Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.10.2009, 14:21   #1
beatforge
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



Hallo,

ich habe ein Problem mit einem Virus/Wurm o.ä.:

Wenn man z.B.
h**p://*ww.dobrodeya .com

aufruft,ist die Website infiziert

Über dem Body steht script..... und dann die ausgeführte php-Datei.

h**p://shijone. com/public_html/1.php

Das Ding ist verschlüsseltes Javascript.

(beginnt mit

try(if(xUV='*' throw ner TypeError('%'

usw. und ganz viel verschlüsselte Zahlenkolonnen hinterher.

Das Ding hat sich irgendwie auf meinem Rechner eingenistet, dann heute morgen wollte ich rebooten, weil viele Programme nicht mehr starteten und beim Reboot hing der Rechner nach dem XP-Screen, Maus erscheint und es geht nicht mehr weiter.

Ich habe das heute Vormittag noch unter einer gesicherten Umgebung gestestet, was passiert, wenn ich die die URL im Browser aufrufe.

Es wird sofort der Task
AcroRd32.exe /o /eo /l

gestartet und der Computer rödelt.

Wird da eine Sicherheitslücke im Adobe Reader ausgenutzt?

Vor allem, warum startet der Rechner nicht mehr? Nach was muss ich suchen? Wie heißt das verdammte Ding überhaupt?

Herrje, zum Glück am Samstag das letzte Backup gezogen...


Vielen Dank für kleine Tipps!!!

Alt 14.10.2009, 15:44   #2
raman
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



Das sieht stark nach einem PDF Exploit aus. Ob und was durch dieses Exploit versucht wird auf deinen Rechner zu laden und was das "geladene" anrichtet, kann ich dir nicht sagen.

Aber wenn du noch ein Backup von Samstag hast, kannst du das ja zurueckspielen.

Falls du noch von der derzeitigen Installation noch Daten sichern musst, trenne den REchner vom Netz, starte ihn neu, schau, ob du den Taskmanager starten kannst und starte den explorer als neuen Task. Funktioniert der abgesicherte Modus noch?
__________________

__________________

Alt 14.10.2009, 15:47   #3
beatforge
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



Danke.

Das war ja genau das Problem. Im abgesicherten Modus ist der auch nicht mehr hochgefahren und eine Reparaturinstallation von Windows brachte auch nix.
__________________

Alt 14.10.2009, 15:52   #4
raman
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



Eine Reparaturinstallation ist in den meisten Faellen bei Malwarebefall sinnlos. Da du ein Backup(image?) von Samstag besitzt, spiel das wieder ein. Ansonsten kannst du den Rechner via livecd (BartPe/Linux) starten um wichtige Dinge zu speichern.
__________________
MfG Ralf

Alt 14.10.2009, 23:41   #5
WinUpGro
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



Ist hier was oberfaul?

Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya.

Da findet man nicht mal ein PDF.

Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut)

Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür.

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Viel Wind um nichts.


Alt 15.10.2009, 00:26   #6
handball10
/// Helfer-Team
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



Zitat:
Ist hier was oberfaul?

Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya.

Da findet man nicht mal ein PDF.

Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut)

Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür.

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Viel Wind um nichts.
Sehr viel

Ich hab das Script (man muss auch mal richtig schauen), mal decodieren lassen...
Und da ist so einiges Oberfaul, warum sollten Avira und Kaspersky sonst nicht bei dem encodierten Javascript aufschreien.

Das Script versuch u.A. mehrere ActiveX-Objekte zu laden und dann die möglichen Sicherheitslücken auszunutzen, in dem es extra Scripte oder Objekte nachlädt...

Weiter bin ich auch noch nicht...

Zitat:
Da findet man nicht mal ein PDF.
Was hat das denn damit zutun? Bei dem einen wird eine AcrobatReader-Lücke genutzt, bei dem nächsten wieder was anderes. Da muss nicht eine PDF-Datei verlinkt oder sonstiges sein.

Zu der Seite an sich:
Was mir an der Seite supekt ist, dass so gut wie alles auf Russisch ist, jedoch der Quelltext komplett in Deutsch dort steht...

Zitat:
Bei shjone.com/public_html/1.php kommt übrigens HTML 404.
Ist mir neu
Öffne es mal mit dem Editor, allerdings musst du noch ein http://www. vor die URL setzen, sonst wirds nichts.
Das Ergebnis ist ein tolles Javascript, was eine rießige Zeichenkette beinhaltet (ca 5900 Zeichen), welche verschlüsselt ist und anschließend decodiert wird. Das ist dann das eigentliche Schadscript.

Gruß
Handball10
__________________
--> Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader

Alt 15.10.2009, 06:00   #7
beatforge
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



@handball10:

vielen Dank für die kompetente Antwort.

@WinUpGro:

Gratulation zum verseuchten Rechner.

Alt 16.10.2009, 02:18   #8
WinUpGro
 
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Standard

Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader



Die russische Seite wird bei STRATO gehostet.

Da kommen ganz selbstverständlich Viren und Trojaner her, besonders wenn sogar angeblich Kaspersky darauf anschlägt.

Ich weiss nicht was Frickelfox meint, IE8 meint -> HTTP 404 und nicht ein Zeichen verschlüsseltes Javascript.

Selbst bei gleichzeitig geöffnetem Acrobat Professional passiert genau NIX.

Nur für Euch, die Webseite als PDF

Ich weiss nicht was das soll.

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2969
Windows 6.0.6002 Service Pack 2

16.10.2009 03:47:13
mbam-log-2009-10-16 (03-47-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 545236
Laufzeit: 27 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Geändert von WinUpGro (16.10.2009 um 02:56 Uhr) Grund: MBAM Log angehängt

Antwort

Themen zu Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader
acrobat, adobe, backup, browser, computer, geht nicht mehr, heute, infiziert, javascript, kleine, maus, morgen, nicht mehr, problem, programme, reader, rechner, samstag, sicherheitslücke, starte, suche, tipps, warum, website, überhaupt, öffnet




Ähnliche Themen: Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader


  1. Windows 7: Nach Installation von Acrobat Reader verweisen alle *.lnk-Dateien auf Acrobat Reader
    Plagegeister aller Art und deren Bekämpfung - 06.01.2015 (14)
  2. Adobe liefert Patches für Reader und Acrobat nach
    Nachrichten - 17.09.2014 (0)
  3. Adobe flickt Reader, Acrobat und RoboHelp
    Nachrichten - 09.10.2013 (0)
  4. Adobe schließt kritische Lücken in Reader und Acrobat
    Nachrichten - 11.04.2012 (0)
  5. Adobe warnt vor Zero-Day-Lücke in Reader und Acrobat
    Nachrichten - 07.12.2011 (0)
  6. Adobe schließt 14 Lücken in Reader und Acrobat
    Nachrichten - 14.09.2011 (0)
  7. Vorgezogene Updates für Adobe Reader und Acrobat X
    Nachrichten - 22.04.2011 (0)
  8. Adobe warnt vor Zero-Day-Lücke in Reader und Acrobat
    Nachrichten - 09.09.2010 (0)
  9. Kritische Lücken in Adobe Reader und Acrobat geschlossen
    Nachrichten - 20.08.2010 (0)
  10. Zero-Day-Lücke in Flash Player, Reader und Acrobat
    Nachrichten - 05.06.2010 (0)
  11. Sicherheits-Update für Adobe Reader und Acrobat verfügbar
    Nachrichten - 13.01.2010 (0)
  12. Angriffe auf ungepatche Lücke in Adobe Reader und Acrobat
    Nachrichten - 15.12.2009 (2)
  13. Adobe schließt Sicherheitslücken im PDF-Reader und in Acrobat
    Nachrichten - 14.10.2009 (0)
  14. Zero-Day-Lücke in Adobe Flash Player, Reader und Acrobat
    Nachrichten - 23.07.2009 (0)
  15. Dialer in Acrobat Reader Updater
    Plagegeister aller Art und deren Bekämpfung - 21.06.2007 (2)
  16. Acrobat Reader 7: ein trojanisches Pferd?
    Überwachung, Datenschutz und Spam - 02.04.2005 (0)
  17. Alternative zum Acrobat Reader?
    Alles rund um Windows - 07.05.2003 (2)

Zum Thema Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader - Hallo, ich habe ein Problem mit einem Virus/Wurm o.ä.: Wenn man z.B. h**p://*ww.dobrodeya .com aufruft,ist die Website infiziert Über dem Body steht script..... und dann die ausgeführte php-Datei. h**p://shijone. com/public_html/1.php - Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader...
Archiv
Du betrachtest: Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.