# Virus auf Buffed?



## celivar (3. September 2009)

Hi!
Um 3:16 Uhr bin ich auf die Buffed.de Startseite. Aufeinmal sprang mein Antivir an!

"In der Datei 'C:\Dokumente und Einstellungen\Peco\Anwendungsdaten\b.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern." so Antivir.

Die Buffed Seite hing sich ganz kurz auf,dann kam die Virus Meldung!
Hatten das noch andere ausser mir?


----------



## Tikume (3. September 2009)

Nein, ich habe die buffed Seite allerdings auch nicht unter  'C:\Dokumente und Einstellungen\Peco\Anwendungsdaten\b.exe'installiert  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Grushdak (13. Oktober 2009)

Hallo,

erst seit einigen Minuten gibt es abundzu beim Aufrufen von Seiten
(zumindest beim WoW-Portal) Laggs, weil sich versucht eine Seite zu öffnen -
bzw. Daten von dort abgerufen werden.

Es handelt sich um asn.advolution .......

Keine Ahnung, ob das mit dem Botspammer von eben zu tun hat -
wäre heute auch erstmals, denn die letzten Tage gab es das noch nicht, als er auch Werbung machte.

Sollte es nicht daher stammen, was ist das?

*edit* (heute 16:31 Uhr): Die Erscheinung tritt immer noch auf. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 

*edit 2* Sry sry, habe eben per google gesehen, daß es dazu schon mal was gab.

-> *da* asn.... scheint nur Werbung zu sein, welche den nur den Datenfluss ausbremst

greetz


----------



## Athlos (19. Oktober 2009)

ähnliches hab ich seit knapp 10 min auch

 HEUR/HTML.Malware - Heuristic Siehe auch            
 Kurzfassung  Vollständig  Statistik  



Name: HEUR/HTML.Malware 
Art: AHeAD Heuristik Spezialerkennung 
In freier Wildbahn: Nein 
Gemeldete Infektionen: Niedrig 
Verbreitungspotenzial: Niedrig 
Schadenspotenzial: Niedrig 
Statische Datei: Nein 

 General Alias:

Wurde zuvor wie folgt erkannt:
   •  HEUR/Exploit.HTML 

Das sind die Daten von meinem Virenprogramm weil jedes Mal wenn ich die Hauptseite von Buffed aufschlage es ein Virus erkennt.
Hilfe bitte Thx im Vorraus


----------



## doryzwei (22. Oktober 2009)

ich hatte gerade bei der akualisierung von buffed von avira ne meldung das es unerwünschte software auf buffed.de gibt. jetzt ist der forenticker geblockt...
hier mal der bericht von avira: Beim Zugriff auf Daten der URL "http://wow.buffed.de/fileadmin/buffed-small.js" wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert


----------



## spectrumizer (22. Oktober 2009)

Falscher Alarm.


----------



## Rethelion (22. Oktober 2009)

doryzwei schrieb:


> ich hatte gerade bei der akualisierung von buffed von avira ne meldung das es unerwünschte software auf buffed.de gibt. jetzt ist der forenticker geblockt...
> hier mal der bericht von avira: Beim Zugriff auf Daten der URL "http://wow.buffed.de/fileadmin/buffed-small.js" wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
> Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert


Ist ein Fehlalarm, wie es so oft bei Antivir vorkommt:
http://www.virustotal.com/de/analisis/ed78...8ef4-1256186125


----------



## PfeffiJoe (22. Oktober 2009)

Hallo,

mein Antivir schlägt neuerdings beim aufrufen eurer Seite an. 

Melden tut es HEUR/Exploit.HTML  für die Datei "buffed-small[1].js".

kann jetzt natürlich nur ein Fehlalarm sein, aber es ist schon etwas nervig, da es jedesmal wenn man aktuallisiert oder irgendwas aufruft 2 mal gemeldet wird. Wollte euch da nur mal drauf hinweisen.


----------



## Xerivor (22. Oktober 2009)

Ist ja auch umsonst darf sich auch Fehler erlauben..


----------



## Bloodletting (22. Oktober 2009)

AntiVir ist eines der besten Anti-Viren Programme. Und wenn man etwas kostenloses sucht, sollte man sich dafür entscheiden.

Das Problem: AntiVir findet jeden scheiß, wo nichts ist. Überempfindlich nennt man sowas. Aber lieber sowas, als dass es was übersieht.


----------



## Niranda (22. Oktober 2009)

dazu sag ich jetzt mal nix^^


----------



## Xerivor (22. Oktober 2009)

Naja im Test mit 95% Viren erkennung und über 20.000 durchgelassen wohl nicht eins der besten Norton und G-Data schneiden da besser ab...
Unter der Freeware ist es wohl eines der besten bzw. das beste...

Alle angaben ohne gewähr 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Maladin (22. Oktober 2009)

Ich verschiebe das Thema in den Support Bereich.

/wink maladin


----------



## Rethelion (22. Oktober 2009)

Bloodletting schrieb:


> AntiVir ist eines der besten Anti-Viren Programme*, *wenn man etwas kostenloses sucht.



Ich habs mal korregiert, so stimmts eher.
Antivir ist nur gut weil es kostenlos ist, sonst nichts. Erkennungsrate alleine hilft einem auch nicht weiter.


----------



## Bloodletting (22. Oktober 2009)

Rethelion schrieb:


> Ich habs mal korregiert, so stimmts eher.
> Antivir ist nur gut weil es kostenlos ist, sonst nichts. Erkennungsrate alleine hilft einem auch nicht weiter.



Was ist an einem Virenprogramm ausser die Erkennungsrate denn noch wichtig, das AV nicht erfüllt? o_O

Und ich fand meine Formulierung richtig.
Bei den kostenlosen führt Antivir, gehört somit Preis/Leistungstechnisch zu den besten.

Wenn man sich viel auf dubiosen Seiten rumtreibt und viel Mist runterlädt, dann brauch man natürlich was besseres.
Aber insgesammt zahlen nur Idioten für ein Virenprogramm, oder Leute, die viel zu verlieren haben.


----------



## Falathrim (22. Oktober 2009)

Man kann hier ja mal Werbung schalten 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





Rethelion schrieb:


> Hab grad was entdeckt was sicher für den einen oder anderen interessant sein dürfte.
> Norton,Kaspersky und Panda verschenken zum Windows7-Release am 22.10. 1-Jahreslizenzen für ihre Security-Suiten.
> (Bei Kaspersky geht es noch nicht zu 100% hervor, ob jeder einen Key bekommt).
> 
> ...


Für all die Leute, die von kostenlosen Programmen runter wollen. Kaspersky wär schön wenns was wird, das ist meiner Meinung nach nämlich das Optimum ;D


----------



## doryzwei (22. Oktober 2009)

ich nutze nicht die kostenlose version. avira premium security suite ist der schutz meiner wahl, wollte aber auch keine diskussion welcher virenscanner besser ist und welcher nicht. ich persöhnlich habe noch keine schlechten erfahrungen mit diesem programm gemacht und ich treibe mich(beruflich) relativ viel auf zweifelhaften seiten herum... wow läuft auf nem extra pc mit battle.net und autenticator^^
der sinn meines posts war einfach nur der, das ich buffed darauf hinweisen wollte das avira mit sehr hoch eingestellter heuristic dieses fenster sperrt.


----------



## Rethelion (22. Oktober 2009)

Bloodletting schrieb:


> Was ist an einem Virenprogramm ausser die Erkennungsrate denn noch wichtig, das AV nicht erfüllt? o_O



Die beste Erkennungsrate bringt dir nichts, wenn der PC schon infiziert ist, sich der Virenscan ganz einfach aushebeln lässt oder es noch keine Signatur für eine unbekannte Bedrohung gibt.
Antivir hat in der Free-Version keinen HTTP-Scanner, also landet der infizierte Download erstmal auf dem PC bevor in das AV entdeckt; öffnest du einen infizierten Werbebanner bist du auch schon infiziert, und dafür musst du nichtmal auf unseriöse Seiten gehn.
Gegen unbekannte Bedrohungen bist du auf keine Weise geschützt, andere Hersteller wie z.B. Norton haben Features, die Anwendungen überwachen und bei Verdächten Aktionen einschreiten. Sonar2 ist da ein gutes Beispiel.
Und vom Support von Antivir will ich gar nicht sprechen.

Wenn man unbedingt geizig sein will ist Avira natürlich eine bessere Lösung als gar nichts zu installieren, aber die 1-2€ im Monat die ich für Norton zahle sinds mir wert.


----------



## Zylenia (23. Oktober 2009)

Also ,langsam geht mir das auch auf den Zeiger,ständig springt Antivir an.
Jedesmal wenn ich auf die Hauptseite gehe.


----------



## kaepteniglo (23. Oktober 2009)

Das liegt an Antivir........

Keine Ahnung was die immer erkennen 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Redryujin (23. Oktober 2009)

War bei mir auch vorhin mit folgender Meldung.


*Auf ihren Computer wurde ein Virus oder unerwünschtes  Programm gefunden.

*Was soll mit der betroffenen Datei geschehen?


C:\Dokumente und Einstellungen\Redryujin\...\buffed-small\[1].js

Es handelt sich um einen heuristischen Treffer.
Für eine genauere Anaslyse sollten sie uns diese Datei über den Quarantäne Manager zur genaueren Untersuchung zusenden.

Enthält verdächtigen Code: HEUR/HTML.Malware 


O In Quarantäne verschieben

O Zugriff verweigern

O Ignorieren


----------



## NaLoX (23. Oktober 2009)

Holt euch Kaspersky ist wie ich finde das beste Antiviren Programm. Hat zwar einen Stattlichen preis, aber ich habe keine Virenprobleme bist jetzt gehabt.


----------



## kaepteniglo (23. Oktober 2009)

Also, manche geben 13€ / Monat für WoW aus, aber keine 29€ für EIN JAHR PC-Sicherheit?

So teuer sind die Antivieren-Programme echt nicht.


----------



## spectrumizer (23. Oktober 2009)

kaepteniglo schrieb:


> Also, manche geben 13€ / Monat für WoW aus, aber keine 29€ für EIN JAHR PC-Sicherheit?


Da haste jetzt wirklich was wahrhaftiges gesagt. Glaube in so einer Dimension denkt kaum jemand. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## skyline930 (23. Oktober 2009)

Grushdak schrieb:


> Es handelt sich um asn.advolution .......



*ad*volution - hätte man sich doch denken können das es Werbung ist, oder? -> https://addons.mozilla.org/de/firefox/addon/1865



Athlos schrieb:


> Das sind die Daten von meinem Virenprogramm weil jedes Mal wenn ich die Hauptseite von Buffed aufschlage es ein Virus erkennt.
> Hilfe bitte Thx im Vorraus



Heuristischer Treffer, und hat mit dem Problem von Grushdak rein gar nichts zu tun.


----------



## Yosef (24. Oktober 2009)

24.10.2009 02:14:02	Gefunden: HEUR:Trojan.Script.Iframer	Firefox		http://www.buffed.de/fileadmin/buffed-small.js


Der Zugriff auf die angeforderte URL ist nicht möglich

Im angeforderten Objekt unter der URL-Adresse:

http://www.buffed.de/fileadmin/buffed-small.js


wurde eine Bedrohung gefunden:

Das Objekt ist mit HEUR:Trojan.Script.Iframer infiziert


----------



## Zapfle (24. Oktober 2009)

Bei mir kommt auch seit ca 20min die Virus-Meldung

Nur nutze ich Kaspersky, wo die Fehlermeldung kommt.



> 24.10.2009 02:03:28 Verboten: HEUR:Trojan.Script.Iframer Firefox http://www.buffed.de/fileadmin/buffed-small.js


----------



## spectrumizer (24. Oktober 2009)

Dito. Bei mir auch und mein Kaspersky meckert ebenfalls. Er kreidet das Script http://www.buffed.de/fileadmin/buffed-small.js an.

```
Auf Anfrage entfernt
```
Heute nachmittag war noch alles iO ...


----------



## Grushdak (24. Oktober 2009)

Seltsam finde ich nur, daß mehrere Virenscanner auf dasselbe anspringen.
Sollten alle Virenscanner zur gleichen Zeit denselben Fehler insich haben?
Irgendwie glaub ich das nicht so recht ... sry ...

ps.
Schön das dieser Virus - oder was auch immer das ist ... 
nun auch noch ständig hier verlinkt wird. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



ps.

Wenn ich auf den Link in dem Fenster gehe, gelange ich auf eine Seite in russisch,
die aussieht, als wäre sie die russsiche Kaspersky-Seite - oder ein Fake ...
Und es kommt: Virus was not recorded.

Und bei Kaspersky ist trotz der Warnung nix in der Statistik von diesem "Virus".

also alles ok - anscheinend. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Vaishyana (24. Oktober 2009)

Mein AV springt nicht an, muss ich mir jetzt Sorgen machen?^^


----------



## Kârtôffêl-Onyxia (24. Oktober 2009)

Hab seit ca. 2:30 Uhr auch immer mit Antivir 2 (!) Virenmeldungen wenn ich wow.buffed.de öffne.


----------



## Grushdak (24. Oktober 2009)

ps.

So manche Werbung hier bei Buffed wird als nicht (ganz) seriös eingestuft. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 
Gut, daß ich die  komplett ausblende.

Ich würde mir ja mal Gedanken machen, was für Werbung ich da verlinke. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 
Wobei ... so manche Sig, die einen Link beherrbergt, kann auch Türen öffnen ...


----------



## Snipy (24. Oktober 2009)

Huhu, 

als ich eben auf Buffed kam zeigte mir mein Virus Programm an das auf Buffed ein Trojaner ist?
Was ist das bitte?


----------



## Fikasa (24. Oktober 2009)

hui.. gute frage. bekomme nix angezeigt von nem virus o.ä

Gruß Pascal


----------



## keinnick (24. Oktober 2009)

NaLoX schrieb:


> Holt euch Kaspersky ist wie ich finde das beste Antiviren Programm. Hat zwar einen Stattlichen preis, aber ich habe keine Virenprobleme bist jetzt gehabt.



Seh ich auch so.... allerdings hat Kaspersky hier auf buffed auch was zu meckern 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Mungamau (24. Oktober 2009)

Bei mir kam das Problem gerade auch:



> 24.10.2009 09:27:46	http://wow.buffed.de/fileadmin/buffed-small.js	Firefox	Verboten: HEUR:Trojan.Script.Iframer



Wer auf die URL geht ohne Sicherheitsprogramm, hat einen Virus drauf. Wer trotzdem diese Warnung nicht akzeptiert, soll es ausprobieren und über ein Virus freuen. Hoffentlich wacht bald ZAM auf und behabt ihn 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Werfloh (24. Oktober 2009)

Mungamau schrieb:


> Bei mir kam das Problem gerade auch:
> 
> 
> 
> ...



Jopp hoffen wirs. Ich hatte gerade die gleiche Meldung.


----------



## Rethelion (24. Oktober 2009)

Ich denke mal dass es sich um einen Fehlalarm handelt.
Da im Namen des gefundenem Trojaner "HEUR" vorkommt heisst das, dass Kaspersky keine Definition für diesen Trojaner hatte sondern ihn über die Heuristik gefunden hat; d.h. es sucht nach ähnlichen Merkmalen wie sie Trojaner besitzen. Und da kommt es öfters mal zu Fehlalarmen.
Ich habe die Datei selbst mal geprüft und da wird sie von keinem AV erkannt: http://www.virustotal.com/de/analisis/ee4b...8340-1256369832

Update mal Kaspersky und schau ob das Problem immer noch auftritt.


----------



## Rethelion (24. Oktober 2009)

Mungamau schrieb:


> Bei mir kam das Problem gerade auch:
> 
> 
> 
> ...



So ein Schmarn, es handelt sich zu 99% um einen Fehlalarm.(Ich wart mal die Antwort von Kaspersky ab) Von 41AVs findet keiner in der Datei einen Virus: http://www.virustotal.com/de/analisis/ee4b...8340-1256369832

Updatet mal eure AVs und checkt ob das Problem immer noch besteht. Und falls ja wendet euch an den jeweiligen Hersteller und schickt im eure Meldungen, dann kann der das überprüfen.


----------



## Grushdak (24. Oktober 2009)

Vorweg: Noch ein Topic dazu?

Also ich bin da deutlich skeptischer, da mehrere Virenprogramme das melden.

Aber das habe ich ja in dem anderen Topic im Buffed Support geschrieben,
daß man auf eine russische Seite gelangt ... usw.


----------



## Mungamau (24. Oktober 2009)

@ Vorposter

Hsat du ein Virusprogramm drauf? Wenn ja, dann wüsstest du, dass sie sich meistens selbst updaten, wenn man den PC anmachen tut..


----------



## Grushdak (24. Oktober 2009)

Fehlalarm gut oder nicht ...

Bei mir ist alles updated.
Mehrere Programme springen drauf an.
Es geht auf eine russische Seite ...

alles sehr seltsam ...


----------



## Nimbe (24. Oktober 2009)

k bei mir auch jetz xD eiei buffed haben wir euer dunkles Geheimnis entdeckt xD


----------



## Rethelion (24. Oktober 2009)

Mungamau schrieb:


> @ Vorposter
> 
> Hsat du ein Virusprogramm drauf? Wenn ja, dann wüsstest du, dass sie sich meistens selbst updaten, wenn man den PC anmachen tut..



Naja nur weil Programme das als Feature bieten, muss das nicht heissen, dass das jeder aktiviert hat.
Aber ich nehm jetzt meine erste Aussage trotzdem vorsichtshalber zurück, da ich den Kaspersky-Support kontaktiert habe und folgende Meldung zurückbekommen habe:


> We are not sure that this heuristic detection is false alarm, because that script invisibly redirects to some suspicious chinese site.



Ich verstehe dann nur nicht, dass bei virustotal kein einziges AV ausschlägt; werde jetzt aber selber kurz Kaspersky installieren um zu überprüfen ob ich die selbe Meldung bekomme.
Benutzt ihr alle KIS2010/KAV2010 und welche Version habt ihr?

EDIT: So wies aussieht ist die Datei jetzt eh weg.


----------



## Rethelion (24. Oktober 2009)

Ich hab grad Kaspersky kontaktiert und die sind sich doch nicht so sicher ob es ein Fehlalarm ist:


> We are not sure that this heuristic detection is false alarm, because that script invisibly redirects to some suspicious chinese site.


----------



## CrAzyPsyCh0 (24. Oktober 2009)

kaepteniglo schrieb:


> Also, manche geben 13€ / Monat für WoW aus, aber keine 29€ für EIN JAHR PC-Sicherheit?
> 
> So teuer sind die Antivieren-Programme echt nicht.


warum soll ich 29€ im jahr ausgeben, wenn ich avast, antivir, usw gratis bekomme und die ähnlich gut sind?
seit über 10 jahren keinen virus gehabt und surfe ohne softwarefirewall (die meist mehr lücken öffnen als schließen) und hab nur antivir laufen.


----------



## Magaroth.Thrall (24. Oktober 2009)

bekomme auch sonne meldung.


----------



## EspCap (24. Oktober 2009)

Also ich bekomme bei Kaspersky 2010 mit Heuristik auf 'Tief' keine...


----------



## doryzwei (24. Oktober 2009)

um das nocheinmal zu sagen, nur weil jemand avira hat, bedeutet das auf keinen fall das es sich um die kostenlose version handelt. nur weil mal das eine und am nächsten tag wieder das andere mehr viren erkennt, bedeutet das nicht das es grundsätzlich besser oder schlechter ist. mir gefällt an antivir das es die resourcen schont. nur meine persöhnliche meinung^^
b2t: bei mir wurde keine werbung geblockt, sondern der wow newsticker...


----------



## doryzwei (24. Oktober 2009)

http://de.tinypic.com/r/71odbd/4
hier mal nen bild von dem was angezeigt wird...


----------



## -oLaZ- (24. Oktober 2009)

Hi zusammen,

also es Handelte sich in der Tat um einen Trojaner auf der Buffed Hauptseite.
Es ist nicht das erste mal das MMO Webseiten von solchen Infiziert wurden und ich finde das sich Buffed mal dazu äussern sollte.

Ich konnte bisher keinen Hinweis darüber von Offizieller seite aus lesen. Ihr könnt es ruhig zugeben, immernoch besser als nichts zu sagen. Sind genug leute da draussen die keinen guten Scanner haben und jetzt wohl auch infiziert wurden.

Also lasst mal was dazu hören.


Gruss -oLaZ-


----------



## Grushdak (25. Oktober 2009)

Hier mal nachfolgend, was sich unter HEUR:Trojan.Script.Iframer verbirgt ...




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



...sehr verdächtig! ..


----------



## Irn-Bru (25. Oktober 2009)

mein Kaspersky hat auch eben Alarm geschalgen beim Aufrufen der Buffed Startseite.  25.10.2009 01:52:22	http://www.buffed.de/fileadmin/buffed-small.js	Firefox	Gefunden: HEUR:Trojan.Script.Iframer.

Ich bin eigentlich täglich bei buffed unterwegs,die meldung bekomme ich allerdings das erste mal.


----------



## Zapfle (25. Oktober 2009)

schein immer nur zwischen 0 und5-6 Uhr zu erscheinen. jedenfalls bei mir


----------



## Interminator (25. Oktober 2009)

bei mir hats vorhin um 23:56 angeschlagen und jedesmal wo ich auf dir front page gehe kommts gleich 2 mal mittlerweile schon 8 mal gefunden...ich benutz kaspersky


----------



## -oLaZ- (25. Oktober 2009)

Rethelion schrieb:


> Ich hab grad Kaspersky kontaktiert und die sind sich doch nicht so sicher ob es ein Fehlalarm ist:
> 
> 
> > We are not sure that this heuristic detection is false alarm, because  that script invisibly redirects to some suspicious chinese site.



Also zur Zeit gibt es wieder die Meldung, und solange sie dort schreiben das es zu einer verdächtigen Chinesischen Seite linkt, sind die Indizien doch eigentlich klar worum es dabei geht.


----------



## Interminator (25. Oktober 2009)

-oLaZ- schrieb:


> Hi zusammen,
> 
> also es Handelte sich in der Tat um einen Trojaner auf der Buffed Hauptseite.
> Es ist nicht das erste mal das MMO Webseiten von solchen Infiziert wurden und ich finde das sich Buffed mal dazu äussern sollte.
> ...



find ich auch, wird zeit das buffed ein statement abgibt


----------



## Warzone (25. Oktober 2009)

gerade habe ich kaspersky upgedatet und promt das bekommen:

25.10.2009 07:36:17	Gefunden: HEUR:Trojan.Script.Iframer	Firefox		http://www.buffed.de/fileadmin/buffed-small.js 


hmm


----------



## Mungamau (25. Oktober 2009)

Trojaner wieder gefunden. Hoffentlich liest bald ZAM das Thema 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Der Trojaner taucht zwischen 23:00 Uhr und 10:00 Uhr auf, dann ist er spurlos verschwunden.


----------



## Rethelion (25. Oktober 2009)

-oLaZ- schrieb:


> Also zur Zeit gibt es wieder die Meldung, und solange sie dort schreiben das es zu einer verdächtigen Chinesischen Seite linkt, sind die Indizien doch eigentlich klar worum es dabei geht.



Naja bisher habe ich aber keine Antwort von Kaspersky bekommen was die Datei jetzt macht und ob sie gefährlich ist. Werd mich melden wenn sie was neues schreiben.


----------



## Grushdak (25. Oktober 2009)

> Rethelion schrieb:
> 
> 
> > Ich hab grad Kaspersky kontaktiert und die sind sich doch nicht so sicher ob es ein Fehlalarm ist:
> ...


Sry, aber irgendwie überzeugt mich deren Antwort überhaupt nicht.
Wie können die von chinesisch reden, wenn man auf eine russische Seite gelangt? 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 
Und wie man oben auf dem letzten Bild von mir sieht - es ist fast 100% russich.
Was es nun genau ist (russische Kaspersky?)- fraglich - zumal dort z.T. englisch bei ist.

greetz


----------



## Rethelion (25. Oktober 2009)

Grushdak schrieb:


> Sry, aber irgendwie überzeugt mich deren Antwort überhaupt nicht.
> Wie können die von chinesisch reden, wenn man auf eine russische Seite gelangt?
> 
> 
> ...



Wie genau bist du auf die Seite gekommen? Hast du evtl in Kaspersky auf den Informationen-Button geklickt?
So wie ich das sehe ist das die russische Seite von Viruslist.com; links oben kanns du auch die Sprache einstellen. Ich denk mal Kasersky wollte in ihrere Datenbank den Infoeintrag zu dem Trojaner öffnen, die gibts aber nicht und deshalb bist du auf diese Seite gekommen.


----------



## Grushdak (25. Oktober 2009)

Ja, ich habe im Warnfenster von Kaspersky geklickt.

ps.

Habe gerade im Kaspersky-Forum gelesen, daß es so etwas sehr Ähnliches schon mal anfang 2009 gab.
Da handelte es sich um ein Script, welches anscheinend die Werbung benutzte.
Es ist schädlich, hatte sich durch eine Sicherheitslücke eingeschleust.

Quelle: -> *HEUR: Trojan.Script.Iframer gefunden*

*Daher würde ich doch bitten, mal sämtliche Werbung zu überprüfen!

*Solange ich jetzt hier bei Buffed bin - solche Probleme hatte ich hier noch nie!* 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


*


----------



## Irn-Bru (25. Oktober 2009)

bekomme die Warnmeldung nicht mehr (13Uhr), allerdings ist auch diese komische Werbung "Herzlichen Glückwunsch sie sind der 100000000000 Besucher" nicht mehr da....


----------



## Mooni29 (25. Oktober 2009)

Also bei mir sprang kaspersky nicht an... aber könnte es sein das dieser Virus irgednwas mit Runes macht??..... weil vor ein oaar tagen sind einfach rüßi items verschwunden...


----------



## Rethelion (25. Oktober 2009)

Mooni29 schrieb:


> Also bei mir sprang kaspersky nicht an... aber könnte es sein das dieser Virus irgednwas mit Runes macht??..... weil vor ein oaar tagen sind einfach rüßi items verschwunden...



Das liegt daran, dass das Script wieder nicht mehr auf dem Server liegt. Ich habs mal abgespeichert und mir dann Kaspersky installiert, dann wird da auch ein Trojaner gefunden. Komisch nur das kein anderes Programm drauf anspringt.


----------



## ZAM (25. Oktober 2009)

Rethelion schrieb:


> Das liegt daran, dass das Script wieder nicht mehr auf dem Server liegt. Ich habs mal abgespeichert und mir dann Kaspersky installiert, dann wird da auch ein Trojaner gefunden. Komisch nur das kein anderes Programm drauf anspringt.



Hi,

du hast das Script noch? Kannst du es zufällig schicken? Weil weder Kaspersky 2010 meldet was noch ist die in der Meldung genannte Datei auf dem Server auffindbar, geschweige denn hat das fileadmin-Root-Verzeichnis irgendwelche Rechte, dass der Webserver da was ablegen könnte.Wenn du die Datei also hast, wäre es nett, wenn du sie irgendwo ablegst oder an support@buffed.de schickst - bei einer "Infektion" könnte die Mail dann aber möglicherweise nicht ankommen.

Auch wenn einige Virenscanner das nicht melden, nehmen wir das durchaus ernst.


----------



## Scharamo (25. Oktober 2009)

Also ich hatte gesten als ich www.buffed.de besucht habe von meinem Kasperky eine Warnung erhalten das ein Trojana geblogt wurde.

Vorher noch nie gehabt...


----------



## Grushdak (25. Oktober 2009)

ZAM, oben ist ein Link zum Kasperskyforum, wo es anscheinend genau um diesen Schädling geht.
Da ist auf Seite 2 auch das Script gepostet - zumindest ein entscheidender Teil.
Da der Schädlingsname derselbe ist, könnte das Script identisch mit dem Jetzigen hier sein. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 

greetz


----------



## Rethelion (25. Oktober 2009)

ZAM schrieb:


> Hi,
> 
> du hast das Script noch? Kannst du es zufällig schicken? Weil weder Kaspersky 2010 meldet was noch ist die in der Meldung genannte Datei auf dem Server auffindbar, geschweige denn hat das fileadmin-Root-Verzeichnis irgendwelche Rechte, dass der Webserver da was ablegen könnte.Wenn du die Datei also hast, wäre es nett, wenn du sie irgendwo ablegst oder an support@buffed.de schickst - bei einer "Infektion" könnte die Mail dann aber möglicherweise nicht ankommen.
> 
> Auch wenn einige Virenscanner das nicht melden, nehmen wir das durchaus ernst.



Ich schick euch gleich per Email die Datei und schreib euch noch was dazu.
Muss es nur noch schaffen das Teil in der VM wiederherzustellen^^

EDIT: Ist raus


----------



## Mooni29 (26. Oktober 2009)

Hmmm komiach ich habe gestern mit Kaspersky eine Virensuche gemacht und KEINE meldung bekommen.....glaube auch das es eine fehlmeldung ist


----------



## ZAM (26. Oktober 2009)

Rethelion schrieb:


> Ich schick euch gleich per Email die Datei und schreib euch noch was dazu.
> Muss es nur noch schaffen das Teil in der VM wiederherzustellen^^
> 
> EDIT: Ist raus



    Hi,





Email ist angekommen, danke dafür. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 


   Der Code ist eigentlich recht simpel aufgebaut - generiert ein Iframe und nutzt eine bekannte Javascript-Packing-Function, um sich zu cloaken. Die Frage jedoch ist - WOHER SOLL DAS KOMMEN?. Aus irgend einem Werbe-Banner aus der Rotation um die angesprochene Uhrzeit? Ich kann es persönlich nicht nachvollziehen - weder eine Datei noch ein Verzeichnis mit dem Namen /buffed-small/ existiert auf dem Server und in dem in der Meldung angegebene Root-Pfad /fileadmin/ hat der Webserver keine Schreib-/Ausführrechte. D.h. es gibt hier also zumindest nicht die Möglichkeit der Infektion über ein Upload-Formular oder serverseitige Scripte. Wir setzen uns mit Kaspersky in Verbindung, die haben sicher Erfahrungen mit Trojan-Iframern und deren Infektionsquellen - die Meldung muss ja durch irgendwas generiert werden, auch wenn ich bei der durch das Script eingebundenen Seite http://www.g**gl*st*m*.com/ads.asp (noch!) keine Gefahr erkennen konnte.



  Gruß


----------



## doryzwei (27. Oktober 2009)

also falls es hilft, auf dem von mir gemachtem screenshot ist ja die von buffedforum gezeigte uhrzeit zu sehen und der teil der geblockt wurde auch. ob es bei anderen nen werbefenster war kann ich nicht sagen, da ich adblock nutze und da werbung komplett nicht geladen wird.


----------



## ZAM (27. Oktober 2009)

Ich hab die Seite gestern nach 0:00 mehrmals besucht - Kaspersky 2010 aktiv - und keine Meldung bekommen - auch tauchte die bisher gemeldete Datei nicht in dem genannten Verzeichnis auf.


----------



## Zapfle (27. Oktober 2009)

Ich nutze Kaspersky Internet Security 2010 und bei mir kam die letzte Meldung davon am 24.10. um 01:23 Uhr. Danach hatte ich nachts erstmal nicht wieder die Buffed-seite besucht, sonderns nur noch tagsüber, da die meldung etwas nervig war.


----------



## Rethelion (27. Oktober 2009)

ZAM schrieb:


> Ich hab die Seite gestern nach 0:00 mehrmals besucht - Kaspersky 2010 aktiv - und keine Meldung bekommen - auch tauchte die bisher gemeldete Datei nicht in dem genannten Verzeichnis auf.



Also ich hab das Skript jetzt auch seit 2 Tagen nicht mehr gesehen, vll haben wir da eine finstere Aktion vereitelt^^


----------



## Redryujin (27. Oktober 2009)

ZAM schrieb:


> Ich hab die Seite gestern nach 0:00 mehrmals besucht - Kaspersky 2010 aktiv - und keine Meldung bekommen - auch tauchte die bisher gemeldete Datei nicht in dem genannten Verzeichnis auf.




Sehr seltsam bei mir kam nur einmal die Nachricht und das war am 23. 10. 2009 um 11:06:34

Das heißt bei mir war es Tagsüber.

In der Datei 'C:\Dokumente und Einstellungen\Ryujin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YSYWNCPR\buffed-small[1].js'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Seit damals habe ich keine einzige Meldung mehr bekommen.


----------



## -oLaZ- (30. Oktober 2009)

Grade eben wieder bekannte Meldung von kaspersky antivirus 2010 erschienen.


----------



## Warzone (30. Oktober 2009)

bei mir auch gerade:

30.10.2009 03:13:01	Gefunden: HEUR:Trojan.Script.Iframer	Firefox		http://www.buffed.de/fileadmin/buffed-small.js 

grüßle


----------



## Zapfle (30. Oktober 2009)

Bei mir jetzt auch wieder




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 & 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Warzone (30. Oktober 2009)

und immer wieder nervt langsam :-(





			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Dregalos (30. Oktober 2009)

ich hatte jetzt länger nix seitdem ZAM schonmal was gemacht hat nachdem wir es gemeldet haben, aber jetzt wieder, 2 mal:

30.10.2009 05:55:52	Webseite	http://www.buffed.de/fileadmin/	buffed-small.js	C:\Program Files\Mozilla Firefox\	firefox.exe	4604	"C:\Program Files\Mozilla Firefox\firefox.exe" 	Gefunden	Virus	HEUR:Trojan.Script.Iframer	Hoch	Möglich


----------



## Odara (30. Oktober 2009)

Guten Morgen,

Nachdem ich gerade auf buffed.de war, schlug mein kaspersky internet security wieder alarm.

Das hat er verboten runter zuladen 30.10.2009 06:22:33	Gefunden: HEUR:Trojan.Script.Iframer	Firefox		http://www.buffed.de/fileadmin/buffed-small.js


----------



## Kovu Wolfszahn (30. Oktober 2009)

Bei mir heute auch zum ersten mal.. genau das selbe wie bei allen anderen und zwar immer wenn ich die Seite anklicke.

(Hab das früher nie gehabt, ist heute das erste mal das Kaspersky bei mir über buffed meckert)


----------



## Pomela (30. Oktober 2009)

Gleiches hier... Kaspersky meckert... Diese Meldung erhälte ich seit ein paar Tagen 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Nesbo (30. Oktober 2009)

bei mir eben auch, wäre nett wenn da mal jemand von Buffed was schreibt. Immerhin Trojaner meldung!


----------



## moehrewinger (30. Oktober 2009)

Odara schrieb:


> Guten Morgen,
> 
> Nachdem ich gerade auf buffed.de war, schlug mein kaspersky internet security wieder alarm.
> 
> Das hat er verboten runter zuladen 30.10.2009 06:22:33	Gefunden: HEUR:Trojan.Script.Iframer	Firefox		http://www.buffed.de/fileadmin/buffed-small.js



Moin,
ich schließ mich mal als Mitläufer an. Dasselbe bei mir. Kaspersky + Safari.


----------



## eMJay (30. Oktober 2009)

Jedes mal wenn ich die Buffed Seite aufmach....


----------



## mijasma (30. Oktober 2009)

wenn ma auf buffed.de geht versucht sich ein trojaner zu instalieren, diese meldung kommt seit heute morgen falls ihr dass noch nicht wisst.

24.10.2009 07:52:33	Gefunden	Virus HEUR:Trojan.Script.Iframer	http://wow.buffed.de/fileadmin/buffed-small.js


mit bestem gruss


----------



## Basterd (30. Oktober 2009)

Hab die Meldung heute auch bekommen.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Benutze Kaspersky Internet Security 2010.


----------



## Warzone (30. Oktober 2009)

und wieder scheint nun den ganzen tag da zu bleiben *gg*

30.10.2009 09:50:27	Gefunden: HEUR:Trojan.Script.Iframer	Firefox		http://www.buffed.de/fileadmin/buffed-small.js


----------



## ShaakTi79 (30. Oktober 2009)

hi Zam,

Suche mal nach einer versteckten JS-Datei im Root-Verzeichnis von FileAdmin! Am Besten per Konsole!

Linux: Ls -al (Anzeige alle Dateien und Verzeichnisse / Versteckt,gesicherte und Root)

Wenn du nichts findest, dann solltest du nach Rar/zip Dateien suchen, die nicht zu euch gehören, denn Trojaner/Würmer haben meist die Angewohnheit
nicht dort zuliegen wo man sie vermuthet! Denn sie kopieren sich meistens von einer anderen Stelle zu dem in der Warnung angegeben Stelle!

bb

Ps1: Bin selber Admin!
Ps2: Trojaner sind Fies (Bsp: Trojaner.Hackb --> Lageort: %systemdir%/Windows/System/Hackb.rar ---> Nutzort: %systemdir/Programme/. )

bb


----------



## ZAM (30. Oktober 2009)

Nesbo schrieb:


> bei mir eben auch, wäre nett wenn da mal jemand von Buffed was schreibt. Immerhin Trojaner meldung!



Die da so blau schreiben sind buffed-Mitarbeiter....



ShaakTi79 schrieb:


> hi Zam,
> 
> Suche mal nach einer versteckten JS-Datei im Root-Verzeichnis von FileAdmin! Am Besten per Konsole!
> 
> Linux: Ls -al (Anzeige alle Dateien und Verzeichnisse / Versteckt,gesicherte und Root)



Alles schon getan, seit die Meldung das erste mal aufgetaucht ist - das Ding ist, es kommt nie wenn ich live unterwegs bin, so kann ich auch keine mögliche temporäre Ablage der Datei ermitteln.. das ist zum Verzweifeln.


----------



## skyline930 (30. Oktober 2009)

Hab mir eben die Testversion von Kaskpersky gezogen, auf ner frisch aufgesetzen VM, mit FF3.5.4 + ABPlus, keine Meldung.


----------



## ZAM (30. Oktober 2009)

skyline930 schrieb:


> Hab mir eben die Testversion von Kaskpersky gezogen, auf ner frisch aufgesetzen VM, mit FF3.5.4 + ABPlus, keine Meldung.



Wenn du diesen Thread hier rückwirkend liest: Die Meldung tritt nur zwischen 0 - 10 Uhr auf. Wir analysieren aber weiter... Nur wie gesagt - die Meldung bzw. das was da möglicherweise dahinter steckt, ist momentan nicht gefährlich, jedoch setzen wir alles daran heraus zu bekommen, was die Meldung genau verursacht.


----------



## Rethelion (30. Oktober 2009)

ZAM schrieb:


> Wenn du diesen Thread hier rückwirkend liest: Die Meldung tritt nur zwischen 0 - 10 Uhr auf. Wir analysieren aber weiter... Nur wie gesagt - die Meldung bzw. das was da möglicherweise dahinter steckt, ist momentan nicht gefährlich, jedoch setzen wir alles daran heraus zu bekommen, was die Meldung genau verursacht.



Habt ihr da keine Protokolle laufen, die jede Änderung aufzeichnen? Weil irgendwer oder irgendwas muss ja jeden Abend das Script erstellen und wieder löschen; und du sagst ja selber das niemand rechte auf den Ordner hat, was das ganze noch mysteriöser macht.


----------



## Druchiii (31. Oktober 2009)

Guten Abend, ich fasse mich kurz:

Eben, als  ich ganz normal auf meinen firefox-sticky von buffed.de klickte, die seite lud und mich auf der startseite befand, meldete mein Kaspersky (Virenschutz), dass www.buffed.de/fileadmin/buffed-small.js beim downloaden ein virus entdeckt wurde! Weder Download noch sonst iwas habe ich gestartet, und beim reloaden der seite, bzw neueintippen kommt das gleiche!


IHR habt euch da nen gefährlichen virus eingefangen, der auf weniger geschützten systemen verheerendes anrichten kann!


----------



## Shefanix (31. Oktober 2009)

Wenn ich mich nicht Irre, sollte das einfach nur ein Fehlalarm sein. Gabs letztens schonmal.


----------



## Carcharoth (31. Oktober 2009)

Mein Virenscanner meldet nix. 
Ich tippe mal auf nen Fehlalarm.

Ansonsten musst dich bis morgen gedulden bis einer der Admins das sieht.


----------



## Druchiii (31. Oktober 2009)

nagut, wird man spätestens dann ja sehen;D, selbst wenn die datenbanken gelöscht würden xD

nene, wenn das virus echt ist, und es kein fehlalarm ist, dann hat es der/die hacker/in auf die user abgesehen, mom hier lievestream fehlermeldungen xD

kaspersky-Livestream^^


Tante EDITH: Livestream vorbei, ich lade jetzt screen hoch, dann solte es auch genug sein xD


----------



## Druchiii (31. Oktober 2009)

EDITHs Tante Redithe:

Nach 5 minuten erfolgt keine virus-warnmeldung mehr...war wahrscheinlich wirklich falscher alarm! Oder...ich hab zu oft die website reloaded...xD

naja, weider alles in butter...oder....*finsteres lachen*


----------



## Grüne Brille (31. Oktober 2009)

http://www.buffed.de/forum/index.php?showt...22218&st=80


----------



## Druchiii (31. Oktober 2009)

Gut, dann kann der Thread denke ich mal geschlossen werden! Gute nacht


----------



## Warzone (31. Oktober 2009)

ui die ganze nacht war er nicht da jetzt wieder auf der hauptseite:

31.10.2009 07:11:57	http://www.buffed.de/fileadmin/buffed-small.js	Firefox	Gefunden: HEUR:Trojan.Script.Iframer


----------



## Odara (31. Oktober 2009)

Und da ist er wieder  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 


31.10.2009 07:38:17	Gefunden: HEUR:Trojan.Script.Iframer	Firefox		http://www.buffed.de/fileadmin/buffed-small.js


----------



## Testare (31. Oktober 2009)

Jopp, wieder Alarm..  07:36:38  http://www.buffed.de/fileadmin/buffed-small.js
Gefunden: Trojan.Script.Iframer

Problematisch: In den meisten Fällen ist es "nur" ein Ad-Server der Werbung verbreiten möchte und von fast allen Virenscannern als gefährlich erkannt wird. Aber eben nur meistens.... Man kann das auch als Backdoor-Exploit nutzen, von daher ist es absolut korrekt dass ein solider Scanner Alarm reinhaut und gleich blockt.



Btw: AntiVir, Kaspersky, Norton, AVG, McAffee schlagen alle 4 Alarm (virtuelles Windows unter Debian ftw) und nein, das sind weder die Gratisversionen noch die HomePC-Versionen - Und wenn schon Firmensoftware, noch dazu alle 4, rumjammern, schätze ich die Meldung als relativ gerechtfertigt ein.

Lt Kaspersky Board ist man nocht nicht sicher ob da jetzt nur ein Werbescript rummosern lässt.... Hmm...


----------



## karull (31. Oktober 2009)

Japp mein Kaspersky 2010 meldet auch:

31.10.2009 08:27:40	Verboten: HEUR:Trojan.Script.Iframer	http://w**.buffed.de/fileadmin/buffed-small.js


----------



## Rethelion (31. Oktober 2009)

Shefanix schrieb:


> Wenn ich mich nicht Irre, sollte das einfach nur ein Fehlalarm sein. Gabs letztens schonmal.



Naja letztes Mal hab ich Kaspersky kontaktiert und die waren sich nicht sicher ob es wirklich ein Fehlalarm ist; und das komische ist ja, dass ZAM nicht weiss wie die Datei auf den Server kommt und warum sie wieder verschwindet.

Übrigens; 9:30Uhr: Die Datei ist noch da....
@Testare: Norton meckert bei mir nicht, aber evtl liegts daran weil ich NoScript installiert habe und das Teil gar nicht erst geladen wird.


----------



## Mungamau (31. Oktober 2009)

@ ZAM

Da du sagtest, dass auf flileadmin keiner Zugriff (außer die Admins) hat, wäre es denn möglich, dass man den Script aus dem Ordner löschen kann? Die Frage ist, ob er überhaupt da ist, denn ein Hcakangriff kann auch da sein, um Saten zu phishen. Alles kann der Script sein, auch unschädlich.


----------



## Mungamau (31. Oktober 2009)

karull schrieb:


> Japp mein Kaspersky 2010 meldet auch:
> 
> 31.10.2009 08:27:40	Verboten: HEUR:Trojan.Script.Iframer	http://w**.buffed.de/fileadmin/buffed-small.js



Mein Kasperkski 2009 schreite mal Gelber Alarm und dann Roten Alarm -.-


----------



## Pomela (31. Oktober 2009)

ZAM schrieb:


> Wenn du diesen Thread hier rückwirkend liest: Die Meldung tritt nur zwischen 0 - 10 Uhr auf. Wir analysieren aber weiter... Nur wie gesagt - die Meldung bzw. das was da möglicherweise dahinter steckt, ist momentan nicht gefährlich, jedoch setzen wir alles daran heraus zu bekommen, was die Meldung genau verursacht.



10:02Uhr und er ist immer noch da...


----------



## Rethelion (31. Oktober 2009)

Ok habs jetzt auch grad nochmal in der VM getestet, wenn man bei NoScript buffed.de verbietet wird das Script auch nicht geladen; lässt man buffed zu meckert gleich KIS10.

Würde ich generell auch jedem empfehlen für den Firefox das Addon runterzuladen.


----------



## Dodo321 (31. Oktober 2009)

karull schrieb:


> Japp mein Kaspersky 2010 meldet auch:
> 
> 31.10.2009 08:27:40	Verboten: HEUR:Trojan.Script.Iframer	http://w**.buffed.de/fileadmin/buffed-small.js



Meiner ebenfalls. Im Firefox und im IE!


----------



## Testare (31. Oktober 2009)

Rethelion schrieb:


> Naja letztes Mal hab ich Kaspersky kontaktiert und die waren sich nicht sicher ob es wirklich ein Fehlalarm ist; und das komische ist ja, dass ZAM nicht weiss wie die Datei auf den Server kommt und warum sie wieder verschwindet.



Genau das meine ich.... Ich mein, ok, Kaspersky sind auch nur Menschen, auch die irren mal und machen mal Fehler; allerdings hat man mir auch empfohlen das ganze als doch potentiell gefährlich anzusehen, da sich eben nicht wirklich ersehen lässt ob das Script wirklich was ausführt ausser Werbefenster öffnen etc


----------



## Elda (31. Oktober 2009)

Bei mir genau die selbe meldung! Zam sag was dazu


----------



## ZAM (31. Oktober 2009)

Mungamau schrieb:


> Da du sagtest, dass auf flileadmin keiner Zugriff (außer die Admins) hat, wäre es denn möglich, dass man den Script aus dem Ordner löschen kann? Die Frage ist, ob er überhaupt da ist, denn ein Hcakangriff kann auch da sein, um Saten zu phishen. Alles kann der Script sein, auch unschädlich.



Die Datei war tatsächlich um diese Zeit vorhanden. Aber sie beinhaltet zumindest kein schädliches Ziel. Es ist nicht so leicht zu prüfen, woher die kommt, also was die da ablegen kann.  Wir bleiben aber natürlich weiter dran. Kaspersky schmeißt bei mir ähnliche Meldungen auch bei einer meiner Lieblingsseiten screwattack.com (gametrailers.com), da aber mit anderen Dateinamen und Inhalten.


----------



## Elda (31. Oktober 2009)

Bei mir auch grad auf Arenajunkies ist schon komisch irgendwie : /


----------



## Rethelion (5. November 2009)

Gibts schon irgendwas neues? @ Zam


----------



## Stardoc (29. November 2009)

Hallo..
Gerade als ich buffed.de aufgerufen habe, kam diese Meldung:

29.11.2009 04:38:24    Gefunden    Virus HEUR:Trojan.Script.Iframer    http://www.buffed.de/flashcoms/common/js/flashcoms.js 

Ich verwende den aktuellen Kaspersky Virenscanner... evtl. Fehlalarm oder doch was dran !? Könnt das ja mal überprüfern.
Die Meldung kam übrigens jedesmal nach dem aufruf der Startseite.


----------



## Sidious75 (29. November 2009)

Kaspersky plpoppte mir eben eine meldung auf, dass auf der Buffed.de Startseite ein Trojaner gefunden wurde.Heur  Trojan.script. Iframer.
Der wurde in einer Flashdatei entdeckt.

Daher werd ich wohl eure seite in der nächsten Zeit meiden.
Ich will hier nicht auch noch nen Trojaner einfangen, der meinen Wow-Account stiehlt.

Mfg


----------



## Tikume (29. November 2009)

Oh mann ... genau der allererste Thread in diesem Forum (bevor Du kamst) .... es muss echt so verdammt schwer sein


----------



## Testare (29. November 2009)

Gerade eben wieder beim Betreten von buffed:

29.11.2009 06:46:38    http://www.buffed.de/flashcoms/common/js/flashcoms.js    Firefox    Gefunden    Virus    HEUR:Trojan.Script.Iframer    Hoch    Möglich


----------



## Testare (29. November 2009)

Testare schrieb:


> Gerade eben wieder beim Betreten von buffed:
> 
> 29.11.2009 06:46:38    http://www.buffed.de/flashcoms/common/js/flashcoms.js    Firefox    Gefunden    Virus    HEUR:Trojan.Script.Iframer    Hoch    Möglich



Update: Passiert auch beim Seitenwechsel -Schuld ist offenbar der Werbeframe rechts


----------



## Rethelion (29. November 2009)

Ich blick da nicht dahinter was das Skript macht, aber es hat wohl irgendwas mit 





> bbb.flashcoms.com/products/community_video_chat/overview/


 zu tun.

Bei Virustotal wird übrigens nichts erkannt:http://www.virustotal.com/de/analisis/1938d27991b346ed19eee4715c605d20412e35fbe2ab548e875508767709a62f-1259486264


----------



## Warzone (29. November 2009)

29.11.2009 10:31:17	http://www.googletiys.com/ads/index.htm	Firefox	Verboten: HEUR:Trojan.Script.Iframer		

hatte gerade auch eine warnung

grüßle


----------



## ZAM (30. November 2009)

Testare schrieb:


> Gerade eben wieder beim Betreten von buffed:
> 
> 29.11.2009 06:46:38    http://www.buffed.de/flashcoms/common/js/flashcoms.js    Firefox    Gefunden    Virus    HEUR:Trojan.Script.Iframer    Hoch    Möglich



Das ist der Site-Messenger, den Premium-User starten können. Die Prüfung, ob das Fenster aufgehen soll, ist überall per Iframe eingebunden.


----------



## Testare (30. November 2009)

ZAM schrieb:


> Das ist der Site-Messenger, den Premium-User starten können. Die Prüfung, ob das Fenster aufgehen soll, ist überall per Iframe eingebunden.



Korrekt -aber warum dann wird das nur zu manchen Zeiten als Virus gemeldet und sonst nicht? Und wieso wurde auf der virtuellen Windowspartition nachdem der Kaspersky aus war direkt danach der Gamethief-Trojaner gefunden?


----------

