Virus auf Buffed?

-oLaZ- schrieb:
Also zur Zeit gibt es wieder die Meldung, und solange sie dort schreiben das es zu einer verdächtigen Chinesischen Seite linkt, sind die Indizien doch eigentlich klar worum es dabei geht.
Zum Vergrößern anklicken....

Naja bisher habe ich aber keine Antwort von Kaspersky bekommen was die Datei jetzt macht und ob sie gefährlich ist. Werd mich melden wenn sie was neues schreiben.
 
Rethelion schrieb:
Ich hab grad Kaspersky kontaktiert und die sind sich doch nicht so sicher ob es ein Fehlalarm ist:
Zum Vergrößern anklicken....
We are not sure that this heuristic detection is false alarm, because that script invisibly redirects to some suspicious chinese site
Zum Vergrößern anklicken....
Zum Vergrößern anklicken....
Sry, aber irgendwie überzeugt mich deren Antwort überhaupt nicht.
Wie können die von chinesisch reden, wenn man auf eine russische Seite gelangt?
biggrin.gif

Und wie man oben auf dem letzten Bild von mir sieht - es ist fast 100% russich.
Was es nun genau ist (russische Kaspersky?)- fraglich - zumal dort z.T. englisch bei ist.

greetz
 
Zuletzt bearbeitet:
Grushdak schrieb:
Sry, aber irgendwie überzeugt mich deren Antwort überhaupt nicht.
Wie können die von chinesisch reden, wenn man auf eine russische Seite gelangt?
biggrin.gif

Und wie man oben auf dem letzten Bild von mir sieht - es ist fast 100% russich.
Was es nun genau ist (russische Kaspersky?)- fraglich - zumal dort z.T. englisch bei ist.
Zum Vergrößern anklicken....

Wie genau bist du auf die Seite gekommen? Hast du evtl in Kaspersky auf den Informationen-Button geklickt?
So wie ich das sehe ist das die russische Seite von Viruslist.com; links oben kanns du auch die Sprache einstellen. Ich denk mal Kasersky wollte in ihrere Datenbank den Infoeintrag zu dem Trojaner öffnen, die gibts aber nicht und deshalb bist du auf diese Seite gekommen.
 
Ja, ich habe im Warnfenster von Kaspersky geklickt.

ps.

Habe gerade im Kaspersky-Forum gelesen, daß es so etwas sehr Ähnliches schon mal anfang 2009 gab.
Da handelte es sich um ein Script, welches anscheinend die Werbung benutzte.
Es ist schädlich, hatte sich durch eine Sicherheitslücke eingeschleust.

Quelle: -> HEUR: Trojan.Script.Iframer gefunden

Daher würde ich doch bitten, mal sämtliche Werbung zu überprüfen!

Solange ich jetzt hier bei Buffed bin - solche Probleme hatte ich hier noch nie!
wink.gif

 
Zuletzt bearbeitet:
bekomme die Warnmeldung nicht mehr (13Uhr), allerdings ist auch diese komische Werbung "Herzlichen Glückwunsch sie sind der 100000000000 Besucher" nicht mehr da....
 
Also bei mir sprang kaspersky nicht an... aber könnte es sein das dieser Virus irgednwas mit Runes macht??..... weil vor ein oaar tagen sind einfach rüßi items verschwunden...
 
Mooni29 schrieb:
Also bei mir sprang kaspersky nicht an... aber könnte es sein das dieser Virus irgednwas mit Runes macht??..... weil vor ein oaar tagen sind einfach rüßi items verschwunden...
Zum Vergrößern anklicken....

Das liegt daran, dass das Script wieder nicht mehr auf dem Server liegt. Ich habs mal abgespeichert und mir dann Kaspersky installiert, dann wird da auch ein Trojaner gefunden. Komisch nur das kein anderes Programm drauf anspringt.
 
Rethelion schrieb:
Das liegt daran, dass das Script wieder nicht mehr auf dem Server liegt. Ich habs mal abgespeichert und mir dann Kaspersky installiert, dann wird da auch ein Trojaner gefunden. Komisch nur das kein anderes Programm drauf anspringt.
Zum Vergrößern anklicken....

Hi,

du hast das Script noch? Kannst du es zufällig schicken? Weil weder Kaspersky 2010 meldet was noch ist die in der Meldung genannte Datei auf dem Server auffindbar, geschweige denn hat das fileadmin-Root-Verzeichnis irgendwelche Rechte, dass der Webserver da was ablegen könnte.Wenn du die Datei also hast, wäre es nett, wenn du sie irgendwo ablegst oder an support@buffed.de schickst - bei einer "Infektion" könnte die Mail dann aber möglicherweise nicht ankommen.

Auch wenn einige Virenscanner das nicht melden, nehmen wir das durchaus ernst.
 
Zuletzt bearbeitet von einem Moderator:
Also ich hatte gesten als ich www.buffed.de besucht habe von meinem Kasperky eine Warnung erhalten das ein Trojana geblogt wurde.

Vorher noch nie gehabt...
 
ZAM, oben ist ein Link zum Kasperskyforum, wo es anscheinend genau um diesen Schädling geht.
Da ist auf Seite 2 auch das Script gepostet - zumindest ein entscheidender Teil.
Da der Schädlingsname derselbe ist, könnte das Script identisch mit dem Jetzigen hier sein.
wink.gif


greetz
 
Zuletzt bearbeitet:
ZAM schrieb:
Hi,

du hast das Script noch? Kannst du es zufällig schicken? Weil weder Kaspersky 2010 meldet was noch ist die in der Meldung genannte Datei auf dem Server auffindbar, geschweige denn hat das fileadmin-Root-Verzeichnis irgendwelche Rechte, dass der Webserver da was ablegen könnte.Wenn du die Datei also hast, wäre es nett, wenn du sie irgendwo ablegst oder an support@buffed.de schickst - bei einer "Infektion" könnte die Mail dann aber möglicherweise nicht ankommen.

Auch wenn einige Virenscanner das nicht melden, nehmen wir das durchaus ernst.
Zum Vergrößern anklicken....

Ich schick euch gleich per Email die Datei und schreib euch noch was dazu.
Muss es nur noch schaffen das Teil in der VM wiederherzustellen^^

EDIT: Ist raus
 
Zuletzt bearbeitet von einem Moderator:
Hmmm komiach ich habe gestern mit Kaspersky eine Virensuche gemacht und KEINE meldung bekommen.....glaube auch das es eine fehlmeldung ist
 
Rethelion schrieb:
Ich schick euch gleich per Email die Datei und schreib euch noch was dazu.
Muss es nur noch schaffen das Teil in der VM wiederherzustellen^^

EDIT: Ist raus
Zum Vergrößern anklicken....

Hi,





Email ist angekommen, danke dafür.
smile.gif



Der Code ist eigentlich recht simpel aufgebaut - generiert ein Iframe und nutzt eine bekannte Javascript-Packing-Function, um sich zu cloaken. Die Frage jedoch ist - WOHER SOLL DAS KOMMEN?. Aus irgend einem Werbe-Banner aus der Rotation um die angesprochene Uhrzeit? Ich kann es persönlich nicht nachvollziehen - weder eine Datei noch ein Verzeichnis mit dem Namen /buffed-small/ existiert auf dem Server und in dem in der Meldung angegebene Root-Pfad /fileadmin/ hat der Webserver keine Schreib-/Ausführrechte. D.h. es gibt hier also zumindest nicht die Möglichkeit der Infektion über ein Upload-Formular oder serverseitige Scripte. Wir setzen uns mit Kaspersky in Verbindung, die haben sicher Erfahrungen mit Trojan-Iframern und deren Infektionsquellen - die Meldung muss ja durch irgendwas generiert werden, auch wenn ich bei der durch das Script eingebundenen Seite http://www.g**gl*st*m*.com/ads.asp (noch!) keine Gefahr erkennen konnte.



Gruß
 
also falls es hilft, auf dem von mir gemachtem screenshot ist ja die von buffedforum gezeigte uhrzeit zu sehen und der teil der geblockt wurde auch. ob es bei anderen nen werbefenster war kann ich nicht sagen, da ich adblock nutze und da werbung komplett nicht geladen wird.
 
Ich hab die Seite gestern nach 0:00 mehrmals besucht - Kaspersky 2010 aktiv - und keine Meldung bekommen - auch tauchte die bisher gemeldete Datei nicht in dem genannten Verzeichnis auf.
 
Ich nutze Kaspersky Internet Security 2010 und bei mir kam die letzte Meldung davon am 24.10. um 01:23 Uhr. Danach hatte ich nachts erstmal nicht wieder die Buffed-seite besucht, sonderns nur noch tagsüber, da die meldung etwas nervig war.
 
ZAM schrieb:
Ich hab die Seite gestern nach 0:00 mehrmals besucht - Kaspersky 2010 aktiv - und keine Meldung bekommen - auch tauchte die bisher gemeldete Datei nicht in dem genannten Verzeichnis auf.
Zum Vergrößern anklicken....

Also ich hab das Skript jetzt auch seit 2 Tagen nicht mehr gesehen, vll haben wir da eine finstere Aktion vereitelt^^
 
ZAM schrieb:
Ich hab die Seite gestern nach 0:00 mehrmals besucht - Kaspersky 2010 aktiv - und keine Meldung bekommen - auch tauchte die bisher gemeldete Datei nicht in dem genannten Verzeichnis auf.
Zum Vergrößern anklicken....


Sehr seltsam bei mir kam nur einmal die Nachricht und das war am 23. 10. 2009 um 11:06:34

Das heißt bei mir war es Tagsüber.

In der Datei 'C:\Dokumente und Einstellungen\Ryujin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YSYWNCPR\buffed-small[1].js'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Seit damals habe ich keine einzige Meldung mehr bekommen.
 
Grade eben wieder bekannte Meldung von kaspersky antivirus 2010 erschienen.
 
Einloggen o. Registrieren zum Antworten.

Similar threads

E
NCsoft Update Virus !
Antworten
13
Aufrufe
1K
St1ck1e
St1ck1e
W
Virus auf Buffed?
Antworten
1
Aufrufe
459
Rethelion
R
T
  • Gesperrt
Aion Patch und Virus?
Antworten
1
Aufrufe
1K
Ocian
Ocian
stäcy
ARK112.tmp
Antworten
4
Aufrufe
485
Kaldreth
Kaldreth
Seridan
Wurm/Virus auf meinem PC!
Antworten
6
Aufrufe
2K
Seridan
Seridan
Oben Unten
Zurück