Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Script.Iframer (https://www.trojaner-board.de/95397-trojan-script-iframer.html)

LadyPurple 04.02.2011 19:43

Trojan.Script.Iframer
 
Liebe Leute!

Fassungslos sitze ich vor meinem PC und sehe wie alle meine Websites gesperrt wurden da sie als attackiert gelten.
Ich habe einen Trojaner der anscheinend auf alle Joomla-Seiten zugegriffen hat.

Nachdem ich diese Webseiten alle beim gleichen Host am gleichen Server habe sind sie alle attackiert.
Dieses Ding setzt auf alle .html dateien unten ein script dran und damit hat man nur noch Fehlermeldungen. Bei Joomla hat man viele Ordner mit vielen Dateien und ich sitze hier und es ist wie wenn ...die Welt untergeht.
Betroffen sind 5 verschiedene Pages.

Es ist: Trojan.Script.Iframer

Einige Leute hatten dies hier ja auch schon gemeldet - aber ich habe keine Antworten gefunden die auf eine Lösung hindeuten?

Was kann bzw. soll ich tun, rumheulen hilft ja leider auch nicht weiter.
lg
Purple

markusg 04.02.2011 20:11

hast du Joomla auch immer aktuell gehalten? falls nein, könnte es daran liegen.
wobei benötigst du genau hilfe, beim aufspüren?
dann poste mal den link.
aber nicht klickbar (hxxp)

LadyPurple 04.02.2011 20:22

hilfe beim retten meiner pages bräuchte ich
ich kann jetzt nicht mehr genau sagen wann ich da überall das letzte mal geupdatet hab

h**p://www.hagazussa.tv
h**p://www.heidenarbeit.at
h**p://www.psychosozial.net

da gibt es noch subdomains und noch weitere 3 - megaseufz

danke
lg
Purple

markusg 05.02.2011 11:58

1. bei websites ist es nicht anders wie bei pcs, updates müssen sofort eingespielt werden. überleg mal, je mehr besucher du hast, desto mehr verantwortung trägst du doch, dass sie deine web auftritte gefahrlos betreten können.
hast du backups die du zurückspielen kannst?

LadyPurple 05.02.2011 12:09

hi natürlich hab ich keine gescheiten backups weil ich leider nicht verstanden hatte das ich natürlich diese datenbanken speichern muss und die ordner im ftp ohne dem nutzlos sind

ich bin eben nur ein user und weiß nicht mehr weiter
ich habe begonnen pages zu löschen, datenbank löschen usw. habe es neu aufgesetzt und nach 1 stunde hat google die seite wieder gesperrt weil was drauf war
ich hab keinen schimmer wo ich suchen soll und was ich machen soll

alle 7 pages löschen an denen ich seit jahren arbeite ist einfach schlimm

wie finde ich heraus wo die sicherheitslücke genau ist?

ist der trojaner oder was das ist einfach weg wenn ich alle seiten lösche und mühsam alle homepages neu mache?

lg
purple

markusg 05.02.2011 12:16

schau dir mal ganz oben das java script an
das muss auf jeden fall raus.

dann durchsuche mal alle pages nach diesem script bzw ähnlichen und lösche sie.
dann update Joomla und alles sonstige und bringe die pages noch mal online, vorher alle zugangsdaten endern! also passwörter.

LadyPurple 05.02.2011 12:25

also ich habe begonnen in den ordnern überall dieses script zu löschen
aber in joomla gibt es viele ordner mit vilen dateien und gestern nacht habe ich nach 5 stunden aufgehört, in allen .html dateien ist es drinen und in allen default.php und noch in einigen anderen.

dann habe ich wie gesagt eine neue datenbank angelegt, neues joomla drauf gegeben und wollte eine der seiten die gerade am wichigsten ist neu installieren - gleich wieder gesperrt worden obwohl ich noch nichtmal die installation durchgeführt habe

lg
purple

markusg 05.02.2011 12:30

diese google sperrung wird nicht sofort aufgehoben denke ich...
nunja, dass du alles per hand löschen musst... will nicht herzlos klingen, aber hättest du nen backup...
will mal deinen pc ansehen.

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

LadyPurple 05.02.2011 12:56

die eine datei war zu gross - hoffe das zip geht auf

dankeschön

lg
purple

markusg 05.02.2011 14:05

adware sehe ich.

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

LadyPurple 05.02.2011 15:21

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 15:18:40
mbam-log-2011-02-05 (15-18-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159428
Laufzeit: 6 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> 3460 -> No action taken.

Infizierte Speichermodule:
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> No action taken.

LadyPurple 05.02.2011 15:28

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 15:27:32
mbam-log-2011-02-05 (15-27-32).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159773
Laufzeit: 4 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully.

markusg 05.02.2011 15:42

meine gute, ich sprach von einem vollständigem, also komplett scan :-)

LadyPurple 05.02.2011 17:39

hier ist es
 
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 17:37:34
mbam-log-2011-02-05 (17-37-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 347794
Laufzeit: 1 Stunde(n), 40 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\Users\administrator\AppData\Roaming\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

markusg 05.02.2011 17:41

sieht für mich alles ok aus.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131