JS/FakeAlert.ZA

Hallo liebe Experten,

grade hat mein Avira bei der vollständigen Systemprüfung obiges Ding wohl gefunden und eigenmächtig in die Quarantäne geschubst *grusel*.

Die Meldung sagt: Enthält Erkennungsmuster des Java-Scriptvirus’

Avira selbst findet keine Beschreibung zu diesem Suchkriterium, heißt es (?)

Allerdings erlaubt es mir auch nicht, das Ding einzusenden. Der dazu vorgesehene Button ist grau unterlegt.

Im I-Net finde ich nichts.

Mein secunia hat mir vor einer Stunde aufgetragen, unter anderem den Adobe Shockwave und den oder die JRE (also Java script itself glaubich) zu aktualisieren.

Dies tat ich und danach der Virenscan.

Ich bin ein ziemlicher Löffel. Heißt dieser FakeAlert nur so oder ist das tatsächlich nur ein Fehlalarm *hoff*.

Und warum ist der Einsendebutton der Quarantäne inaktiv?

Kann ich das Ding einfach löschen anstelle?

Bin ratlos.

Mit einem herzlichen Dank im voraus grüßt artig

Awful Annie

Ich bin ein ziemlicher Löffel. Heißt dieser FakeAlert nur so
oder ist das tatsächlich nur ein Fehlalarm *hoff*.

Das wäre dann ein „False Alert“. Nein, der Trojaner (Scareware) heisst so, weil er gefälschte (falsche) Alarme meldet. Ob es sich in deinem Fall um einen Fehlalarm handelt, läßt sich mit den gegebenen Informationen nicht beantworten. Name und urspr. Pfad des Objektes wären die Minimalangaben, besser -wie immer - die wortwörtliche Wiedergabe sämtlicher Informationen, die Avira zu diesem Objekt ausspuckt bzw. ausgespuckt hat. Bestimmte Aspekte deines Berichts lassen die Annahme einer recht hohen Wahrscheinlichkeit für einen Fehlalarm aber durchaus zu.

Gruß

Hallo,

ich stimme Hermann zu. du kannst aber immer noch die Datei aus der Quarantäne an eine Seite wie

http://www.virustotal.com/de/

Dann hast Du Gewißheit ()naja).

mfg, tf

Hallo herrmann,

der Dateiname ist link13(1).htm. Wobei das eigentlich eckige Klammern sind, die krieg ich Löffel auf der Tastatur nicht hin.

Quarantäne-Objekt 4b13dec4.qua

Quelle ist C:/Benutzername/AppData/L…link13(1).htm

Mehr steht da nicht und ich kriegs nicht gebacken, das vollständig ohne die Pünktchen angezeigt zu kriegen.

Der Benutzername ist mein Männe. Betriebssystem Vista Home Premium. Eigenes Konto, an dass ich nicht drankann, da er momentan auswärts weilt, was die Sache nicht leichter macht.

Bin aber Admin. Habe ein normales Surfkonto und noch ein Adminkonto extra.

So. Weiter im Text.

Virendefinitionsdatei 7.01.06.203

Suchengine 8.02.01.61

Mehr Infos bekomme ich da nicht hin, egal, was ich anstelle.

Kannst du damit was anfangen *zweifel*?

Aber ganz herzlichen Dank erstmal.

Lieben Gruß

Annie

Hallo Thomas,

auch dir ganz herzlichen Dank. Aber die Datei mit dem Virus krige ich auch bei virustotal nicht hochgeladen zum Verschicken. Ich habe alles durchsucht und ein link13(1).htm taucht da nicht auf, nur ungefähr eine Million böhmische Dörfer mit komischen Buchstaben, hauptsächlich dll am Ende und so.

Und die Datei als Anhang senden bin ich auch zu doof scheints, da sie nirgends auftaucht außer in der Quarantäneanzeige. Wenn man Anhänge verschickt, durchsucht oder browst man ja durch sein System, bis man die gefunden hat, leider kann ich weder die Quarantäneanzeige noch die Datei unter diesem Namen dingfest machen und irgendwohin schicken.

Wie gesagt, warum auch immer, aber ich habe die Möglichkeit nicht, die Datei zwecks Überprüfung zu Avira zu schicken, Button geht nicht anzuklicken.

Trotzdem sei dir gedankt.

Lieben Gruß

Annie

Hallo,

jein.

Geh doch mal auf die Seite

http://www.virustotal.com/de/

Dort gibt es ein Feld: Datei hochladen. Lade die von Dir genannte Datei hoch. Kannst du ja übers blättern machen.

Danst wird dort die Datei untersucht und durch 41 - glaube ich - Viren"maschinen" getestet.

Stellt nur eine oder keine der Antivirenprogramme an, handelt es sich aller Wahrscheinlichkeit um einen Fehlalarm, quaken mehere rum, sieht es schon anders aus ist eben awful.

Du kannst mir die Datei auch mailen. Wenn du dies möchtest, kurze Mail und ich sende dir eine andere Mail-Adresse.

mfg, tf

Hallo,

wie auch immer. Ich an Deiner Stelle würde das System noch einmal durforsten.

einmal mit Clamwin. Ist ein On-Demand Virenscanner, d.h. er scannt nur auf anfrage und beißt sich somit nicht mit dem Avira-Echtzeitscanner.

Findest Du hier:

http://www.heise.de/software/download/clamwin_antivi…

So etwas ist eh’ ganz sinnvoll, daß es kein antivirusprogramm gibt, daß eine 100%-tige Erkennungsrate hat.

mfg und schöne Nacht, thomas

Morgen Thomas,

ich hab mir jetzt den Clamwin geholt und der findet nichts. Spybot übrigens auch nicht.

Avira noch mal durch. Kein Fund. Rootkitssuche negativ. Hoch eingestellt, Rekursionstiefe bis ultimo hoch, nix. Die Reportdateien der letzten 30 Tage durch. In keiner einzigen steht was von einem in die Quarantäne verschobenen Objekt.

Avira selbst kennt dieses Ding nicht. Es hat lediglich Erkennungsmerkmale eines Java Script-Virus’ halt.

Und ich fand heraus, dass JS/FakeAlert (allerdings ohne ZA) zuweilen tatsächlich die Leute dazu bringen will, ein gefaktes Antivir Popup anzuklicken, was dazu führt, das zig Fenster sich öffnen und ebenfalls vermeintlich wie wild drauflosscannen.

Scareware, wie herrmann ganz richtig vermutete. Aber warum sitzt die jetzt in Quarantäne und Avira hat mir nichts erzählt?

Noch eine Merkwürdigkeit: Die angezeigte Uhrzeit. Gut 20h, nachdem ich hier um Hilfe geschrien hatte. Ich hab das zweite Gesicht, hey, ich kann hellsehen.

Gruß

Annie

Hallo Thomas,

blättern bringt wenig, das Ding findet sich nicht an dabei. Und den Dateipfad kann ich nicht abrufen, ich kann die Anzeige in der Quarantäne zwar markieren, aber nicht den Pfad anzeigen lassen, rechts Mausklick bringt leider gar nichts.

Und wiederherzustellen trau ich mich nicht.

Lieben Gruß

Annie

Hallo,

na, das hört sich ja dann nach einem entspannten Sonntag an.

Es ist immer solche Sache mit „erkannten“ Java-Script"-Schädlingen. Wenn die heuristische Erkennung eingeschaltet ist, neigt AV natürlich auch zu Fehlalarmen.

Bei Avira kannst Du einstellen, ob die Maßnahmen interaktiv durchgeführt werden sollen, oder ob das Programm stillschweigend den Feind meuchelt.

Wie Du es schon richtig gemacht hast, laß Clamwin zusätzlich regelmäßig einen Vollscan machen. Das dies kein Echtzeitscanner ist, kommen sich die beiden nicht in Gehege. Dazu Spybot, Firefox (aktuelle Version!) mit Noscript und gesundem Menschenverstand ist schon eine gute Grundlage für eine entspannte Internet-Nutzung.

Und das mit Uhrzeit: Mein Welpe weiß auch nie, wie spät es ist und wollte deshalb schon heute morgen um 6 Uhr Raben jagen.

Schönes Rest-Wochenende! tf

Hallo,

Wobei das eigentlich eckige
Klammern sind, die krieg ich Löffel auf der Tastatur nicht
hin.

AltGr + 8 bzw. AltGr + 9.

Gruß
Der Franke

der Dateiname ist link13(1).htm. Wobei das eigentlich eckige
Klammern sind, die krieg ich Löffel auf der Tastatur nicht
hin.

Ich erspare mir ausnahmsweise mal die Begründung und erkläre die Meldung für einen Fehlalarm.

In den Wissenschaftsbrettern heisst es immer, dass nicht der begründen muss, der eine abstruse These verneint, sondern der, der sie aufstellt. Demnach ist hier - rein wissenschaftlich betrachtet - Avira in der Pflicht.

Und kommt der nicht nach.

Gruß

Hallo herrmann,

seh ich normalerweise durchaus ähnlich. Aber mein erster Virus *hui*. Da ist man im ersten Moment ein bißchen durchn Wind halt.

Danke dir.

Lieben Gruß

Annie

Hallo Franke,

mann ey. AltGr. Was bin ich denn für ein Tropf bloß. Hättich auch selber drauf kommen können.

Ganz herzlichen Dank fürs von-der-Leitung-kicken.

Lieben Gruß

Annie