Hallo,

wie der Titel schon aussagt handelt es sich um eine Trojan- Downloader Meldung. Diese wird direkt angezeigt wenn ich unsere Community- Page besuche.
Durch Telefonate hab ich rausgefunden das es bei einem weiteren das es (bis jetzt bekannt) nur unter Kaspersky gemeldet wird. User die Avira installiert haben bekommen die Meldung nicht.

Das Kuriose an der ganzen Sache ist aber, das nur die Domain selbst betroffen. Also nur hxxp://www.meineseite.de, hänge ich aber aber an die Domain noch was dran z.B. hxxp://www.meineseite.de/news/ läuft alles wie immer.
Die Website hab ch vorerst über den Hostingservice sperren lassen, wie auch über ein Tool von dort das verändern von Dateien etc. .

Bis jetzt hab ich folgendes herrausfinden können:

Hostinggesellschaft:

Zitat:

...solche Kompromittierungen entstehen meistens durch unsichere Skripte. Eine weitere Möglichkeit ist ein Virus / Trojaner auf dem eigenen Rechner, der das FTP-Passwort mitgeschnitten hat.

Wir empfehlen hier die Überprüfung der Inhalte. Weiterhin sollten alle Passwörter (FTP, Kundencenter) durchgreifend geändert werden.

Um sich in Zukunft vor Angriffen schützen zu können, stellen Sie sicher, dass Sie:
- sichere Passwörter verwenden
- aktuelle und sichere Scripte verwenden und diese auch regelmäßig aktualisieren
- die CHMOD-Rechte korrekt zuweisen (Verzeichnis /html = 750; alle anderen Verzeichnisse = 755; Dateien = 644).

Andere Foren:

• man soll seinen Rechner scannen (welches ich schon gemacht habe und gefunden hab: trojan-downloader.js.iframe.cwr
• man will immer einen Log.file von dem Tool HijackThis haben. hab ich vorliegen, falls erwünscht poste ich es nach.

Was ich aber direkt machen kann um es von meiner Page wegzubekommen steht nirgends. Bzw. finde ich nichts um es wegzubekommen.

Kaspersky selbst:

Wenn man unter Details schaut wird man auf die virusliste weitergeleitet. Dort steht aber selbst nichts in der Beschreibung. Auch bei meiner Suche dort nach "Trojan-Downloader.JS. bekomm ich zwar knapp 3000 Treffer, aber keiner Bschreibung was es ist, geweige denn wie ich vorgehen soll.

So wende ich mich an euch, vielleicht weiss von euch jemand einen Rat. .

Zitat:

nur unter Kaspersky gemeldet wird. User die Avira installiert haben bekommen die Meldung nicht.

Schonmal überlegt ob es ein Fehlalarm sein könnte?
Du hast die Seite nicht im Griff, so dass du dir die einzelnen Datei vom Webserver mal genauer auf Manipulationen des HTML-Quellcodes anschauen kannst?

Zitat:

man will immer einen Log.file von dem Tool HijackThis haben. hab ich vorliegen, falls erwünscht poste ich es nach.

Was hat deine manipulierte Seite mit einem infizierten Rechner zu tun?
Mal abgesehen davon, dass HijackThis veraltet ist und zu wenig Infos liefert - wenn die Schwachstelle auf deinem Webserver irgendwo selbst war, bringt es nicht deinen Rechner zu analysieren

Als ersten Ansatz: ich würde zuerst mal anfangen herauszufinden ob es ein Fehlalarm ist oder nicht. Wenn ja, kann man sich alles weitere nämlich und somit auch einen unnötigen Haufen Arbeit ersparen