Done!

Das ist das Ergebnis:

All processes killed
========== OTL ==========
C:\Windows\System32\drivers\APPFLTR.CFG.bck moved successfully.
C:\Windows\System32\drivers\APPFLTR.CFG moved successfully.
C:\Windows\System32\drivers\etc\IdsFlt.cfg.bck moved successfully.
C:\Windows\System32\drivers\etc\IdsFlt.cfg moved successfully.
C:\Windows\System32\drivers\etc\NetFlt.cfg.bck moved successfully.
C:\Windows\System32\drivers\etc\NetFlt.cfg moved successfully.
C:\Windows\System32\drivers\etc\DsaFlt.cfg.bck moved successfully.
C:\Windows\System32\drivers\etc\DsaFlt.cfg moved successfully.
C:\Windows\System32\drivers\etc\DsaFlt.rls.bck moved successfully.
C:\Windows\System32\drivers\etc\DsaFlt.rls moved successfully.
C:\Windows\System32\drivers\etc\NetLoc.wlt.bck moved successfully.
C:\Windows\System32\drivers\etc\NetLoc.wlt moved successfully.
C:\ProgramData\nvModes.dat moved successfully.
C:\Windows\System32\drivers\etc\NetAR.wlt.bck moved successfully.
C:\Windows\System32\drivers\etc\NetAR.wlt moved successfully.
C:\Users\PM\AppData\Roaming\qvjsge.dat moved successfully.
C:\Windows\System32\drivers\woshknxc.sys moved successfully.
C:\Users\PM\AppData\Roaming\fbknso.dat moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41661 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: PM
->Temp folder emptied: 633027531 bytes
->Temporary Internet Files folder emptied: 364458300 bytes
->Java cache emptied: 3178573 bytes
->FireFox cache emptied: 59563890 bytes
->Flash cache emptied: 95336 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3003680 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 80996329 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33239 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 31498157 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.121,00 mb


OTL by OldTimer - Version 3.2.4.1 log created on 05122010_085043

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Noch was,

ein Freund hat mir gesagt das der Trojaner auf meiner Website liegen würde.

wxw.investorsadvice.de

könnt Ihr da mal sehen ob das stimmt!?

Zitat:

Zitat von bredoinv

Noch was,

ein Freund hat mir gesagt das der Trojaner auf meiner Website liegen würde.

wxw.investorsadvice.de

könnt Ihr da mal sehen ob das stimmt!?

Also ich kann die Seite nicht aufrufen?

Hast du die vom Netz genommen?
Das wäre sehr vernünftig falls du den Verdacht hast es könnte sich darauf ein Schäding befinden!

Auch wenn cosinus wie immer gute Arbeitet leistet würde ich so oder so dringend empfehlen den Rechner wie auch die Webpage komplett neu zu machen.

Also alles formatieren und Neuaufsetzen denn grade wenn das wirklich eine gezielte Attacke gewesen sein sollte dann musst du extrem vorsichtig sein!

Um die Uhrzeit hatte Denic ein "kleines" DNS-Problem und wenn, dann würde ich die ganze Website neu machen (aus sicherer Quelle neu übertragen, vorher per FTP alles leeren) und nicht nur eine Seite.

Unter Umständen (je nach dem) schafft aber schon ein Blick via FTP auf Datum und Uhrzeit und/oder auf ungewöhnliche Dateien Klarheit. (natürlich nur im Falle eines Eingriffs.)

Moin zusammen,

das mit dem vom Netz nehmen war ja schon beantwortet, schon der Hammer das einfach mal das Netz "ausfällt".

Aktuell habe ich die Seite noch nicht vom Netz genommen, ich habe die Seite gerade gestartet und wieder eine komische Nachricht bekommen.

hxxp://img208.imageshack.us/img208/9139/unabletoaccessjarfile.jpg

Was soll das für ein jar file sein was er jetzt plötzlich nicht mehr aufrufen kann?

Wenn es ein Problem mit der Seite gibt, dann wenn man die Admin Seite aufruft, da habe ich auch immer die Windows Defender Warnung bekommen.

Bevor ich alles neu aufsetze würde ich gerne wissen ob die Seite tatsächlich irgendwie infiltriert ist.

Wie macht mann denn die Seite platt? Einfach mit Filezilla alles löschen oder muss man noch irgendwie desinfizieren?

Was meinen Rechner angeht werde ich die vorige Prozedur ganz einfach nach ein paar Tagen nochmal machen, sind dann wieder Trojaner drauf mach ich den Rechner platt.

Übrigens schon mal vielen Dank für Eure Hilfe bis hierher.

Habt ihr denn auf der hochgeladenen Anlage was gefunden?

Zitat:

Zitat von bredoinv

Was soll das für ein jar file sein was er jetzt plötzlich nicht mehr aufrufen kann?

Woher sollen wir dies wissen?
Aber eine .jar-Datei ist (wie du wohl weißt) eine Java-Datei, die Benennung 001 wenig aufschlussreich, aber auch deshalb durchaus schon suspekt. Die IP-Adresse gehört nach Rumänien.
Also ist von harmlos eher weniger auszugehen, außer du hättest da Verbindungen.

Zitat:

Zitat von bredoinv

Wenn es ein Problem mit der Seite gibt, dann wenn man die Admin Seite aufruft, da habe ich auch immer die Windows Defender Warnung bekommen.

Was für eine Admin-Seite? Wordpress? Oder login.1&1

Zitat:

Zitat von bredoinv

Bevor ich alles neu aufsetze würde ich gerne wissen ob die Seite tatsächlich irgendwie infiltriert ist.

Ist schwer zu sagen - vorallem nicht ob sie NICHT infiltriert ist. Hast du schon mal einen Blick draufgeworfen (wie gestern beschreiben)

Zitat:

Zitat von bredoinv

Wie macht mann denn die Seite platt? Einfach mit Filezilla alles löschen oder muss man noch irgendwie desinfizieren?

Wenn man davon ausgeht dass der 1&1-Server an sich sauber wäre, alles löschen, aber sicherheitshalber vorher in den FileZilla-Optionen anwählen "alles anzeigen erzwingen" (sinngemäß)
Unbedingt auch neues und starkes Passwort erstellen und nutzen, am besten auch neuen FTP-Nutzer und alten löschen.
Alles aber NUR von einem sauberen PC aus.
Nachtrag: Es mag aber sein, dass da einiges von 1&1 schon an Ordner vorhanden ist oder auch nicht. Ich kenne da natürlich dein Webhostingpaket nicht und kann da keine wirkliche Info geben, ob irgendwas bleiben müsste bzw. nur durch 1&1 neu erstellt werden kann und was deine Website aber braucht.
In der Regel sind solche (anbieterseitigen) Dateien und Verzeichnisse aber "außerhalb" - je nach Vertrag

Aaah, ok, Rumänien, nee da kenn ich niemand, alles klar, ganz sicher ist das irgendein Angriff.

Admin Wordpress habe ich gemeint, sorry.

Aber offensichtlich passiert schon was wenn man nur die Seite aufruft.
Irgendwas versucht also mit Java an irgendeine IP in Rumänien Kontakt aufzunehmen. Ich hab auch Bedenken das mit Java was nicht stimmt, derzeit habe ich eine Update-Meldung Meldung von Java!!!

Man wird richtig schizo wenn man so einen Dreck auf dem Rechner hat.

Ich würde ja so gerne nachweisen woher das kommt :-). Vielleicht tue ich den Herren ja unrecht und hab mir den Mist selbst eingefangen.

Da hast Du natürlich recht, es ist schwer nachzuweisen das NICHTS mehr da ist, da dies wenig wahrscheinlich ist, das nicht doch irgendwo was schlummert gibt es nur die eine Möglichkeit, platt machen!

Ich hab eine ganz normales Webhosting-Paket, das ist absolut nix drauf, das Wordpress Paket lädt man hoch und es funzt. Ich werd mich aber nochmal erkundigen bei 1und1.