Malware bei DSLR-Forum? -HTML/Infected.WebPage.Gen2 -

[jar]

XP IE8

grad eben

 

[Kosch]

also bei mir z.B. gibt Avira folgendes aus:

http://simpleads.adspirit.de/adframe.php?pid=136&sid=6000&tgt=000000032

Das kann man auch anklicken, dann kommt ein Werbebanner. Und wenn man mit F5 (IE 8.0) aktualisiert kommt immer ein anderes .... Was auch nur teilweise mit Foto zu tun hat. Aber davon verstehe ich zu wenig...

Thomas

 

[scorpio]

XP IE8

Hilft mir nichts.

grad eben

Der Screenshot hilft auch nicht. Die relevanten Infos enthält er nämlich nicht.

 

[Kosch]

also ich habe mal in das log reingeschaut, das avira mitschreibt:

Eintrag mit Meldung:
24.03.2011,11:44:55 [INFO] [460] Angeforderte URL: http://simpleads.adspirit.de/adframe.php?pid=136&sid=6000&tgt=000000032
24.03.2011,11:44:55 [ERMITTLUNG] Malware gefunden.
URL: http://simpleads.adspirit.de/adframe.php?pid=136&sid=6000&tgt=000000032
Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2

Eintrag ohne Meldung:
24.03.2011,11:45:39 [INFO] [478] Angeforderte URL: http://simpleads.adspirit.de/adframe.php?pid=136&sid=6000&tgt=000000032
24.03.2011,11:45:39 [INFO] [478] Es wurde keine Malware gefunden

Es wird beide male die gleiche URL aufgerufen, gibt einmal ne Meldung, ein anderes mal nicht. Ich habe davon aber leider keine Ahnung. Scheint also von dem Inhalt des Aufrufs abzuhängen ? Der wiederum wird aber nicht mitgeloggt.
Könnte ja mal jemandem der Interesse hat (und Ahnung) die letzten Teile des Logs schicken. (Das ganze File ist inzwischen 100 MB groß)

Gruß
Thomas

 

[jar]

Der Screenshot hilft auch nicht. Die relevanten Infos enthält er nämlich nicht.

dann weiss ich auch nicht, ich sehe nur das Avir auf dieselbe Werbung reagiert wie hier schon bei einem anderen Beitrag, so fit bin ich nicht im Netz das ich dir mehr liefern kann, leider

 

[JulesK]

Ich will ja niemandem zu nahe treten, aber es sollte bekannt sein, dass Avira gerne mal hyperventiliert und Warunungen ausspuckt. Einfach umsteigen auf brauchbare Virenschutzsoftware. (z.B. ESET Smart Security).

 

[Kosch]

Einfach umsteigen auf brauchbare Virenschutzsoftware. (z.B. ESET Smart Security).

Toller Tip. Und wenn man gar kein Windows mehr nimmt, wird es noch weniger. Und wenn ich den Rechner ausmache, geht es sogar gegen Null.
Abgesehen davon, daß Avira bei C't und Co immer sehr gut abschneidet, und wenig Systemlast macht.

Wenn ich so einen Schmarren lese,... gut lassen wir das.

Thomas

 

[jar]

Wenn ich so einen Schmarren lese,... gut lassen wir das.
Thomas

so hart wollte ich es nicht sagen, aber kein Virenscanner bekleckert sich mit Ruhm, Avir ist wenigstens nicht bezahlt, andere kosten Geld und legen den Rechner lahm ohne zu schützen

 

[JulesK]

wie Ihr meint. Ich habe mir den Avira jedenfalls nur kurze Zeit angetan. Für Fehlalarme habe ich einfach zu wenig Zeit. Schaut doch mal, welchen Virenschutz die ganzen Leute installiert haben. Also ich lese nur Avira. Dann ist also Avira gut und alle anderen erkennen den Virus nicht? Wer kocht hier den Schmarrn?

 

[Kosch]

kein Virenscanner bekleckert sich mit Ruhm, Avir ist wenigstens nicht bezahlt, andere kosten Geld und legen den Rechner lahm ohne zu schützen

Eben 100% Schutz gibt es nicht. Nicht bei Viren und nicht bei der Energiegewinnung.
Und lieber einen Alarm zu viel, als einen zu wenig...

Nachdem ich (bzw. auch meine Kollegen) uns mal in Brasilien im Hotel einen Virus eingefangen haben (auf die Firmen Laptops), habe ich die Bezahl Version laufen, weil nur diese auch den Verkehr von und zum Web online prüft.

Thomas

 

[scorpio]

Wir haben den Footer-Banner nun erstmal deaktiviert.
Parallel dazu habe ich bei Avira einen Support-Thread eröffnet.

 

[scorpio]

Info:
Ich musste den Footer-Banner wieder einschalten, da mir sonst nicht extern geholfen werden kann.
Bitte um Verständnis!

 

[Roadtrip]

Ihr würdet uns sehr helfen, wenn Ihr genau schreiben könntet, bei welchem Banner genau (also welcher eingeblendeten Werbung) das passiert und welche Anti-Virus-Software in welcher Version was meldet.

Je genauer die Meldungen sind, desto gezielter können wir die Ursache finden und eliminieren.

Danke!

Meldung kam bei einem dieser drei Banner, sehr wahrscheinlich bei [Virus1.jpg]

Hier noch der komplette Reportbericht.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 24. März 2011  18:46
Es wird nach 2527297 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***
Versionsinformationen:
BUILD.DAT      : 10.0.0.635     31822 Bytes  07.03.2011 12:02:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  08.12.2010 19:56:34
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.3.2      104296 Bytes  08.12.2010 19:56:35
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 19:30:32
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 16:24:42
VBASE003.VDF   : 7.11.3.1        2048 Bytes  09.02.2011 16:24:42
VBASE004.VDF   : 7.11.3.2        2048 Bytes  09.02.2011 16:24:42
VBASE005.VDF   : 7.11.3.3        2048 Bytes  09.02.2011 16:24:42
VBASE006.VDF   : 7.11.3.4        2048 Bytes  09.02.2011 16:24:42
VBASE007.VDF   : 7.11.3.5        2048 Bytes  09.02.2011 16:24:42
VBASE008.VDF   : 7.11.3.6        2048 Bytes  09.02.2011 16:24:42
VBASE009.VDF   : 7.11.3.7        2048 Bytes  09.02.2011 16:24:42
VBASE010.VDF   : 7.11.3.8        2048 Bytes  09.02.2011 16:24:42
VBASE011.VDF   : 7.11.3.9        2048 Bytes  09.02.2011 16:24:42
VBASE012.VDF   : 7.11.3.10       2048 Bytes  09.02.2011 16:24:43
VBASE013.VDF   : 7.11.3.59     157184 Bytes  14.02.2011 21:21:08
VBASE014.VDF   : 7.11.3.97     120320 Bytes  16.02.2011 21:21:09
VBASE015.VDF   : 7.11.3.148    128000 Bytes  19.02.2011 21:35:20
VBASE016.VDF   : 7.11.3.183    140288 Bytes  22.02.2011 20:19:53
VBASE017.VDF   : 7.11.3.216    124416 Bytes  24.02.2011 20:19:52
VBASE018.VDF   : 7.11.3.251    159232 Bytes  28.02.2011 23:21:58
VBASE019.VDF   : 7.11.4.33     148992 Bytes  02.03.2011 11:16:19
VBASE020.VDF   : 7.11.4.73     150016 Bytes  06.03.2011 11:16:20
VBASE021.VDF   : 7.11.4.108    122880 Bytes  08.03.2011 11:14:16
VBASE022.VDF   : 7.11.4.150    133120 Bytes  10.03.2011 17:07:55
VBASE023.VDF   : 7.11.4.183    122368 Bytes  14.03.2011 17:08:00
VBASE024.VDF   : 7.11.4.228    123392 Bytes  16.03.2011 17:07:02
VBASE025.VDF   : 7.11.5.8      246272 Bytes  21.03.2011 17:14:23
VBASE026.VDF   : 7.11.5.38     137216 Bytes  23.03.2011 19:07:06
VBASE027.VDF   : 7.11.5.39       2048 Bytes  23.03.2011 19:07:06
VBASE028.VDF   : 7.11.5.40       2048 Bytes  23.03.2011 19:07:06
VBASE029.VDF   : 7.11.5.41       2048 Bytes  23.03.2011 19:07:06
VBASE030.VDF   : 7.11.5.42       2048 Bytes  23.03.2011 19:07:06
VBASE031.VDF   : 7.11.5.50      48640 Bytes  23.03.2011 19:07:06
Engineversion  : 8.2.4.188 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  07.10.2010 17:22:23
AESCRIPT.DLL   : 8.1.3.57     1261947 Bytes  17.03.2011 17:08:43
AESCN.DLL      : 8.1.7.2       127349 Bytes  22.11.2010 20:41:27
AESBX.DLL      : 8.1.3.2       254324 Bytes  22.11.2010 20:41:31
AERDL.DLL      : 8.1.9.8       639346 Bytes  14.03.2011 17:09:16
AEPACK.DLL     : 8.2.4.12      520567 Bytes  14.03.2011 17:09:06
AEOFFICE.DLL   : 8.1.1.17      205177 Bytes  08.03.2011 11:14:17
AEHEUR.DLL     : 8.1.2.87     3371383 Bytes  17.03.2011 17:08:39
AEHELP.DLL     : 8.1.16.1      246134 Bytes  04.02.2011 18:36:42
AEGEN.DLL      : 8.1.5.3       397684 Bytes  17.03.2011 17:08:02
AEEMU.DLL      : 8.1.3.0       393589 Bytes  22.11.2010 20:41:10
AECORE.DLL     : 8.1.19.2      196983 Bytes  21.01.2011 16:36:29
AEBB.DLL       : 8.1.1.0        53618 Bytes  07.10.2010 17:22:18
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.2       53096 Bytes  02.11.2010 22:58:13
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  08.12.2010 19:56:34
AVARKT.DLL     : 10.0.22.6     231784 Bytes  08.12.2010 19:56:33
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  02.11.2010 22:58:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4db788be\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PFS,+SPR,
Beginn des Suchlaufs: Donnerstag, 24. März 2011  18:46
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAM Updates Notifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'distnoted.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunes.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TabTip32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QDLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83ZKW3DV\adframe[4].htm'
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83ZKW3DV\adframe[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
Beginne mit der Desinfektion:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83ZKW3DV\adframe[4].htm
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '511e0441.qua' verschoben!
 
Ende des Suchlaufs: Donnerstag, 24. März 2011  18:51
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
      0 Verzeichnisse wurden überprüft
     29 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     28 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 
Die Suchergebnisse werden an den Guard übermittelt.

Vielleicht hilft dir ja diese Info weiter

Gruss

 

[scorpio]

Kannst Du mir bitte mal die Datei schicken, die in Quarantäne geschickt wurde?
511e0441.qua

 

[scorpio]

2 Dateien sind nun im VLab von Avira. Mal schauen.

 

[Roadtrip]

Sorry, ich habe die Quarantäne schon gelöscht.

2 Dateien sind nun im VLab von Avira. Mal schauen.

Wenns wieder auftaucht kann ich dir gerne die Datei zusenden, oder brauchst du nun keine weiteren mehr?

 

[scorpio]

Sorry, ich habe die Quarantäne schon gelöscht.
Wenns wieder auftaucht kann ich dir gerne die Datei zusenden, oder brauchst du nun keine weiteren mehr?

Danke, reicht erstmal.
wenn ich noch was brauche, schreibe ich es hier ein.

 

[nobike]

Kann ich bestätigen ( Avira Premium)

Premium gibt Alarm, die kostenlose Privatversion nicht.

anTon

 

[scorpio]

Premium gibt Alarm, die kostenlose Privatversion nicht.

Kann sie auch nicht, da die Free-Version gar kein Webguard-Modul hat.
http://www.avira.com/de/avira-free-antivirus

Ich habe den Footer-Banner erstmal wieder abgeschaltet.

 

[DieterFFM]

Moin,

äähhhmmm, ich habe die kostenlose Privatversion...