![]() |
|
Plagegeister aller Art und deren Bekämpfung: Was ist das genau? Javascript in einer Website, öffnet Acrobat ReaderWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader Hallo, ich habe ein Problem mit einem Virus/Wurm o.ä.: Wenn man z.B. h**p://*ww.dobrodeya .com aufruft,ist die Website infiziert Über dem Body steht script..... und dann die ausgeführte php-Datei. h**p://shijone. com/public_html/1.php Das Ding ist verschlüsseltes Javascript. (beginnt mit try(if(xUV='*' throw ner TypeError('%' usw. und ganz viel verschlüsselte Zahlenkolonnen hinterher. Das Ding hat sich irgendwie auf meinem Rechner eingenistet, dann heute morgen wollte ich rebooten, weil viele Programme nicht mehr starteten und beim Reboot hing der Rechner nach dem XP-Screen, Maus erscheint und es geht nicht mehr weiter. Ich habe das heute Vormittag noch unter einer gesicherten Umgebung gestestet, was passiert, wenn ich die die URL im Browser aufrufe. Es wird sofort der Task AcroRd32.exe /o /eo /l gestartet und der Computer rödelt. Wird da eine Sicherheitslücke im Adobe Reader ausgenutzt? Vor allem, warum startet der Rechner nicht mehr? Nach was muss ich suchen? Wie heißt das verdammte Ding überhaupt? Herrje, zum Glück am Samstag das letzte Backup gezogen... Vielen Dank für kleine Tipps!!! |
![]() | #2 |
![]() ![]() ![]() ![]() | ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader Das sieht stark nach einem PDF Exploit aus. Ob und was durch dieses Exploit versucht wird auf deinen Rechner zu laden und was das "geladene" anrichtet, kann ich dir nicht sagen.
__________________Aber wenn du noch ein Backup von Samstag hast, kannst du das ja zurueckspielen. Falls du noch von der derzeitigen Installation noch Daten sichern musst, trenne den REchner vom Netz, starte ihn neu, schau, ob du den Taskmanager starten kannst und starte den explorer als neuen Task. Funktioniert der abgesicherte Modus noch?
__________________ |
![]() | #3 |
| ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader Danke.
__________________Das war ja genau das Problem. Im abgesicherten Modus ist der auch nicht mehr hochgefahren und eine Reparaturinstallation von Windows brachte auch nix. |
![]() | #4 |
![]() ![]() ![]() ![]() | ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader Eine Reparaturinstallation ist in den meisten Faellen bei Malwarebefall sinnlos. Da du ein Backup(image?) von Samstag besitzt, spiel das wieder ein. Ansonsten kannst du den Rechner via livecd (BartPe/Linux) starten um wichtige Dinge zu speichern.
__________________ MfG Ralf |
![]() | #5 |
![]() ![]() ![]() | ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader Ist hier was oberfaul? Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya. Da findet man nicht mal ein PDF. Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut) Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür. Bei shjone.com/public_html/1.php kommt übrigens HTML 404. Viel Wind um nichts. |
![]() | #6 | |||
/// Helfer-Team ![]() ![]() ![]() ![]() ![]() | ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat ReaderZitat:
![]() Ich hab das Script (man muss auch mal richtig schauen), mal decodieren lassen... Und da ist so einiges Oberfaul, warum sollten Avira und Kaspersky sonst nicht bei dem encodierten Javascript aufschreien. Das Script versuch u.A. mehrere ActiveX-Objekte zu laden und dann die möglichen Sicherheitslücken auszunutzen, in dem es extra Scripte oder Objekte nachlädt... Weiter bin ich auch noch nicht... Zitat:
Zu der Seite an sich: Was mir an der Seite supekt ist, dass so gut wie alles auf Russisch ist, jedoch der Quelltext komplett in Deutsch dort steht... Zitat:
![]() Öffne es mal mit dem Editor, allerdings musst du noch ein http://www. vor die URL setzen, sonst wirds nichts. Das Ergebnis ist ein tolles Javascript, was eine rießige Zeichenkette beinhaltet (ca 5900 Zeichen), welche verschlüsselt ist und anschließend decodiert wird. Das ist dann das eigentliche Schadscript. Gruß Handball10
__________________ --> Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader |
![]() | #7 |
| ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader @handball10: vielen Dank für die kompetente Antwort. @WinUpGro: Gratulation zum verseuchten Rechner. |
![]() | #8 |
![]() ![]() ![]() | ![]() Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader Die russische Seite wird bei STRATO gehostet. Da kommen ganz selbstverständlich Viren und Trojaner her, besonders wenn sogar angeblich Kaspersky darauf anschlägt. Ich weiss nicht was Frickelfox meint, IE8 meint -> HTTP 404 und nicht ein Zeichen verschlüsseltes Javascript. Selbst bei gleichzeitig geöffnetem Acrobat Professional passiert genau NIX. Nur für Euch, die Webseite als PDF Ich weiss nicht was das soll. Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2969 Windows 6.0.6002 Service Pack 2 16.10.2009 03:47:13 mbam-log-2009-10-16 (03-47-13).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 545236 Laufzeit: 27 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von WinUpGro (16.10.2009 um 02:56 Uhr) Grund: MBAM Log angehängt |
![]() |
Themen zu Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader |
acrobat, adobe, backup, browser, computer, geht nicht mehr, heute, infiziert, javascript, kleine, maus, morgen, nicht mehr, problem, programme, reader, rechner, samstag, sicherheitslücke, starte, suche, tipps, warum, website, überhaupt, öffnet |