Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.02.2012, 12:40   #1
Thorsten0815
 
Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner - Daumen runter

Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner



Servus!

Lang langem Kampf muss ich mich doch hier anmelden.

Hatte mir den Media Shift(ing) Virus eingefangen.
Habe einige Anleitungen hier im Board durchgemacht, das wären Scans mit:

- Malwarebytes
- Spyware Terminator
- Super AntiSpyware

Sowie Scan mit Avira Rescue über Linux-Boot-CD.

Seitdem tut sich in Sachen selbständigem Browser etc nichts mehr, scheint alles erledigt zu sein.
Passwörter über mein iPad hab ich auch geändert. Da Onlinebanking hab ich meine Bank informiert.

Nun wollte ich heute unsere Firmenhomepage erweitern (Joomla 1.6.6, 1und1 Webspace) und da fällt mir auf, dass die Vorschaufunktion nicht klappt, also die Seite / Fronend läd eeeeewig.

Nach langem rumgegoogle wollte ich mal in die index.php schaun, kaum runtergeladen springt der Avira Guard an:

Index.php - PHP/Botloader.B

Da ich eine gezippe Backup-index.php hatte, hab ich die vom Server gelöscht und die "saubere" hochgeladen.

Was mir gleich aufgefallen ist:

Auf der Platte ist die index.php 1.444 Bytes groß, sobald hochgeladen ändert sich die Größe auf 1.389 Bytes.
Inwiefern das jetzt was damit zu tun hat kann ich nicht sagen.

Jedenfalls nach dem Austausch der Dateien lief die Homepage wieder superflott.

Nach einer Stunde ungefähr lad ich die index.php testweise nochmal runter und zack geht Avira wieder an.

Selbe Meldung wie oben - Index.php - PHP/Botloader.B

FTP Passwörter + Joomla Login Passwörter alles vom iPad gewechselt und nicht am PC eingegeben.
Daher kann es doch nur sein, dass irgendwo auf dem Webspace ein Schädling sitzt, der meine index.php konstant umbaut?

Bitte um Hilfe, sowas hab ich echt noch nicht erlebt.


*edit

Berechtigung hab ich jetzt mal auf 444 read only gesetzt.

Alt 09.02.2012, 13:23   #2
Thorsten0815
 
Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner - Standard

Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner



Kleiner Nachtrag:

Es sind noch mehr index.php Dateien befallen.
Ich habe die komplette Page runtergeladen und durchgescannt.
Jetzt kann man die Pfade der verseuchten Dateien sehen.

Also ab auf den Webspace:
Alle befallenen index.php gelöscht und durch saubere Dateien aus meinem Backup ersetzt.
Berechtigung auf 444.

Seitdem geht die Seite wieder ab wie eine Rakete.
Hab gerade mal die index.php wieder runtergeladen, Avira ist nicht angesprungen.
Ich werde das weiter beobachten.

Jetzt ist aber die Frage ... wie kommt sowas auf meinen Server? Da wurden doch meine Login Daten geloggt oder liege ich falsch?

Könnten noch Kontroll-Programme auf meinem PC versteckt sein? Wie kann ich das sicher überprüfen?

Danke
__________________


Alt 09.02.2012, 16:08   #3
Thorsten0815
 
Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner - Standard

Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner



Bin mal mit OTL drübergegangen.

Dateien im Anhang.

Werde nicht schlau aus den Logs, kann das mal ein Experte analysieren? Gibts es noch Probleme?

Bin kurz davor, dass System plattzumachen
__________________

Alt 10.02.2012, 09:50   #4
Thorsten0815
 
Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner - Standard

Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner



So Homepage läuft noch flink und am PC geht auch keine Meldung mehr auf.

Was mich aber beunruhigt ist, dass Kunden angerufen haben deren PC nach Homepagebesuch infiziert worden ist. War vor ein paar Tagen.
Nach meinem Fix sind wir mit 3-4 verschiedenen PCs drauf und alles problemlos. Online Homepage Check auch ok, 1und1 hat auch geprüft, Goggle Check auch ok.
Müsste doch alles passen oder?

Kann jmd dennoch bitte einen Tip geben wie ich feststelle, dass mein PC 100%ig sauber ist?

Malwarebytes + Avira + OTL bin ich mehrmals mit Vollscans drüber, 0 Funde.

Also kann ich beruhigt sein?

Alt 11.02.2012, 12:24   #5
Thorsten0815
 
Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner - Standard

Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner



Zur Gewissensberuhigung format c: und nochmal alle Passwörter geändert, Thema erledigt


Antwort

Themen zu Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner
1und1, avira, avira guard, avira rescue, befall, board, browser, dateien, ebanking, gelöscht, guard, heute, homepage, index.php, kampf, media, meldung, nichts, onlinebanking, platte, sache, sachen, schädling, seite, server, spyware, super, trojane, trojaner, virus




Ähnliche Themen: Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner


  1. PC infiziert (vorher) + Win32/Obfuscator.XZ
    Plagegeister aller Art und deren Bekämpfung - 29.10.2014 (34)
  2. Trojaner chrome://quick_start/content/index.html -
    Log-Analyse und Auswertung - 03.06.2014 (1)
  3. Trojaner in Index.php Datei - Kein Zugriff auf Website
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (0)
  4. Noch habe ich keinen Trojaner, kann ich vorher einen Rat bekommen oder erst wenn es zu spät ist?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (4)
  5. mediashift.com und Backdoor.Agent in Registry Value
    Log-Analyse und Auswertung - 08.03.2012 (64)
  6. Mediashift-Virus, Logdatei Malwarebytes
    Log-Analyse und Auswertung - 13.02.2012 (7)
  7. Backdoor.agend / TR/ATRAPS.GEN 2 und mediashift
    Plagegeister aller Art und deren Bekämpfung - 05.02.2012 (15)
  8. rechner gekapert: mediashift.com + sirefef.ch + rootkit.kryptik.gx
    Plagegeister aller Art und deren Bekämpfung - 18.01.2012 (45)
  9. Laptop nach mediashift-Problem neu aufsetzen
    Plagegeister aller Art und deren Bekämpfung - 09.01.2012 (12)
  10. Programme funktionieren nicht wie vorher
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (1)
  11. Pc viel langsamer als vorher
    Log-Analyse und Auswertung - 30.12.2008 (5)
  12. Vorher vs. nachher. Auffälligkeiten?
    Log-Analyse und Auswertung - 09.05.2006 (10)
  13. logfile vorher fixen?!?
    Log-Analyse und Auswertung - 27.07.2005 (2)
  14. Trojaner ? res://msaps.dll/index.html
    Log-Analyse und Auswertung - 13.01.2005 (11)
  15. Alles neu aber viel langsammer als vorher.
    Log-Analyse und Auswertung - 26.08.2004 (7)
  16. index.dat
    Alles rund um Windows - 21.08.2004 (2)

Zum Thema Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner - Servus! Lang langem Kampf muss ich mich doch hier anmelden. Hatte mir den Media Shift(ing) Virus eingefangen. Habe einige Anleitungen hier im Board durchgemacht, das wären Scans mit: - Malwarebytes - Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner...
Archiv
Du betrachtest: Index.php - PHP/Botloader.B ... vorher Befall mit MediaShift Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.