|
|
|
  |
|
|
|
Sehr geehrte Damen und Herren,
aus lauter Verzweiflung wende ich mich mit folgendem Problem an Sie, selbst mein Serveranbieter konnte mir nicht ausreichend zur Seite sehen.
Ich bin stolzer Besitzer folgender Homepage: http://www.murphy-on-tour.de.
Seit nunmehr mehr als drei Wochen kämpfe ich mit folgendem Problem, trotz der Tatsache das Kaspersky bei mir auf den Rechner (Festplatte) den oben genannten Trojaner nicht finden kann, erscheint dieser sobald ich die html-Dateien auf den Server spiele! Dieses hochladen habe ich mittlerweile zum dritten mal gemacht?
Mein Gästebuch habe ich extern verlinkt gehabt, habe sie jedoch aufgrund des Befundes gelöscht! Dachte ich doch zuerst, das jemand evtl. in dem Quellcode schreiben könnte!
Mittlerweile habe ich mich mehrfach verzweifelt an meinen Serveranbieter gewendet ohne Erfolg!
Ich habe persönlich, schon fast die Hoffnung aufgegeben die Homepage wieder Viren/Trojanerfrei zu bekommen!
Meine letzte Hoffnung sind Sie nun, was kann bzw.sollte ich noch versuchen?
Ist es möglich, das der Trojaner von außen eingeschleußt wird, wenn ja wie und was kann ich dagegen tun?
Liegt der Trojaner nun in meiner, dem Serveranbieter oder sogar dritten Schuld?
Wie kann ich meine Homepage vor Angriffen gegenüber dritten sicher machen?
Mit freundlichen Grüßen
Sebastian Möllering
|
|
30.05.2007 13:16 |
|
|
|
|
|
|
Hy Murphy,
hmm, ich vermute mal, dass Du die Seite komplett in HTML zusammengestrickt hast.
Oder ist da ein CMS hinter?
Bei den klassischen HTML Seiten, ist nix zu sehen.
Könnte Sich bei Dir auch um einen Fehlalarm handeln. Immerhin findet Dein Kaspersky ja auch nix.
Bitte arbeite Dich mal durch die generelle Vorgehensweise aus meiner Signatur, dann werden wir gugen 
Grüssle Heiko
__________________
• Viren Entfernung Anleitung
• automatische Systemwiederherstellung deaktivieren
|
|
|
30.05.2007 13:36 |
|
|
|
|
|
|
Logfile of HijackThis v1.99.1
Scan saved at 18:45:29, on 30.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Compal Electronics, INC\Wireless Select Switch\Wireless Select Switch.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\eMule\eMule.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\rundll32.exe
C:\unzipped\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CASS] C:\Programme\Compal Electronics, INC\Wireless Select Switch\Wireless Select Switch.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred Control) - file://C:\Programme\AutoCAD LT 2000i Deu\InstFred.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Share...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2000i Deu\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2000i Deu\AcPreview.ocx
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
|
|
|
30.05.2007 18:45 |
|
|
|
|
|
|
Hoffe damit helfen zu können!
|
|
|
30.05.2007 18:46 |
|
|
|
|
|
|
Huhu,
ich glaube, ich habe das gleiche Problem. Bei mir hat es ein Freund entdeckt, weil ich kein Kasperspy habe, sondern Spybot und Trend Micro PC-cillin.
Das ist meine Homepage: www.shampie.de
Bei mir ist es so, dass ich von meinem Vater Webspace bekommen habe. Als ich gemerkt habe, dass dort ständig ein Virus auftaucht, habe ich einfach meinen Ordner gelöscht und neu erstellt. Doch als ich alles erneut hochgeladen hatte, kam das gleiche wieder, sogar wenn ich nur eine html-Datei hochgeladen habe, in der ich nur Text geschrieben habe (nämlich, dass meine Seite off war, um das Problem zu beheben).
Deshalb hatte ich beschlossen alles noch einmal neu zumachen. Ich dachte auch, es würde funktionieren, doch ich habe mich anscheinend getäuscht.
Ich hoffe uns kann irgendjemand helfen!
Shampie
|
|
|
03.06.2007 02:16 |
|
|
|
|
|
|
Hi !
Was mich an dieser Stelle mal brennend interessieren würde :
Seid Ihr, bevor Ihr was an Euerer Website gemacht habt,
schon einmal über "Trojan-Downloader.JS.Agent.ep." gestolpert ?
Schlug Euer Antivirenprogramm irgendwann mal beim Surfen an ?
Ich war vor 2 Tagen auch im Netz unterwegs und stolperte über eine
infizierte Seite. Mein Kaspersky 6.0 fand in der betroffenen URL
ebenfalls "Trojan-Downloader.JS.Agent.ep.".
Da stand allerdings auch, daß der Zugriff von Kaspersky blockiert wurde.
Ein Scan meines PCs blieb ergebnislos.
Da ich auch eine eigene Website von diesem Rechner aus betreibe,
habe ich nun natürlich Angst, irgendwas an meiner Seite zu machen.
Ich habe auch den Kaspersky-Support angeschrieben und ihm
geschildert, was mir passiert ist.
Die Antwort kam heute und geschrieben wurde :
Hello.
New malicious software was found in the attached file.
Trojan-Downloader.JS.Agent.in
It's detection will be included in the next update. Thank you for your help.
this was really trojan,that downloads Trojan.Win32.Small.mi
Please quote all when answering. Do not forget to include you registration data.
------
Könnte es also rein theoretisch sein, daß doch was auf dem PC ist,
obwohl kaspersky nix findet ? Einfach, weil das Ding noch zu unbekannt ist ?
Dunkle Grüße 
Melle ^v^
__________________
Ich bin ein schwarzes Wesen
aus dem Wilden Südwesten,
das gern die Nacht zum Tage macht.
Carpe Noctem !
|
|
|
13.06.2007 16:44 |
|
|
|
|
|
|
Hy Melle,
jepp, genau so ist es. Antivirenprogramme werden deshalb auch dannach beurteilt, wie schnell die auf eine neue Bedrohung reagieren.
| Zitat: |
| Da stand allerdings auch, daß der Zugriff von Kaspersky blockiert wurde. |
Nun, Du gibst Dir die Antwort schon selbst. "hat den Zugriff blockiert" soll heissen, es ist nix schädliches zu Dir durchgedrungen. Warum sollte ein anschliessender Scan auch was finden, wenn das vorher schon gar nicht erst zu Dir durch gedrungen ist
Grüssle Heiko
__________________
• Viren Entfernung Anleitung
• automatische Systemwiederherstellung deaktivieren
|
|
|
13.06.2007 19:25 |
|
|
|
|
|
|
Weil mir sowas schon passiert ist.
Da stand damals auch, der Zugriff wurde blockiert,
das Dingens war dann aber trotzdem auch auf meinem PC.
__________________
Ich bin ein schwarzes Wesen
aus dem Wilden Südwesten,
das gern die Nacht zum Tage macht.
Carpe Noctem !
|
|
|
13.06.2007 19:51 |
|
|
|
|
|
|
Das ist dann doppelt ärgerlich, denn viele User verlassen sich blind auf den eigenen Scanner.
Das ist aber auch so nicht ok, denn das Denken kann die Software nicht übernehmen.
Viele dieser kleinen Plagegeister "verstecken" sich gern in den temporären Datei-Inhalten und versuchen sich von da aus immer selbst zu starten, wenn auch das Betriebssystem gestartet wird.
Grüssle Heiko
__________________
• Viren Entfernung Anleitung
• automatische Systemwiederherstellung deaktivieren
|
|
|
13.06.2007 20:11 |
|
|
|
|
|
|
Naja - das Ding, das damals auf meinem PC landete,
wurde von Kaspersky aber auch erkannt ( sonst hätte ich davon ja nix gewußt ).
Ich hab vorhin erst wieder einen Scan gemacht. Nichts.
Aber keine Ahnung, wie schnell neue Virendefinitionen im Schnitt
ins System von Kaspersky eingespeist werden.
Offenbar ist dieser Trojaner hier ja schon was Neues -
er soll sich auch auf den Seiten von Data-Becker eingenistet haben,
hab ich heute in einem anderen Forum gelesen...
__________________
Ich bin ein schwarzes Wesen
aus dem Wilden Südwesten,
das gern die Nacht zum Tage macht.
Carpe Noctem !
|
|
|
13.06.2007 20:24 |
|
|
|
|
|
|
|
