Hallo,

ich versteh die Welt nicht mehr. Ich beachte wirklich alle üblichen Sicherheitsregeln beim surfen im Netz und mein System ist gut abgesichert. Auch habe ich nichts installiert meines Wissens nach die letzte Zeit. Nun öffnete sich, nachdem ich oben in google-Suchfeld einen Begriff eingab, eine Seite die im Namen folgendes hatte: "dns.thesoulfoodcafe.com" und ein gefakter Scan startete mit natürlich 100 Funden von Viren, usw. Ich habe die angepriesene Software natürlich nicht runtergeladen.

Ich habe dann einen Scan mit Antivir Personal 10 durchgeführt und es wurde nichts gefunden (wie im Übrigen bei einer vorherigen Infektion von vor ein paar Monaten auch nicht. Diese Infektion habe ich mir eingefangen, als ich ein Programm runterladen wollte, mit dem man angeblich Fussballbundesliga gucken könnte. Diese Installation habe ich wissentlich gemacht, kann also nachhalten, warum ich nacher nen Trojaner auf dem Rechner hatte. Natürlich mache ich jetzt sowas nicht mehr.....Software aus zweifelhaften Quellen runter laden und installieren....).

Dann habe ich mit Malwarebytes einen Scan durchgeführt:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4122

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

21.05.2010 10:06:37
mbam-log-2010-05-21 (10-06-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 139627
Laufzeit: 4 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl\1 (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Habe den Registrierungswert natürlich entfernt.

Was um alles in der Welt ist/war das für eine Infektion? Wie kam die auf meinen Rechner? Ist bzw. war das "schlimm"? Ist sie jetzt weg oder muss ich neu Aufsetzen, was ich unter allen Umständen vermeiden will. Es handelt sich im Übrigen um meinen Arbeitsrechner mit dem ich ALLES mache, wie z. B. online banking usw. Es sind wichtige Daten und Programme drauf; das Neuaufsetzen des Systems würde Ewigkeiten dauern.

Und noch eine (vielleicht etwas merkwürdige) Frage: Wäre es theoretisch möglich, dass mir jemand, der mich nicht mag und der einen eigenen Blog betreibt, den ich manchmal besuche, so eine Infizierung unterschiebt, wenn ich mit seiner Seite verbunden bin?

EDIT: Oh Mann. Das Problem ist immer noch vorhanden. Gebe ich oben in das Suchfeld beim ff einen Begriff ein werde ich auf diese ominöse Seite umgeleitet und ein Fenster mit dem angeblichen Scan meines Computer startet. Man kann es auch nicht Abbrechen. Zum Schluss kommt dann die Anfrage meines Betriebssystem, ob ich eine "setup" - Datei installieren will, was ich natürlich nicht gemacht habe.

Hallo,

ich habe seit heute genau dasselbe Problem. Deshalb frag ich mich ob es nicht doch eher an Firefox liegt?!

Ja, das denke ich ja auch, zumal ja auch "nur" ein Registry-Wert verändert war, (wenn dieser Fund von Malwarebytes überhaupt irgendwas damit zu tun hat). Ich habe gerade ff neu installiert und das Problem ist seitdem nicht mehr vorhanden. Mir geht es bloß darum, ganz sicher zu sein, dass das System niemals kompromittiert war/ist, was ich allerdings nicht wirklich glaube.

Oh ist es weg? dann werd ich es wohl auch neu installieren. Also ich denke nicht, das etwas am System schaden genommen hat.

Es SCHEINT weg zu sein. Ich habe ja auch nichts installiert. Die UAC ist bei mir auf höchste Stufe. Hätte es also mitbekommen müssen, falls sich Malware bei mir installieren wollte (meines Wissens nach). Mich würde bloss mal interessieren, wie firefox dann manipuliert wurde bzw. wie das dann genau abläuft. Schon merkwürdig.

Das Gleich problem hatte ich gestern auch. ich habe nicht mal etwas herunter geladen ich war in Leo unterwegs und suchte nach einer englisch übersetzung als plötzlich firefox sich mit dieser Ominösen seite verbindet.

Was danach passiert wissen wir ja alle.

Was mich verwundert das Firefox sich danach immer wieder ab und zu mit dieser Seite verbindet oder wen man such begriffe eingibt die mit dem im zusammen hang stehen könnte, wie zb soul.

Was ich mich auch frage was ist das für eine seite es wird kein Quellcode angezeigt und eine flash animation ist es auch nicht obwohl einem da so was wie einen Animation eines Viren befall vor gegaukelt wird.

Es muss aber was ganz neues sein gestern fand ich noch keinen einzigen Forum eintrag betreffend diesem problem.

Die seite selber The Soul Food Cafe

existiert schon jedoch bin ich mir zu 100 sicher das ich nie auf dieser Seite war.

da der schädlingspfad ja URL: dns.thesoulfoodcafe.com/main.php?e=4&h=www.thetwats.co.uk&i=Jcivi9cfo/ulgBj7VsdDz54XpA==
ist.

Naja warscheinlich agiert die seite ja auch nur als proxi dier sich mit den verschiednen Dns ports verbindet.

jedoch ist mein Port absolut gesichert.

Ah ja auch bei mir war es das gleiche antivre von avira hat nichts schädliches gefunden oder so.

Ich habe auch dieses Problem und auch ich habe keine ominösen seiten besucht noch etwas runtergeladen, wo ich mir nich sicher war/bin das es meinem pc nicht schadet...

edit: scheinbar hängt es (nur) mit google zusammen...habe mal yahoo getestet, kam keine meldung

So nun gehts ja los ey...

Wenn ich unsere Hompages anwählen will, dann kommt gleich eine weiterleitung zu dieser Adresse:
hxxp://dns.thesoulfoodcafe.com/main.php?i=Jc+jgtUbo/ysihj7VspBzZsXpA==&e=3

Anscheind hat jemand unseren server gehackt keine Ahnung, wenn meine kumpels unsere Hompages anklicken passiert das selbe daher befindet sich der Virus nicht auf meinen Rechner sondern irgendwo versteckt und unaufindbar auf unseren server anscheind.

Verdammte Viren, die Leute die sowas erfinden sollten gehängt werden!!!


Mfg. calle

das ist nun eine sehr wage vermutung...vor kurzem waren ja einige (bzw. viele) .de domains nicht zu erreichen...gibt es vllt. auch eine möglichkeit, etwas zu basteln, das sich bei manchen .de domains die weiterleitung aktiviert?

ich hab nicht sehr viel ahnung davon, also bitte nicht ist nur so ne idee

ZITAT

hi, myself and other users have been getting warnings of a trojan when we visit the site. avg pops up with this.
"The page you are trying to access has been identified as a known exploit, phishing, or social engineering web site and therefore has been blocked for your safety. Without protection, such as that in the AVG Security Toolbar and AVG, your computer is at risk of being compromised, corrupted or having your identity stolen. Please follow one of the suggestions below to continue.

URL: dns.thesoulfoodcafe.com/main.php?e=4&h=www.thetwats.co.uk&i=Jcivi9cfo/ulgBj7VsdDz54XpA==
Name: Rogue MCOS (type 1041)"

when i checked inside the .htaccess file in the php folder it contains this content
"ErrorDocument 500 hxxp://dns.thesoulfoodcafe.com/main.php ... 4XpA==&e=0
ErrorDocument 502 hxxp://dns.thesoulfoodcafe.com/main.php ... 4XpA==&e=2
ErrorDocument 403 hxxp://dns.thesoulfoodcafe.com/main.php ... 4XpA==&e=3

RewriteEngine On

...

is it ok for me to simply delete this file and replace it with one from a backup?
how did they mange to get access to our forum to do this? this is our second hack this year, the previous one was sending out mass emails.
why do folks get kicks out of doing this stuff?

ZITAT ENDE

(konnte kein "quote" posten)

anscheind haben nicht nur wir das problem

Und konnte dem jemand schon weiterhelfen?
Habe meine .htaccess Datei überprüft und siehe da, tatsache es befinden sich dort mehrere Einträge, allerdings kann ich damit jetzt nix anfangen da ich keine Ahnung von html usw. habe, das macht immer unser Webmaster und der hat sein Handy aus

Edit:
Habe mal bisschen nachgeforscht:
hxxp://www.who.is/whois/thesoulfoodcafe.com/


Mfg. calle

Da kam nur folgenden Antwort:

Zitat:

My board has been hacked, what do I do?
Please do the following before making any modifications to your board (this includes changing passwords, editing files, running the support toolkit, etc.):

1. Save a copy of the files (simply create a local copy of the files on the server).
2. Save a copy of the database.
3. Save the server access logs for the time of the hack (they may be available in the 'logs' directory on the server, in your host's control panel or only by request directly from your host).
4. File a report in the incident tracker. Attach the items from steps 1-3 when you file the report or upload them to a secure location for the incident investigation team to download. Please do not start a new topic on the board, the proper place for incidents reports is the tracker.



If you have further questions, please ask them on your ticket. Thanks.

Seit dem ich google nicht mehr benutzt habe, hatte ich auch keine probleme mehr

Echt?
Dann geh mal auf unsere Hompage und sage mir mal bitte ob diese bei dir funktioniert: www.ghettosoldiers.de


Mfg. calle

Sach, mal geht hier den ab?? Ich habe gerade die homepage www.ghettosoldiers.de angklickt und schon bin ich wieder auf der thesoulfoodcafe-Seite. Also ich versteh so langsam gar nichts mehr? Bin ich nun wieder infiziert bzw. war ich es überhaupt jemals?

Nein das ist ja das was ich meine... es scheinen bestimmte server so wie unserer davon befallen zu sein, so das wenn man diese Hompages anwählt man sofort weitergeleitet wird auf diese drecks Hompage von den hacker leuten.

Ich weiß im Augenblick nur das wir ohne unseren Webmaster hier nicht weiter kommen, es sei den jemand hat hier ein guten Tip.

Edit:
Das lustige ist, es reicht schon wenn man bestimmte seiten googelt, also nicht anklickt sondern nur ergoogelt wie z.b. ghettosoldiers, googel zeigt die gesuchten Ergebnisse an und schwubs schon meldet sich Norton Antivirus wieder ohne das man auf die Hompage gecklickt hat. Das ist verrückt sowas habe ich noch nie erlebt, da hat sich jemand richtig Mühe gegeben lol.


Mfg. calle