Hallo,
Ich habe folgendes Problem: Ein Besucher meiner Webseite hat sich dort einen Trojaner eingehandelt. Wenn man sich den Quelltext auf der Index-Seite ansieht, kann man sehen, dass sich dort an unteren Ende ein neuer Link befindet. Ich habe alles vom Server genommen und neu draufgespielt, aber das Problem kommt immer wieder, sobald ich den Rechner neu hochfahre.

Ich habe schon alle möglichen Scanner über das System laufen lassen (ESET, Malwarebytes, Avira etc.), aber es wird nichts gefunden. Ich habe Norton Internet Security 2010, aber auch hier wird beim scannen nichts gefunden. Gehe ich auf meine eigene Webseite, bekomme ich von Norton folgende Warnung: Risiko HTTP Bredolab Executable Download :koch:
und der Angriff kam von der acrobat.exe auf C:
Reicht es aus, wenn ich den Acrobat 7.0 neu draufziehe oder was kann ich machen, um den Trojaner endlich loszuwerden?

Vielen Dank vorab.

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo cosinus,

vielen Dank für die schnelle Antwort. Die Liste habe ich abgearbeitet und den Logfile findest Du http://www.file-upload.net/download-2261312/log.txt.html.

Habe inzwischen den Acrobat 7 neu installiert und alle FTP-Passwörter gewechselt.

yopet

Das Logfile von Malwarebytes fehlt, bitte nachreichen.

Hallo cosinus,

Malwarebytes-Logfile hänge ich hier an:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3724
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.02.2010 09:22:57
mbam-log-2010-02-16 (09-22-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|J:\|)
Durchsuchte Objekte: 280844
Laufzeit: 1 hour(s), 29 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß yopet

Die Signaturen von malwarebytes sind veraltet, Du musst vor jedem Scan Malwarebytes aktualisieren. Bitte updaten und den Vollscan wiederholen.

Sorry, hier ist der neue Scan:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3746
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.02.2010 16:48:50
mbam-log-2010-02-16 (16-48-50).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|J:\|)
Durchsuchte Objekte: 282900
Laufzeit: 53 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß
yopet

Sieht aus, als wäre Dein Rechner nicht das Problem. Wie ist Deine Seite aufgebaut, welchen HTTP-Server verwendet es usw. , vllt. noch alte verwundbare Versionen?

Die Seiten sind bei 1und1 gehostet. Habe gestern und heute reingeschaut, war diesmal aber nichts Auffälliges zu finden. Ich habe ja die Warnung bekommen, dass der Angriff über den alten Acrobat 7.0 erfolgt. Nachdem ich den neu installiert und Updates dafür geladen hatte, ist ja scheinbar Ruhe. Kanns daran gelegen haben?
Ich würde das Ganze gern beobachten und dann noch mal posten, wenn ich wieder ein Problem habe, ist das ok?
Erst einmal vielen Dank dafür, dass Du Dir die Logfiles angeschaut hast, ist ja schon mal beruhigend zu wissen, dass da nix ist.

Grüße
yopet

Möglich isses. Acrobat 7 ist schon etwas älter und Adobe hat da auch ein aus meiner Sicht sehr fragwürdiges Konzept bzgl. Updateintervalle und Featuritis. Ist das der "volle" Acrobat oder nur der Reader?

Ich habe den Acrobat Professional. Aber bis vorgestern war es so, dass jedesmal, wenn ich meine Webseiten aufgerufen habe, schon der Link zu irgeneiner russischen Webseite angezeigt wurde und sich auch direkt in den Quelltext geschrieben hatte. Ich plage mich schon seit Dezember mit dem Trojaner rum, habe alle möglichen Scanner und Knoppicilin drüberlaufen lassen (manchmal wurde was gefunden, oft nicht). Na ja, und seit ich den Acrobat ausgestauscht habe, scheint ja Ruhe zu sein ... hoffentlich bleibts so. Ich kanns kaum glauben.

Grüße
yopet

Nicht selten ist eine Neuinstallation schneller als tage- oder wochenlanges Herumdoktorn, v.a. wenn man mit dem Bereinigen keine Erfahrung hat :rolleyes:

Bevor Du wirklich alles plattmachst und neu installierst, könntest Du nochmal bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich bin selbstständig und im Augenblick darauf angewiesen, einen funktionierenden Rechner zu haben. Du hast recht, bevor ich noch weiter herumprobiere, werde ich am WE das System neu aufsetzen. Dann bin ich hoffentlich den ganzen Spuk endgültig los.
Übrigens hatte ich den Rechner schon 2 x zum Durchchecken bei meinem Service-Kundendienst (großer Laden!) und ihn jedesmal zurückbekommen mit der Nachricht, es wären keine Trojaner oder sonstiges zu finden.

Danke erst mal ganz herzlich für die Tipps und die Hilfe.

Gruß yopet