|
Trojan.Script.Iframer Liebe Leute! Fassungslos sitze ich vor meinem PC und sehe wie alle meine Websites gesperrt wurden da sie als attackiert gelten. Ich habe einen Trojaner der anscheinend auf alle Joomla-Seiten zugegriffen hat. Nachdem ich diese Webseiten alle beim gleichen Host am gleichen Server habe sind sie alle attackiert. Dieses Ding setzt auf alle .html dateien unten ein script dran und damit hat man nur noch Fehlermeldungen. Bei Joomla hat man viele Ordner mit vielen Dateien und ich sitze hier und es ist wie wenn ...die Welt untergeht. Betroffen sind 5 verschiedene Pages. Es ist: Trojan.Script.Iframer Einige Leute hatten dies hier ja auch schon gemeldet - aber ich habe keine Antworten gefunden die auf eine Lösung hindeuten? Was kann bzw. soll ich tun, rumheulen hilft ja leider auch nicht weiter. lg Purple |
hast du Joomla auch immer aktuell gehalten? falls nein, könnte es daran liegen. wobei benötigst du genau hilfe, beim aufspüren? dann poste mal den link. aber nicht klickbar (hxxp) |
hilfe beim retten meiner pages bräuchte ich ich kann jetzt nicht mehr genau sagen wann ich da überall das letzte mal geupdatet hab h**p://www.hagazussa.tv h**p://www.heidenarbeit.at h**p://www.psychosozial.net da gibt es noch subdomains und noch weitere 3 - megaseufz danke lg Purple |
1. bei websites ist es nicht anders wie bei pcs, updates müssen sofort eingespielt werden. überleg mal, je mehr besucher du hast, desto mehr verantwortung trägst du doch, dass sie deine web auftritte gefahrlos betreten können. hast du backups die du zurückspielen kannst? |
hi natürlich hab ich keine gescheiten backups weil ich leider nicht verstanden hatte das ich natürlich diese datenbanken speichern muss und die ordner im ftp ohne dem nutzlos sind ich bin eben nur ein user und weiß nicht mehr weiter ich habe begonnen pages zu löschen, datenbank löschen usw. habe es neu aufgesetzt und nach 1 stunde hat google die seite wieder gesperrt weil was drauf war ich hab keinen schimmer wo ich suchen soll und was ich machen soll alle 7 pages löschen an denen ich seit jahren arbeite ist einfach schlimm wie finde ich heraus wo die sicherheitslücke genau ist? ist der trojaner oder was das ist einfach weg wenn ich alle seiten lösche und mühsam alle homepages neu mache? lg purple |
schau dir mal ganz oben das java script an das muss auf jeden fall raus. dann durchsuche mal alle pages nach diesem script bzw ähnlichen und lösche sie. dann update Joomla und alles sonstige und bringe die pages noch mal online, vorher alle zugangsdaten endern! also passwörter. |
also ich habe begonnen in den ordnern überall dieses script zu löschen aber in joomla gibt es viele ordner mit vilen dateien und gestern nacht habe ich nach 5 stunden aufgehört, in allen .html dateien ist es drinen und in allen default.php und noch in einigen anderen. dann habe ich wie gesagt eine neue datenbank angelegt, neues joomla drauf gegeben und wollte eine der seiten die gerade am wichigsten ist neu installieren - gleich wieder gesperrt worden obwohl ich noch nichtmal die installation durchgeführt habe lg purple |
diese google sperrung wird nicht sofort aufgehoben denke ich... nunja, dass du alles per hand löschen musst... will nicht herzlos klingen, aber hättest du nen backup... will mal deinen pc ansehen. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt |
die eine datei war zu gross - hoffe das zip geht auf dankeschön lg purple |
adware sehe ich. download malwarebytes: Malwarebytes instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. |
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5683 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18882 05.02.2011 15:18:40 mbam-log-2011-02-05 (15-18-04).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 159428 Laufzeit: 6 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> 3460 -> No action taken. Infizierte Speichermodule: c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> No action taken. HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> No action taken. HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> No action taken. HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> No action taken. c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken. c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> No action taken. |
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5683 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18882 05.02.2011 15:27:32 mbam-log-2011-02-05 (15-27-32).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 159773 Laufzeit: 4 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully. |
meine gute, ich sprach von einem vollständigem, also komplett scan :-) |
hier ist es Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5683 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18882 05.02.2011 17:37:34 mbam-log-2011-02-05 (17-37-34).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|) Durchsuchte Objekte: 347794 Laufzeit: 1 Stunde(n), 40 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully. c:\Users\administrator\AppData\Roaming\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully. |
sieht für mich alles ok aus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board