Archiv verlassen und diese Seite im Standarddesign anzeigen : Virenscanner blockieren JS-Datei
meotuium
02.04.2018, 21:30
Hey Leute,
seit einigen Tagen habe ich das Problem, dass folgende Javascript Datei von mehreren Virenscannern (getestet mit Kaspersky und TrendMicro) geblockt wird. Dadurch funktioniert u.a. Click'n'Load nicht mehr. Kann das jemand bestätigen?
https://filecrypt.cc/js/container.js?17
Natürlich kann man einfach eine Ausnahme hinzufügen, aber ich fürchte, dass viele User das nicht machen, sondern lieber das nächste Angebot nehmen. Wurde in den letzten Tagen irgendwas verändert? Angeblich wird die Datei als Trojan.JS.Agent.ebo erkannt.
GipsyDanger
03.04.2018, 06:22
Hallo,
an dem file wurde seit Wochen nichts verändert, kannst du nochmals prüfen? ich habe das file umgebaut.
Das lustige ist das Kaspersky selber sagte die Datei ist safe...
https://virusdesk.kaspersky.com/
The link https://filecrypt.cc/js/container.js?17 is safe.
Problem besteht halt weiterhin,
das einzige was sich geändert hat ist der "Objektname".
https://filecrypt.cc/js/container.js?9823982
https://filecrypt.cc/js/container.js?18
https://filecrypt.cc/js/container.js?17
imgur Bild von Kaspersky (https://imgur.com/a/VHCv4)
Was sich mir halt auch nicht erschließt, was dort ein JS zu suchen hat ^^
Der Workaround ist mir bekannt, nur nervt das schon (Rechtsklick auf den Filecrypt Link, kopieren & dann in den JD einfügen)
Problem besteht halt weiterhin,
das einzige was sich geändert hat ist der "Objektname".
Der Objektname war schon immer unterschiedlich.
GipsyDanger
03.04.2018, 11:34
Hallo,
nein auch der Inhalt hat sich verändert, allgemein sind ?ZAHL parameter lediglich cache-breaker.
Das alte File ist hier: https://filecrypt.cc/js/container-bu.js
Das neue File ist hier: https://filecrypt.cc/js/container.js
da ich nicht weiß, wieso das File fälschlicherweise als schädlich erkannt wird, kann ich da auch nichts weiter machen. Theoretisch könnte ich das File noch durch einen Obfuscator werfen, aber dann denken die ja erst recht da läuft was böses.
Hilft nur auf Kaspersky hoffen, das diese False Detection behoben wird.
Scheint aber nur ein Problem von Kaspersky zu sein denn Eset sagt nichts.
meotuium
03.04.2018, 20:02
Hallo,
nein auch der Inhalt hat sich verändert, allgemein sind ?ZAHL parameter lediglich cache-breaker.
Das alte File ist hier: https://filecrypt.cc/js/container-bu.js
Das neue File ist hier: https://filecrypt.cc/js/container.js
da ich nicht weiß, wieso das File fälschlicherweise als schädlich erkannt wird, kann ich da auch nichts weiter machen. Theoretisch könnte ich das File noch durch einen Obfuscator werfen, aber dann denken die ja erst recht da läuft was böses.
Hilft nur auf Kaspersky hoffen, das diese False Detection behoben wird.
Nein, bei mir werden beide Dateien blockiert.
Benutze KIS btw.
Ich habe es hin bekommen bei mir läuft es wieder. Man muss bei Kaspersky unter Einstellung auf Web-Anti-Virus gehen und dann unten auf Erweiterte Einstellung.Hier auf Vertrauensenwürdige Webadressen anpassen und dort die https://filecrypt.cc hinzufügen.Und es rennt wieder alles.
So funzt jetzt wieder;)
Nein, bei mir werden beide Dateien blockiert.
Benutze KIS btw.
Bei mir das gleiche
- - - - - - - - - - Beitrag nachträglich erweitert - - - - - - - - - -
So funzt jetzt wieder;)
Super Idee die Seite die geblockt wird, weil sie womöglich Schädlich ist in Ausnahmen einfügen,
Guter Plan werde ich mir merken, sy rly ? :emoji58:
95% aller KAS nutzen werden diesen workaround halt nicht machen und somit diesen Dienst nicht nutzen.
Wenn es von Seiten filecrypt nicht gelöst werden "kann" dann liegt es wohl an Kaspersky
GipsyDanger
04.04.2018, 06:56
Nun, schaut euch doch die beiden JS files an, ich habe alles was auch nur annähernd crypted ist entfernt. Dennoch wird die Datei gesperrt, ein kleinen workaround haben wir bereits eingebaut das normale Links funktionieren...
Leider ist es keine Option alle JS Funktionen direkt in die Seite einzubauen, sonst wird ggf. die gesamte domain gesperrt.
Leider ist der Support bei false-positives absolut unterirdisch... den file-name ändern können wir aufgrund von Adblock aufgezwungenen Schranken auch nicht, wobei es fraglich ist ob es an einem Namen liegen kann...
Habe KIS.
Auf meinem Virtuellen PC habe ich zum testen mal die trial KIS installiert...
Vor dem Antiviren-Update konnte ich ohne weiteres die links von filecrypt in den JDownloader einfügen... (Kaspersky hat ohne zu murren alles durchgelassen...)
NACH dem Update auf die neuesten Viren-Datenbanken erkennt KIS bei jedem Versuch auf den Seiten von Filecrypt einen "Trojan.JS.Agent.ebo"
Google liefert wohl Ergebnisse von Trojan.JS.Agent.XY aber ohne "ebo".
Nun habe ich bei KIS den "Web-Antivirus" deaktiviert... Die Links von Filecrypt gehen wieder, KIS meldet aber dass er Malware die ja nun auf dem PC ist, gelöscht hat.
GipsyDanger
04.04.2018, 07:45
https://www.virustotal.com/de/url/70a2b9d41b3cef535b0f61634849dc582431d8512c07c9f80a 3ec8c44565c57b/analysis/1522824224/
wie gesagt, keine Ahnung warum KIS denkt aggro sein zu müssen, da selbst der Online-Scan sagt, alles easy.
https://sitecheck.sucuri.net/
Irgendein Filecrypt mirror...
GipsyDanger
04.04.2018, 08:55
Das ist lediglich ein Analytics Script, ebenfalls eine false detection.
JuliusCaesar
04.04.2018, 22:29
hey,
ich habe das gleiche Problem. Nutze auch KIS (2018).
Seit gestern kann ich eure Seite nicht mehr verwenden. Vorher hat alles mit KIS wunderbar geklappt. Habt ihr vielleicht 3. Anbieter Software im Einsatz?
Falls ja, könntet ihr diese mal komplett rauswerfen?
Das alte File ist hier: https://filecrypt.cc/js/container-bu.js
Das neue File ist hier: https://filecrypt.cc/js/container.js
diese beiden Dateien werden bei mir ebenfalls geblockt :(
GipsyDanger
05.04.2018, 06:13
Hallo,
wir verwenden lediglich folgende Datei https://filecrypt.cc/js/container.js und diese enthält für die Containerseite wichtige Funktionen.
Wenn man sich die Datei ansieht, wird man direkt erkennen, das dort nichts schädliches passieren kann, wir haben versucht das ganze an Kaspersky zu melden, jedoch ohne erfolg.
Die Grundfunktion "Links öffnen" habe ich bereits direkt in die Seite eingelagert, mehr kann ich in dem falle leider nicht machen, bin aber gerne für qualifizierte Vorschläge offen.
Das Ganze wird nur noch vom Google Report getoppt :emoji36:
https://www.szenebox.org/images/_imported/2018/04/11.jpg
https://www.szenebox.org/images/_imported/2018/04/12.jpg
- - - - - - - - - - Beitrag nachträglich erweitert - - - - - - - - - -
Wir können zwar nicht sagen, warum wir sperren. Aber wir sind Google wir sperren erstmal!
GipsyDanger
06.04.2018, 07:46
ACHTUNG, der POST könnte geringfügig Ironie beinhalten...
So,
ich habe den "TROJANER" gefunden, ich halte mich mal an die Technischen Fakten,
ich vermute kasperspy meine Lieblings Firma (Bewerbung wurde schon versendet, offensichtlich Arbeiten da nur die Besten der Besten...) Arbeiten zumindest beim Thema safe-browsing mit meinem neuen Kumpel G(wir sperren alles was uns nicht passt ohne Grund)oogle Inc (ehemals google Inc) zusammen, offensichtlich wird dort auch sehr sorgfältig gearbeitet "kennt man ja...".
also ACHTUNG LESEN AUF EIGENE GEFAHR, hier ist der pöse Trojaner:
var openLink = function(link_id, t, h) {
if (typeof(h) == undefined || !h) {
window.open(_DOMAIN.replace('https:', 'http:') + 'Link/' + link_id + '.html');
} else {
top.location.href = _DOMAIN.replace('https:', 'http:') + 'Link/' + link_id + '.html';
}
if (!t.hasClassName('singlebutton') && (typeof(h) == undefined || !h)) {
if (t.hasClassName('stream'))
t.addClassName('streamed').removeClassName('stream ');
else
t.addClassName('downloaded').removeClassName('down load');
}
};
Augen waschen, sofort!
jeder wird offensichtlich sofort das mega gefahren potential erkennen, btw es reichte aus die funktion geringfügig zu verändern und schon war sie nichtmehr gefährlich.
https://www.szenebox.org/images/_imported/2018/04/13.jpg
Aufgrund der großen Reinigung mussten wir leider Adblock user etwas aussperren, bis Adblock da nachbessert, kann ich nichts machen.
Wer sehen will wie wir den Trojaner entschärft haben, in STUNDENLANGER DETEKTIVARBEIT findet ihn jetzt modifiziert und deutlich verbessert hier:
https://filecrypt.cc/js/container/link.js
für die Genies unter uns, _DOMAIN wird direkt im header code bei uns fest definiert, ist kasperspy sicherlich nicht aufgefallen.
GipsyDanger
06.04.2018, 08:20
Ich hatte vergessen zu erwähnen, das wir den Kasperspy usern Helfen wollten und diese JS Funktion, die offensichtlich ja sehr schädlich ist, direkt in die Seite eingebaut haben.
Auch nicht richtig, deshalb hat google uns offensichtlich gesperrt.
Powered by vBulletin® Version 4.2.2 Copyright ©2026 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.