WinFuture-Forum.de: @mods / Admins.. Irgendeine Werbung Schleust Euch Schadcode Ein - WinFuture-Forum.de

Zum Inhalt wechseln

Informationen

Zuständiger Moderator: mesios

Hinweis: Alle neuen Themen in diesem Unterforum werden vor der Veröffentlichung durch mesios (Sebastian Kuhbach) geprüft und sind deshalb nicht sofort sichtbar. Bei Fragen rund um dieses Unterforum, wende dich bitte direkt an ihn.

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

@mods / Admins.. Irgendeine Werbung Schleust Euch Schadcode Ein


#1 Mitglied ist offline   martin_mt 

  • Gruppe: aktive Mitglieder
  • Beiträge: 515
  • Beigetreten: 19. August 02
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 23. Januar 2009 - 09:58

bitte checkt dringend alle Werbungen auf eurer Seite durch..

The JS/MS06-014!exploit was detected in C:\DOCUMENTS AND SETTINGS\******\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\SKXZTTQZ\WIDGET_7AA01BAE7294D334D678ED011266A3F9[1].JS
.
Machine: **************, User: *****\****.
File Status: File is cured and the machine needs to reboot to complete cure.
0

Anzeige



#2 Mitglied ist offline   mesios 

  • Gruppe: Administration
  • Beiträge: 3.396
  • Beigetreten: 06. Januar 02
  • Reputation: 102
  • Geschlecht:Männlich
  • Wohnort:Berlin

geschrieben 23. Januar 2009 - 10:07

Hm, leider hilft uns das gar nicht weiter ;) Auf welche Seite kam das? Welche Werbung hast du zu diesem Zeitpunkt gesehen? Stammt das auch ganz sicher von unseren Seiten - denn das kann ich mir ehrlichgesagt kaum vorstellen... Vielen Dank für die weiteren Informationen!
0

#3 Mitglied ist offline   martin_mt 

  • Gruppe: aktive Mitglieder
  • Beiträge: 515
  • Beigetreten: 19. August 02
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 23. Januar 2009 - 10:39

vielleicht hilft euch DAS weiter...
habs jetzt direkt aus dem soucecode genommen, wo er das js file aufruft.


<td align="left" style="padding-right:2px;"><script type="text/javascript">var szu=encodeURIComponent(location.href); var szt=encodeURIComponent(document.title).replace(/\'/g,'`'); var szjsh=(window.location.protocol == 'https:'?'https://ssl.seitzeichen.de/':'http://w3.seitzeichen.de/'); document.write(unescape("%3Cscript src='" + szjsh + "w/7a/a0/widget_7aa01bae7294d334d678ed011266a3f9.js' type='text/javascript'%3E%3C/script%3E"));</script></td>

fakt is, seit heute scheint das js dauerdn auf, bisher war das nie
0

#4 Mitglied ist offline   kasbah 

  • Gruppe: Administration
  • Beiträge: 646
  • Beigetreten: 09. April 06
  • Reputation: 22
  • Geschlecht:Männlich
  • Wohnort:Berlin

geschrieben 23. Januar 2009 - 11:21

Hallo martin_mt,

der von dir gezeigte Code gehoert zu keiner Werbung, sondern zu der kleinen grauen Artikel bookmarken Box. Diese ist aber schon laenger eingebunden, und wir hatten bisher noch keine Probleme damit.

Trotzdem ist eine Infektion mit einem Virus auf einem unserer oder einem fremden Server immer Moeglich und daher habe ich alle dazugehoerigen Dateien gruendlich untersuchen lassen:

html code
nachladender javascript code
ausfuehrender javascript code

Es kann jedoch von den dort 39 verwendeten Virenscannern kein Virus in keinem der zugehoerigen Teile gefunden werden.

Da der von dir verwendete Scanner (welcher ist das denn?) den Javascript Code bemaengelt, der den eigentlichen Code nachlaed, gehe ich von einem falschen Alarm aus.
0

#5 Mitglied ist offline   martin_mt 

  • Gruppe: aktive Mitglieder
  • Beiträge: 515
  • Beigetreten: 19. August 02
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 23. Januar 2009 - 11:51

erkannt wird das ganze von eTrust Antivirus (7.1)

ich werd mir das ganze daheim ansehen, am home rechner..

das interessante daran ist, dass es oft, aber nicht bei jedem aufruf der seite kommt..
und dass er es dezitiert als JS/MS06-014!exploit klassifiziert..

danke auf jeden fall fürs nachschauen..
ich werd mich daheim dann mal etwas schlau machen, was da wirklich abgeht ....
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0