Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: komisches meldung bei homepage

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.03.2008, 14:35   #1
funky chicke
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



hallo und frohes osterfest.... mehr oder weniger ^^

als ich heute meine internetseite aufrufen wollte (liegt bei strato) kam follgende weiterleitung, nachdem meine seite vollständig aufgebaut wurde

ht*p://yafid.cn/mm/

leere seite mit diesem text "Sorry! You IP is blocked."

[schnipp]

weiss einer was das is ? webspace gehackt ? pc gehackt ?
der webspace zeigt keine änderung... an der homepage wurde nur ein banner getauscht...

antivir sagte mir grad "nur" 1 fund "java.classloader.a"... is mittlerweile gelöscht

wäre für schnelle hilfe sehr dankbar
mfg funky chicke(n bei der anmeldung vergessen )

Geändert von GUA (24.03.2008 um 16:42 Uhr) Grund: quellcode editiert

Alt 24.03.2008, 02:56   #2
ertu20
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Hallo,

habe genau das selbe Problem mit
ht*p://yafid.cn/mm/
Einige Seiten auf meinem Homepage werden direkt auf diese Adresse weitergeleitet (nicht alle).

Weiss jemand wie die das anstellen? Und wo wir die Sicherheitslücke haben?
Hat jemand Tips für mich wie ich mein Homepage retten kann???

Ich habe alle Dateien mit einem FTP Programm downgeloaded um nach Viren zu Scannen = kein Virus.

Ich finde auch keine Weiterleitungsdateien,...

Danke im Voraus,

Gruß
Ertu
__________________


Alt 24.03.2008, 03:05   #3
ertu20
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Hallo ich bins nochmal, funky ich habe was gefunden,
unszwar lade mal per FTP die HTML Datei runter, von der du weißt, dass es weitergeleitet wird. Und schau dir dann mal den Quelltext an.


Du wirst so ungefähr diesen Ausdruck finden, der muss da weg.

Nur meine Frage an die Vollprofis: wie kann da jemand einfach ein link in meine index.html setzen? Wurden eventuell meine FTP Daten gecrackt? Wie kann ich das verhindern. Ich habe die Schreibrechte kontrolliert die waren in Ordnung.
__________________

Alt 24.03.2008, 03:34   #4
Lizzaran
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Was mir jetzt so spontan einfällt ist ein Keylogger.
Oder aber auch einfach über Brute Force, dauert
zwar eine Zeitlang aber man bekommt schon
das Passwort mit ner guten und großen Wörterliste.
Gegen Brutforce muss der Webspace wenn nicht schon
vorhanden einen Schutz einbauen, wenn z.B. 10 versuche
in 5 Sek. erfolglos statt finden das die IP nen Ban von 12h
oder so bekommt.

Alt 24.03.2008, 14:28   #5
x-ray
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Hallo zusammen
ich bin auch bei Strato und bin genau mit dem gleichem Problem konfrontiert.
Bei Aufruf der Webseite Index.xxx wird die Webadresse mit ht*p://yafid.cn/mm/ ersetzt. Wenn man aber nur ht*p://yafid.cn angibt, wird es zu eine Pornosite gelinkt. Das ist nicht irgendwie zufällig passiert und meine Meinung nach jemand hat der Strato-Server wieder geknackt.
Auf jeden Fahl den Tipp von ertu20 richtig ist und inzwischen habe ich meine Index-Datei bereinigt.
Die Frage, die mich beschäftigt ist: wie könnte der oder die, diese iframe (mindestens bei mir war so) hinter dem </HTML> Tag in der Index-Datei und zwar nur beim StratoServer platzieren. Meine lokale Datei ist sauber.
Virenscanner erkennen dabei nichts.
Wäre nicht schlecht wenn wir, die betroffene diese Sauerei beim Strato melden.
Grüße


Alt 24.03.2008, 16:10   #6
KleinerMarce
Gast
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Hallo an alle!

Arbeitet ihr mit selbsterstellten Webseiten oder nutzt ihr ein CMS?

Ändert ihr regelmäsig eure Zugangsdaten für FTP, Adminbereich bei Strato?

Alt 24.03.2008, 17:25   #7
BataAlexander
> MalwareDB
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



ich fände es super, wenn alle betroffenen Ihre Webserver für die sie veranwortlich sind sauber halten würden oder zumindest jetzt offline nehmen, um die Verbreitung des Befalls dann doch was einzudämmen.
Ich hatte nach Besuch diesen Gast.
Prüft bitte Eure Rechner!

Alt 24.03.2008, 17:39   #8
KleinerMarce
Gast
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Alle die hier Probleme haben/hatten, haben in ihrem Browser Java aktiviert, Frames in ihren Seiten. 2 Dinge, die man nicht braucht.

Also raus mit den Frames, ordentlich gecodet, neue Passwörter/Zugangsdaten allgemein setzen und/ CMS aktualisieren, wenn ihr damit arbeitet.

Register Globals auf Off setzen.

Alt 24.03.2008, 22:26   #9
ertu20
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Danke zunächst für eure Tips,
- den iframe habe ich rausgenommen,
- mein Rechner habe ich einpaar mal über den Virusscanner mit integriertem Spywarescanner gezogen (Der Rechner war schon ein bisschen befallen)

KleinerMarce: - Ich arbeite mit selbstertstellten Webseiten
- Zugangsdaten habe ich seit Mitte Februar nicht geändert. Das aber dürfte nicht das Problem sein.

BataAlexander: - Ich habe solange meinen Homepage gesperrt. Jetzt, also nachdem ich das Problem gelöst habe, ist es wieder online.

Ich nehme an, dass irgendwelche Hacker entweder Dateien in Form von CHMOD 777 vorfinden und die Dateien so manipulieren, oder aber den FTP-Code knacken und so die Dateien manipulieren.

Haben wir denn hier überhaupt kein Hacker, der sich da auskennt ???

Alt 24.03.2008, 22:37   #10
BataAlexander
> MalwareDB
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Zitat:
- mein Rechner habe ich einpaar mal über den Virusscanner mit integriertem Spywarescanner gezogen (Der Rechner war schon ein bisschen befallen)
Ein bisschen befallen gibt es nicht!
Entweder: Dein Rechner und die der anderen war so befallen, dass Dritte alle Daten mitlesen konnten und so deine Webpräsenz korrumpierten
Oder: Ihr verwendet Software Lösungen die mittels Exploits gehackt wurden und denn weiter gestreut haben.

Du solltest imho Deinen Rechner, vleiiehct hier, prüfen lassen, angefangen bei einem HJt Log.

Alt 24.03.2008, 22:40   #11
KleinerMarce
Gast
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Zitat:
Ich nehme an, dass irgendwelche Hacker entweder Dateien in Form von CHMOD 777 vorfinden und die Dateien so manipulieren, oder aber den FTP-Code knacken und so die Dateien manipulieren.

Haben wir denn hier überhaupt kein Hacker, der sich da auskennt ???
Also ein Hacker würde deine Page schonmal nicht mit schädlichem Code versetzen. Vielleicht ein Skriptkiddie, welche schnell als Hacker bezeichnet werden, oder aber einem Grey-Hat-Hacker könnte man das eher zutrauen.

Bei dir ist es einfach eine Schwachstelle im Code bzw. hat jemand dein Passwort für den FTP-Zugang abgegriffen. Solange man keinen Code vor der Nase hat, kann man wenig sagen.

Das beste ist für den Fall der Manipulation der Webseite: Vom Netz nehmen, auf Schachstellen untersuchen, diese fixen, Zugangsdaten komplett ändern (inkl. Benutzername beim FTP), sauberes Backup einspielen und regelmäßig pflegen.

Alt 25.03.2008, 22:18   #12
ertu20
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 21:48:04, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\F-Secure\FSAUA\program\fsus.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\FSGUI\fsavgui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Temp\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {709DB19F-9C09-49A7-9A86-B65DCC1525B4} - C:\WINDOWS\system32\browsel.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: QuickTalk 2.1 - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - C:\WINDOWS\system32\iesearch.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Dies ist mein HJT LOG, und ich habe noch nichts bereinigt Bataalexander. Und irgendwas auffällig ???

KleinerMarce: Wenn ich wüsste wie ich nach schwachstellen suche, würd ich es tuen, aber ich habe echt kein Schimmer, wo und wie sowas aufzufinden ist.

Alt 26.03.2008, 00:10   #13
BataAlexander
> MalwareDB
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Zitat:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
Das ist ein Zbot Eintrag, bei Interesse googlen.
Der klaut alle Passwörter die er bekommen kann, insbesondere Online Banking, Online Spiele.
->>> NEUAUFSETZEN! Anleitung im FAQ Bereich, dann alle Passwörter ändern!

Alt 26.03.2008, 08:35   #14
ertu20
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Ich habe gegoogelt, und tatsächlich, es ist ein Wurm,
aber ich habe auch nach anderen Dateien gegoogelt, auch diese sind nach google Würmer wie z.Bsp:
- browsel.dll
- iesearch.dll
- HPZipm12.exe

Ich habe deine Empfehlung Wahrgenommen und mir die Sachen durchgelesen,
es führt also kein Weg dran vorbei, muss also mein System neu aufsetzen und die ganzen Passwörter ändern. Was ist mit den Dateien, die ich o.g. habe. Sind das wirklich Würmer???

Alt 26.03.2008, 10:03   #15
BataAlexander
> MalwareDB
 
komisches meldung bei homepage - Standard

komisches meldung bei homepage



Nach dem Fund des ZBots, ist das irrelevant, was die anderen Dateien sind.
Natürlich nicht ganz, aber sie führen zu keinen anderen Handlungen als die, die die Infektion mit der ntos mit sich bringt.
Und nein, mir ist noch kein Thread begegnet, wo man diese ohne Neuaufsetzen bereinigen konnte und ich habe es selbst ein paar mal versuchen lassen.

Antwort

Themen zu komisches meldung bei homepage
anmeldung, aufrufe, aufrufen, banner, frohes, fund, gehackt, heute, homepage, inter, interne, internetseite, komisches, meldung, schnelle, schnelle hilfe, seite, strato, vergessen, vollständig, webspace, weiterleitung, weniger



Ähnliche Themen: komisches meldung bei homepage


  1. Windows 7 komisches Update
    Alles rund um Windows - 01.10.2015 (2)
  2. Sehr komisches Verhalten vom S4
    Smartphone, Tablet & Handy Security - 19.07.2015 (1)
  3. Komisches Verhalten bei Programstart + IExplorer und Mozilla springen auf nicht gewählte Seiten + Meldung "Diese Programm wurde durch ein Gr
    Log-Analyse und Auswertung - 24.12.2014 (9)
  4. Komisches Verbindungsproblem
    Alles rund um Windows - 28.04.2014 (3)
  5. Trojaner Meldung: JS Redirector KP bei Aufruf Kontaktanfrage in Homepage
    Log-Analyse und Auswertung - 24.01.2012 (11)
  6. Komisches Lachen?! O.o
    Log-Analyse und Auswertung - 31.01.2011 (1)
  7. Komisches Klicken und iexplorer
    Log-Analyse und Auswertung - 28.07.2010 (2)
  8. Komisches Mausverhalten !
    Plagegeister aller Art und deren Bekämpfung - 08.07.2010 (1)
  9. ein komisches symbol
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (14)
  10. komisches virus?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2007 (3)
  11. Explorer komisches Verhalten
    Log-Analyse und Auswertung - 05.03.2007 (14)
  12. komisches problem....
    Alles rund um Windows - 03.11.2006 (3)
  13. Komisches Problem
    Log-Analyse und Auswertung - 18.04.2006 (5)
  14. WIN 2000 + IE, komisches Startfenster
    Log-Analyse und Auswertung - 03.01.2006 (2)
  15. komisches problem
    Alles rund um Windows - 24.06.2005 (1)
  16. Komisches verhalten.
    Log-Analyse und Auswertung - 20.12.2004 (4)
  17. Komisches explorer.exe -go -c9 -w !
    Log-Analyse und Auswertung - 26.10.2004 (6)

Zum Thema komisches meldung bei homepage - hallo und frohes osterfest.... mehr oder weniger ^^ als ich heute meine internetseite aufrufen wollte (liegt bei strato) kam follgende weiterleitung, nachdem meine seite vollständig aufgebaut wurde ht*p://yafid.cn/mm/ leere seite - komisches meldung bei homepage...
Archiv
Du betrachtest: komisches meldung bei homepage auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.