Hello @ All.

ich habe mir über eine offizielle Seite einer Hundeschule-Website (die ich vor zwei Jahren mit Joomla selbst programmiert habe) einen Trojaner eingefangen und der macht Probleme. Ich beschreibe mein Problem von Anfang an...

Vorab zur Info:
Diese Website wurde gehackt. Die nötigen Joomla-Sicherheitsanweisungen habe ich alle befolgt (Website komplett gelöscht, Datenbank gelöscht, alles neu aufgesetzt, Sicherheitslücken geschlossen, Passwörter alle geändert, Systemupdate gemacht, usw...).

Was macht der Trojaner/Virus?
Wenn du auf die Homepage über deinen Browser gehst (hxxp://www.hundeschule-breitenlee.at) passiert nichts, es bleibt alles ganz normal. Jetzt sucht man aber über google.at nach "Hundeschule Breitenlee", kommt man wieder auf Google. Sobald du wieder über den Browser auf die Website gelangen willst, kommst du trotzdem wieder auf die Google Seite. Daher habe ich die Homepage komplett gelöscht und bin nach den Sicherheitsangaben von Joomla vorgegangen.

Jetzt zum PC
Jetzt habe ich aber einen Trojaner am PC. Die Problem besteht über Google nach wie vor und der Trojaner lässt sich am PC nicht wirklich finden.
Habe die Software "Malwarebytes Anti Malware" mehrmals durchsuchen lassen und mit dem "CCleaner" mal alles entfernt, aber keine Hinweise.
Plötzlich springt das "Malwarebytes - Fenster" auf nachdem ich auf die Website der Hundeschule gehen wollte und es steht folgendes:

Zitat:

2012/08/02 21:38:47 +0200 MARS phillip IP-BLOCK 37.221.161.3 (Type: outgoing, Port: 60303, Process: firefox.exe)

Danach bin ich auf eine polnische Seite gekommen die sich sofort wieder geschlossen hat.

Etwas hat Malwarebytes gefunden (weis aber nicht, ob das zusammenhängt, denn mein Problem besteht nach wie vor)

Zitat:

atenbank Version: v2012.07.01.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
phillip :: MARS [Administrator]

01.07.2012 18:47:43
mbam-log-2012-07-01 (18-47-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394622
Laufzeit: 12 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\phillip\AppData\Roaming\svchost (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\RECYCLER\S-1-5-18\Dc6\C_Users\phillip\AppData\Local\Temp\0_0u_l.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\07012012_170054\C_Users\phillip\AppData\Local\Temp\0_0u_l.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\phillip\AppData\Roaming\cglogs.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Wie gesagt, ich kenn ich mit diesem Thema nicht wirklich aus, vielleicht finde ich hier ja hilfe oder einen Tipp, welches Programm hier abhilfe schaffen kann. Hab angst um meine Passwörter, Bankdaten usw...

Wenn ihr einen gutgeschützten PC habt, könnt ihr das über Google gerne ausprobieren.

Vielen Dank für die Hilfe
Phil

ich schau mal, hast du noch nen backup der infizierten files?
auf dem pc ist außerdem noch n backdoor

danke dir!!! backup hab ich nicht mehr, da ich vor lauter "angst" alles gelöscht habe. außer es gibt über "Malwarebytes" irgendwo einen Backup-Knopf zum rauszippen? wahrscheinlich nicht...

hi
erstelle mir mal ein backup der momentanen website, evtl. auch der datenbank falls möglich, und lads mir bei
File-Upload.net - Ihr kostenloser File Hoster!
hoch, du verteilst im moment malware, wenn das erledigt ist, nimm die page offline

könnt nen rootkit sein was du da verteilst, ich guck mal

Ja, wobei alles geändert wurde und neu aufgesetzt.
Habe auch schon beim hoster nachgefragt... da ist nichts auffälliges bei den Logfiles (FTP-Logs, usw... ) zu erkennen.

hier der link zum download:
GELÖSCHT
Ach ja, hast du das mit Google schon probiert und nach der Seite gesucht? Passiert wahrscheinlich jetzt auch noch nach dem Site-Update oder?

link nicht hier im forum posten.
ja man bekommt beim ersten mal nen backdoor, also muss mit der seite was sein

lusstig, deine page ists nicht, da ist eher der ganze server gehackt

hmmmm... das is blöd.
wobei das komischerweise - bis auf diese Hundeschule-Seite - keine Seite betrifft. Also bei Google gibt's keine Probleme, nur bei der Hundeschule.
Blöde Frage mal...
Wenn ich jetzt mal den ganzen Server runter saug, hättest du einen Tipp für mich, nach welcher Datei / verlinkung oder Endung ich suchen muss in einem Quelltext oder so?

Das wird wohl eine Suche nach der Nad im Heuhaufen werden oder? *gg*
Danke dir für die Hilfe...

nein, alle seiten die auf der ip:
178.77.80.201
liegen sind betroffen
unteranderem deine, aber noch 30 andere.
dein hoster ist auch nicht grad dafür bekannt, schnell zu reagieren, aber mal gucken

Danke für die Info )

hab grad mit dem Hoster telefoniert. Es gäbe nichts auffälliges.
Lediglich ein Hinweis, dass eine meiner Seiten gehackt wurde (das ist jetzt schon zwei Monte her und die ist mittlerweile komplett gelöscht). Er meinte, es kann sein, dass das vl. noch "Nachwirkungen" sind.
Das Problem mit Google bezeichnet er so, dass Google daran Schuld ist und kein Trojaner... na ja.
Danke dir für die Hilfe, ich saug grad den ganzen Server runter und suche mal. Das mit Google versteh ich halt wirklich nicht.

lg

das ist blödsinn, alle seiten dort sind betroffen
sind das denn deine seiten alle?
ist das ne service nummer oder ne kostenlose telefon nummer?

nö, die bieten hier kostenlosen 24/h Support an und der hat sich das angeblich alles angesehen... aber richtige Techniker sind erst ab 9 Uhr wieder da.

ja, alles meine Seiten. Hab mir hier mal einen virtuellen Server genommen.
Aber alles schon mal gesichert.

Ach ja, zu dem Thema gibt es viele Antworten von Google selbst:

Zitat:

hxxp://productforums.google.com/forum/#!searchin/webmaster-de/Referers/webmaster-de/h0UXCKkjsyw/ji2Ki89AguQJ

oder hier mal auch so eine Art lösungsansatz... aber ich komm nicht drauf, wo das sein soll:

Zitat:

hxxp://www.rexswain.com/cgi-bin/httpview.cgi?url=hxxp://cofitnes.ru/mimosa%3F5&uag=Mozilla/5.0+%28Windows+NT+6.1%3B+WOW64%3B+rv:14.0%29+Gecko/20100101+Firefox/14.0.1&ref=google.de&aen=&req=GET&ver=1.1&fmt=TXT

na ja, alles einfach löschen will ich ehrlich gesagt auch nicht *g*...

naja, aber willst du das sich leute infizieren? deine seiten verteilen wie gesagt malware
poste mir mal die namen deiner seite.
nicht die links

Werde sie dann eh offline nehmen aber muss jetzt noch paar sachen überprüfen und einiges auszuschließen, außerdem lädt der server noch runter...

Naja z.b.:
Minime Kindermoden
Claudia Stöckl
Hundeschule Breitenlee
TV akademie . (österreich endung)
Nails in the city