Servus!

Lang langem Kampf muss ich mich doch hier anmelden.

Hatte mir den Media Shift(ing) Virus eingefangen.
Habe einige Anleitungen hier im Board durchgemacht, das wären Scans mit:

- Malwarebytes
- Spyware Terminator
- Super AntiSpyware

Sowie Scan mit Avira Rescue über Linux-Boot-CD.

Seitdem tut sich in Sachen selbständigem Browser etc nichts mehr, scheint alles erledigt zu sein.
Passwörter über mein iPad hab ich auch geändert. Da Onlinebanking hab ich meine Bank informiert.

Nun wollte ich heute unsere Firmenhomepage erweitern (Joomla 1.6.6, 1und1 Webspace) und da fällt mir auf, dass die Vorschaufunktion nicht klappt, also die Seite / Fronend läd eeeeewig.

Nach langem rumgegoogle wollte ich mal in die index.php schaun, kaum runtergeladen springt der Avira Guard an:

Index.php - PHP/Botloader.B

Da ich eine gezippe Backup-index.php hatte, hab ich die vom Server gelöscht und die "saubere" hochgeladen.

Was mir gleich aufgefallen ist:

Auf der Platte ist die index.php 1.444 Bytes groß, sobald hochgeladen ändert sich die Größe auf 1.389 Bytes.
Inwiefern das jetzt was damit zu tun hat kann ich nicht sagen.

Jedenfalls nach dem Austausch der Dateien lief die Homepage wieder superflott.

Nach einer Stunde ungefähr lad ich die index.php testweise nochmal runter und zack geht Avira wieder an.

Selbe Meldung wie oben - Index.php - PHP/Botloader.B

FTP Passwörter + Joomla Login Passwörter alles vom iPad gewechselt und nicht am PC eingegeben.
Daher kann es doch nur sein, dass irgendwo auf dem Webspace ein Schädling sitzt, der meine index.php konstant umbaut?

Bitte um Hilfe, sowas hab ich echt noch nicht erlebt.


*edit

Berechtigung hab ich jetzt mal auf 444 read only gesetzt.

Kleiner Nachtrag:

Es sind noch mehr index.php Dateien befallen.
Ich habe die komplette Page runtergeladen und durchgescannt.
Jetzt kann man die Pfade der verseuchten Dateien sehen.

Also ab auf den Webspace:
Alle befallenen index.php gelöscht und durch saubere Dateien aus meinem Backup ersetzt.
Berechtigung auf 444.

Seitdem geht die Seite wieder ab wie eine Rakete.
Hab gerade mal die index.php wieder runtergeladen, Avira ist nicht angesprungen.
Ich werde das weiter beobachten.

Jetzt ist aber die Frage ... wie kommt sowas auf meinen Server? Da wurden doch meine Login Daten geloggt oder liege ich falsch?

Könnten noch Kontroll-Programme auf meinem PC versteckt sein? Wie kann ich das sicher überprüfen?

Danke

Bin mal mit OTL drübergegangen.

Dateien im Anhang.

Werde nicht schlau aus den Logs, kann das mal ein Experte analysieren? Gibts es noch Probleme?

Bin kurz davor, dass System plattzumachen

So Homepage läuft noch flink und am PC geht auch keine Meldung mehr auf.

Was mich aber beunruhigt ist, dass Kunden angerufen haben deren PC nach Homepagebesuch infiziert worden ist. War vor ein paar Tagen.
Nach meinem Fix sind wir mit 3-4 verschiedenen PCs drauf und alles problemlos. Online Homepage Check auch ok, 1und1 hat auch geprüft, Goggle Check auch ok.
Müsste doch alles passen oder?

Kann jmd dennoch bitte einen Tip geben wie ich feststelle, dass mein PC 100%ig sauber ist?

Malwarebytes + Avira + OTL bin ich mehrmals mit Vollscans drüber, 0 Funde.

Also kann ich beruhigt sein?

Zur Gewissensberuhigung format c: und nochmal alle Passwörter geändert, Thema erledigt