Liebe Leute!

Fassungslos sitze ich vor meinem PC und sehe wie alle meine Websites gesperrt wurden da sie als attackiert gelten.
Ich habe einen Trojaner der anscheinend auf alle Joomla-Seiten zugegriffen hat.

Nachdem ich diese Webseiten alle beim gleichen Host am gleichen Server habe sind sie alle attackiert.
Dieses Ding setzt auf alle .html dateien unten ein script dran und damit hat man nur noch Fehlermeldungen. Bei Joomla hat man viele Ordner mit vielen Dateien und ich sitze hier und es ist wie wenn ...die Welt untergeht.
Betroffen sind 5 verschiedene Pages.

Es ist: Trojan.Script.Iframer

Einige Leute hatten dies hier ja auch schon gemeldet - aber ich habe keine Antworten gefunden die auf eine Lösung hindeuten?

Was kann bzw. soll ich tun, rumheulen hilft ja leider auch nicht weiter.
lg
Purple

hast du Joomla auch immer aktuell gehalten? falls nein, könnte es daran liegen.
wobei benötigst du genau hilfe, beim aufspüren?
dann poste mal den link.
aber nicht klickbar (hxxp)

hilfe beim retten meiner pages bräuchte ich
ich kann jetzt nicht mehr genau sagen wann ich da überall das letzte mal geupdatet hab

h**p://www.hagazussa.tv
h**p://www.heidenarbeit.at
h**p://www.psychosozial.net

da gibt es noch subdomains und noch weitere 3 - megaseufz

danke
lg
Purple

1. bei websites ist es nicht anders wie bei pcs, updates müssen sofort eingespielt werden. überleg mal, je mehr besucher du hast, desto mehr verantwortung trägst du doch, dass sie deine web auftritte gefahrlos betreten können.
hast du backups die du zurückspielen kannst?

hi natürlich hab ich keine gescheiten backups weil ich leider nicht verstanden hatte das ich natürlich diese datenbanken speichern muss und die ordner im ftp ohne dem nutzlos sind

ich bin eben nur ein user und weiß nicht mehr weiter
ich habe begonnen pages zu löschen, datenbank löschen usw. habe es neu aufgesetzt und nach 1 stunde hat google die seite wieder gesperrt weil was drauf war
ich hab keinen schimmer wo ich suchen soll und was ich machen soll

alle 7 pages löschen an denen ich seit jahren arbeite ist einfach schlimm

wie finde ich heraus wo die sicherheitslücke genau ist?

ist der trojaner oder was das ist einfach weg wenn ich alle seiten lösche und mühsam alle homepages neu mache?

lg
purple

schau dir mal ganz oben das java script an
das muss auf jeden fall raus.

dann durchsuche mal alle pages nach diesem script bzw ähnlichen und lösche sie.
dann update Joomla und alles sonstige und bringe die pages noch mal online, vorher alle zugangsdaten endern! also passwörter.

also ich habe begonnen in den ordnern überall dieses script zu löschen
aber in joomla gibt es viele ordner mit vilen dateien und gestern nacht habe ich nach 5 stunden aufgehört, in allen .html dateien ist es drinen und in allen default.php und noch in einigen anderen.

dann habe ich wie gesagt eine neue datenbank angelegt, neues joomla drauf gegeben und wollte eine der seiten die gerade am wichigsten ist neu installieren - gleich wieder gesperrt worden obwohl ich noch nichtmal die installation durchgeführt habe

lg
purple

diese google sperrung wird nicht sofort aufgehoben denke ich...
nunja, dass du alles per hand löschen musst... will nicht herzlos klingen, aber hättest du nen backup...
will mal deinen pc ansehen.

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

die eine datei war zu gross - hoffe das zip geht auf

dankeschön

lg
purple

adware sehe ich.

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 15:18:40
mbam-log-2011-02-05 (15-18-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159428
Laufzeit: 6 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> 3460 -> No action taken.

Infizierte Speichermodule:
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> No action taken.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 15:27:32
mbam-log-2011-02-05 (15-27-32).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159773
Laufzeit: 4 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully.

meine gute, ich sprach von einem vollständigem, also komplett scan :-)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 17:37:34
mbam-log-2011-02-05 (17-37-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 347794
Laufzeit: 1 Stunde(n), 40 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\Users\administrator\AppData\Roaming\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

sieht für mich alles ok aus.