Malwarebytes und elektronik-labor.de/b-kainka.de

[DocEmmettBrown]

Das bekannte Malwarebytes Antimalware meldet mir seit einigen Tagen reproduzierbar einen Trojaner ohne nähere Bezeichnung auf den beiden o.g. URLs, die beide Burkhard Kainka gehören und sich vermutlich irgendeine Komponente teilen. Habe im Web schon danach gesucht, aber keinen Hinweis von anderen Nutzern gefunden.

Frage an andere Malwarebytes-Benutzer: Ist das nur ein Fehlalarm oder ist da was dran?

73 de Daniel

[DF5WW]

Gehen bei mir ohne Warnmeldung auf. Ich nutze schon seit Jahren nur die originalen Geschichten von
Microsoft wie seinerzeit die Security Essentials für W7 und jetzt den Defender für W10 und ich hatte
noch nie einen infizierten PC.

Viele AV Softwares sind bekannt dafür wegen jedem Mist Fehlalarme auszulösen. Das passiert zwar auch
bei MS aber hält sich arg in Grenzen. Das letzte mal war es ein Update von JTalert wo mir der Defender
jedesmal Dateien gelöscht hatte, war aber schnell in den Griff zu bekommen.

[Newcomer]

Hallo,

Bei mir macht er die Seite nicht auf und schreibt mir in der Kopfzeile

"Nicht sicher!"

Avira Abo.....Lizenz.

Grüsse Newcomer / Norbert

[michael07]

Hallo Daniel,

Ich benutze auch "Malwarebytes-Premium".

Die von dir angegebenen Seiten werden als "Trojaner" eingestuft und geblockt.

Eventuell sollte der Webmaster dieser Seiten, seinen Virenscanner aktualisieren.

Besten Gruss
Michael

[michael07]

Hallo Peter,

Wenn der Virenscanner von "Malwarebytes" diese Seite/Homepage als Trojaner erkennt und blockt/als unsicher einstuft, dann kann man davon ausgehen, das sich dort Schadsoftware tummelt.

Malwarebytes ist keine "Freeware", sondern kostet einen Jahresbeitrag.
Diese Software wird auch immer auf dem aktuellen Stand gehalten, was das Erkennen von Viren, Trojanern, und Phishing betrifft.

Gruss
Michael

[roland668]

Mahlzeit...

...kommt die Warnung auch, wenn ein Adblocker aktiv ist?

[Hopi]

Die ganze "Antiviren"-Software ist Müll. Wirksamer sind wahlweise Schlangenöl, Weihwasser, oder gesegnete Kerzen. Man handelt sich so nur Probleme ein, die man vorher nicht hatte. Unter Windows (spätestens ab 10) reichen die Bordmittel und regelmäßige Updates komplett aus. Unter Linux kann man ganz darauf verzichten.

-> Antiviren funktionieren nicht
-> Antiviren schaffen zusätzliche Angriffsoberfläche

73 Chris

[ax73]

Hier ist der nähere Zusammenhang:

Ähnliches wird Malwarebytes auch in seiner weiteren Analyse berichten.
Wenn sie denn aufgerufen wird.

[Iridium]

Die ganze "Antiviren"-Software ist Müll. Wirksamer sind wahlweise Schlangenöl, Weihwasser, oder gesegnete Kerzen. Man handelt sich so nur Probleme ein, die man vorher nicht hatte. Unter Windows (spätestens ab 10) reichen die Bordmittel und regelmäßige Updates komplett aus. Unter Linux kann man ganz darauf verzichten.

-> Antiviren funktionieren nicht
-> Antiviren schaffen zusätzliche Angriffsoberfläche

73 Chris

Ja, so sehe ich das auch...

Wetten, der stört sich am jQuery v1.8.2, wenn ich mir den Screenshot von ax73 anschaue...

73, Michi

[DocEmmettBrown]

Also eigentlich hatte ich in der Bilder-Google nur einen Schaltplan auf elektronik-labor.de herausgesucht und mit der rechten Maustaste "Grafik anzeigen" vergrößern wollen.
Dabei bin ich dann zuerst auf die Alarmmeldung von Malwarebytes gestoßen. Da ich auch Kainkas andere Seite kenne, hatte ich diese dann einfach aus Neugier aufgerufen mit gleichem Ergebnis. Ich denke mal, in einem JPG-Bild sollte noch nicht allzuviel XSS-Code enthalten sein, daher frage ich mich, ob in den JPG-Bildern selbst Schadcode enthalten sein könnte.

73 de Daniel

[Hopi]

Die ganze "Antiviren"-Software ist Müll. Wirksamer sind wahlweise Schlangenöl, Weihwasser, oder gesegnete Kerzen. Man handelt sich so nur Probleme ein, die man vorher nicht hatte. Unter Windows (spätestens ab 10) reichen die Bordmittel und regelmäßige Updates komplett aus. Unter Linux kann man ganz darauf verzichten.

-> Antiviren funktionieren nicht
-> Antiviren schaffen zusätzliche Angriffsoberfläche

73 Chris

Ja, so sehe ich das auch...

Wetten, der stört sich am jQuery v1.8.2, wenn ich mir den Screenshot von ax73 anschaue...

73, Michi

Jupp

73 Chris

[DocEmmettBrown]

Ich bin absolut sicher, daß Burkhard Kainka unschuldig ist. Ich vermute, daß sein(e) HTTPD(s) gehackt wurde(n) und jemand etwas da hinterlassen hat ODER es ist ein Fehlalarm von Malwarebytes. Ich hatte auch schon mal bei selbstgeschriebenen Code Fehlalarme von MSSE, also Fehlalarme kann man leider nicht ausschließen.

73 de Daniel

[DocEmmettBrown]

Also ich habe jetzt mal über *IX http://www.b-kainka.de/bast583.jpg gesaugt, dann auf Win kopiert und dort mit Malwarebytes gescannt: Die JPG-Datei ist sauber!
Saugt man die Datei aber direkt über Windows (ohne über Los zu gehen und ohne 4000 € zu kassieren), dann meckert Malwarebytes.
An der Datei selbst kann es also nicht liegen. Vielleicht isses das Favicon oder was weiß der Kuckuck. Keine Ahnung!

73 de Daniel

[DocEmmettBrown]

Vielleicht isses das Favicon

Auf den eigenen Webserver zugegriffen, eine Bilddatei gesaugt, in die Logs geschaut und folgende Erkenntnis gewonnen: Es wird nur die Bilddatei gesaugt und das Favicon.ico, sonst nichts. Danach Favicon.ico von Kainkas Seite gesaugt (unter *IX natürlich), Dateierweiterung geändert, auf den Win-Rechner kopiert, Malwarebytes drüberlaufen lassen: Kein Fund!

Aber es kommt noch besser: Ich weiß ja nicht, was Malwarebytes da konkret beanstandet. Das Ding meldet ja auf Kainkas Rechner nur eine "Kategorie: Trojaner", sagt aber nicht, welcher das ist und auch nicht, welche Datei da angeblich befallen sein soll. Natürlich wäre es rein theoretisch möglich, daß Kainkas Rechner kompromittiert ist und je nach Betriebssystem des aufrufenden Browsers die Daten verändert und ausliefert. Um das zu testen, habe ich Malwarebytes vorübergehend abgeschaltet, mir die index.htm von Kainkas Rechner mit wget gesaugt und im DOS-Fenster erst mal die Dateierweiterung umbenannt. Dann mit dem Editor reingesehen: Kein Befund, stinknormale HTML-Datei. Mich dünkt, Malwarebytes ist der Übeltäter!

73 de Daniel

[Orion252]

Hallo Daniel,

ich kann mir deine Spekulationen eigentlich nur so erklären, daß du den Beitrag von ax73 übersehen hast.

73, Manfred