Mein Avast meldet Malware-Alarm im Forum - ad-srv.net-Banner?

[Mornsgrans]

Gestern und heute habe ich mehrfach durch meinen Avast (Free) folgende Meldung erhalten

Diese Meldung tritt sporadisch beim Aufruf einer neuen Seite im Forum auf. Ich habe das ad-srv.net-Banner unten links neben dem Buchtmonitor in Verdacht, der danach durch Avast im Firefox blockiert zu sein scheint.

Die IP-Adresse (5.104.107.76) ist bei jeder Meldung die gleiche, nur der Wert rechts hinter "content.php" variiert.

Wer Muße und eine Sandbox im Einsatz hat, kann dies vielleicht mal verifizieren.

 

[thinkmachine]

hallo mornsgrans,

ich nutze kaspersky (gekauft) und habe keine fehlermeldung.

herzliche grüße, susanne

 

[Alteshaus21]

Bei mir tritt die Meldung auch hin und wieder auf, auch mit avast free.

 

[Himalaya]

Bei mir gibts keine Banner im Forum, alle geschluckt durch Adblock-plus (Firefox).....:thumbup:.

 

[Akira]

Bei AVG bekomme ich keine solche Meldungen. Könnte ein Fehlalarm sein.

 

[Helios]

ich nutze kaspersky (gekauft) und habe keine fehlermeldung.

Wer Gutes tun will für sich und sein ThinkPad, der kaufe Kaspersky Internet Security, sprach Gott (Elftes Gebot des Herrn) :whistling:...

 

[TheSentinel]

Hallo Mornsgrans

ich bekomme diese Meldung nicht. Bei mir läuft NIS2014 auf dem Notebook.

Schöne Ostern wünscht Dir
TS

[ADD-ON]

Utrace liefert bei der IP folgendes zurück. Vielleicht hilft's ein bissi bei der Suche

Whois

Details zur IP-Adresse 5.104.107.76
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '5.104.107.0 - 5.104.107.255'

% Abuse contact for '5.104.107.0 - 5.104.107.255' is 'abuse@myLoc.de'

inetnum: 5.104.107.0 - 5.104.107.255
netname: MYLOC-DE-DUS2-DEDICATED
descr: webtropia dedicated Server by http://www.webtropia.com
descr: myLoc managed IT AG
country: DE
admin-c: FIO-RIPE
tech-c: MLC-RIPE
status: ASSIGNED PA
mnt-by: MYLOC-MNT
source: RIPE # Filtered

% Information related to '5.104.104.0/21AS24961'

route: 5.104.104.0/21
descr: DE-MYLOC-5-104-104-0---slash-20
origin: AS24961
mnt-by: MYLOC-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.72 (DBC-WHOIS4)

 

[MarcusAgrippa]

Mit Avast Kaufversion: keine Meldung oder Blockade
(EDIT: weder mit Opera 12 noch Firefox, Adblock jeweils aktiviert)

 

[Mornsgrans]

Adblock jeweils aktiviert)

Deaktiviere es mal im Forum.

 

[MarcusAgrippa]

Habs deaktiviert: keine Blockade, keine Meldung...

 

[Mornsgrans]

Erscheint auch nicht immer, sondern sporadisch. Ich hatte diese Meldung heute morgen dreimal, gestern ein- oder zweimal. Der Alarm ist wohl abhängig vor der gerade eingeblendeten Werbung, die ja immer wechselt.

 

[ibmthink]

Ich hatte das gestern auch einmal bei Avast Free. Ich gehe aber mal von einem Fehlalarm aus, so lange sich nur Avast meldet.

 

[martina]

Steht irgendwo im Avast-Log auch, was es dort gefunden haben will?

 

[Helios]

URL-Scan für 5.104.107.76 mittels Virustotal. Ein Scanner meldet "Malicious site".
Scanergebnis Virustotal: 5.104.107.76


Webutation domain information
Verdict..................: unsure
Adult content............: no
Safety score.............: 70



Nmap result:

Starting Nmap 6.46 ( http://nmap.org ) at 2014-04-20 11:15 Mitteleuropäische Sommerzeit

NSE: Loaded 118 scripts for scanning.

NSE: Script Pre-scanning.

Initiating Ping Scan at 11:15

Scanning 5.104.107.76 [4 ports]

Completed Ping Scan at 11:15, 0.57s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 11:15

Completed Parallel DNS resolution of 1 host. at 11:15, 0.07s elapsed

Initiating SYN Stealth Scan at 11:15

Scanning 5.104.107.76 [1000 ports]

Discovered open port 25/tcp on 5.104.107.76

Discovered open port 443/tcp on 5.104.107.76

Discovered open port 80/tcp on 5.104.107.76

Completed SYN Stealth Scan at 11:16, 58.65s elapsed (1000 total ports)

Initiating Service scan at 11:16

Scanning 3 services on 5.104.107.76

Completed Service scan at 11:17, 31.15s elapsed (3 services on 1 host)

Initiating OS detection (try #1) against 5.104.107.76

Retrying OS detection (try #2) against 5.104.107.76

Initiating Traceroute at 11:17

Completed Traceroute at 11:17, 6.03s elapsed

Initiating Parallel DNS resolution of 1 host. at 11:17

Completed Parallel DNS resolution of 1 host. at 11:17, 0.00s elapsed

NSE: Script scanning 5.104.107.76.

Initiating NSE at 11:17

Completed NSE at 11:17, 5.38s elapsed

Nmap scan report for 5.104.107.76

Host is up (0.062s latency).

Not shown: 997 filtered ports

PORT    STATE SERVICE  VERSION

25/tcp  open  smtp

|_smtp-commands: zhhdzmsp-nwas14 says EHLO to 85.2.40.114:20464, AUTH=LOGIN, AUTH LOGIN, PIPELINING, ENHANCEDSTATUSCODES, SIZE 26214400, 8BITMIME, 

80/tcp  open  http     Apache httpd

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

| http-robots.txt: 1 disallowed entry 

|_/

|_http-title: Site doesn't have a title (text/html).

443/tcp open  ssl/http Apache httpd

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

| http-robots.txt: 1 disallowed entry 

|_/

|_http-title: Site doesn't have a title (text/html).

| ssl-cert: Subject: commonName=*.hal9000.redintelligence.net/organizationName=*.hal9000.redintelligence.net

| Issuer: commonName=Go Daddy Secure Certification Authority/organizationName=GoDaddy.com, Inc./stateOrProvinceName=Arizona/countryName=US

| Public Key type: rsa

| Public Key bits: 2048

| Not valid before: 2012-06-22T11:48:16+00:00

| Not valid after:  2014-06-22T11:48:16+00:00

| MD5:   5772 bb75 9976 bc47 4725 5fdb 8af4 8a5e

|_SHA-1: 065a 5fca 2c28 197e 86ca c0e2 dba0 c40b e9ae d975

|_ssl-date: 2043-02-21T06:41:45+00:00; +28y306d21h24m05s from local time.

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

SF-Port25-TCP:V=6.46%I=7%D=4/20%Time=5353908F%P=i686-pc-windows-windows%r(

SF:NULL,4A,"220\x20zhhdzmsp-nwas14\.bluewin\.ch\x20ESMTP\x20Service\x20\(S

SF:wisscom\x20Schweiz\x20AG\)\x20ready\r\n")%r(Hello,6A,"220\x20zhhdzmsp-n

SF:was14\.bluewin\.ch\x20ESMTP\x20Service\x20\(Swisscom\x20Schweiz\x20AG\)

SF:\x20ready\r\n500\x205\.5\.2\x20unrecognized\x20command\r\n")%r(Help,6A,

SF:"220\x20zhhdzmsp-nwas12\.bluewin\.ch\x20ESMTP\x20Service\x20\(Swisscom\

SF:x20Schweiz\x20AG\)\x20ready\r\n500\x205\.5\.2\x20unrecognized\x20comman

SF:d\r\n");

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: specialized

Running (JUST GUESSING): AVtech embedded (89%)

Aggressive OS guesses: AVtech Room Alert 26W environmental monitor (89%)

No exact OS matches for host (test conditions non-ideal).

Network Distance: 13 hops

TCP Sequence Prediction: Difficulty=261 (Good luck!)

IP ID Sequence Generation: Random positive increments



TRACEROUTE (using port 443/tcp)

HOP RTT       ADDRESS

1   ... 12

13  122.00 ms 5.104.107.76



NSE: Script Post-scanning.

Read data files from: C:\Program Files (x86)\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 120.53 seconds

           Raw packets sent: 4152 (187.176KB) | Rcvd: 123 (7.378KB)

 

[Mornsgrans]

Steht irgendwo im Avast-Log auch, was es dort gefunden haben will?

Leider nicht. Das Avast-Log ist katastrophal - zumindest in der Free -Version. Darum habe ich mir gestern ein altbewährtes Kaspersky bestellt.

Wenn ich die IP 5.104.107.76 im Browser aufrufe, schlägt mein Avast sofort Alarm.

 

[Helios]

Du weisst ja, die Testversion von KIS 2014 ist 30 Tage vollkommen funktionsfähig. Einfach nur noch kurz optimal konfigurieren und los geht es.

KIS 2014 meldet bei mir keine Bedrohung für 5.104.107.76.

 

[ibmthink]

Bei 5.104.107.76 wird bei mir auch sofort Alarm geschlagen...

 

[Mornsgrans]

Ich habe jedenfalls erst einmal eine PN mit Verweis auf diesen Thread an andy und torsten geschickt - sicher ist sicher.

 

[andy]

Danke für den Hinweis! Ich kann den Fehler momentan nicht reproduzieren, habe aber auch denn Banner unten links neben Buchtmonitor im Verdacht. Hier werden aus einem Pool anzeigen von verschiedenen Anbietern eingeblendet, ist möglich dass da eine dabei ist die Probleme macht.
Ich kann hier einzelne Anbieter sperren, deshalb wäre es hilfreich wenn mir jemand der eine Warnung von Avast bekommt sagen kann welche Anzeige da eingeblendet wird.

Gruß
Andy

 

[Mornsgrans]

Eben hatte mein Avast wieder gemeckert.
Ich konnte im besagten ad.ad-srv.net Banner diesen Link isolieren:

hxxp://n97.hal9000.redintelligence.net/request_content.php?s=93225444705411697&a=46491484

Leider wird sofort das Banner geblockt, dass man nicht sehen kann, welche Werbung dahinter steckt.