Hallo!

Schon vor in etwa einer Woche hatte ich das Problem, dass Avira Antivir beim Abrufen meiner Seite folgende Meldung ausgab:

heur.html.malware

Ich habe einen Avira-Systemcheck durchgeführt, alles in Quarantäne verschoben und meine Seite erneut hochgeladen.
Alles funktionierte wieder einwandfrei.
Da ich meinen Counter in verdacht hatte habe ich zu einem anderen Counter gewechselt.

Doch jetzt trat leider das selbe Problem wieder auf, meine Seite hatte sich neu infesziert.

Woher kommt diese Infektion? Den Serverbetreiber meiner HP habe ich bereits kontaktiert, er meinte, es wäre ein Trojaner der von irgendwo her käme.

Könnt ihr vielleicht aus dem Log-File etwas erkennen, das nicht in Ordnung ist?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:32, on 07.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\**\Programme\Monitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
E:\**\Programme\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\**\Programme\ICQ6\ICQ.exe
C:\Programme\VIA\RAID\raid_tool.exe
E:\**\Programme\winzip\WZQKPICK.EXE
E:\**\Programme\Watcher.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Marieke\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**://www.parents.at/forum/usercp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\1903\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\1903\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\1903\toolbaru.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ulead AutoDetector] E:\**\Programme\Monitor.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Device Detection] E:\**\Programme\fotokasten comfort\dd.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "E:\Marieke\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "E:\Marieke\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: eMail-Wächter.LNK = E:\Marieke\Programme\Watcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Marieke\Programme\winzip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Marieke\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\**\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp01.photoprintit.de/microsite/1188/defaults/activex/ImageUploader3.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programme\SPAMfighter\sfus.exe

--
End of file - 8145 bytes

Hi,

es sieht nicht danach aus, dass der Grund für deine infizierte Webseite auf deinem Computer zu suchen ist, sondern er dürfte auf deiner Seite selber liegen. Möglichkeiten sind veraltete Serversoftware, wie ein Forum, CMS, Gästebuch, usw. auch und gerade dort ist regelmäßiges Updaten Pflicht. Auch selbstgeschriebene Scripte können der Grund sein. Mehr kann ich dazu nicht sagen, da mir diene Seite nicht bekannt ist.

Gruß, Karl

Hallo KarlKarl!!!

Vielen lieben Dank für deine Antwort!!
Wärst du vielleicht mal so nett und würdest einen Blick auf meine Seite werfen?

Die Adresse ist:
www.kuschelpuppen.at

lg,
lumusan

Bin durch deine Seite gesurft und finde eigentlich alles recht unauffällig. Antivir hat nichts gemeldet, im Quelltext der Seiten ist mir nichts aufgefallen und dein Gästebuch liegt auf einem anderen Server.

Auf welcher deiner Seiten triit das Problem denn auf? Hast Du die noch in Quarantäne?

Hallo KarlKarl!

Vielen Dank auf jeden Fall für deine Mühe!
Wie gesagt, ich hatte den Counter in Verdacht und habe zu einem anderen Counter gewechselt.
Das Script für den Counter befindet sich auf der Index.
Als meine Website befallen war, war jede Seite davon betroffen. Ich habe einfach alle Dateien von meinem Rechner neu auf den Server geladen, dann war es wieder ok.
Die Frage ist nur, für wie lange?

Die Datei habe ich noch in Quarantäne und ich habe sie Avira geschickt.
Kann ich jetzt nur abwarten, ob das Problem nochmal auftritt? Soll ich sie dir schicken?
Wenn ich das richtig verstanden habe, dann hält Avira Antivir es nur für möglich, dass es sich hier um malware handel, ist sich aber nicht sicher? Stimmt das so?

Hallo!

Ich habe gerade einen verdächtigen Eintrag bei den Referrs gefunden:

172.16.16.2
/.alt/script/email/iframe.php?&email_nummer=3932382

Bedeutet das, dass das ganze über eine Spam-Mail gekommen ist?

Mit der Erkennung sagt Antivir dass die Datei Merkmale hat, die darauf hindeuten, dass es Malware ist, das ist aber nicht sicher. Gerade bei diesen heuristischen Erkennungen gibt es immer wieder Fehlalarme. du kannst sie mir auch gerne schicken, sowas schaue ich mir auch gerne an. Meine Mail habe ich gerade als PN geschickt.

Diese Referrer -Zeile kann ich gerade nicht komplett deuten. Die IP ist jedenfalls eine private, die nicht im Internet benutzt werden darf, sondern nur in privaten Netzwerken, die z.B. durch einen Router vom Internet getrennt sind.

Ich habe dir die Datei geschickt! Danke schön!

Die ist allerdings ganz offensichtlich infiziert. du kannst es dir gefahrlos selber anschauen: Öffne sie mit dem Editor, ganz am Ende nach einer größeren Anzahl Leerzeilen (bereits hinter dem </html>-Tag) ist ein versteckter IFRAME, mit dem eine andere Seite von einem anderen Server in deine eingefügt wird. Die Seite existiert nicht mehr, wurde vermutlich bereits abgeschaltet. Ist aber ziemlich offensichtlich, dass von dort aus versucht wurde, die Computer der Besucher deiner Seite zu infizieren.

Ich habe aber keine Idee, wie es zu der Infektion gekommen ist, kann auf deiner Seite nichts verdächtiges entdecken. Es ist auch möglich, dass das Problem bei dem Webhoster liegt, aber da sollten wir nicht damit rechnen, dass er sowas zugibt.

Hast Du die Möglichkeit, zu den auf dem Server liegenden Dateien einzusehen, wann sie das letzte Mal geändert wurden? Dieses Datum wird normalerweise gespeichert. Dann fällt mir derzeit leider nur noch ein, die Seite sorgfältig zu überwachen und wenn es eine infektiöse Veränderung gegeben hat, dieses Datum zu ermitteln und den entsprechenden Teil der Serverlogs sorgfältig durchzusehen.

Außerdem: Du schreibst, dass Du deine Seite neu hochgeladen hast. Dazu gehört auch, vorher den gesamten Webspace zu löschen. Es kommt vor, dass ein Angreifer eine zusätzliche eigene Datei dort gespeichert hat, die ihm weitere unerwünschte Zugriffe ermöglicht. Die bleibt erhalten, wenn man nur neu hochlädt. Solltest Du bei genauerer Kontrolle eine solche Datei finden, würde ich mich freuen, wenn du mir eine Kopie davon zukommen lässt.

Hallo KarlKarl!

Ich verwende zum Erstellen meine Seite Adobe Golive, damit auch ich *HTML-nix-verstehen-gastarbeiter* damit arbeiten kann.

Mit GoLive ist es mir möglich, die Dateien, die auf dem Server liegen zu betrachten und ich sehe auch das Änderungsdatum.

Allerdings legt GoLive hier auch selbständig Ordner an, mit denen ich nichts anfangen kann. Es handelt sich hier um die Ordner "usage" und "logs", die offensichtlich auch täglich aktualisiert werden. Daher kann ich nicht sagen, ob hier eine verdächtige Datei liegt.
Aber vielleicht kannst du aus den gespeicherten Logs in dem betreffenden Zeitraum etwas herauslesen?
Ansonsten konnte ich keine auffällige Datei finden.

Wie gesagt, den Webhoster habe ich bereits angeschrieben, der meinte aber nur, dass der Trojaner von einem Rechner kommen müsse, mit dem die Seite bearbeitet wurde.

Ich werde meine Seite in nächster Zeit genau beobachten, ob ein solcher Vorfall wieder auftaucht, und werde beim nächsten mal alle Dateien löschen bevor ich neu hochlade.

Ich danke dir auf jeden Fall herzlich für deine Mühe und Hilfe!

Wenn Du den Zeitraum eingrenzen kannst, in dem es passiert sein muss, kann man sich natürlich auch die Serverlogs ansehen, vielleicht taucht dadrin ja noch was verdächtiges auf. Weiß ja nicht, wie lang die dann sind, ich habe aber eine clevere Software am Start, mit der ich auch schon Logs in GByte-Größe recht zügig filtern konnte. Problem dürfte dann eher der Versand sein.

Dein Rechner ist der einzige, von dem aus die Seite bearbeitet wird? Ich kenne dieses Adobe Golive zwar nicht, aber wenn die Vermutung stimmen würde, dass es einmal eine infizierte Version hochgeladen hat, dann frage ich mich, wieso es das plötzlich nicht mehr tut.

Hallo KarlKarl!

Ich habe die Logs zwischen der ersten und der zweiten Infektion herunter geladen und sie dir mal ganz einfach in ein Mail gesteckt. Müsste eigentlich so funktionieren, oder?

Sie sind auf jeden Fall jeweils nur ein paar KB groß! Ich weiß aber nicht, ob das diese Serverlogs sind, von denen du sprichst.

Ich glaube eigentlich auch nicht daran, dass es von meinem Rechner gekommen ist.

Die Seite wird schon noch von einem zweiten Rechner bearbeitet, der aber hier im internen Netzwerk dran hängt. Gespeicherte Version gibt es also nur eine.

Virusscan habe ich beim anderen Rechner auch schon gemacht.

Bitte umgehend das FTP-Passwort wechseln! Ich kenne dein jetziges nicht, aber offensichtlich kennt es jemand anderes. Du brauchst ein sicheres Passwort:

Ausreichend lang.
Das Wort darf in keinem Wörterbuch, keinem Lexikon dieser Welt vorkommen.
Am besten sind zufällig gewählte Zeichen. Ein Beispiel:

Zitat:

9q$eMIY!8-hw$_lV@X9!5R;

Das wäre ein recht sicheres Passwort, ist es aber nicht, da es bereits hier im Internet steht.

Das neue Passwort sollte nur von einem Rechner aus benutzt werden. Sollte dann wieder was passieren, muss man sich den doch genauer ansehen. Sind alle Rechner innerhalb deines/eures Netzes und ihre Nutzer vertrauenswürdig?

Danke für den Hinweis, ist schon geschehen!

Die Rechner sind beide vertrauenswürdig, Nutzer bin nur ich und ich halte mich durchaus für vertrauenswürdig!

Woraus schließt du, dass jemand anderes das Passwort kennt?