Avast blockiert Website SYSPROFILE.DE

[Ulukai]

Mein Avast blockiert seit gestern oder vorgestern die Website Sysprofile.de ! Ich weiß nicht was dort sein soll ausser meiner gespeicherten Systeminformation die in vielen Foren erwünscht bzw. gefordert wird. Liebe Avastler bitte guckt mal nach was an der Website so teuflisch Böses sein soll!

URL: http://85.25.107.124
Infektion: URL:Mal
Prozess: C:\Program Files (x86)\Mozilla Firefox\firefox.exe

Gruß Ulli

[Eddy]

IP/Domain is blacklisted:
http://zulu.zscaler.com/submission/show/e1bf1f046fb4173e6fcd8379cb07fe46-1436334532
http://multirbl.valli.org/lookup/85.25.107.124.html

Server redirect and other problems:
http://www.web-malware-removal.com/website-malware-virus-scanner?url=Sysprofile.de

Lof of security problems:
https://www.ssllabs.com/ssltest/analyze.html?d=sysprofile.de

Links to blacklisted domain(s):
http://quttera.com/detailed_report/Sysprofile.de

[REDACTED]

Ich hab das jetzt mal als Fehlalarm gemeldet. Das ist schließlich ein sehr bekannter Service, welcher schon seit Jahren(wenn nicht sogar Jahrzehnten) von allen möglichen Communities genutzt wird. Zum Beispiel von Overclocking- und DC(Distributed Computing) Communities. Wir hatten bisher nie irgendwelche Sicherheitprobleme damit. Ich würde eher davon ausgehen, dass es ein Fehlalarm der Website-Checker ist. Nur stellt sich jetzt die Frage, wie soll man als Avast-Nutzer jetzt verfahren? Muß man jetzt Avast immer erst deaktivieren um auf die Webseite von Sysprofile.de zu gelangen? Denn die Url in die Ausnahmen beim Webschutz einzutragen bringt nichts. Sie wird dennoch blockiert.

Edit: Problem gelöst. Obwohl die Meldung vom Webschutz kommt, muß man die Url unter Allgemein > Ausnahmen angeben. Dann kommt man wieder auf die Webseite. 

[Eddy]

Es ist kein fehlalarm.

[REDACTED]

Nun gut. Dann gehen wir das Ganze mal durch. Fangen wir mit deinen geposteten Links an.

1. http://zulu.zscaler.com/submission/show/e1bf1f046fb4173e6fcd8379cb07fe46-1436334532

zscaler sagt Benign. Übersetzt heißt das gutartig. Man kann zur Übersetzung Google nutzen.

2. http://multirbl.valli.org/lookup/85.25.107.124.html
valli.org gibt bei der DNS-Auflösung 2 mal ok. Das der dritte Test fehl schlug kann auch an einem Serverumzug liegen oder der Provider

des genutzten Webspaces hat ein neues Bündel IP-Adressen hinzu gekauft und nutzt es nun. Zumindest sagt es nichts darüber aus,

dass es dort gefährliche Scripte etc. gibt.

3. http://www.web-malware-removal.com/website-malware-virus-scanner?url=Sysprofile.de
web-malware-removal.com sagt auch das alles ok ist, bis auf ein paar Scriptfehler, die jedoch nicht mal auf der Hauptseite, sondern im

Forum vorkommen. Das aufgeführte Script stammt von ioam.de. Das ist ein sehr bekannter Statistik-service, den sogut wie alle

bekannten Anbieter nutzen. Geh einfach mal auf eine Webseite von einem TV-Sender und schau in die Statusleiste des Browsers.Bei

den meisten wird garantiert etwas von dieser domain geladen. Von web-malware-removal.com gibt es auch einen Link zu Virustotal.

4. https://www.virustotal.com/latest-scan/http://Sysprofile.de
Virustotal sagt auch alles ok. Lediglich ein Scanner(Quttera) gibt eine Warnmeldung aus.

5. http://quttera.com/detailed_report/Sysprofile.de
Quttera sagt, dass es 3 schädliche Dateien gefunden hat. Schaut man sich diese 3 Dateien mal unter "Additional Information" an, so

sieht man das sie nicht von sysprofile.de sondern von www.bilder-upload.eu stammen. Also mit großer Wahrscheinlichkeit sind das

Bilder, die ein Forennutzer dort ins Forum gepostet hat und haben mit sysprofile.de ansonsten überhaupt nichts zu tun.

Es ist also eindeutig ein Fehlalarm, da die schädlichen Dateien nicht von sysprofile.de stammen und das Script lediglich einen Fehler

hat. Sowas kann beim schreiben einer solch komplexen Webseite schonmal passieren. Meine Fehlalarm-Meldung hat also durchaus

seine Berechtigung. 

[REDACTED]

Hallo Tzutzumo ,

habe deinen Tip #3 probiert, hat bei mir aber leider nichts gebracht. Seite wird noch immer blockiert 
Was kann ich noch machen?

[REDACTED]

Wie steht es in den Ausnahmen drin?
Es müßte so aussehen: http://www.sysprofile.de/*

Achte auch darauf die richtige Registerkarte zu wählen. Es gibt Dateipfade, URL's, Deep Screen und Gehärteter Modus.
Es muß unter URL's eingetragen werden. Also unter 'Einstellungen > Allgemein > Ausnahmen > URL's'.
Unten drunter steht dann 'Adresse eingeben'. Da kommt dann http://www.sysprofile.de/* rein.

Ansonsten versuche es unter 'Einstellungen > Aktiver Schutz > Web-Schutz > Anpassen > Ausnahmen > Ausgenommene URL's'  einzutragen.

Viel Glück! 

[REDACTED]

Danke Tzutzumo für Deinen Einsatz.

Dieses primitive vorgehen von Avast führt immer wieder zu Problemen.
Lesenswert dazu ist auch: http://www.bronies.de/showthread.php?tid=22768&pid=6289543#pid6289543

@Eddy
Du scheinst die Zusammenhänge nicht zu verstehen.
Ich empfehle dir den oben verlinkten Beitrag zu lesen.

[Eddy]

sysprofile.de

Sehen sie die scan-berichte, und Sie werden wissen, warum die website gesperrt wurde.

Nicht das domain ist blokkiert, aber das IP.

[REDACTED]

No IP address of the DNS lookup for mail.sysprofile.de matches the original IP   Failed

That's the only point where IP is mentioned. It says that no IP was found for the domain mail.sysprofile.de.
That's a mail-server and maybe it is down at the moment. There is nothing written that the IP is blocked. 

[Eddy]

You should learn to read.

ZuluScaler : IP address has been identified as risky by one/more sources.
multirbl.valli.org : It is a IP lookup and it clearly tells the IP is blacklisted.
Quttera : Clearly show there a links to blacklisted IP's.

[REDACTED]

I was reading the full stuff. So let's begin.

MultiRBL.valli.org says 3 blacklisted out of 224.(Everything depends on the mail-server and it's IP(85.25.107.124), not the website.)


Those who blacklisted are dnsblchile.org, RFC-Clueless  and Quorum.to. Let's take a look at the reasons for the blacklist-status.

dnsblchile.org tells us "is listed under category 127.0.0.14"


dnsblchile.org also tells us that category 127.0.0.14 means:

Category 127.0.0.14 of DNSBL Chile include IP addresses that are currently sending spam or IP addresses that do not comply with RFC standards defined for the Simple Mail Transfer Protocol (SMTP).

So it says that it also could be an "IP addresses that do not comply with RFC standards defined for the Simple Mail Transfer Protocol".
Sure, because the mail-server is offline/not responding and maybe that's also the reason why he is offline now. For repair?

Quorum.to shows status green and tells us that

85.25.107.124 not in database

and

Quorum.to is not listing this host. Perhaps a different IP address is at issue, or mail is being blocked by a system other than quorum.to.

"...is not listing this host" and "blocked by a system other than quorum.to". Perhaps by the other both i mentioned on the top(dnsblchile.org and RFC-Clueless.


RFC-Clueless tells us something different on their own website than on MultiRBL.valli.org.
It says

85.25.107.124 is NOT listed in RFC2 RBL. We have no recorded history apropos of 85.25.107.124.

This means that only dnsblchile.org blacklisted, because of a not responding mail-server or maybe it has responded something crazy in SMTP, because of it's mailfunction.
RFC-Clueless and Quorum.to are saying it's ok.

zulu.zscaler we already had and it tells us ok. The 3 risky ones you mean have a tooltip you should read. It says "This check increased the overall risk score".


It

increased

the score but it's still not enough to score the website as bad or blocked.

Quttera has something blacklisted. But not sysprofile.de just the domain/host imageshack.com. The blacklisted 22 external links are also from imageshack.com.
Like i told you before this could be images posted by users in the forum. That's all.


All in all sysprofile.de is not blacklisted. Only the mail-server has ONE blacklist-entry and this one is more a mistake than a reason.