Hallo,

ich habe ein Problem mit einem Virus/Wurm o.ä.:

Wenn man z.B.
h**p://*ww.dobrodeya .com

aufruft,ist die Website infiziert

Über dem Body steht script..... und dann die ausgeführte php-Datei.

h**p://shijone. com/public_html/1.php

Das Ding ist verschlüsseltes Javascript.

(beginnt mit

try(if(xUV='*' throw ner TypeError('%'

usw. und ganz viel verschlüsselte Zahlenkolonnen hinterher.

Das Ding hat sich irgendwie auf meinem Rechner eingenistet, dann heute morgen wollte ich rebooten, weil viele Programme nicht mehr starteten und beim Reboot hing der Rechner nach dem XP-Screen, Maus erscheint und es geht nicht mehr weiter.

Ich habe das heute Vormittag noch unter einer gesicherten Umgebung gestestet, was passiert, wenn ich die die URL im Browser aufrufe.

Es wird sofort der Task
AcroRd32.exe /o /eo /l

gestartet und der Computer rödelt.

Wird da eine Sicherheitslücke im Adobe Reader ausgenutzt?

Vor allem, warum startet der Rechner nicht mehr? Nach was muss ich suchen? Wie heißt das verdammte Ding überhaupt?

Herrje, zum Glück am Samstag das letzte Backup gezogen...


Vielen Dank für kleine Tipps!!!

Das sieht stark nach einem PDF Exploit aus. Ob und was durch dieses Exploit versucht wird auf deinen Rechner zu laden und was das "geladene" anrichtet, kann ich dir nicht sagen.

Aber wenn du noch ein Backup von Samstag hast, kannst du das ja zurueckspielen.

Falls du noch von der derzeitigen Installation noch Daten sichern musst, trenne den REchner vom Netz, starte ihn neu, schau, ob du den Taskmanager starten kannst und starte den explorer als neuen Task. Funktioniert der abgesicherte Modus noch?

Danke.

Das war ja genau das Problem. Im abgesicherten Modus ist der auch nicht mehr hochgefahren und eine Reparaturinstallation von Windows brachte auch nix.

Eine Reparaturinstallation ist in den meisten Faellen bei Malwarebefall sinnlos. Da du ein Backup(image?) von Samstag besitzt, spiel das wieder ein. Ansonsten kannst du den Rechner via livecd (BartPe/Linux) starten um wichtige Dinge zu speichern.

Ist hier was oberfaul?

Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya.

Da findet man nicht mal ein PDF.

Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut)

Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür.

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Viel Wind um nichts.

Zitat:

Ist hier was oberfaul?

Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya.

Da findet man nicht mal ein PDF.

Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut)

Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür.

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Viel Wind um nichts.

Sehr viel

Ich hab das Script (man muss auch mal richtig schauen), mal decodieren lassen...
Und da ist so einiges Oberfaul, warum sollten Avira und Kaspersky sonst nicht bei dem encodierten Javascript aufschreien.

Das Script versuch u.A. mehrere ActiveX-Objekte zu laden und dann die möglichen Sicherheitslücken auszunutzen, in dem es extra Scripte oder Objekte nachlädt...

Weiter bin ich auch noch nicht...

Zitat:

Da findet man nicht mal ein PDF.

Was hat das denn damit zutun? Bei dem einen wird eine AcrobatReader-Lücke genutzt, bei dem nächsten wieder was anderes. Da muss nicht eine PDF-Datei verlinkt oder sonstiges sein.

Zu der Seite an sich:
Was mir an der Seite supekt ist, dass so gut wie alles auf Russisch ist, jedoch der Quelltext komplett in Deutsch dort steht...

Zitat:

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Ist mir neu
Öffne es mal mit dem Editor, allerdings musst du noch ein http://www. vor die URL setzen, sonst wirds nichts.
Das Ergebnis ist ein tolles Javascript, was eine rießige Zeichenkette beinhaltet (ca 5900 Zeichen), welche verschlüsselt ist und anschließend decodiert wird. Das ist dann das eigentliche Schadscript.

Gruß
Handball10

@handball10:

vielen Dank für die kompetente Antwort.

@WinUpGro:

Gratulation zum verseuchten Rechner.

Die russische Seite wird bei STRATO gehostet.

Da kommen ganz selbstverständlich Viren und Trojaner her, besonders wenn sogar angeblich Kaspersky darauf anschlägt.

Ich weiss nicht was Frickelfox meint, IE8 meint -> HTTP 404 und nicht ein Zeichen verschlüsseltes Javascript.

Selbst bei gleichzeitig geöffnetem Acrobat Professional passiert genau NIX.

Nur für Euch, die Webseite als PDF

Ich weiss nicht was das soll.

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2969
Windows 6.0.6002 Service Pack 2

16.10.2009 03:47:13
mbam-log-2009-10-16 (03-47-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 545236
Laufzeit: 27 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)