Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   JS/Blacole.KH.3 auf hompage vom schachverein gefunden. (https://www.trojaner-board.de/131815-js-blacole-kh-3-hompage-schachverein-gefunden.html)

looser 04.03.2013 22:24
JS/Blacole.KH.3 auf hompage vom schachverein gefunden.
 
Hallo liebe Helfer,

ich habe die Pflege der Homepage unseres Schachvereins "www.Schachfreunde Sasel.de" zeitweilig zusammen mit einem anderen Mitgleid übernommen. Wir haben seit Anfang des Jahres das Problem das wir eine Malware auf der Hompage haben. Beim aufrufen der Seite wird sofort Avira aktiv und meldet einen Fund " JS/ Blacole.KH.3" wurde gefunden. Das passierte nicht nur bei uns, sondern auch bei anderen Mitgliedern. Darauf hin habe ich mich im Netz schlau gemacht und erfahren das es sich wohl um exploit malware handelt. Diese kommt meist über Gästebücher. Daraufhin habe ich das Gästebuch dichtgemacht,
beide PC´s mit malwarebytes durchsucht und nichts gefunden.

Dann in Quarantäne Ordner von Avira den PFAD verfolgt, die Malware tauchte im Cache auf.

Also Cache gelöscht ,dann cc-Cleaner runtergeladen und alle temporären Dateien gelöscht überflüssige Datein und Programme gelöscht registry bereinigt.

Die homepage gelöscht und neu installiert. Das ganze hat eine Woche gehalten, dann war das Problem wieder da. :killpc:

Im Anhang habe ich die txt-Dateien von den Punkten 1-3 für hilfesuchende.

Ich hoffe Ihr könnt mir hefen. Danke im vorraus.

markusg 04.03.2013 22:25
hi, nutzt ihr ein cms (wordpress) zb, wenn ja welche Version?

looser 04.03.2013 22:29
nein, erstellt über nvu

markusg 04.03.2013 22:30
hattet ihr passwörter geändert?

looser 04.03.2013 22:34
nein noch nicht weil ich nicht der Ersteller bin, die Seite ist schon etwas älter und wir sind gerade am forschen, wer die erstellt hat.

Ich weis das ich 2 befallene Dateien auf dem Rechner habe, was mich wundert ist das sie nicht erkannt werden.

markusg 05.03.2013 19:47
wieso kannst du auf der seite inhalte löschen aber nicht das passwort ändern, dass muss dir doch dann bekannt sein...?

looser 06.03.2013 07:40
Ja das ist mir bekannt, das ist aber nur das PW für die Bearbeitung. Wenn ich es ändern will fragt der Server nach einer Mail-Adresse, und wenn ich meine eingebe sagt es, dass es die falsche Mail-Adresse ist.

markusg 06.03.2013 17:39
schon mal mit dem hoster auseinander gesetzt, eine Bereinigung der seite macht nich so viel sinn, wenn das passwort gleich bleibt.

looser 06.03.2013 21:33
Hatte ich auch schon versucht , die konnten aber auch nicht helfen, vielleicht sollte ich mal mit stilllegen drohen.

markusg 08.03.2013 20:55
hmm ist ja deine Seite, von ner stillegung währst ja nur du betroffen
ich würd überlegen, einfach ne leere index seite zu setzen und dann einfach ne andere domain zu nutzen.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

looser 13.03.2013 07:01
Das könnte ich mal ausprobieren mit der anderen Domain, auf jeden Fall hab ich den Webersteller mal gemailt.

Otl- Bericht steht schon oben, als Zip-Datei.

markusg 13.03.2013 18:38
hi,
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131