Hallo liebe Helfer,

ich habe die Pflege der Homepage unseres Schachvereins "www.Schachfreunde Sasel.de" zeitweilig zusammen mit einem anderen Mitgleid übernommen. Wir haben seit Anfang des Jahres das Problem das wir eine Malware auf der Hompage haben. Beim aufrufen der Seite wird sofort Avira aktiv und meldet einen Fund " JS/ Blacole.KH.3" wurde gefunden. Das passierte nicht nur bei uns, sondern auch bei anderen Mitgliedern. Darauf hin habe ich mich im Netz schlau gemacht und erfahren das es sich wohl um exploit malware handelt. Diese kommt meist über Gästebücher. Daraufhin habe ich das Gästebuch dichtgemacht,
beide PC´s mit Malwarebytes durchsucht und nichts gefunden.

Dann in Quarantäne Ordner von Avira den PFAD verfolgt, die Malware tauchte im Cache auf.

Also Cache gelöscht ,dann cc-Cleaner runtergeladen und alle temporären Dateien gelöscht überflüssige Datein und Programme gelöscht registry bereinigt.

Die homepage gelöscht und neu installiert. Das ganze hat eine Woche gehalten, dann war das Problem wieder da.

Im Anhang habe ich die txt-Dateien von den Punkten 1-3 für hilfesuchende.

Ich hoffe Ihr könnt mir hefen. Danke im vorraus.

hi, nutzt ihr ein cms (wordpress) zb, wenn ja welche Version?

nein, erstellt über nvu

hattet ihr passwörter geändert?

nein noch nicht weil ich nicht der Ersteller bin, die Seite ist schon etwas älter und wir sind gerade am forschen, wer die erstellt hat.

Ich weis das ich 2 befallene Dateien auf dem Rechner habe, was mich wundert ist das sie nicht erkannt werden.

wieso kannst du auf der seite inhalte löschen aber nicht das passwort ändern, dass muss dir doch dann bekannt sein...?

Ja das ist mir bekannt, das ist aber nur das PW für die Bearbeitung. Wenn ich es ändern will fragt der Server nach einer Mail-Adresse, und wenn ich meine eingebe sagt es, dass es die falsche Mail-Adresse ist.

schon mal mit dem hoster auseinander gesetzt, eine Bereinigung der seite macht nich so viel sinn, wenn das passwort gleich bleibt.

Hatte ich auch schon versucht , die konnten aber auch nicht helfen, vielleicht sollte ich mal mit stilllegen drohen.

hmm ist ja deine Seite, von ner stillegung währst ja nur du betroffen
ich würd überlegen, einfach ne leere index seite zu setzen und dann einfach ne andere domain zu nutzen.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Das könnte ich mal ausprobieren mit der anderen Domain, auf jeden Fall hab ich den Webersteller mal gemailt.

Otl- Bericht steht schon oben, als Zip-Datei.

hi,
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.