Hallo, Besucher der Thread wurde 43221 aufgerufen und enthält 24 Antworten

letzter Beitrag von willihund ()

Viren- oder Firewallmeldung

1. offizieller Beitrag
    • Offizieller Beitrag

    Hallo liebe Forenmitglieder und Leser!


    Nachdem jetzt 2 Forenmitglieder Hinweise zu Virenmeldungen und Firewallblockierungen nach dem Besuch von Pilzforum.at gemeldet haben, bin ich auf der Suche nach dem Fehler oder Eindringling.


    Eine Meldung ging in die Richtung "Trojan-Downloader.JS.Iframe.cnr", allerdings half mir Tante Google nicht weiter, auch meine lokal installierte Software erkannte nichts.


    Ich habe jetzt 2 Iframes mit automatisch generierter Amazonwerbung entfernt, darauf enthalten waren Pilzbücher. Google Adsense würde ich eher ausschließen.


    Ich bitte um weitere sachdienliche Hinweise.


    Vielen Dank und liebe Grüße, Jürgen

    "Sorgfältig muß man wahrnehmen, daß nicht giftige P. unter die zu genießenden kommen, indem sonst der Genuß für die Gesundheit höchst nachtheilige Folgen haben, ja selbst den Tod bringen kann.", Pierer's Universal-Lexikon, Band 13. Altenburg 1861, S. 137-138

    Hallo Jürgen,



    Ich gehöre auch zu den Geschädigten:


    - Innerhalb der letzten 3/4 Tagen (so auch bei diesem Aufruf) bekam ich mehrfach (aber nicht bei jedem Aufruf!!!) eine Viren-Meldung oder Warnung, dass Java "Schad-Software" entdeckt hat.


    ---> Der Schaden lässt sich einfach beschreiben:


    (1) Beim ersten Auftreten habe ich die "Schadsoftware in Quarantäne" geschickt und nach einer sofortigen Komplett-Überprüfung mit "ANTIVIR" 6 weitere "Schadprogramme" identifiziert und eliminiert.
    ---> Super, ich durfte danach mein "OPEN OFFICE" neu installieren.


    (2) Bei den "Java"-Meldungen habe ich wie empfohlen, die entdeckte "Schad-SW" blockiert.
    ---> Macht nix: in 3 von 4 Fällen durfte ich nur zur Übung (nicht als Bestrafung) OPEN OFFICE neu installieren


    (3) Und Gestern beim Einschalten des Computers hat sich Windows beim Hochlaufen (auch bei der Option "letzte bekannte fehlerfreie Konfiguration") verabschieden und nur über einen Start mit "Minimal-Konfiguration" gelang es mir, den Rechner zu reanimieren.


    ---> Schau einmal in die Anlage. Da zeige ich meinen letzten Fehlerreport. Evtl. bringt dich das weiter.
    ----------------------


    Und jetzt hoffe ich, dass es mir beim nächsten Einschalten erneut gelingt, meinen Rechner hochzufahren


    ---> Schick mir eine Mail am meine Email-Adresse (solltest du kennen), wenn das Problem beseitigt ist. Zwischenzeitlich lege ich eine Pause ein.


    Viel Erfolg beim Beseitigen des Problems wünscht dir
    Gerd


    Nachtrag:


    - Anhang aus Sicherheitsgründen entfernt.

    Ich mache nur Bestimmungsvorschläge ohne Freigabe für Speisezwecke!!!

    Einmal editiert, zuletzt von Gerd (†) ()

    • Offizieller Beitrag

    Oje, Gerd, ich entschuldige mich präventiv für alle entstandenen Mühen, Schäden und Unannehmlichkeiten.
    Deiner Logdatei kann ich nichts brauchbares entnehmen, sie besagt, dass dein Java nicht mehr ausgeführt werden konnte. Waru, kann ich nicht sagen.
    Ich kann mir den Umstand leider noch immer nicht erklären, habe mit der neuen Version von der Kaufversion "Avira Internet Security 2012" auch eine ganz gute und aktuelle Vien- und Firewall Software, leider zeigt diese nichts an.
    Liebe Grüße einstweilen, Jürgen

    • Offizieller Beitrag

    Ich habe Pilzforum.at jetzt mit den Google Webmaster-Tools und mit http://www.urlvoid.com überprüfen lassen, beide Versuche zeigten keine schädliche Software oder Viren auf dem Forum.
    Liebe Grüße, Jürgen

    • Offizieller Beitrag

    Ich hab jetzt auch noch Google Adsense entfernt. Hat das irgendetwas gebracht?
    LG Jürgen

    Hallo Jürgen,


    ich hatte jetzt erst einmal keine Meldung mehr zu verzeichnen. Wenn ich von Gerds Problemen lese kommen böse Erinnerungen an meinen Datencrash am vergangen WE hervor. Ich konnte meinen Rechner weder normal noch im abgesicherten Zustand wieder hochfahren und auch kein Backup mehr aufspielen, da die primäre Partition C völlig verschwunden war. Um den Rechner zu retten musste ich die komplette Festplatte formatieren, was einen riesigen Datenverlusst hervorrief und mich wieder daran erinnert hat, wöchentlich eine Datensicherung durchzuführen.


    Jetzt ergibt diese ganze Sache vielleicht sogar einen Sinn, der mir bisher verborgen geblieben ist. Seit meiner Systemneuinstallation benutze ich nicht mehr Kaspersky CBE Internet-Security sondern eine etwas kostenintensivere Software.


    Ich werde diese Sache weiter beobachten.


    VG Willihund

    Hallo Jürgen,


    Zitat von juergenhold


    Ich hab jetzt auch noch Google Adsense entfernt. Hat das irgendetwas gebracht?


    - Kann ich noch nicht endgültig beurteilen, da ich auch vorher nur sporadisch Fehlermeldungen bekam.
    ---> Und wenn, dann bekam ich diese Java-Fehlermeldung immer als direkte Antwort auf einen Forenaufruf und konnte nach Blockade der "Schad-SW" normal im Forum agieren.
    -----------


    Aber immerhin:


    - Ich habe mich zwischenzeitlich (Gestern/Heute) viermal im Forum ohne Fehlermeldung angemeldet.
    -----------------


    Davor hatte ich nach wenigen vorangegangenen fehlerfreien Anmeldungen die schon beschriebene JAVA-Meldung und die Schad-SW blockiert.
    - Eine direkt darauf erfolgte Systemüberprüfung durch ANTIVIR brachte folgende Fehlermeldung und habe diese SW in Quaranräne geschickt:



    - Ausschalten, Neustart (nach einer kleinen Pause) und eine erneute Sysremüberprüfung mit ANTIVIR war ok.


    - Auch ein darauf folgender Versuch einen Fehler zu produzieren (Email senden/empfangen; Forenaktivierungen (ohne dieses Forum), Internetrecherche, OpenOffice-Programme) mit anschließender erneuten Systemüberprüfung waren ok. unf fehlerfrei.
    -----------------


    Evtl. bringt dich das weiter.



    Grüße
    Gerd

    Ich mache nur Bestimmungsvorschläge ohne Freigabe für Speisezwecke!!!

    Einmal editiert, zuletzt von Gerd (†) ()

    • Offizieller Beitrag

    Hallo, Danke Gerd. Dein Screenshot veranlasste mich nochmals die Datenbank und alle Dateien durchzusuchen.
    Jetzt habe ich auch den nichteinmal aktiven JCE Editor deinstalliert, das einzige Plugin, welches eventuell noch mit iFrames arbeiten würde.
    Jetzt sollte das Wort iFrame außer in diesem Thread nicht mehr vorkommen.
    Ich hoffe einmal, das damit diese leidige Sache aus der Welt geräumt wurde.
    Bei allen infizierten Rechnern empfehle ich außerdem einen Systemscan im abgesicherten Modus. Den startet man, indem man beim Rechnerstart die Taste F8 drückt, am besten ab dem Einschalten immer wieder, dann kann man den Zeitpunkt nicht verpassen. Mit den Pfeiltasten wählt man eben den Menüpunkt aus, bestätigt mit Enter. Dann meldet man sich mit seinem Benutzer an, bestätigt die Meldung des abgesiicherten Moduses mit OK und startet die entsprechende Virensoftware und macht einen kompletten Scan.


    Liebe Grüße, Jürgen

    Hallo Jürgen,


    Jetzt, hast du vermutlich die "Kuh vom Eis gezerrt".


    ---> Scheint zwischenzeitlich so, dass diese lästigen Fehlermeldungen bei mir nicht mehr auftauchen.


    Danke
    Gerd,


    ---> der zwischenzeitlich ohne "Adrenalin-Ausstoß" das Forum aufruft

    Ich mache nur Bestimmungsvorschläge ohne Freigabe für Speisezwecke!!!

    • Offizieller Beitrag

    Leider hat mich heute Harry informiert, dass er noch immer nicht ins Forum kommt. Angehängt seine Fehlermeldung, hat irgendwer weiterführende Infos? Ich habe auch bei einem Experten angefragt ...
    Liebe Grüße, Jürgen

    • Offizieller Beitrag

    ... und noch ein Versuch zur Bereinigung: Contaxe Textlayer-Werbung entfernt.
    Jetzt ist aber Ruhe, oder?


    LG Jürgen

    • Offizieller Beitrag

    Danke, ja ich hab dort auch schon gestöbert.


    Mein Tipp lautet jetzt aber mit hoher Wahrscheinlichkeit wirklich auf die Contaxe Adlayer, dazu habe ich in Verbindung mit Virenmeldungen eine ganze Menge Hinwiese gefunden. zB http://www.ulf-theis.de/allgem…ei-kaspersky-is-2010.html


    Geht mir schön langsam wirklich auf die Nerven. Wenn es aber so ist, kann ich wenigsten beruhigt sein, dass mit Sicherheit keiner geschädigt wurde, und auch in mein Forum kein wirklicher Einbruch war.


    Liebe Grüße, Jürgen

    Zitat von juergenhold


    ... und noch ein Versuch zur Bereinigung: Contaxe Textlayer-Werbung entfernt.
    Jetzt ist aber Ruhe, oder?


    LG Jürgen


    - Na ja, ich hatte am 22.10. und 26.10. bei Aufruf Fehlermeldungen.


    - Beim letzen Aufruf hat zuerst ANTIVIR (Object: uebani[1].js; Fund: EXP/CVE-2010-4452.D) und dann erst kam eine JAVA-Meldung.


    ---> Die noch laufende Systemüberprüfung mit ANTIVIR zeigt derzeit 8 Schadprogramme.


    Grüße
    Gerd


    PS.:
    - So langsam werde ich nervös, und werde vorerst das Forum nicht mehr aufrufen.


    ---> Schick mir einmal eine Email mit "unverschlüsselten Absender-/Empfänger-Adressen" an mich.

    Ich mache nur Bestimmungsvorschläge ohne Freigabe für Speisezwecke!!!

    • Offizieller Beitrag
    Zitat von Gerd


    ---> Schick mir einmal eine Email mit "unverschlüsselten Absender-/Empfänger-Adressen" an mich.


    Erledigt, lG Jürgen

    Hallo Jürgen,


    Zitat von juergenhold

    Erledigt, lG Jürgen


    - Danke, jetzt kann ich dir außerhalb des Forums EMails mit Anhängen senden.


    - Meine Systemüberprüfung läuft noch. Das Endergebnis (z.Z. 8 Meldungen) sende ich dir dann per Email zu.


    Grüße
    Gerd


    PS.:
    - Da ich bisher immer nur Fehlermeldungen beim Forenaufruf bekam, werde ich jetzt in den nächsten Tagen


    (a) das Forum nicht verlassen
    (b) meinen Laptop nicht ausschalten


    ---> Ich hoffe, dass ich nicht per Zeitschranke aus dem Forum geworfen werde und sich bestätigt, dass die Fehlermeldung nur beim Aufruf zuschlägt.

    Ich mache nur Bestimmungsvorschläge ohne Freigabe für Speisezwecke!!!

    Einmal editiert, zuletzt von Gerd (†) ()

    • Offizieller Beitrag

    hallo meine lieben...


    ich möchte hier nicht auf großer experte machen - zumindest was
    harrys meldung betrifft ist da ein dicker wurm drinnen


    http://board.gulli.com/thread/…pt-iframer-virus-was-nun/


    http://forum.kaspersky.com/index.php?showtopic=100254


    http://www.trojaner-board.de/7…rojan-script-iframer.html


    http://forum.computerbild.de/s…meiner-website_81796.html


    http://www.hijackthis-forum.de…rojan-script-iframer.html


    mit Malwarebytes und HijackThis habe ich gute erfahrungen


    mein rat wäre dennoch die daten sichern und format C


    liebe grüße carter

    • Offizieller Beitrag

    Heute ist mir der endgültige Durchbruch gelungen, ja ´bei mir wurde eingedrungen, zwei Indexdateien und die showthreat.php waren infiziert und verändert. Ich habe sie durch Originaldateien ersetzt.
    Wahrscheinlich liegt es an der Forensoftware, ich glaube weniger daran, dass mein FTP Zugang gehackt worden ist, diesen habe ich aber natürlich auch geändert.
    Zu Denken gibt mir, dass ausschließlich Kaspersky Internet Security die Malware erkannt, ok beim Gerd auch die Gratisversion vom AVira. Aber ich hatte bis jetzt zwei verschiedene Schutzsysteme installiert, und trotzdem wurde nichts angezeigt.
    Ich habe bereits umgesattelt ...
    Sollten in der Zukunft wieder Angriffe und Infizierungen vorkommen, hoffe ich bessere und schneller reagieren zu können. Ausschließen kann ich leider solche Dinge wohl nicht mehr. Dann allerdings auch alle MyBB Forenbetreiber ...


    Zur weiteren Info der Schadsoftware laut Kaspersky: Backdoor.PHP.Small.br wurde gefunden, allerdings hatte ich dann nicht mehr die Möglichkeit die Dateien miteinander zu vergleichen, da sie blockiert und gelöscht worden sind.


    Liebe Grüße, Jürgen

    Hallo Jürgen,


    Symantec Endpoint Prodection hat sie auch sofort erkannt und gar nicht erst auf den Rechner gelassen (sofort blockiert). Leider hatte ich auf dem infizierten nur Kaspersky CBE 10 installiert und der hat nichts entdeckt:huh:, obwohl der ja mir Kaspersky Internet Security 2010 identisch sein soll.


    Ich habe heute abend keinerlei Meldung erhalten, vielleicht hat es ja gefunzt.


    VG Willihund

    • Offizieller Beitrag
    Zitat von willihund


    Ich habe heute abend keinerlei Meldung erhalten, ...


    ... und das freut mich.


    Ich hab jetzt Kaspersky Internet Security 2012 und kann nichts über die Version 2010 sagen.


    Liebe Grüße, Jürgen

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und genieße unser Forum werbefrei!

Benutzerkonto erstellen Anmelden