Hallo, ich habe als Anfänger zwei Seiten mit Dreamweaver entworfen. Seit einiger Zeit meldet Antivir ständig dieselben oder neue Trojaner wie z.B.

html/Dldr.Iframe.CZ

Über diese Iframes habe ich schon einiges gelesen - aber nicht verstanden. Ich hatte beide Seiten schon gelöscht, die lokalen Dateien mit Antivir, Spybot, GMER und Ad-Aware gescannt - alles scheinbar sauber.

Was ist hier los?
Die Seiten haben folgende url:

h**p://www.superbuff.de
h**p://www.uni-vk.de

Bitte vorsichtig, die Seiten sind derzeit noch infiziert, oder ist das harmlos, irgendein script-Problem, welches Antivir falsch einordnet?

Ich hatte vor einger Zeit den Bank-Viruas NTOS.exe eingefangen, der kurz danach nochmals auftauchte aber nun entgültig gelöscht ist. Kann das damit zusammenhängen?

Halli hallo.

Zitat:

Ich hatte vor einger Zeit den Bank-Viruas NTOS.exe eingefangen, der kurz danach nochmals auftauchte aber nun entgültig gelöscht ist. Kann das damit zusammenhängen?

*grummel*

Nach so einer Infizierung setzt man grundsätzlich neu auf!!!

Die Funde kann ich bestätigen.

Zitat:

14.05.2008 17:26:46 h**p://www.superbuff.de/ Detected: Trojan-Clicker.HTML.IFrame.gt

Zitat:

14.05.2008 17:27:10 h**p://www.uni-vk.de/ Detected: Trojan-Clicker.JS.Agent.h

Nimm die Seiten vom Netz und setzte deinen Rechner neu auf!

Neuaufsetzten

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch.

Neuaufsetzten des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzten nicht ganz genau befolgst ist das Neuaufsetzten sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateieendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

hm, ich hatte sowas schon befürchtet aber das ist eigentlich unmöglich. Dann kann ich das Teil gleich wegwerfen. Ich habe sehr viele wichtige Daten auf dem Rechner bzw auf zweiten Festplatten. In meinen eigenen Dateien ist die ganze Steuer, alle beruflichen Unterlagen und Dateien. Das würde Wochen dauern.

Gibt es keine Alternative? Wie kam Ntos überhaupt auf meinen Rechner? Habe ständig alles geupdatet, regelmäßig überprüft.
Es muss doch einen Scanner geben, der mir helfen kann.

Habe mal den eScan im abgesicherten Modus durchgeführt. Zwei Funde:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 9.8.7
Sprache: German
C:\DOKUME~1\HEIKOL~1\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Heiko Linsel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LK4GSPDC\mwav[1].exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei J:\USB Datenspeicher\Eigene Dateien\desktop.ini infiziert durch den Virus "VB.CO.Leftover"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
aawservice.exe - "C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"
explorer.exe -
csrss.exe -
winlogon.exe - winlogon.exe
explorer.exe - C:\WINDOWS\Explorer.EXE
ctfmon.exe - ctfmon.exe
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Heiko Linsel\Eigene Dateien\Internet-Download\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry eScan Updater = C:\PROGRA~1\eScan\TRAYICOS.EXE /App (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\Temp\Div21.tmp\DivXInstaller.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\Temp\jivexviewer\4.1.1\viewer\jiveXDVViewer.jar
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\Temp\jivexviewer\jre\lib\rt.jar
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1.HEI\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1.HEI\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1.HEI\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1.HEI\NTUSER~1.LOG
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallOverride.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\MICROS~1.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\WINAGE~1.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz1.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\WINAGE~2.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz2.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\WINAGE~3.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz3.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\WINAGE~4.ZIP
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\EIGENE~1\INTERN~1\mwav.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\Temp\Div21.tmp\DIVXIN~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\Temp\JIVEXV~1\412A6D~1.1\viewer\JIVEXD~1.JAR
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\Temp\JIVEXV~1\jre\lib\rt.jar
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\LOKALE~1\TEMPOR~1\Content.IE5\PE0OQBPE\MWAV_1~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\HEIKOL~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\kav\kis7.0\german\kis.de.msi
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\PROGRA~1\Adobe\READER~1.0\SETUPF~1\{AC76B~1\ADBERD~1.MSI
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\1031\OWCVBA11.CHM
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.5.0_02\lib\rt.jar
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_02\lib\rt.jar
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_03\lib\rt.jar
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\MACROM~1\DREAMW~1\Help\cfbooks.chm
ERROR!!! ScanFile fails for C:\PROGRA~1\MACROM~1\DREAMW~1\Help\dwusing.chm
ERROR!!! ScanFile fails for C:\PROGRA~1\MACROM~1\DREAMW~1\JVM\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\NAEVIU~1\DIVXIN~1.EXE
ERROR!!! ScanFile fails for C:\Programme\StandardLife\jre\lib\rt.jar
ERROR!!! ScanFile fails for C:\SOFTWARE\JAVAVM\MSJAVX86.EXE
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP17\A0003602.exe
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP9\A0001553.rbf
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP9\A0001561.rbf
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP9\A0001564.rbf
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP9\A0001568.rbf
ERROR!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\vxfztb1b.zip
ERROR!!! ScanFile fails for C:\WINDOWS\DOWNLO~2\{59C4F~1\iTunes.cab
ERROR!!! ScanFile fails for C:\WINDOWS\DOWNLO~2\{722FC~1\TURBOL~1.MSI
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\java\Packages\VXFZTB1B.ZIP
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for F:\Eigene Musik\Archiv\Die ?zte - Westerland (live) [found via www.FileDonkey.com].mp3
ERROR!!! ScanFile fails for F:\Eigene Musik\Archiv\Jack.Johnson.-.[Good.People].????.mp3
ERROR!!! ScanFile fails for J:\RECOVE~1\ADOBEP~1\ADOBEP~1.RAR
Result: ERROR!!! File J:\recovery cd\Magix.Fotos.auf.CD.und.DVD.5.0.Deluxe.German-Brainstorm_www.goldesel.to.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for J:\RECOVE~1\MAGIXF~1.RAR
ERROR!!! ScanFile fails for J:\RECOVE~1\NERO6~1\NERO-6~1.EXE
ERROR!!! ScanFile fails for J:\RECOVE~1\qc820deu.exe
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 119903
Zahl der kritischen Objekte: 2
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 7
Zeit verstrichen: 02:45:52
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 22:54:27,76
Batchende: 22:54:37,20

Hi,

dein neuster Beitrag ist bereits in der Mülltonne gelandet, bevor dieser hier ebenfalls dorthin wandert, noch ein paar Anmerkungen:

Genau kann ich dir die Herkunft der ntos.exe auf dienem Rechner nicht sagen. Die üblichen Gründe sind aber Downloads aus P2P oder sonstigen dubiosen Quellen, nicht installierte Updates für Software bzw. die Nutzung veralteter Versionen, eine Datei die einem per Mail, Messenger oder Chat geschickt wurde oder einfach ein Mausklick an einer Stelle, an der man nicht klicken sollte.

Wenn Du meinst, dass die Neuinstallation nicht möglich ist, weil Du so viele so extrem wertvolle Daten auf der Festplatte hast, dann sei daran erinnert, dass keine Festplatte ewig lebt. Es kommt die Sekunde, da knirscht sie noch einmal und ist dann mit allen Daten auf ihr tot. Finanzamt und Geschäftspartner werden dann zu recht sagen "selber schuld". Regelmäßige Backups sind zwingend erforderlich.

ntos.exe ist bekannt dafür, dass sie außer einen Backdoorzugriff zu ermöglichen, alles aufzeichnet und weiterleitet, was auch nur im entferntesten nach einem Passwort aussieht. Für einen Webdesigner, der Seiten per FTP hochlädt, ziemlich tötlich. Ich durfte nun schon ienige Fälle verfolgen in denen die angebliche Lösung "Handle schließen" und "Dateien löschen" versagt hat, weil weiterhin Passwörter verraten wurden. Wer weiss schon was das Teil noch auf deinem System installiert hat.

Wer gewerblich am Computer arbeitet schuldet es nicht nur sich, sondern erst recht auch seinen Geschäftspartnern, die Vertraulichkeit ihrer Daten durch einen garantiert uninfizierten Computer zu sichern. Wenn es sein muss, jede Woche neu installieren. Wird es aber nicht, wenn Du in Zukunft nicht mehr von Goldesel&Co lädst .

Gruß, Karl

Hallo,

danke für die Hinweise, aber leider keine Antwort auf meine Fragen.

Natürlich mache ich regelmäßig Backups und sicher dreifach. Wenn diese Daten allerdings auch schon infiziert waren, was nützt mir dann das Backup?
Der "Goldesel-Ordner" ist uralt. Solche Programme habe ich schon ewig nicht mehr auf meinem Rechner, den ich übrigens nicht gewerblich sondern beruflich nutze. Es finden sich auch keinerlei Kundendaten sondern nur vorgefertigte Breifköpfe, Testberichte usw. usw.

Meine Frage bleibt offen: Kennt jemand diese Viren:
NULL.Corrupted und VB.CO.Leftover

Ich habe gelesen, dass es sich nur um fakes handeln soll, damit man die Vollversion von eScan kauft. Andererseits habe ich allerdings auch einmal gelesen, dass es sich um echte Bedrohungen handeln soll.

Ntos.exe ist nicht mehr auf meinem System - jedenfalls insoweit ich dies beurteilen kann. Da ich außerdem keine wichtigen Passwörter (bis auf ebay) nutze, wäre eine Weitergabe durch Trojaner ohnehin unwichtig. Meine Banksoftware arbeitet mit HBCI. Aber ich muss und will mich hier nicht rechtfertigen.