Hallo zusammen!

Meine Mutter hat vor ein paar Minuten auf ihrem PC ein ActiveX Script auf der Seite des ISB Bayern ausgeführt. (w*w.isb.bayern.de)

Das Script befindet sich auf folgender Seite:

h**p://taskiranzafer.sitemynet.com/ramazan.htm

und ist in die Seite eingebaut als folgendes Skript:

Code: Alles auswählenAufklappen

ATTFilter

<script>document.location="h**p://taskiranzafer.sitemynet.com/ramazan.htm"</script>
         

Könnt Ihr mir sagen wie ich auf dem PC weiter vorgehen kann? Er ist vom Netz getrennt.

An wen kann ich bzw sollte ich das ganze noch melden?

Gruß!

die Seite ist defaced worden und mit einem Bidlchen und einem Song versehen worden.
Die Seite solltes bis zur Behebung nicht besucht werden, hier kann alles eingepflanzt werden.
Nachricht an webmaster@bayern.de (eine habe ich grade geschickt)

Zitat:

Zitat von BataAlexander

die Seite ist defaced worden und mit einem Bidlchen und einem Song versehen worden.

Das heisst für mich? Kein Virus kein Trojaner? Wie sicher ist das ganze. Kenn mich nicht wirklich aus und müsste schon sicher gehen bevor ich ihr Online Banking und weitere Späße erlaube.

Gruß!

Schädlingsbefall kann man nicht ausschließen. V.a. dann nicht wenn ihr noch einen älteren IE benutzt hab.
Besser wäre ein alternativer Browser wie Firefox oder Opera im eingeschränkten Benutzerkonto.

Poste doch mal ein Hijackthis-Logfile von der kiste.

Zitat:

Zitat von cosinus

Schädlingsbefall kann man nicht ausschließen. V.a. dann nicht wenn ihr noch einen älteren IE benutzt hab.
Besser wäre ein alternativer Browser wie Firefox oder Opera im eingeschränkten Benutzerkonto.

Poste doch mal ein Hijackthis-Logfile von der kiste.

Es ist der aktuelle IE auf dem Rechner installiert (und ja sie sollte FF benutzen, aber wie es halt so ist mit den Damen ) und alle Win Sicherheitsupdates und ein Kaspersky Virenscanner.

Hijackthis Logfile folgt!

Gruß und Danke schonmal für die Hilfe!

Für Dich besteht bisher keine Gefährdung.
Bisher weil der Eindringling bis zur Beitigung des Problems Zugriff auf den Server hat und beliebiges Nachladen lassen kann.
Im Quelltext der Seite ist bisher nichts für Dich gefährliches zu finden.
Der Hack ist bisher auch nur eine Weiterleitung mittels document.location Java Weiche, ohne Java solltes es nicht funktionieren)kann ich aber grad nicht prüfen).

Edit: Mit ohne Java wird die Seite normal dargestellt, trotzdem erstmal nicht besuchen!

----------
Zur Info

Zitat:

<html>

<head>
<meta http-equiv="Content-Language" content="tr">
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1254">
<title>..::Hayýrlý Ramazanlar::..</title>
</head>

<body>

<p align="center">
<object id="aba_MediaPlayer0" height="2" width="1" classid="CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6" align="middle"><br />
<param NAME="rate" value="1"><br />
<param NAME="balance" value="0"><br />
<param NAME="currentPosition" value="0"><br />
<param NAME="defaultFrame" value><br />
<param NAME="playCount" value="99"><br />
<param NAME="autoStart" value="-1"><br />
<param NAME="currentMarker" value="0"><br />
<param NAME="invokeURLs" value="-1"><br />
<param NAME="baseURL" value><br />
<param NAME="volume" value="92"><br />
<param NAME="mute" value="0"><br />
<param NAME="uiMode" value="invisible"><br />
<param NAME="stretchToFit" value="-1"><br />
<param NAME="windowlessVideo" value="0"><br />
<param NAME="enabled" value="-1"><br />
<param NAME="enableContextMenu" value="0"><br />
<param NAME="fullScreen" value="0"><br />
<param NAME="SAMIStyle" value><br />
<param NAME="SAMILang" value><br />
<param NAME="SAMIFilename" value><br />
<param NAME="captioningID" value><br />
<param name="URL" value="http://indexarsivi.web1000.com/vah.MP3" ref><br />
<param name="enableErrorDialogs" value="0"><br />
<param name="_cx" value="370"><br />
<param name="_cy" value="370">
<br />
<br />
<EMBED TYPE="application/x-mplayer2" <br />
<br />
NAME="aba_MediaPlayer"><br />
<br />
</EMBED></object></p>

<p align="center">
&nbsp;</p>

<p align="center">
<img border="0" src="ramazan.jpg" width="700" height="458"></p>

</body>
<script language=JavaScript>
<!--

//Disable right click script III- By Renigade (renigade@mediaone.net)
//For full source code, visit Dynamic Drive DHTML(dynamic html) & JavaScript code library

var message="";
///////////////////////////////////
function clickIE() {if (document.all) {(message);return false;}}
function clickNS(e) {if
(document.layers||(document.getElementById&&!document.all)) {
if (e.which==2||e.which==3) {(message);return false;}}}
if (document.layers)
{document.captureEvents(Event.MOUSEDOWN);document.onmousedown=clickNS;}
else{document.onmouseup=clickNS;document.oncontextmenu=clickIE;}

document.oncontextmenu=new Function("return false")
// -->
</script>

</html>

So hier das Logfile:

ubuntuusers - No Paste Service

Zitat:

Bisher weil der Eindringling bis zur Beitigung des Problems Zugriff auf den Server hat und beliebiges Nachladen lassen kann.
Im Quelltext der Seite ist bisher nichts für Dich gefährliches zu finden.

Naja wie gehe ich nun am besten vor? Cache löschen? Und ansonsten was kann ich noch tun? (außer die Seite natürlich nicht mehr aufrufen)

Gruß!

Du musst nicht tun, gar nichts ist am besten
Im Ernst, die Seite ist keine Gefahr, es wurden keine Dateien nachgeladen. Den Cache kannst Du löschen, Dein HJT Log ist clean, bis auf ein kleines Java Update.

Zitat:

Zitat von BataAlexander

Du musst nicht tun, gar nichts ist am besten
Im Ernst, die Seite ist keine Gefahr, es wurden keine Dateien nachgeladen. Den Cache kannst Du löschen, Dein HJT Log ist clean, bis auf ein kleines Java Update.

Super! Das höre ich gerne. Ich hätte keine Lust auf formatieren oder ähnliche Späße gehabt. Nun hat sie endlich das eingeschränkte Benutzerkonto und den FF aktzeptiert. Naja vielleicht bring ich sie irgendwann ja zu Ubuntu. (o.ä)