der Seite: http://kb.adobe.com/selfservice/viewConten...rnalId=tn_15507
Ist mit dieser Meldung schon der Flash Player gemeint der nicht ganz aktuell soll?
Das sind sehr viel Fragen, würde mich aber freuen, wenn einer mir die beantworten kann. Danke!
MfG Harry
Edit: Der Link von der letzten Warnung um 15:30 wir leider nicht ganz angezeit. Kann aber mal ein Screen Shot machen.
da dass hier der neuste Topic ist, stelle ich meine Frage gleich mit rein zum Thema HEUR:Trojan.Script.Iframer.
Habe Heute schon mehrmals eine Warnung bekommen, dass HEUR:Trojan.Script.Iframer Gefunden würde.
Gleich darauf wird aber eine Aktion Verboten.
Bei der Meldung um 15:30 hab ich aber gar nicht die Seite von geöffnet gehabt.
bei den anderen malen bin ich mir nicht ganz sicher, aber kann gut sein. Will jetzt nicht unbedingt ausprobieren was das für eine Seite ist, nicht das was Schlimmes passiert.
Meine Frage ist: Was soll ich jetzt machen? Ist das schon eine Infektion oder nur eine verboten Aktion, die nicht ausgeführt wurde?
Hab den Computer vollständig untersucht, aber nichts gefunden.
Vollständige Suche: abgeschlossen 27.03.2009 16:58:47 (Ereignis: 3, Objekte: 266566, Zeit: 00:24:52)
27.03.2009 16:33:55 Aufgabe wurde gestartet
27.03.2009 16:51:02 Gefunden: http://www.viruslist.com/de/advisories/32270 C:\Windows\System32\Macromed\Flash\Flash.ocx
27.03.2009 16:58:47 Aufgabe wurde abgeschlossen
Oder ist der Flash Player schuld? Ist übrigens die aktuell Version laut dem Test auf der Seite: http://kb.adobe.com/selfservice/viewConten...rnalId=tn_15507
Ist mit dieser Meldung schon der Flash Player gemeint der nicht ganz aktuell soll?
Das sind sehr viel Fragen, würde mich aber freuen, wenn einer mir die beantworten kann. Danke!
MfG Harry
Edit: Der Link von der letzten Warnung um 15:30 wir leider nicht ganz angezeit. Kann aber mal ein Screen Shot machen.
QUOTE
Meine Frage ist: Was soll ich jetzt machen? Ist das schon eine Infektion oder nur eine verboten Aktion, die nicht ausgeführt wurde?
verbotene aktion, die seite ist als infiziert gesehen. shicke bitte die links zum labor.
es hat nichts mit flashplayer zu tun, dieses muss du aktualizieren, aber es hat nichts mit dem iframer zu tun
Kannst du mir mal ein Link zeigen, wo beschrieben ist wie ich dem Labor was genau schicken soll.
es ist vor deinem ersten post....
sorry hab ich übesehen
Der Zugriff auf die angeforderte URL-Adresse ist nicht möglich
Beim Zugriff auf die URL-Adresse: http://www.project-world-war.com
http://www.viruslist.com/ru/search?VN=
HEUR:Trojan.Script.Iframer
sind folgende Fehler aufgetreten:
Das angeforderte Objekt ist mit folgenden Viren INFIZIERT: HEUR:Trojan.Script.Iframer
Bitte wenden Sie sich an Ihren Provider, wenn Sie diese Meldung für einen Irrtum halten.
Diese Meldung wurde erstellt:
Mon Oct 26 12:37:56 2009
Kaspersky Internet Security 2009
ausserdem wie mann sieht scheinbar auch auf meinem rechner trotz kis 2009
weiss einer wie ich das ding loswerde?
Beim Zugriff auf die URL-Adresse: http://www.project-world-war.com
http://www.viruslist.com/ru/search?VN=
HEUR:Trojan.Script.Iframer
sind folgende Fehler aufgetreten:
Das angeforderte Objekt ist mit folgenden Viren INFIZIERT: HEUR:Trojan.Script.Iframer
Bitte wenden Sie sich an Ihren Provider, wenn Sie diese Meldung für einen Irrtum halten.
Diese Meldung wurde erstellt:
Mon Oct 26 12:37:56 2009
Kaspersky Internet Security 2009
ausserdem wie mann sieht scheinbar auch auf meinem rechner trotz kis 2009
weiss einer wie ich das ding loswerde?
Mir ist auch aufgefallen, das KIS in letzter Zeit vermehrt Fehlalarme wegen des "heur:trojan.script.iframer" auslöst, und zwar bei definitiv sauberen Seiten. Zum Teil ist es so, dass KIS einen Alarm auslöst und wenn ich die gleiche Seite wenige Minuten später aufrufe, kommt kein Alarm. Das kann es wirklich nicht sein, vor allem wenn man sich überlegt, welcher wirtschaftliche Schaden durch diese Fehlalarme entstehen können.
Der letzte Fall ist z.b. http://www.ip-adress.com/ip_lokalisieren/
Seit wenigen Minuten sperrt KIS bei mir diese Webseite.
Der letzte Fall ist z.b. http://www.ip-adress.com/ip_lokalisieren/
Seit wenigen Minuten sperrt KIS bei mir diese Webseite.
Die Meldungen "HEUR:..." werden von der Heuristik verursacht. Die Heuristik versucht den schmalen Grad zwischen Falschmeldung und wirklicher Bedrohung optimal zu finden und neuen unbekannten Schadcode zu entdecken.
Es ist natürlich möglich, dass mehrere Websites von einer Falschmeldung betroffen sind, wenn mehrere Websites das gleiche oder ein ähnliches Script benutzen.
Um solche Fehlalarme künftig zu verhindern, sollte man das entsprechende Script (oder die Website mit einem Screenshot der Meldung) an das Virenlabor zur Analyse senden:
http://support.kaspersky.ru/virlab/helpdesk.html?LANG=de
Man kann dann schnell fehlerhafte Erkennungen korrigieren.
Es ist natürlich möglich, dass mehrere Websites von einer Falschmeldung betroffen sind, wenn mehrere Websites das gleiche oder ein ähnliches Script benutzen.
Um solche Fehlalarme künftig zu verhindern, sollte man das entsprechende Script (oder die Website mit einem Screenshot der Meldung) an das Virenlabor zur Analyse senden:
http://support.kaspersky.ru/virlab/helpdesk.html?LANG=de
Man kann dann schnell fehlerhafte Erkennungen korrigieren.
QUOTE(Cyclops1 @ 26.10.2009 14:39)
Ich kann die Meldung auf der URL nicht nachproduzieren.
Die Erkennung von HEUR:Trojan.Script.Iframer neigt leider etwas zu Fehlalarmen, da von Werbeskripten auch hin und wieder ähnliche Techniken eingesetzt werden.
Zusätzlich dazu hat sich in der Heuristik ein Fehler eingeschlichen, welcher in unbeteiligten Objekten diese Erkennung verursachte. Wenn ich es richtig verstanden habe, sollte dieser Fehler aber eigentlich mittlerweile nicht mehr auftreten. Daher würde ich zunächst darum bitten, sicherzustellen, dass die Anti-Viren-Datenbanken auf aktuellem Stand sind. Sollten trotzdem noch diesbezügliche Warnmeldung auftreten, müssten weitere Nachforschungen angestellt werden.
Zusätzlich dazu hat sich in der Heuristik ein Fehler eingeschlichen, welcher in unbeteiligten Objekten diese Erkennung verursachte. Wenn ich es richtig verstanden habe, sollte dieser Fehler aber eigentlich mittlerweile nicht mehr auftreten. Daher würde ich zunächst darum bitten, sicherzustellen, dass die Anti-Viren-Datenbanken auf aktuellem Stand sind. Sollten trotzdem noch diesbezügliche Warnmeldung auftreten, müssten weitere Nachforschungen angestellt werden.
QUOTE(JanRei @ 29.10.2009 21:34)
Die Erkennung von HEUR:Trojan.Script.Iframer neigt leider etwas zu Fehlalarmen, da von Werbeskripten auch hin und wieder ähnliche Techniken eingesetzt werden.
Zusätzlich dazu hat sich in der Heuristik ein Fehler eingeschlichen, welcher in unbeteiligten Objekten diese Erkennung verursachte. Wenn ich es richtig verstanden habe, sollte dieser Fehler aber eigentlich mittlerweile nicht mehr auftreten. Daher würde ich zunächst darum bitten, sicherzustellen, dass die Anti-Viren-Datenbanken auf aktuellem Stand sind. Sollten trotzdem noch diesbezügliche Warnmeldung auftreten, müssten weitere Nachforschungen angestellt werden.
Zusätzlich dazu hat sich in der Heuristik ein Fehler eingeschlichen, welcher in unbeteiligten Objekten diese Erkennung verursachte. Wenn ich es richtig verstanden habe, sollte dieser Fehler aber eigentlich mittlerweile nicht mehr auftreten. Daher würde ich zunächst darum bitten, sicherzustellen, dass die Anti-Viren-Datenbanken auf aktuellem Stand sind. Sollten trotzdem noch diesbezügliche Warnmeldung auftreten, müssten weitere Nachforschungen angestellt werden.
Mit welchem Update sollte das denn behoben worden sein? Ich habe KIS 2010 9.0.0.463 und die Virensignaturen sind aktuell die von heute natürlich.
Was mich auch wundert, dass die Fehlalarme teilweise nicht reproduzierbar sind. Bei der gleichen URL bekomme ich einen Alarm und wenige Minuten kann ich die URL wieder aufrufen.
Ja, die schlechte Reproduzierbarkeit erschwert die Problemsuche ziemlich. Ich wüsste in dieser Hinsicht momentan auch keinen guten Ansatzpunkt.
Bezüglich der angeblichen Behebung des Problems wurde von "gestern" gesprochen. Allerdings habe ich gesehen, dass es heute eine weitere Aktualisierung der betroffenen Komponenten gab - die Hoffnung stirbt bekanntlich zuletzt.
Bezüglich der angeblichen Behebung des Problems wurde von "gestern" gesprochen. Allerdings habe ich gesehen, dass es heute eine weitere Aktualisierung der betroffenen Komponenten gab - die Hoffnung stirbt bekanntlich zuletzt.
QUOTE(wo_no @ 29.10.2009 15:52)
Mir ist auch aufgefallen, das KIS in letzter Zeit vermehrt Fehlalarme wegen des "heur:trojan.script.iframer" auslöst, und zwar bei definitiv sauberen Seiten. Zum Teil ist es so, dass KIS einen Alarm auslöst und wenn ich die gleiche Seite wenige Minuten später aufrufe, kommt kein Alarm. Das kann es wirklich nicht sein, vor allem wenn man sich überlegt, welcher wirtschaftliche Schaden durch diese Fehlalarme entstehen können.
Der letzte Fall ist z.b. http://www.ip-adress.com/ip_lokalisieren/
Seit wenigen Minuten sperrt KIS bei mir diese Webseite.
Der letzte Fall ist z.b. http://www.ip-adress.com/ip_lokalisieren/
Seit wenigen Minuten sperrt KIS bei mir diese Webseite.
Das war ein Fehlalarm.
Dieser sollte inzwischen beseitigt sein.
QUOTE(JanRei @ 30.10.2009 00:00)
Ja, die schlechte Reproduzierbarkeit erschwert die Problemsuche ziemlich. Ich wüsste in dieser Hinsicht momentan auch keinen guten Ansatzpunkt.
Bezüglich der angeblichen Behebung des Problems wurde von "gestern" gesprochen. Allerdings habe ich gesehen, dass es heute eine weitere Aktualisierung der betroffenen Komponenten gab - die Hoffnung stirbt bekanntlich zuletzt.
Bezüglich der angeblichen Behebung des Problems wurde von "gestern" gesprochen. Allerdings habe ich gesehen, dass es heute eine weitere Aktualisierung der betroffenen Komponenten gab - die Hoffnung stirbt bekanntlich zuletzt.
Darum sollte man das entsprechende Script einsenden und nicht nur den Link zur Homepage.
Wenn das Script vorliegt, dann der Fehler schnell lokalisiert werden.
Ja, sofern es sich nicht um den beschrieben Fehler in der Heuristik handelt, ist das kein Problem. Wenn jedoch ein Skript bei einer Untersuchung eine Erkennung hervorruft und beim anderen Mal nicht, ist das leider nicht mehr ganz so einfach.
QUOTE(JanRei @ 30.10.2009 15:37)
Ja, sofern es sich nicht um den beschrieben Fehler in der Heuristik handelt, ist das kein Problem. Wenn jedoch ein Skript bei einer Untersuchung eine Erkennung hervorruft und beim anderen Mal nicht, ist das leider nicht mehr ganz so einfach.
Das dürfte aber eigentlich nicht der Fall sein. Entweder ist dann die Heuristik defekt oder die Heuristik wurde korrigiert bzw. verändert.
QUOTE(bluex @ 30.10.2009 15:42)
Das war ein Fehlalarm.
Dieser sollte inzwischen beseitigt sein.
Dieser sollte inzwischen beseitigt sein.
wird bei mir schon wieder geblockt: http://www.ip-adress.com/ip_lokalisieren/
so langsam nervts
QUOTE(wo_no @ 4.11.2009 14:50)
wird bei mir schon wieder geblockt: http://www.ip-adress.com/ip_lokalisieren/
so langsam nervts
so langsam nervts
Ich kann hier nichts feststellen.
Für alle, die immernoch eine Meldung erhalten.
Bitte geht wie im nachfolgenden Link beschrieben vor und sendet eine Anfrage an das Virenlabor -> http://support.kaspersky.com/de/faq/?qid=207619435
Bitte geht wie im nachfolgenden Link beschrieben vor und sendet eine Anfrage an das Virenlabor -> http://support.kaspersky.com/de/faq/?qid=207619435
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.