Virenscanner Avast! Antivirus, aktuelle Free-Version

Meldung über Trojanisches Pferd auf

schoener-fernsehen.com
http://schoener-fernsehen.com/js/jquery.min.js|{gzip}
JS:ScriptXE-inf [Trj]

und

schädliche Seite oder Datei blockiert von

pogklai.tk

Die schädliche Seite ist weiterhin aufrufbar, um 10:21 ebenfalls von avast gemeldet:

Infektions-Details:
URL: http://schoener-fernsehen.com/js/jquery....
Prozess: C:Program Files (x86)Mozilla Firefoxf...
Infektion: JS:ScriptXE-inf [Trj]

Gruß
bicitour

Ich habe vorhin die reine URL schoener-fernsehen.com aufgerufen. Emsisoft Antimalware meldet dort nichts. Möglich, wenn man direkt den Link auf eine infizierte Datei aufruft. Von daher sollte der Link hier besser auch schleunigst entfernt werden, bzw. die User besser mal diesen Link nicht anklicken.

File Info

Report date: 2012-07-03 14:49:49 (GMT 1)
File name: index
File size: 8552 bytes
MD5 Hash: 88052db875eb1ac425cb4a14fdfa90b5
SHA1 Hash: dd3994fff4ca4e658cba00d520630a3a26a21e9e
Detection rate: 0 on 14 (0%)
Status: CLEAN

Detections

Asquared -
Avast -
AVG -
Avira -
BitDefender -
ClamAV -
Comodo -
DrWeb -
Fprot -
IkarusT3 -
Panda -
STOPZilla -
TrendMicro -
VBA32 -

Scan report generated by
NoVirusThanks.org (http://novirusthanks.org)*confused* - false/postive?

MfG
MCMUPPET

Hallo!

Ich werde, wenn ich onlinetvrecorder.com aufrufe nach ca. 15 Sekunden automatisch an folgende Seite weitergeleitet: http://searchmagnified.com/?dn=pogklai.tk&fp=a3iARp855Y7Z9o2TY1aPpn533oCo1gR5%2BAwON%2BeWYQY Bf9YS%2FqqIoscyek0nmmvQUpWeXgJYmB654sKUbRKd3w%3D%3 D&prvtof=DjfA%2FveZUFWeCOD1uB8eGx9WCSh72EDuDzoQ34OPc mzAUdc5p%2BRGeEFbzski2mMWEHCIqp8L8MM7zdDkoOD4ww%3D %3D&poru=cdxKSFpOFgHCg0EAYr2gDocTa7xP7dp%2B7nm0OoHOCGH nxUGg6g2wiTgq%2BEbsF%2FjKzZcRL%2FgUVF0E9%2BABUA2yE aMscnrGYAH1Zc048aZB9a11DBv8UUYmNp4em6U6qqHj&cifr=1&_=1341328116

Der Titel der Seite lautet pogklai.tk. Das kann ja irgendwie nicht sein, dass man so keinen Zugriff mehr auf OTR hat, wenn man nicht schnell genug auf einen anderen Link auf der Seite klickt.

Gruß,

Finnin

Bei wem das auftritt, bitte mal melden aus welchem Land ihr euch einloggt.

Deutschland

DeutschlandDito :).

MfG
MCMUPPET

Hallo!

Ich bin nicht betroffen vom DnsChanger. Interessanterweise passiert die Weiterleitung jetzt nicht mehr. Vielleicht sind einfach andere Banner aktiv als vorher...

Gruß,

Finnin

Solche Sachen können auch am Virenscanner liegen. Die Datenbank von Malwarebytes scheint z. T. von RIAA und MPAA beeinflußt zu sein; wenn man da mit Webseitenblockierung surft, bekommt man ziemlich oft 'nen 404 plus Popup, man werde gerade vor einer potentiell schädlichen Seite geschützt, und zwar besonders bei Seiten, die bei einigen Mitarbeitern der Contentindustrie offenbar unter dem Verdacht der Urheberrechtsverletzung stehen, z. B. einige One-Click-Filehoster, bestimmten Foren, etc. Schaltet man den Webseitenschutz dann aus, sind die Seiten plötzlich alle wieder da.

Schaltet man den Webseitenschutz dann aus, sind die Seiten plötzlich alle wieder da.
Bitte nicht bilnd ausprobieren. Nur fuer Leute, die genau wissen, was sie da tun.

---
Ansonsten hoert sich das nach einem klassischen Befall des benutzten Rechners, bzw. manipulation des DNS an.

Bei wem das auftritt, bitte mal melden aus welchem Land ihr euch einloggt.

Österreich

Der Virenscanner blockiert pogklai.tk aber. So kann die Weiterleitung nicht greifen.

verteilen die jetzt eigentlich immer noch malware?

edit: stimmt, hätte ich auch gleich hier reinballern können. danke fürs verschieben! :]

edit2: huch, gerade drüber gestolpert: http://www.spiegel.de/netzwelt/web/schad-software-dns-changer-blockiert-das-internet-a-842960.html

moinsen,

hatte ich meine frage zu kompliziert formuliert, hab ich was verpasst oder weiß tatsächlich niemand was aktuelles zu dem thema?

Und hier ist er: http://www.dasinternetabschalten.de/
hmm... soll ich? soll ich nicht?
werd das morgen auf arbeit testen, dann hab ich vielleicht mal eher feierabend. x]

Hab auch die Meldung, deutschland...

Was ist denn da nun Sache??? Ist die Website sauber oder was????

da man sich von offizieller seite nach wie vor ausschweigt, gebe ich mit größtem vergnügen einen link zur selbsthilfe zum besten:

http://support.google.com/webmasters/bin/answer.py?hl=de&answer=93713 (stichwort malware, 2. punkt von unten).

werd das morgen auf arbeit testen, dann hab ich vielleicht mal eher feierabend. x]

Oder Du brauchst garnicht mehr zu kommen...;)

Jetzt habt ihr mich verunsichert - was hat denn der DNS-Changer (von dem mein System nicht betroffen ist) mit dieser Fehlermeldung durch Avast zu tun?

Bei mir ebenfalls:


Infektions-Details:

URL: http://schoener-fernsehen.com/js/jquery....
Prozess: C:Program Files (x86)Mozilla Firefoxf...
Infektion: JS:ScriptXE-inf [Trj]

Trat bei mir vorhin zweimal auf, war aber offenbar in einem Popup, kein Umleitungsversuch
der OTR-Seite selbst.

LG,

Monika

kann nur spekulieren: evtl. macht sich ein dnschanger auf dem schoener-fernsehen-server breit und wartet nur auf die passenden besucher ohne firewall/antivirusprogramm, um dort bösen code zu platzieren.

das ist aber keine fundierte aussage meinerseits! vielleicht ist es tatsächlich nur ein false-positive. darum sollte hier imo endlich mal jemand die sachlage hinter den kulissen schildern.

Es klang vorhin für mich so, als würden nur die Rechner umgeleitet werden, bei denen der DNS-Changer drauf ist, was bei mir aber nicht der Fall ist. Deshalb meine Verunsicherung.

Geschildert haben es jetzt aber doch einige - geklärt müsste es werden. :)

darum sollte hier imo endlich mal jemand die sachlage hinter den kulissen schildern.

Ich bin ja nun oft auf OTR unterwegs, mit unterschiedlichen Browsern, aber ich hab diese Meldung noch nie und nirgends gesehen. Auch auf anderen PCs nicht.

Ich kann dir da jetzt auch nichts genaueres sagen, wenn die Meldung bei mir/uns einfach nicht kommen will.

danke für die rückmeldung, otr.dg!

lese ich daraus richtig heraus, dass otr nicht mit schoener-fernsehen an der klärung des phänomens zusammenarbeitet und daran auch nicht interessiert ist?

Auch GData schlaegt mit der Trojaner Warnung (JS:ScriptXE-inf [Trj] (Engine B)) an und blockt die Seite. Sowohl bei der JS Datei, wie auch bei der URI 'schoener-fernsehen.com'.
Das Problem bei einem etwaigen false positiv ist die Unsicherheit. Es koennen auch versehentlch unsaubere und schaedliche code Schnipsel verwendet worden sein, die es auch bei den Trojanern gibt. Die scanner unterscheiden da nicht und blocken richtigerweise; zumindestens einige.
So oder so, schoener-fernsehen muss den code untersuchen und mit dem Trojaner vergleichen. Oder gibt die Aufgabe an eines der Labore, wo die meisten scanner Hersteller zusammenarbeiten, ab.

---
DNS changer unwahrscheinlich. Wer es dennoch pruefen will, aktuelle IP: 87.236.198.17

Nicht durch popup. Der Schadcode ist direkt in der JS Datei. Deshalb auch die Vermutung, dass es schlampiger Code ist. 'Ne Anneliese anschubsen macht aus user Sicht keinen Sinn.

Hmm, von Dritten ist immer ein Problem. Wenn man sowas unkontrolliert zulaesst, ist man _auch_ dafuer verantwortlich. Gutes Beispiel ist da die Datensammelei (*) von OTR fuer Facebook, Google und Co.

(*) ja, dies zaehlt auch zu Schadcode ^^

So, Problem ist nach meiner Kenntnis gelöst. Gegenteiliges bitte hier posten oder mir senden, Danke! Gruß Werner

Ganz radikal: 404 Page Not Found :)

So, Problem ist nach meiner Kenntnis gelöst. [...]
die nummer lag mir echt sauer im magen. vielen dank, werner und team!